Hoofdcategorieën

[RSS] Index » Nieuws » Pro » Economie » Bedrijfsnieuws » Vingerafdrukbetaalsysteem AH gekraakt

Vingerafdrukbetaalsysteem AH gekraakt

Door Mick de Neeve, maandag 30 juni 2008 21:19, views: 33.268

Amper twee weken na de start van een proef met het vingerafdrukbetaalsysteem Tip2pay van Albert Heijn, is een beveiligingsspecialist erin geslaagd om het systeem met een gekopieerde afdruk voor de gek te houden.

Vingerafdruk De 'kraker', oud Atos Origin-medewerker Ton van der Putte, leidde Tip2pay om de tuin met een rubberen kopie van een vingerafdruk van een ander, schrijft Webwereld. Hoe de kopie precies werd gemaakt blijft onvermeld, maar rubberen kopieën waarmee vingerafdrukbeveiligingen werden omzeild, werden al eerder door de Duitse hackers van de Chaos Computer Club gefabriceerd. Een van die 'nepvingers' was nota bene afkomstig van minister van binnenlandse zaken Wolfgang Schäuble, die deze op een wijnglas had achtergelaten.

Van der Putte heeft meegeschreven aan diverse publicaties waarin de veiligheid van vingerafdrukbeveiligingen wordt betwist. Onder meer wordt gesteld dat het niet mogelijk lijkt te zijn om machines te ontwikkelen die het verschil kunnen zien tussen een levende vinger en dood kopiemateriaal.

Albert Heijn heeft in een reactie laten weten dat de kraak het supermarktconcern niet heeft verbaasd, omdat de gekopieerde afdruk immers vrijwillig werd afgestaan. Maar de Chaos Computer Club heeft al laten zien dat dit niet noodzakelijk is: het kopiëren van een afdruk van iemand die bijvoorbeeld bij de wijnafdeling flessen ter hand neemt lijkt al voldoende te zijn, gezien de manier waarop men aan de afdruk van de minister kwam. Over de kopieermethode hebben de Duitse hackers al enige tijd een handleiding online staan.

Albert Heijn logo (klein) AH stelt verder dat bankpassen ook te kopiëren zijn. Hier kan echter weer tegenin worden gebracht dat deze nog een extra beveiligingsstap hebben, namelijk de pincode. Net als bij het roven van een bankrekening geeft de supermarkt ten slotte nog aan dat bij misbruik buiten de schuld van de klant om, deze schadeloos wordt gesteld.

Overigens claimt ook RTL Nieuws de mogelijkheid Albert Heijns betaalmethode te kraken, te hebben bewezen.

Volgende 08:52
Vorige 19:42

Categorieën

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 188 reacties zichtbaar1880 Off-topic / Irrelevant: 175 reacties zichtbaar175+1 On-topic: 48 reacties zichtbaar48+2 Informatief: 22 reacties zichtbaar22+3 Must-read: 1 reactie zichtbaar1
«  1  2  3  4  5  6  7  »

Door Synch, maandag 30 juni 2008 21:21

Score: 0
Ja, zo heb ik ook gezien dat je een vingerafdrukscanner met een zwart-wit kopie kan misleiden :)

Idd bij de mythbuster: zie brian

[Reactie gewijzigd door Synch op maandag 30 juni 2008 21:23]

Door noMSforme, maandag 30 juni 2008 22:09

Score: 1
Ik snap de ophef niet. En dan? Wat ga je stelen? kratje bier? een brood?
Een strafblad riskeren voor een pak melk?
Je weet in ieder geval zeker dat je gefilmd wordt bij het betalen en een 'gestolen' vinger afdruk is ook maar eenmalig bruikbaar.
Skimming kost de banken miljoenen. Dan wordt je pas gekopieerd en je pin 'afgekeken'. AH wil minder contant geld, klanten binding en snelle betaal methode.
Je vinger afdruk is allen bekend bij de AH je kan er niet in elke winkel mee betalen.
Als je nog keuze krijgt welke vinger ( 1op 10 ).
Denk niet dat er veel mensen zijn die een jaren lange gevangenis straf gaan riskeren voor een paar boodschappen.
Ik kan nu je vinger afdruk ook wel stelen, ik zie het verschil niet.
Misschien het verzamelen in een database van vingerafdrukken maar kun je verder ook weinig mee.

Door vgroenewold, maandag 30 juni 2008 22:18

Score: 2
Alleen vraag ik mij af of en wat voor informatie er via dat systeem te verkrijgen is. Als het alleen de betaling van wat boodschappen zijn en verder is er niets mee te doen, dan is het niet echt boeiend inderdaad. Behalve wanneer men vingerafdrukken van bijv. bejaarde mensen, of verstandelijk gehandicapten gaat gebruiken (om maar wat voorbeelden te noemen), die vallen wat extra boodschappen misschien niet op en daarmee kan je toch ongemerkt en constant iemand laten genieten van gratis eten. Deze loopt vast tegen de lamp, maar hoe snel en hoe goed wordt hierop gecontroleerd, toch wel belangrijke vragen die AH moet beantwoorden.

Verder snap ik het nut van het systeem eigenlijk niet. Het probleem van de doorstroom bij de kassa is namelijk niet het pinnen lijkt mij, eerder de klant die probeert de boodschappen zsm in de tassen te proppen. Men zou net als in Amerika gewoon inpakkers moeten inzetten.

Door noMSforme, maandag 30 juni 2008 22:47

Score: 2
Ik denk dat het een 1-2tjuh is tussen de banken en AH.
De banken minder last van fraude en een gemakkelijker betaalmethode, veiliger, minder kosten en minder contact geld ( ivm met overvallen) bij de AH.
Denk ook niet dat PIN helemaal gaat verdwijnen je krijgt gewoon meer keuze.
Er zullen mensen zijn waarvoor PIN niet zo geschikt is en een vinger afdruk wel.
Minder kosten omdat er geen contact meer gemaakt hoeft te maken voor de PIN.

Ik hoor net dat het in Duitsland al 2 jaar bestaat.
Duitsland Filmpje
Love it

De volgende versie doet waarschijnlijk ook gezichtsherkenning en dan wordt het al een stuk lastiger.

Door Teigetje!, dinsdag 1 juli 2008 09:20

Score: 2
Ze kunnen beter een warmtebeeld (infrarood) gebruiken. Dat is zeker niet te kraken. Het is onmogelijk iemands warmtebeeld te copieren terwijl gezichtsherkenning wel te doen is (moeilijk niet onmogelijk). Ik geloof alleen dat warmtebeeld nog niet commercieel haalbaar is.

Het probleem met al deze vormen van biometrie is niet zozeer het feit dat het wel/niet te copieren valt. Niemand zal zijn gezicht laten verbouwen om gratis boodschappen te gaan doen, toch? De oplossing is dan om een account te hacken en er een ander gezichtspatroon in te plaatsen. De problemen worden groter als we systemen gaan koppelen en identiteitsdiefstal groter gevolgen gaat krijgen. Bekijk de film Gattaca maar eens http://www.imdb.com/title/tt0119177/

Door jabberwock983, dinsdag 1 juli 2008 09:29

Score: 2
Ik denk dat het inladen nog niet het probleem is. Allereerst het sparen van allerlei zegels, miles, smurfen etc etc. Dat moeten ze gewoon niet meer doen.
vervolgens moeten ze invoeren dat de prijzen uit de folder overeen komen met de werkelijk artikelprijs. Dus geen lange discussies "ja maar in de folder staat dat..."
Het inwerken van nieuwe kassieres doen ze maar buiten openingstijden totdat de kassiere de handelingen voldoende weet om "live" te gaan.

En vervolgens helpen allerlei verschillende betaal methodes ook niet echt mee. Er zijn gewoon mensen die dat niet snappen. Ik zie nog steeds (oudere) mensen stunten met een pinpas. Het wordt er niet makkelijker op als ze ookj nog kunnen kiezen uit: chip, vingerafdruk, sms-betalen.. what's next irisscan, rfid chip in je nek die alles registreerd?

Door divvid, dinsdag 1 juli 2008 11:00

Score: 0
Jaren bij de kassa van een toeristische atractie gewerkt. Ik kan je vertellen dat contant geld met een goede kassier minstens net zo snel is als pin betaling. Alleen het gevaar van overvallen lijkt me een zinnige reden om over te gaan op electronisch betalen, maar alle andere redenen zijn drogredenen

Door DamageCase, maandag 30 juni 2008 22:40

Score: 2
Enig idee wat een maandje boodschappen doen kost voor een gezin? Is best de moeite waard om dat te proberen lijkt me.
Bovendien als het je lukt is dit niet voor 1 keer, je zou die vingerafdruk kunnen gebruiken totdat degene van wie de rekening is dit doorheeft en dat kan best nog even duren.

Behalve dat, AH is er nu mee gestart maar het zou me niets verbazen als meerdere winkels dit over gaan nemen.
Zie je het al voor je om zo even de mediamarkt oid in te lopen, of even een paar keer gratis tanken?

Ik denk dat het grote nadeel ervan is dat deze vorm van fraude makkelijker te doen is, dus een veel lagere drempel heeft dan skimmen. Om te skimmen komt nog behoorlijk wat kijken. Een vingerafdruk is vrij eenvoudig te maken en de pakkans is stukken kleiner.

Ik zal in elk geval nooit een rekening openen, de beveiliging is nihil, te groot risico.

[Reactie gewijzigd door DamageCase op maandag 30 juni 2008 22:42]

Door noMSforme, maandag 30 juni 2008 22:59

Score: 1
Neem je een afdruk van al mijn vingers?
Hoe weet je welke vinger?
Pak kans kleiner? Je betaald en ze hebben je foto.
Controleer in de gsm database wie er in de winkel waren bij de kassa.
Even kijken op de tapes welke auto je rijd.
Kenteken is bekend.
Je hebt geen privacy meer als je ergens binnenkomt.

Je kan trouwens beter iemand vermoorden dan fraude plegen.
Op vervalsen en verduisteren staan over het algemeen hoge straffen.

Ik ben neutraal eigenlijk maar bijna iedereen schreeuwt 'moord en brand' en dat lijkt me dan ook weer wat overdreven.

EDIT:
Hoe lang je het kan volhouden weet ik niet.. maar mensen kopen vaak dezelfde artikelen dus verdacht transacties zou je sneller kunnen controleren.

[Reactie gewijzigd door noMSforme op maandag 30 juni 2008 23:03]

Door DarkTemple, dinsdag 1 juli 2008 09:07

Score: 0
Neem je een afdruk van al mijn vingers? 1 is genoeg
Hoe weet je welke vinger? door te kijken welke vinger jij gebruikt als je met vingerprint betaald
Pak kans kleiner? Je betaald en ze hebben je foto. Maken ze een foto als je met vingerprint betaald dan? dacht het niet
Controleer in de gsm database wie er in de winkel waren bij de kassa. Zo precies is de peiling niet, dat men kan zien of je bij de kassa stond of bij het schap een paar meter verder,plus dat er veel mensen op een kluitje staan met een gsm, is geen bewijs.
Even kijken op de tapes welke auto je rijd. hangen er camera's buiten de ah die je auto filmen? nee, dacht het niet

Door RSDZ, dinsdag 1 juli 2008 00:00

Score: 0
Als je zo gaat redeneren kun je net zo goed gewoon iemands naam vragen. Want ja, waarom zou iemand een strafblad riskeren door te liegen.

Door AmigaWolf, dinsdag 1 juli 2008 00:51

Score: 0
Nou sorry hoor maar als iemand met mijn Vingerafdruk even 300 a 500 euro aan spullen koop bij AH, dan ben ik goed de l*l.

En ja zo veel geld kan makelijk, 1. je hebt meerdere AH, en 2. je kan ook spullen inplaats van eten en drinken kopen bij AH.

Tus ja ik zou me echt K*t voelen hoor.

Door NielsHen, dinsdag 1 juli 2008 08:10

Score: 0
Als reactie op AmigaWolf:

Het is atm nog maar in één AH beschikbaar. dus ik denk dat ze de beveiliging eerst flink moeten opschroeven voordat het in andere winkels komt. (Het was ook een test dacht ik)

Door noMSforme, dinsdag 1 juli 2008 14:31

Score: 2
Er is een limiet op het bedrag dat je kan afrekenen. De limiet je geef je op bij registratie.

Die voldoet dus voor je normale wekelijkse aankopen.
Koop jij normaal voor 50 euro geef je 60 euro of zo op.

Doe je grote aankopen dan zul je als nog je pin moeten gebruiken.
Grote aankopen zijn meestal ook niet zo impulsief.

Iemand kan dus helemaal niet grote bedragen aan boodschappen stelen.
Het risico is van te voren bekend en bij fraude wordt het vergoed.

Door belgaman, dinsdag 1 juli 2008 07:56

Score: 0
een krat bier? een fles melk? Wat staat er tegenwoordig allemaal niet in een supermarkt? Ik zou eerder zeggen die gigantische flatscreen....

Door DarkTemple, dinsdag 1 juli 2008 09:03

Score: 2
Een pin afkijken (ik ga ervan uit dat iedereen zn pin goed afschermt bij intoetsen) is al lastiger dan iemands vingerafdruk te pakken krijgen, heel veel dingen die je beetpakt, komt je vingerafdruk op, flessen, autodeur, etc, etc.
Plus dat je dan ook nog de bankpas moet kopieren, dit is ook een heel stuk lastiger en vereist weer speciale apparatuur.

1 op 10? Je kan toch in de winkel zien welke vinger je 'target' genruikt om te betalen, lijkt me 1 op1 dus.

Mensen die hier misbruik van gaan maken, gaan niet voor 1 pak melk hoor. Zie sowieso niet veel mensen die 1 pak melk of maar 1 artikel kopen bij ah.

Door ATS, dinsdag 1 juli 2008 09:16

Score: 0
Bovendien: ik denk dat het gros van de mensen de rechter wijsvinger zullen gebruiken, en van de minderheid van linkshandigen de meeste mensen de linker wijsvinger. De ringvinger zal het minst populair zijn. Probeer voor de grap maar eens welke vinger je het prettigste op een apparaat legt op de hoogte waar normaal gesproken bij de AH de pin automaat staat.

Door Seth_Chaos, dinsdag 1 juli 2008 09:18

Score: 0
Leuk dat soort argumenten. Tot iemand tijdens je vakantie je 1000 euro lichter maakt door een paar keer boodschappen te doen. Foto's en film materiaal zijn leuk en aardig. Maar wie zegt dat:

A. De dader niet vermomd is.
B. De dader bekend is bij justitie.

Een foto zegt nog helemaal niets over je indentiteit.

Door mae-t.net, dinsdag 1 juli 2008 13:42

Score: 0
Je vingerafdruk is NOG alleen bekend bij AH. Als het aan bepaalde figuren ligt kan je met dit soort methodes straks alles doen, liefst centraal geregsiistreerd want dat is slechter voor de privacy. Het is nog maar een kwestie van tijd, want het is toch zo onhandig dat de videotheek, de koffieshop, de AH en de politie allemaal gescheiden systemen hanteren die feitelijk hetzelfde doen...

Door superraver5, dinsdag 1 juli 2008 14:23

Score: 0
Geloof me het gaat mensen niet om het stelen van een artikel, het gaat hun om de kick dat het lukt.

Ik heb gewerkt in een supermarkt en er is maar een enkeling die zegt "ik heb het gedaan omdat ik geen geld had"

Zijn overigens vaak niet eens de jongeren maar de ouderen die stelen ( 65 - 80 jaar).

Hetzelfde is toch ook met het zelf-scan-apparaat bij AH, wie controleerd het dat je alle artikelen gescand hebt.

Meest betrouwbare manier hierin is de cassiere (en daar klopt vaak nog iets niet mee)

Door _Diesel_, dinsdag 1 juli 2008 16:45

Score: 0
Waarom niet de vinger afdruk + pinpas? Je ript je pinpas door die gleuf, en in plaats van een 4 cijferige code leg je even je vinger op een plaat. Dat lijkt me de beste methode;

1. Het werkt sneller dan traditioneel pinnen
2. Je vinger zal niet zo snel 'gejat' worden, omdat ze dan ook nog eens je pas nodig hebben.
3. Ah heeft toch nog het voordeel, om klanten te 'binden'

Problem solved, in mijn ogen :)

Door Jive, maandag 30 juni 2008 21:22

Score: 1
Tijd om af te stappen van vingers en over te gaan naar bloedvaten-structuur en handpalmlezers ...
http://www.fujitsu.com/global/about/rd/200506palm-vein.html

Door SpiceWorm, maandag 30 juni 2008 21:35

Score: 0
Handpalmlezers: dan reken je af bij de AH en krijg je direct even een voorspelling over hoe het komende week in de liefde gaat :P.

Door freedragon, dinsdag 1 juli 2008 08:00

Score: 0
Hmm ja, gezien de prijzen bij AH weet je al hoe het volgende week financieel met je gaat ;)

Door Brian, maandag 30 juni 2008 21:22

Score: 1
Alá Mythbusters: http://www.metacafe.com/w...usters_finger_print_lock/

3 verschillende methodes om een "fingerprint lock" te omzeilen :)

Door Domovoi, maandag 30 juni 2008 21:26

Score: 0
Als ik het me goed herinner was er een vingerprint scanner die ze niet omzeild kregen.. noch met een papieren kopie, noch met een nagemaakte vinger. Was dat ook niet de goedkoopste?

Door Synch, maandag 30 juni 2008 21:27

Score: 0
Ja die was van de laptop.

Door Simon Verhoeven, maandag 30 juni 2008 21:43

Score: 0
Ik dacht dat ze dat ook gelukt was?
Ik denk dat ik de aflevering nog heb, straks eens opzoeken.

Nu ja, als je toch al veiliger wilt spelen moet je toch de 3 peilers volgen
-what you have
-what you are
-what you know

Door Sijmen, dinsdag 1 juli 2008 01:26

Score: 0
De meeste systemen gebruiken er minstens 2 toch? Niet alledrie.

Door VisionMaster, dinsdag 1 juli 2008 02:01

Score: 1
@Stijmen
de meeste systemen gebruiken er meestal maar 1. En zelfs dat doen ze dan vaak nog slecht.

Voorbeeld met de postbank:
- iets dat je weet (en alleen jij weet) is je username/wachtwoord combi
- iets dat je hebt (wat ik alleen zou kunnen hebben), je telefoonnummer of blad dat thuis bezorgt is voor de TAN codes.

Als 1 van de peilers niet goed is, dan is het principe al verzwakt, maar je kan het nog als toevoeging gebruiken bij een andere.

Bij de AH heb je genoeg aan je vingerafdruk, en dat is het... handig :)

Door Mr-Leo, dinsdag 1 juli 2008 09:23

Score: 0
De beveiliging is in mijn ogen juist veiliger dan van bijvoorbeeld de rabobank:

Postbank:
- zelf te kiezen username / wachtwoord combi
- lijst met tan codes, of zoals tegenwoordig: de geregistreerde mobiele telefoon voor het ontvangen van sms-jes met code (per overschrijving)

Rabobank:
- bankrekeningnummer (staat op je pasje) + 4 cijferige pincode
- een willekeurige digipass (gratis af te halen bij de rabobank)

Door traxopia, dinsdag 1 juli 2008 10:03

Score: 0
Daar staat dan weer tegenover dat je voor rabo internet bankieren per se het pasje nodig hebt. Bij de postbank niet.

Door mae-t.net, dinsdag 1 juli 2008 13:44

Score: 0
Ik internetbankier bij de rabo nog met het pasloze calculatortje. Naar volle tevredenheid, maar ik vind het postbanksysteem toch iets prettiger.

Door Balachmar, dinsdag 1 juli 2008 10:05

Score: 0
Enige nadeel van de postbank is dat telkens dezelfde username en password ingevuld dienen te worden en deze dus relatief makkelijk te verkijgen zijn op een computer. Vandaar ook de tweede stap. Als dan vroeger dus de TAN codes kon onderscheppen kon je los gaan.
Bij de rabobank wordt er telkens een willekeurig uitzient nummer verstuurd. Waardoor die laatste stap niet nodig is.
Bij de rabobank moet je dan dus eerst aan een copy van de pas komen, waarvoor je toch wat hardware moet hebben, in tegenstelling tot software voor de postbank. En je moet achter de pincode komen. Waarbij je bij de postbank kon volstaan met het jatten van iemands post.

Door ZeBoxxToo, woensdag 2 juli 2008 16:15

Score: 0
hoe is dat dan 'relatief makkelijk'?

Phishing terzijde: de verbinding is met SSL en dat kraken is al een hele taak. Jou bespioneren tijdens het invullen is ook lastig vanuit jouw eigen huis. Een keylogger installeren zou dan nog het 'makkelijkst' zijn, maar krijg die maar eens geïnstalleerd.

Overigens vraagt de Postbank mij regelmatig om in ieder geval mijn wachtwoord te wijzigen - en als je wilt kan je zelf ook een regime aanhouden ('eerste maandag van de maand = wachtwoord wijzigen', bijv.)

Het makkelijke van de postbank vind ik dat ik geen hardware mee hoef te sleuren als ik ergens heen ga. Dat het daardoor in theorie makkelijker is te kraken blijft theoretisch.

Door MBV, maandag 30 juni 2008 21:42

Score: 0
Nee, die usb-scanner hebben ze uiteindelijk wel omzeild gekregen (toch :?). Ze gebruikten een nabewerkte vingerafdruk, en een aantal lagen etsen op koper, waar ze het negatief van maakten. Oh ja, en de 'secret step' die ze liever niet vertelden.

Maar inderdaad, de scanner die nog nooit gekraakt was (volgens de fabrikant) deed het ook op een natgemaakt kopietje :P

[Reactie gewijzigd door MBV op maandag 30 juni 2008 21:45]

Door Simon Verhoeven, maandag 30 juni 2008 21:50

Score: 0
Yep, net even de aflevering bovengehaald en ze zijn erin geslaagd dankzij Kary met cd hoesje + scannen en lijnen verbeteren.

Door Kykez, maandag 30 juni 2008 21:24

Score: 0
Nou, gooi er een pin op en klaar is kees lijkt mij. Enige jammere van dit soort dingen vind ik vooral dat men graag de negatieve eigenschappen benadrukt en zo de positieven wegdrukt.

Want volgens mij kill je zo ook innovatie.

Door Killzone, maandag 30 juni 2008 21:26

Score: 0
Het mooie van dit is dus, dat je geen pin nodig hebt. Gewoon je vinger erop leggen, en je hebt betaald. Daarom is dit ook veel sneller dan een pinpas. Dan kan je net zo goed helemaal geen vingers gebruiken ;) .

Door Domovoi, maandag 30 juni 2008 21:30

Score: 1
Met het verschil dat een pasje makkelijker te roven is, en dat je een vinger minder makelijk/ongezien kan kopieren. Daarnaast kan je een pasje ook nog kwijt raken, en dat is bij een vinger veel moeilijker. :P

Vinger heeft dus wel degelijk voordelen boven een pasje.

Door bartvb, maandag 30 juni 2008 21:34

Score: 1
En dat is meteen het grote nadeel. Pasje kan je vervangen/blokkeren als deze gestolen wordt, dat is wat lastig als je vingerafdruk gekopieerd is :)

Door TD-er, maandag 30 juni 2008 21:54

Score: 1
Ach je kunt alsnog een van je overige 9 vingers laten registreren als je vinger gejat is.
Je moet geen waarde voor anderen koppelen aan lichaamsdelen.
Nu is het nog het koppelen van vingerafdrukken aan je AH-bonuspas, maar mocht dit aan gaan slaan, dan krijg je vanzelf andere methoden van betalen die vanzelf net zo interessant worden als een creditcard, of waardevoller. Een pasje kun je nog vervangen, maar als een chip uit je arm gesneden wordt, of iets anders, dan is dat toch wat lastiger om overheen te komen.

Door tjboschl, maandag 30 juni 2008 22:41

Score: 1
Misschien is het nog niet zo'n gek idee om je vingerafdrukken te laten blokkeren. Dan kan niemand er tenminste misbruik van maken. Hoewel, als iemand een account opent bij AH met jouw vingerafdruk, dan kan je wel lekker gratis shoppen ;)

Door psyBSD, maandag 30 juni 2008 21:37

Score: 0
En dat jij je pasje kunt vervangen als hij vervalst is... een nieuwe vinger geraak je toch iets moeilijker aan.

Door magel725, maandag 30 juni 2008 22:00

Score: 2
Het pasje is inderdaad makkelijk te roven, maar de code ervan niet. Een vingerafdruk is nog makkelijker te roven als een pasje aangezien je er niets illegaals voor hoeft te doen en iedereen overal zijn vingerafdrukken achterlaat. Als je in een supermarkt iemand 5 minuten volgt en zijn karretje na hem pakt, of het produkt koopt dat hij/zij heeft aangeraakt dan kun je thuis op je gemak met de afdruk aan de slag. Het enige wat niet makkelijk lukt is om zo'n lezer brute force te kraken dmv het random genereren van vingerafdrukken.

Om even te kijken hoe simpel vingerafdrukken te vinden zijn: sommige laptops zijn ermee beveiligd. Vervolgens zijn die laptops allemaal gemaakt uit hoogglans plastic waardoor je op een gestolen laptop meer dan 5 complete vingerafdrukken van de eigenaar kunt halen. Zinloos dus.

Volgens mij zijn er twee zaken echt (relatief) veilig: een geheime sleutel (en dan random een aantal cijfers en letters) die je alleen in je hoofd bewaart of een sleutel in e vorm van een overdaad aan moeilijk te kopieeren lichaamsdelen. Dus een systeem dat zowel lichaamstemperatuur als bloeddruk, de iris en vingerafdruk scant. Afzonderlijk zijn met een beetje creativiteit deze zaken wel stuk voor stuk te achterhalen, maar het is dan wel heel erg veel moeilijker dan wanneer je er 1 pakt. Een vingerafdruk is tenslotte niet meer dan een wachtwoord dat je overal achterlaat en dan maar hoopt dat niemand het (compleet) vind. Ik vind dat geen beveiliging.

Door Bl@ckbird, maandag 30 juni 2008 23:39

Score: 2
Sterke authenticatie bestaat altijd uit meer dan 1 factor:
- Iets wat je bezit: Bankpas, hardware / USB token
- Iets wat je weet: PIN code, wachtwoord
- Iets wat je bent: Irisscan, vingerafdruk, pasfoto

Een sterke authenticatie bestaat altijd uit 2 factors of meer:
- Bankpas met PIN code
- USB token met wachtwoord
- Of 3 factors: Bankpas met PIN code en irisscan.

Authenticatie met alleen bio-metrische gegevens (zoals vingerafdrukken),
is even veilig als een bankpas waar de PIN code opgeschreven staat.

Door GravGunner, dinsdag 1 juli 2008 08:55

Score: 0
Sterke authenticatie bestaat altijd uit meer dan 1 factor:
Authenticatie met alleen bio-metrische gegevens (zoals vingerafdrukken),
is even veilig als een bankpas waar de PIN code opgeschreven staat.
Je spreekt jezelf hier tegen, een vingerafdruk alleen bestaat maar uit 1 eigenschap en kan dan dus nooit sterk zijn!

Door airell, dinsdag 1 juli 2008 09:11

Score: 0
Dat bedoeld hij ook... het is _niet_ sterk.

Door Simon Verhoeven, maandag 30 juni 2008 22:02

Score: 1
Eigenlijk zou je er van verbaasd zijn hoe gemakkelijk men aan je vingerafdruk kan geraken.
Een vingerafdruk op een cd-doosje kan genoeg zijn.

Door Tazzios, dinsdag 1 juli 2008 10:12

Score: 0
je pinpas kopieer je niet heel de dag door en laat je niet overal achter, heel de dag door!

daarom vind het het zo`n onzin om je vinger te gebruiken als betaal methode.

Door Kykez, maandag 30 juni 2008 21:31

Score: 0
Nee het mooie hiervan is dat je geen pas nodig hebt lijkt mij.
Zonder portmonee gaan shoppen, ideaal lijkt me, een pin van 4 of 8 cijfers invoeren lijkt mij dan niet echt een issue toch?

Door ZeBoxxToo, maandag 30 juni 2008 21:43

Score: 2
en waar laat jij dan je ID kaart / rijbewijs / etc. die je toch al op zak moet hebben?
Waar is je donor register kaart? (mocht je donor zijn)

Het hele "geen portemonnee" idee is ontzettend kort door de bocht, al zou het maar zijn om toch nog -wat- cash bij je te hebben om een loempia bij de tent naast de AH te kunnen scoren.

En dat Killzone het 'sneller' vindt is ook onzin - je bent veel langer bezig met het inpakken van spullen dan dat je met je pin bezig bent. Komt nog bij dat je vaak al alles van tevoren in kan vullen bij de beter winkels en alleen maar op het eindbedrag hoeft te wachten voor een druk op de OK-knop. En knop indrukken vs vinger op een scanner; ik weet wel welke sneller is.

Als je echt tijd wil besparen in de supermarkt, juich dan het 'zelfscannen' toe. Wel meer werk voor jou, maar je hoeft niet in een rij te staan en spullen 2 keer over te pakken, etc.

Door Kykez, maandag 30 juni 2008 21:57

Score: 0
Die hele opsomming die je voert is relevant, maar ik bedoelde meer dat biometrie een boel tijd en bagage bespaart, ook op het gebied van legitimatie.

Die loempiaboer kan ik niet tegenop, true.

Door TomWinkelmolen, maandag 30 juni 2008 21:59

Score: 0
is eigenlijk een best goed id. Geen pasje, maar wel code icm vingerafdruk. Geen gefruts met dat ding uit je portemonnee halen.

Door Ulx, dinsdag 1 juli 2008 06:17

Score: 1
Zonder portmonee gaan shoppen, ideaal lijkt me,
En wat stop je dan in het winkelwagentje in plaats van een munt van 50 cent? Je pink?

Door VisionMaster, dinsdag 1 juli 2008 02:03

Score: 0
Wat ik zou willen killen is niet 100% uitgedachte beveiligingssystemen en dan doen geloven dat alles ok is. Dat is een vorm van theater dat ik liever elders zie dan om en rond mijn bankrekening.

Als er een betere methode is, zoals de combinatie vinger afdruk en een PIN (of iets in die geest), dan luidt ik dit hartverwarmend toe. Maar zonder extra maatregelen is dit prachtige vorm van Security Theater:
http://en.wikipedia.org/wiki/Security_theater


ps: en als dit innovatie in de weg staat, dan is dat misschien op dit vlak maar goed ook. Innovatie is iets dat langzamer en sneller verloopt. Als ergens een vraag naar is, dan loopt dat altijd wel die richting op. De kunst is om dat te sturen in goede banen. In dit geval goed mislukt.

[Reactie gewijzigd door VisionMaster op dinsdag 1 juli 2008 02:06]

Door Domovoi, maandag 30 juni 2008 21:24

Score: 0
De oplossing: vingerafdruk met pincode. Geen pasjes meer die je kwijt kan raken, en dezelfde (inmiddels bewezen) beveiliging van een pinpas.

Door brompot758, maandag 30 juni 2008 21:44

Score: 0
(inmiddels bewezen) beveiliging van een pinpas
En inmiddels achterhaalde beveiliging van een pinpas. Een pinpas is makkelijk te kopieren. Daarom hebben credit cards tegenwoordig een smart card achtige chip. Die kopieer je niet, die is met allerlei cryptografische foefjes beveilgd.

Enne.... Was die vingerafdruk nou niet net bedoeld om geen pincode meer nodig te hebben?

Bovendien is het wat moeilijk uitvoerbaar. Aan een rekening nummer op een pas kun je zien van welke bank het is. Bij een vingerafdruk is dat wat lastiger. Daarmee gaat de responstijd van het systeem serieus verslechteren (langere zoektijd vingerafdruk).

Door Domovoi, maandag 30 juni 2008 22:07

Score: 0
En inmiddels achterhaalde beveiliging van een pinpas. Een pinpas is makkelijk te kopieren.
Ja, en dat gebeurt zo vaak dat nu niemand meer pinpassen gebruikt, wou je zeggen?
Enne.... Was die vingerafdruk nou niet net bedoeld om geen pincode meer nodig te hebben?
Is dat interessant, waar hij oorspronkelijk voor bedoeld is? Het gaat erom dat je vinger + code nog altijd voordelen heeft boven pasje + code.
Bovendien is het wat moeilijk uitvoerbaar. Aan een rekening nummer op een pas kun je zien van welke bank het is. Bij een vingerafdruk is dat wat lastiger. Daarmee gaat de responstijd van het systeem serieus verslechteren (langere zoektijd vingerafdruk).
Onzin, dat nummer zal ook nog altijd bij de bank geverifieerd moeten worden, net als de code die ze uit je vingerafdruk halen. De responsetijd blijft hetzelfde.

[Reactie gewijzigd door Domovoi op maandag 30 juni 2008 22:09]

Door KnetterGek, maandag 30 juni 2008 22:42

Score: 2
Onzin, dat nummer zal ook nog altijd bij de bank geverifieerd moeten worden, net als de code die ze uit je vingerafdruk halen. De responsetijd blijft hetzelfde.
Dát is onzin. Als je niet weet bij welke bank iemand zit moet je dat eerst opzoeken. Waar? In je lokale database van bankgegevens? Dat zie ik niet zitten.
En kom niet aan met "bij een bankrekeningnummer weet je dat ook niet" - want dat weet je wel: dat zit in het nummer. Wel eens opgevallen dat van een bepaalde bank zowat alle klanten een gelijk beginnend nummer hebben?

Bovendien is een nummer van een magneetstrip lezen X keer sneller dan een gedegen vingerafdruk lezen - Ik sta elke keer in de VS weer drie seconden linker wijsvinger, drie seconden rechter wijsvinger op dat suffe scannetje te leggen - in drie seconden is m'n pinpas ook al door de gleuf.

Door Denni, maandag 30 juni 2008 23:00

Score: 1
Bovendien is een nummer van een magneetstrip lezen X keer sneller dan een gedegen vingerafdruk lezen - Ik sta elke keer in de VS weer drie seconden linker wijsvinger, drie seconden rechter wijsvinger op dat suffe scannetje te leggen - in drie seconden is m'n pinpas ook al door de gleuf.
Dit is echt de grootste onzin en is niet te vergelijken.
Je moet dan ook de voorbereidingstijd natuurlijk meetellen. Bij pinpas:
Portemonnee pakken [2]
Portemonnee openen [1]
Pinpas pakken [1]
Pinpas door de gleuf [2]
Code intoetsen(terwijl je ook nog je portemonnee in je handen hebt) [4]
Pinpas in je portemonnee [2]
Portemonnee weer terugstoppen. [2]

Bij vingerafdruk:
Vinger op scanner [3]
Code intoetsen [4]
en klaar...

Oftewel 14 seconden vs 7 seconden...

De responsetijd zal zeker hetzelfde blijven aangezien je rekening moet houden met fraude en dus altijd 1 database moet aanspreken om alles te controleren.

Bij pinpas:
Pas door gleuf -> Rekeningnummer zoeken in database -> [pincode intoetsen] pincode vergelijken -> betalen
Bij vingerafdruk:
Vinger op scanner -> Rekeningnummer zoeken in database -> [pincode intoetsen] pincode vergelijken -> betalen.
Oftewel: geen verschil at all..

Door T!mothy, dinsdag 1 juli 2008 01:06

Score: 0
al met al lijkt het me een goeie vervanging voor de pinpas..

Door ]Byte[, dinsdag 1 juli 2008 07:12

Score: 0
NOPE!
Vingerafdruk is op verschillende manieren te verkrijgen zonder dat dit hoeft op te vallen.
Bij de pinpas heb je fysieke toegang nodig om de pas in handen te krijgen.
Dat is toch wel duidelijk een obstakel aangezien jij je pinpas zeker niet vrijwillig wil afstaan.

Door Denni, dinsdag 1 juli 2008 12:01

Score: 0
Ik weet zeker dat ze binnenkort met een systeem komen waarmee je(bijv. met warmte etc) precies kunt zien of dat een echte vinger is of een "dode" vinger. Daarnaast zal het ook nog wel te merken zijn of het maar een rubberen laagje om je vinger is of niet.

Tevens kan elk tankstation etc. gewoon een apparaat gebruiken(als pinautomaat) waarmee ze gewoon een kopie kunnen maken van je pinpas.

Door coretx, dinsdag 1 juli 2008 09:52

Score: 0
Als je bankpas kapot is vraag je een nieuwe aan.
Wat doe jij als je vinger kapot gaat ?

Door japio81, dinsdag 1 juli 2008 09:20

Score: 0
Ben ik de enige hier met meerdere bankrekeningen? Ben benieuwd hoe die scanner aan mijn vinger ziet met welke rekening (en bank) ik wil afrekenen. Met een pas lijkt me daar weinig twijfel over mogelijk...

Verder blijft het zelfs inclusief code onveiliger dan een pas. Skimmen is altijd nog net even een stukkie lastiger dan een vingerafdruk nemen, de pincode afkijken blijft even makkelijk. Voor die paar seconden die je bespaart bij de kassa ga ik geen verhoogd risico lopen.

Door FullThrottle, dinsdag 1 juli 2008 10:35

Score: 0
Ja, en dat gebeurt zo vaak dat nu niemand meer pinpassen gebruikt, wou je zeggen?
Het zogenaamd skimmen gebeurd veel meer dan je denkt. Daar word echter geen ruchtbaarheid aan gegeven juist omdat dat het vertrouwen van de consument kan schaden.

Door pietje63, maandag 30 juni 2008 22:00

Score: 2
In de ideale situatie wordt je vingerafdruk dan gelezen tijdens het intoetsen van de pincode.

Door KnetterGek, maandag 30 juni 2008 22:44

Score: 0
Oh, maar eh... als het mensen al niet lukt hun handen recht te houden als ze hun hoofd draaien om in de auto in de spiegels te kijken, wat denk jij dat er gaat lukken van "hou één hand goed stil op de scanner en tik met de andere je pincode in"?
Mooi idee, maar sequentieel is toch handiger denk ik :+

Nou is die ééne seconde pincode tikken ook geen euvel denk ik dus maakt het weinig uit. De meeste mensen zijn toch wel bedreven in een 4 cijferige code intokkelen tegenwoordig.

Door Keneo, dinsdag 1 juli 2008 01:12

Score: 0
ik denk dat je het niet snapt

de vingerafdruk word ingelezen tijdens het intoetsen van de code
dus de vinger waarmee je tikt word gescand door het toetsenbord...
moet de gebruiker zelfs niets van weten

ja, in de ideale situatie, want die scanners zijn nog niet zo gevoelig dacht ik...

Door FTMarcella, maandag 30 juni 2008 21:25

Score: 0
Ja, een afleveringetje Mythbusters had de "beveiligingsspecialisten" van dit project snel kunnen laten zien dat een echt goede vingerafdrukscanner niet mogelijk is. Zelfs niet als wordt gekeken naar vochtigheid, geleiding, polsslag en meer. Het is gewoon te makkelijk.

Al eerder was hier geopperd om dit systeem te combineren met een pin-code, een goede volgende stap lijkt mij.

Door Domovoi, maandag 30 juni 2008 21:31

Score: 0
Die aflevering had jou ook kunnen laten zien dat het wel degelijk mogelijk is, aangezien ze er eentje niet om de tuin konden leiden. ;)

Door reb65, maandag 30 juni 2008 23:40

Score: 0
nietwaar, alle scanners gingen uiteindelijk voor de bijl. zelfs dat ding dat zogenaamd controleerde of de vinger nog aan een levend wezen vast zat.

Door T!mothy, dinsdag 1 juli 2008 01:09

Score: 0
uiteindelijk kun je een pinpas ook jatten... of ze nou druk achter een kopie van je vingerafdruk gaan zoeken of je pinpas proberen te jatten, voor het gebruikers gemak is de vinger toch makkelijk..

Door Diabolical, dinsdag 1 juli 2008 11:09

Score: 0
Klopt, maar als je pinpas gejat is laat je hem blokkeren. Die mis je namelijk snel genoeg. Het duurt wel even wat langer voor je door hebt dat je unieke vingerafdruk niet zo uniek meer is.

Door kipkerrie, maandag 30 juni 2008 21:25

Score: 0
Het is te verwachten dat het gekraakt zou worden. Persoonlijk denk ik dat gezichtsherkenning-apparaten beter zijn, ik zie namelijk niet zo gauw voor me dat 'kraker' een foto van iemand anders op zijn gezicht plakt en er mee wegkomt om op deze manier te betalen.

Door MBV, maandag 30 juni 2008 21:44

Score: 1
Gaat niet werken: is vziw nog veel te foutgevoelig voor betalen. Meer dan 1% false positive wil je echt niet ;)

Door KnetterGek, maandag 30 juni 2008 22:45

Score: 0
retina scans? eventueel icm vinger- en gezichtsscan?
oh wacht, dan is een batch kassameisjes goedkoper natuurlijk.

Door hansbargeman, maandag 30 juni 2008 21:26

Score: 0
Zou je niet eenzelfde systeem kunnen ontwikkelen waar je ook een pincode in moet voeren? Dus eerst een scan en vervolgens een code invoeren. Dan kan niet elke willekeurige vingerafdruk betalen.

Wel denk ik dat mensen die kwaad in de zin hebben het sowieso wel voor elkaar krijgen. Stel nou dat je van een overleden iemand een vingerafdruk maakt. wordt er per transactie gecontroleerd of de gegevens er zijn en of diegene niet overleden is? Of wordt de vinger aan je bankrekening nummer gekoppeld?

Door Piraatje, maandag 30 juni 2008 21:27

Score: 0
Ik ben misschien erg ouderwets, maar wat is er mis met contant geld?

Door Ackermans1973, maandag 30 juni 2008 21:29

Score: 0
Dat kost geld...

Waar denk je dat het geld uit de kassa blijft na sluitingstijd?

Door hansbargeman, maandag 30 juni 2008 21:30

Score: 0
Dat contante geld moet je eerst ergens pinnen. Dat is een extra handeling t.o.v. pinnen in de winkel. Ook heb je op die manier nooit teveel geld bij je als je je portemonnee kwijt raakt en zit je niet te prutsen met al het wisselgeld wat je krijgt.

Door Domovoi, maandag 30 juni 2008 21:42

Score: 0
Dat kan zowel van jou als van de winkelier gestolen worden?

Door psyBSD, maandag 30 juni 2008 23:06

Score: 1
Ja, en die vingerafdruk alleen van mij... ik zie het probleem waar dit een oplossing voor bied... de verkoper loopt geen risico's meer, die zijn allemaal voor de consument.

Door Sijmen, dinsdag 1 juli 2008 01:29

Score: 0
Mooi, dan zijn we op de helft.

Door psyBSD, dinsdag 1 juli 2008 11:21

Score: 0
Ja, maar de 'verkoper' schijt op de spreekwoordelijke 'grote hoop'.

Die kan de risico's dus beter dragen dan de consument.

Door Piraatje, dinsdag 1 juli 2008 09:02

Score: 1
Kontant geld heeft zich al meerdere honderden jaren bewezen als HET betaalmiddel bij uitstek. Er zitten wat kleine nadelen aan, maar minder dan aan een systeem met pincode of andere identificatie.
Het systeem met vingerafdruk faalt al vlak na de invoering... dat belooft wat voor de toekomst!

- Je kunt met pasje en/of vingerafdruk net zo goed bestolen worden.
- Als het systeem niet werkt kunt je geen inkopen doen. DAT kost pas geld!
- Het kan ook vervalst worden (lees artikel)
- Je zit te prutsen met je vinger als hij niet precies aan de eisen van het apparaat voldoet (te vochtig, te droog, te veel eelt, te veel verf (van de verbouwing))

Geef mij maar gewoon een portemonnee met kontant geld. Ik persoonlijk heb er per slot van rekening nog nooit enig nadeel van gehad. Het werkt altijd en is sinds de invoering van de euro nog praktischer geworden omdat we nu aan (euro gebied) grenzen niet meer hoeven te wisselen.

[Reactie gewijzigd door Piraatje op dinsdag 1 juli 2008 09:08]

Door gertvdijk, maandag 30 juni 2008 21:28

Score: 2
Het hele idee van vingerafdrukken gebruiken als identificatie is leuk, maar men realiseert zich niet dat het enkele nadelen met zich meebrengt die enkele beginselen van de beveiliging onderuit halen:
  • Je kan je identificatiemiddel niet intrekken of vervangen. (Je kan niet een andere vingerafdruk halen bij de AH.)
  • Zonder bijbehorende code kan iedereen die in bezit is van jouw vingerafdruk betalingen doen op jouw rekening.
  • Authenticatie is geen identificatie.
Daarnaast vind ik het geen vorm van kraken, maar gewoon van een slechte opzet van het systeem. De AH kon er gewoon op wachten dat dit ging gebeuren en je kan me niet wijsmaken dat ze hier niet op zijn gewezen.

[Reactie gewijzigd door gertvdijk op maandag 30 juni 2008 21:29]

Door marco.meijer, maandag 30 juni 2008 21:42

Score: 0
Waarschijnlijk zaten ze erop te wachten.
Gewoon kijken hoe makkelijk is het en hoe lang duurt het/
En als ze er niet op waren gewezen, hadden ze het wel gewoon zelf bedacht.
«  1  2  3  4  5  6  7  »

Op dit item kan niet meer gereageerd worden.

Volgende 08:52
Vorige 19:42
VNU Media logo Powered by True

© 1998 - 2009 Tweakers.net - Alle rechten voorbehouden - Uw Privacy - Algemene Voorwaarden

Uitgever van: