Contactloos betalen met bankpas

Door Convirion op vrijdag 11 juni 2010 11:35 - Reacties (29)
Categorie: My 2 cents, Views: 5.009

AMSTERDAM - Zonder pincode of zonder 'doorhalen' van de bankpas kleine bedragen tot 25 euro afrekenen. ABN Amro heeft naar eigen zeggen de primeur en de eerste proef in de eigen bedrijfskantine succesvol afgesloten.

...

Over de veiligheid is ook nagedacht. ''Je staat met de pas rechtstreeks in contact met je bankrekening. Skimmen is niet mogelijk omdat de betalingen niet via de magneetstrip lopen'', aldus de woordvoerster.
Hierboven een berichtje van nu.nl getrokken om wat commentaar op te leveren.

Lees vooral het schuin gedrukte gedeelte nog een keer. De manier van skimmen nu is eigenlijk de huidige technologie gekopieerd. Ze zetten 2 magneet lezers in de automaat. Hier moet je alleen je pincode nog invoeren. Het geld word er dus niet meteen af geschreven. (het verkrijgen van de pincode is nog een heel ander karwei).

Wat nu als je kunt betalen met je pinpas als je je pas boven de automaat houd? Dan kun je maximaal 25 euro betalen. Wat gebeurd er nu als de zogehete "skimmers" ook deze technology kopieren? Wat als zij ook zon zelfde lezer in de automaat zetten? Dan zouden ze onbeperkt aantal keer 25 euro af kunnen schrijven?

Dat is gewoon mijn idee.. Ik weet niet wat jullie er van vinden?

Update: Item is inmiddels ook te vinden op de frontpage

Volgende: Analoge TV versus Digitale TV 04-'10 Analoge TV versus Digitale TV

Reacties


Door Tweakers user sebastius, vrijdag 11 juni 2010 11:37

Die magneetstrips zijn al best onveilig, maar RFID is nog slechter... Ik hoef het niet :P En ik pin letterlijk alles, heb bijna nooit contant geld bij me.

Door Tweakers user sanderev66, vrijdag 11 juni 2010 11:41

Het huidige skimmen wordt er idd door onmogelijk gemaakt, maar ze houden geen rekening met nieuwe manieren van skimmen.

Door Tweakers user pcprutser, vrijdag 11 juni 2010 11:42

ik las het net ook in de krant, mijn mond viel open.. je hoeft geen pincode oid meer te gebruiken, oftewel: iedereen kan met elke willekeurige pas betalingen verrichten... lekker veilig..

Door Tweakers user FikkieHo, vrijdag 11 juni 2010 11:44

Toen ik dit artikel las, dacht ik gelijk aan dit kaartje:
http://www.octopus.com.hk/home/en/index.html

Ben benieuwd of het kaartje van ABN in NL goed wordt gebruikt.. Bij een nieuw ontwikkeld systeem zullen er vast wel problemen komen waaronder nieuwe skim methodes..

Door Tweakers user squaddie, vrijdag 11 juni 2010 11:49

Nieuwe slogan ABN Amro: "Skimmen! Nu nog makkelijker!". Je hoeft als skimmer niet meer moeite te doen de pincode te achterhalen, uitsluitend strategisch paslezers plaatsen.

Zit me net te bedenken dat die in- en uitcheckpalen van de OV zijn een ideale locatie voor zo'n paslezer, immers hoeveel OVchipkaart gebruikers hebben deze in de portemonnee zitten samen met de bankpas. Ik gok het overgrote deel, op een drukke locatie is het flinke vetpot elke keer als een portomonnee langskomt ook 25 euro incasseren.

Door Tweakers user Erkens, vrijdag 11 juni 2010 11:51

Hier was de chipknip toch voor bedacht? Juist voor die kleine bedragen is dat veel makkelijker (vooral met parkeren).

Door Tweakers user YopY, vrijdag 11 juni 2010 11:51

Wat een mongolen. Iedereen kan dus met een scannertje door een drukke winkelstraat lopen en hier en daar die kaartsignalen overnemen. Natuurlijk zal er wel een vorm van beveiliging op zitten, maar dan nog.

Beveiliging zou zoiets zijn als de scanner die een signaal naar de chip stuurt met daarin het bedrag en een beveiligingscode, en de chip die een andere code terugstuurt of iets dergelijks.

Maar dan nog zou het beter zijn als er een pincode of iets dergelijks bij stond.

Door Tweakers user GewoonWatSpulle, vrijdag 11 juni 2010 11:57

Heet dit systeem niet toevallig "chipknip" even chippen zo gepiept?

Door Tweakers user RoadRunner84, vrijdag 11 juni 2010 12:07

Nou... ze beweren dat de "pas in contact met de bankrekening staat", geen flauw idee hoe ze dat doen zonder een GSM modem in de kaart te bouwen, maar toch.

Als de pas nu gekopieerd wordt dan zouden er dus twee dezelfde passen contect leggen, waardoor de kopie heel snel door de mand valt: beide passen worden geblokeerd.

En anders blijft het eigenlijk ongeveer hetzelfde: door het "pingedrag" kan vastgesteld worden dat het een skimmer betreft.

Verschil in deze is waarschijnlijk dat de pas vermoedelijk een chipje bevat, waardoor een encrypted link met het bankkantoor opgezet kan worden. De pas bevat de public key van de bank, en deze codeert een request. Het request kan alleen door de bank gedecodeerd worden omdat niemand anders (hopelijk!!!!) de private key heeft.

Als de private key gestolen wordt kan iedereen de banktransacties lezen, foute boel, dan moet er dus per direct een nieuwe private key gemaakt worden, wat ook een nieuwe public key betekend. Het is dan dus zaak dat iedere pas geupdate wordt met de nieuwe public key, maar zonder dat dit een key van een malafide oraginsatie is, wat erg moeilijk is, aangezien die nu juist kan doen alsof ze de bank is (dankzij de private key).

Door Tweakers user Soldaatje, vrijdag 11 juni 2010 12:08

Ov-chipkaart is echt handig, daar wil ik ook wel gewoon mee betalen.

Door Tweakers user guanche, vrijdag 11 juni 2010 12:09

We kunnen nu wel allemaal roepen dat het heel stom is, maar ik geloof echt niet dat ze daar niet over nagedacht hebben. Het is pas stom om te denken dat ze dat niet hebben gedaan. (vooral de opmerking 'wat een mongolen'). Wordt hier echt ziek van dat je op basis van 2 alinea's nu.nl dat roept.

De berichtgeving is niet helder hierin. De bron (http://www.telegraaf.nl/b...?sn=binnenland,buitenland) zegt hier ook niet veel meer over. Waarschijnlijk omdat de telegraaf lezer zich toch niet interesseert over de technische grondslag.

Vragen mag je hebben, kritisch mag je zijn, maar je hoeft niks te roepen als je er nog niks over [kan] weten. En zoals we allemaal weten, geen beveiliging is perfect, zeker als we met dehardware gaan kloten. Je kan het alleen zeer onwaarschijnlijk maken (256+ bit encryptie wordt ook als veilig bestemepeld, alleen omdat het te lang duurt om te kraken. Dat betekend niet dat het inherent onmogelijk zal zijn)

Door Tweakers user RoadRunner84, vrijdag 11 juni 2010 12:11

Ik heb al bij de allereerste RFID chips gezegt dat contactloze transacties een groot risico zijn. Je hebt als gebruiker geen controle meer over de toegang tot je kaart.

Als we nou metalen portfoliomapjes gaan gebruiken met "lamellen" om RFID toegang tot de kaart mogelijk te maken, dan heb je nog iets van controle als gebruiker, al kan op het punt van gebruik zelf nog steeds getapt worden.

Door Tweakers user Steffannnn, vrijdag 11 juni 2010 12:13

Soldaatje schreef op vrijdag 11 juni 2010 @ 12:08:
Ov-chipkaart is echt handig, daar wil ik ook wel gewoon mee betalen.
Laat mij maar lekker twee kaarten houden.. die OV-chipkaarten zijn nogal gevoelig. Ik lees regelmatig dat kaarten kapot gaan.

All-in-one kaart weg, oftewel je ov-chipkaart èn bankpas, en je kan niet meer thuiskomen want je kan geen nieuwe kopen :D

Door Tweakers user Tazzios, vrijdag 11 juni 2010 12:20

zonder "doorhalen" hadden 4 jaar geleden al in moeten voeren! Had een hoop skimmen gescheeld. Die chip zit er toch niet voor niks op |:(


Wat de OV betreft Ja je hebt 1 kaart voor het openbaar vervoer. Maar je moet voor verschillende bus maatschappijen( en de NS) aparte tegoeden hebben of zelfs strippen op je ov kaart laten zetten (nachtbussen) 8)7

Door Tweakers user Tazzios, vrijdag 11 juni 2010 12:24

Ik heb een voordeel bedacht! betreft het "bevorderen van de veiligheid"zoals hun dat noemen.
Ddoordat je voor kleine bedragen niet hoeft te pinnen kan je pincode minder vaak worden af gekeken :Y)

Door Tweakers user RoadRunner84, vrijdag 11 juni 2010 12:24

guanche schreef op vrijdag 11 juni 2010 @ 12:09:
We kunnen nu wel allemaal roepen dat het heel stom is, maar ik geloof echt niet dat ze daar niet over nagedacht hebben. Het is pas stom om te denken dat ze dat niet hebben gedaan. (vooral de opmerking 'wat een mongolen'). Wordt hier echt ziek van dat je op basis van 2 alinea's nu.nl dat roept.
[...]
Vragen mag je hebben, kritisch mag je zijn, maar je hoeft niks te roepen als je er nog niks over [kan] weten. En zoals we allemaal weten, geen beveiliging is perfect, zeker als we met dehardware gaan kloten. Je kan het alleen zeer onwaarschijnlijk maken (256+ bit encryptie wordt ook als veilig bestemepeld, alleen omdat het te lang duurt om te kraken. Dat betekend niet dat het inherent onmogelijk zal zijn)
Juist, ze hebben er vast over nagedacht, maar van mijn pinpas weet ik dat deze alleen gelezen kan worden als ik hem in het apparaat frommel, van NFC/RFID weet ik dat niet, ik heb de controle niet. En RFID is heel trendy, maar ik blijf erbij: RFID is stom voor veilige toepassingen! Ze hebben vast nagedacht, maar het gemak boven de veiligheid gekozen m.i.

Als ze het echt veilig willen, laat ze dan iButtons gebruiken, die zijn stukken veiliger en ook heel makkelijk in gebruik. Vroeger werden ze wel bij LaserQuest etc gebruikt: een knoppcelactig dingetje dat je tegen een reader drukt. Contact, encryptie, robuust en makkelijk.
Ik weet dat er in amerika iButtons gebruikt worden als sleutels voor flatgebouwen.

Ja, 256 bit wordt als veilig gezien, en dat is het ook redelijk. Zelfs met quantum computers is dat (in tegenstelling tot de broodjeaap verhalen dat het de prullenmand in kan) nog een flinke kluif. En anders doen we toch gewoon 512 bit, of 1024 bit :)
Het probleem is dat alle encryptietechnieken uitgaan van het geheim blijven van ofwel de private key, ofwel het shared secret. Shared secret is in dit geval behoorlijk moeilijk, maar het kan. Maar hoe dan ook, de bank zal de private key of het shared secret moeten weten, en als de bank het weet kan de hacker het jatten, want ook het computernetwerk is niet hermetisch afgesloten. En als de beveiliging een foutje bevat (denk WEP) kan het zelfs a.d.v. een trosje transacties.

Door Tweakers user SgtStrider, vrijdag 11 juni 2010 12:31

Te grappig hoe iedereen de boel affakkelt terwijl niemand ook maar enigszins een idee heeft hoe het systeem technisch in elkaar steekt.

Door Tweakers user Steffannnn, vrijdag 11 juni 2010 12:37

SgtStrider schreef op vrijdag 11 juni 2010 @ 12:31:
Te grappig hoe iedereen de boel affakkelt terwijl niemand ook maar enigszins een idee heeft hoe het systeem technisch in elkaar steekt.
Tè grappig hoe jij beweert dat iedereen de boel 'affakkelt'.
Gewoon even afwachten of ze bekent maken hoe het systeem (ongeveer) werkt.

Door Tweakers user RoadRunner84, vrijdag 11 juni 2010 13:16

SgtStrider schreef op vrijdag 11 juni 2010 @ 12:31:
Te grappig hoe iedereen de boel affakkelt terwijl niemand ook maar enigszins een idee heeft hoe het systeem technisch in elkaar steekt.
Maar dat weten we wel! Het werkt draadloos zonder pincode. Dat is genoeg om al een hoop dingen te kunnen zeggen.

Door Tweakers user KnoppenSpook, vrijdag 11 juni 2010 13:24

Dit systeem gaat wereldwijd gebruikt worden. En is al een tijdje bekend.

Een beetje eng vind ik het wel. Als je je pinpas verliest, hoeven ze geeneens je pin te weten, maar kunnen wel een heleboel keren 25 euro betalen bij een bevriende winkelier. Die dan het geld naar de dief stort??

Door Tweakers user StEelD, vrijdag 11 juni 2010 13:43

Bij de chipknip hoef je ook geen pincode in te toetsen.
Het gaat weliswaar tot 500 euro, je moet de chipknip wel handmatig opladen.
Een stuk veiliger dus.
Deze nieuwe methode is een slechte ontwikkeling wat mij betreft.

Door Tweakers user analog_, vrijdag 11 juni 2010 13:47

Vermoed dat het hier om NFC gaat, bekend van de OV chipknip. Er zijn veilige varianten mogelijk, enkel kost dat dan meer dan 50 cent per uitgegeven kaart. In Hong Kong gebruiken ze een dergelijk systeem (echter met Sony Felica kaart) al vrij lang (>5 jaar) voor micropayments. Je kan het gebruiken in kiosken en dergelijke.

Door Tweakers user Wortelsoep, vrijdag 11 juni 2010 14:19

guanche schreef op vrijdag 11 juni 2010 @ 12:09:
We kunnen nu wel allemaal roepen dat het heel stom is, maar ik geloof echt niet dat ze daar niet over nagedacht hebben. Het is pas stom om te denken dat ze dat niet hebben gedaan. (vooral de opmerking 'wat een mongolen'). Wordt hier echt ziek van dat je op basis van 2 alinea's nu.nl dat roept.
QFT. Alsof ze bij een bank niet nadenken over deze voor de hand liggende kwesties 8)7

Door Tweakers user Steffannnn, vrijdag 11 juni 2010 14:43

Alsof ze er bij AT&T niet over nadenken dat een ICC-id in een header aagepast kan worden. Alsof de TLS niet hand kunnen bedenken dat er meer als een student tegelijk zijn/haar reisproduct zou ophalen.

Wilko, soms zou je denken dat men de 'voor de hand liggende kwesties' vergeet.

Door Tweakers user Steffannnn, vrijdag 11 juni 2010 14:44

@Mezelf hier boven
Leer typen/schrijven/je zinnen normaal op te bouwen! 8)7

Waar is de edit-functie? :(

Door Tweakers user Powermage, vrijdag 11 juni 2010 14:53

Beetje vaag bericht aangezien dit meer lijkt op een nieuw systeem ter vervanging van de chipknip ipv pin (je gebruik tenslotten geen Personal Indentification Number, dus het is lastig pinnen te noemen)

Skimming is echter niet alleen iets wat via een magneetstrip kan, een draadloos signaal is (misschien zelfs makkelijker) ook af te luisteren, dus denk niet echt dat dit een succes zal worden.

Door Tweakers user Powermage, vrijdag 11 juni 2010 14:56

Overigens met die NFC systemen zijn al (geflopte) test geweest, dit zat dan in een mobieltje verstopt.

Door Tweakers user _Eend_, zondag 13 juni 2010 00:35

Ik heb het bericht op meerdere websites gelezen, maar elke site
KnoppenSpook schreef op vrijdag 11 juni 2010 @ 13:24:
Dit systeem gaat wereldwijd gebruikt worden. En is al een tijdje bekend.

Een beetje eng vind ik het wel. Als je je pinpas verliest, hoeven ze geeneens je pin te weten, maar kunnen wel een heleboel keren 25 euro betalen bij een bevriende winkelier. Die dan het geld naar de dief stort??
En de bank zal ook vast niet ingrijpen als er in korte tijd tientallen keren precies 25 euro wordt gestort op de bankrekening van de winkelier. Vooral niet als het maar een beperkt aantal rekeningen zijn waarvandaan het geld is overgemaakt.

Door Tweakers user RoadRunner84, maandag 14 juni 2010 10:45

_Eend_ schreef op zondag 13 juni 2010 @ 00:35:
Ik heb het bericht op meerdere websites gelezen, maar elke site
[...]


En de bank zal ook vast niet ingrijpen als er in korte tijd tientallen keren precies 25 euro wordt gestort op de bankrekening van de winkelier. Vooral niet als het maar een beperkt aantal rekeningen zijn waarvandaan het geld is overgemaakt.
Het artikel op de frontpage beschrijft dat er zo random af en toe toch een pincode ingevoerd moet worden en bovendien dat de kaart opgeladen dient te worden, waardoor er maximaal 25 euro afgeschreven kan worden alvorens de pas "leeg" is.

Reageren is niet meer mogelijk