AH vindt betalen via vingerafdruk nog niet veilig genoeg
Albert Heijn wil nader onderzoek doen naar de veiligheid van betalen met een vingerafdruk. Een proef met deze betaalmethode krijgt daarom voorlopig geen vervolg. Onderzoek moet uitwijzen of biometrische betaling beter te beveiligen is.
In juni vorig jaar ging de grootgutter van start met de proef in een vestiging in Breukelen. Klanten konden in het Utrechtse filiaal, na registratie, met een vingerafdruk betalen. De achterliggende betaalmethode Tip2pay werd in samenwerking met betalingsverwerker Equens ontwikkeld en gebouwd door het Duitse bedrijf IT Werke, dat volgens AH is gespecialiseerd in het integreren van biometrische technologie in retail- en consumentenapplicaties.
Slechts enkele weken nadat de proef van start was gegaan, bleek al dat het systeem niet waterdicht was: beveiligingsspecialist Ton van der Putte wist Tip2pay om de tuin te leiden met een rubberen kopie van een vingerafdruk. Hoewel dit voor Albert Heijn destijds geen directe aanleiding was om de proef te staken, stelt de winkel nu wel dat het de veiligheid en de fraudebestendigheid van het systeem verder wil onderzoeken.
AH heeft zijn plannen voor biometrische betalingen nog niet naar de prullenbak verwezen. Op welke manier en wanneer de proef een vervolg moet krijgen, is echter nog onbekend. "We hebben nu de proef geëvalueerd en daaruit blijkt dat klanten enthousiast waren over deze manier van betalen", zegt Els van Dijk van AH. "We zien zeker toekomst in dit concept en we zijn er van overtuigd dat de manier van betalen door technologische ontwikkelingen zal veranderen."
Volgens Van Dijk blijkt uit de proef dat betalen met een vingerafdruk nog niet rijp is voor grootschalige toepassing. "Dit was een test met 580 klanten. We hebben er echter tien miljoen. Ook de kwetsbaarheid is een issue." Hoe de betaalmethode beter kan worden beveiligd, is nog niet concreet uitgewerkt. Een van de mogelijke alternatieven is het gebruik van een vingerafdruk in combinatie met een pincode, suggereert Van Dijk.
Verder testte Albert Heijn mobiel betalen in Rotterdam en contactloos betalen in Amsterdam. Beide betaalmethoden werken op basis van nfc. Ook deze tests zijn al afgerond. Naast AH heeft ook C1000 in één vestiging al een test met gsm-pinnen uitgevoerd.
Reacties (144)
Euhm ja en wat is precies het voordeel van betalen met je vingerafdruk? Pinnen en chippen werken toch goed? If it ain't broke then don't try to fix it
Betalen met contant geld werkte ook goed, maar gelukkig hebben ze dat wel gefixt.
Pinnen werkt beter dan contant geld, dat is waarom veel mensen pinnen.
Maar dit systeem heeft niet echt veel voordelen tov het pin systeem, vooral als je iemand zijn vingerafdruk even kan 'lenen' en mee kunt betalen door een stukje rubber met de vingerafdruk erop. De pincode blijft voorlopig toch veiliger.
En ik zie het al voor me, kom je zonder portemonnee bij de AH probeer je je tas met boodschappen af te rekenen blijkt dat je vingers te vet zijn om te herkennen omdat je onderweg naar de AH de ketting van je fiets er op moest zetten.
Maar dit systeem heeft niet echt veel voordelen tov het pin systeem, vooral als je iemand zijn vingerafdruk even kan 'lenen' en mee kunt betalen door een stukje rubber met de vingerafdruk erop. De pincode blijft voorlopig toch veiliger.
En ik zie het al voor me, kom je zonder portemonnee bij de AH probeer je je tas met boodschappen af te rekenen blijkt dat je vingers te vet zijn om te herkennen omdat je onderweg naar de AH de ketting van je fiets er op moest zetten.
[Reactie gewijzigd door redstorm op dinsdag 17 maart 2009 19:51]
Juist. Want naast de security heb je ook nog met gebruiksgemak te maken.
En toch: je vinger heb je altijd bij je. Je pinpas niet per se.
Je pinpas kan overigens ook 'geleend' worden, zoals jij het stelt
Vinger+pincode lijkt me daarom veiliger en praktischer dan pinpas+pincode
Je pinpas kan overigens ook 'geleend' worden, zoals jij het stelt
Vinger+pincode lijkt me daarom veiliger en praktischer dan pinpas+pincode
Je vinger afdruk laat je echt overal achter, je pinpas niet!
Dan hoef je nietmeer een kaartje mee te nemen.
Je kan je vingers niet vergeten (of je moet op een slechte manier contact gehad hebben met de maffia
)
Maar zoals in het artikel staat is het nog te onveilig.
Je kon met een stuk plakband een vingerafdruk van een glas afhalen en die vervolgens bij de albert heijn gebruiken om op iemand anders z'n kosten te winkelen...
Je kan je vingers niet vergeten (of je moet op een slechte manier contact gehad hebben met de maffia
)Maar zoals in het artikel staat is het nog te onveilig.
Je kon met een stuk plakband een vingerafdruk van een glas afhalen en die vervolgens bij de albert heijn gebruiken om op iemand anders z'n kosten te winkelen...
Bij de vingerafdrukscanners kan je enkele verschillende types onderscheiden. (eigen korte samenvatting)
Algemeen gezien hangt de veiligheid in grote mate af van het type systeem die gebruikt wordt. Scanners zoals in laptops kunnen niet vergeleken worden met de duurdere systemen die gebruikt worden om bv gebouwen te beveiligen.
Aan de scanner op de foto te zien is dit een low-cost scanner die slechts een foto neemt van de vinger.
Persoonlijk ben ik wel voor het idee van een vingerafdruk plus een pincode omdat de veiligheid op deze manier minder afhankelijk is van de kwaliteit van de gebruikte scanners.
edit:
offtopic: ik heb het artikel uit elektro visie zelf geschreven. Ik heb ook zelf de buitenpost met biometrie ontworpen waarbij ik me eerst verdiept heb in de soorten scanners.
- - Capacitive sensoren zijn een van de meest populaire methodes. Net zoals de andere vingerafdrukscanners maken capacitieve sensoren een foto van de papillairlijnen die een afdruk uniek maken. Het grote voordeel van deze methode is dat deze een echte vinger nodig heeft. Capacitieve sensoren hebben echter problemen bij natte en droge vingers.
- - Een andere populaire methode is deze van de optische sensoren. Het hart van een optische sensor is de CCD-camera (charged coupled device) die eigenlijk een array van lichtgevoelige sensoren bevat. Algemeen gezien wordt er een foto genomen van een vinger op een glasplaat gelegd wordt. De camera bevat LEDs (light-emitting diodes) om de papillairlijnen van de vinger te belichten. Het voordeel van deze systemen is de zeer lage prijs, het nadeel is dat ze eenvoudig te misleiden zijn. Een ander probleem is dat een vingerafdruk van de glasplaat kan geplukt worden.
- - Het derde type scanner maakt gebruik van een oppervlakte druksensor. Het idee hierachter is dat enkel de topranden van de papillairlijnen in contact komen met de piëzo array waaruit de sensor bestaat. Een nadeel is echter dat het scannen slechts een 1bit beeld oplevert wat minder nauwkeurig is.
- - Touchless sensoren gelijken sterk op de optische sensoren. Er is een optische lens aanwezig waar de vinger op een afstand van 5 tot 10cm voor gehouden wordt door middel van een plaat met een gat erin. Een nadeel van deze methode is dat de optische lens vuil kan worden waardoor er slechte foto’s genomen worden. Een ander nadeel is dat de foto’s sferisch gemaakt worden wat tot complexe algoritmes leid.
- - De E-Field sensoren gebruiken een antenne die het elektrisch veld rondom het vingerafdrukgebied opmeten. Hierbij wordt dieper gescand dan de meeste ander methodes waardoor deze uitermate geschikt is voor extreme omstandigheden. Een antenne meet de geometrie van de huid net onder het vingeroppervlak. Hierdoor zijn beschadigde vingers of vingers die moeilijk te lezen zijn ook te gebruiken voor vingerherkenning. Deze technologie bestaat nog niet zo lang en een nadeel is dat deze methode een laag resolutie beeld oplevert en het gescande oppervlak klein is.
- - De laatste methode is deze van de thermaelectric sensoren. Momenteel is het enkel Atmel die een sensor van dit type produceert. Om de structuur van de vinger en dus de papillairlijnen van elkaar te kunnen onderscheiden wordt warmte gebruikt. Door het verschil in warmte tussen de lucht en het vingeroppervlak te meten ontstaat er een hoge resolutie foto van het vingeroppervlak. De sensor is uitermate geschikt in extreme omstandigheden zoals hoge temperaturen, hoge vochtigheid, olie, stof of zand. Het beeld die hierdoor ontstaat heeft een hoge resolutie van 500dpi/256 niveaus.
Algemeen gezien hangt de veiligheid in grote mate af van het type systeem die gebruikt wordt. Scanners zoals in laptops kunnen niet vergeleken worden met de duurdere systemen die gebruikt worden om bv gebouwen te beveiligen.
Aan de scanner op de foto te zien is dit een low-cost scanner die slechts een foto neemt van de vinger.
Persoonlijk ben ik wel voor het idee van een vingerafdruk plus een pincode omdat de veiligheid op deze manier minder afhankelijk is van de kwaliteit van de gebruikte scanners.
edit:
offtopic: ik heb het artikel uit elektro visie zelf geschreven. Ik heb ook zelf de buitenpost met biometrie ontworpen waarbij ik me eerst verdiept heb in de soorten scanners.
[Reactie gewijzigd door Elconejo op woensdag 18 maart 2009 10:27]
Vingerafdruk plus pincode maakt het idee van meer gebruikersgemak ongedaan. Dat is immers meer omslachtig dan het huidige systeem.
Als we het over alleen de vinger-scan hebben, zonder pincode, is het volgens mij een potentieel reusachtig veiligheidsprobleem.
Er is is geen enkele garantie dat zelfs de beste scanners nu in productie niet later alsnog te foppen blijken te zijn. Dan zal je in paniek de hele infrastructuur om moeten bouwen.
Je kan je biometrische data immers niet veranderen en je neemt het overal mee daartoe. als het blijkt dat de scanner toch wel te foppen is, is iedereen volledig weerloos tegen id-theft totdat alle scanners zijn vervangen.
Als we het over alleen de vinger-scan hebben, zonder pincode, is het volgens mij een potentieel reusachtig veiligheidsprobleem.
Er is is geen enkele garantie dat zelfs de beste scanners nu in productie niet later alsnog te foppen blijken te zijn. Dan zal je in paniek de hele infrastructuur om moeten bouwen.
Je kan je biometrische data immers niet veranderen en je neemt het overal mee daartoe. als het blijkt dat de scanner toch wel te foppen is, is iedereen volledig weerloos tegen id-theft totdat alle scanners zijn vervangen.
'Eigen' samenvatting? Dat stuk komt rechtstreeks uit de Elektrovisie... 
[Reactie gewijzigd door Upquark op dinsdag 17 maart 2009 19:37]
Hoe weet je dat hij niet de auteur is van dat artikel in de Elektrovisie?
Ik ben inderdaad de schrijver van dit artikel, de man op de foto is m'n baas. Omdat ik geen reclame wil maken op Tweakers heb ik dit niet vermeld.
er is nog een methode, echter te duur en te zwaar om in te bouwen denk ik.
je kan namelijk de ader structuur "fotograferen", en dit samen met de papillairlijnen geeft dit wel een 100% zekerheid dat het over die persoon gaat en dat hij nog leeft!
artikel stond in Nature dacht ik.
Een ander idee dat ik heb : steek die fingerprint reader (dan wel niet zo'n stom type lijntje) in de toetsen van het pin apparaat.
Pinnen en scannen in 1. geen extra last voor de klant en ze hebben nog steeds geen kaart nodig, dus toch nog minder last.
je kan namelijk de ader structuur "fotograferen", en dit samen met de papillairlijnen geeft dit wel een 100% zekerheid dat het over die persoon gaat en dat hij nog leeft!
artikel stond in Nature dacht ik.
Een ander idee dat ik heb : steek die fingerprint reader (dan wel niet zo'n stom type lijntje) in de toetsen van het pin apparaat.
Pinnen en scannen in 1. geen extra last voor de klant en ze hebben nog steeds geen kaart nodig, dus toch nog minder last.
-Geen pasje nodig, niemand kan je pasje stelen(in *Frankrijk* en andere landen kun je zonder pin betalen bij veel plaatsen).
-Dit gaat sneller; geen pincodes of pasjes zoeken etc...
- Je kan via de vinger afdruk air miles toekennen, hoef je dan ook geen pasje meer voor.
@hieronder :
Sorry, ik bedoelde natuurlijk Frankrijk, waar een krabbel al voldoende is.
En dit geld ook voor veel oost blok landen. Waar je misschien niet vaak komt, maargoed.
-Dit gaat sneller; geen pincodes of pasjes zoeken etc...
- Je kan via de vinger afdruk air miles toekennen, hoef je dan ook geen pasje meer voor.
@hieronder :
Sorry, ik bedoelde natuurlijk Frankrijk, waar een krabbel al voldoende is.
En dit geld ook voor veel oost blok landen. Waar je misschien niet vaak komt, maargoed.
[Reactie gewijzigd door ApexAlpha op dinsdag 17 maart 2009 17:45]
Wat? In Belgie moet ge overal uw pin intikken.
Enkel met Visa op sommige plekken, maar meestal moet ge tekenen.
Enkel met Visa op sommige plekken, maar meestal moet ge tekenen.
Neen hoor, betalen aan bvb een parkeerautomaat gaat zonder tekenen of PIN invoeren met kredietkaart.
Zonder pin betalen in België? Vreemd, dan woon ik blijkbaar in een ander land.
Je hebt het misschien over Proton, maar dat is wat ChipKnip bij jullie is (was?), en is alleen voor zeer kleine bedragen. Je vergelijking gaat dus niet op.
Verder ga ik wel akkoord hoor, het zou gemakkelijker zijn, alleen is het nu nog te eenvoudig om het systeem om de tuin te leiden.
Je hebt het misschien over Proton, maar dat is wat ChipKnip bij jullie is (was?), en is alleen voor zeer kleine bedragen. Je vergelijking gaat dus niet op.
Verder ga ik wel akkoord hoor, het zou gemakkelijker zijn, alleen is het nu nog te eenvoudig om het systeem om de tuin te leiden.
Ik heb laatst in België benzine gehaald met mijn credit card, krabbel zetten was genoeg.
In België kan je op vele plaatsen betalen zonder pin? Kan je daar een voorbeeld van geven?
Ik ben namelijk nog nooit ergens een plaats tegengekomen waar je je bankkaart (debit) kan gebruiken zonder je pincode. Vroeger kon je wel met je handtekening betalen met je kredietkaart, maar dat is nu ook overal vervangen door een pincode. Bovendien hoor je ook meteen CardStop te bellen als één van je kaarten gestolen is.
Deze manier kan dan wel sneller zijn (hoewel je nu al gewoon het grootste deel van de tijd aan het wachten bent op de reactie van het apparaat), maar is ook heel wat makkelijker te kopiëren.
Ik ben namelijk nog nooit ergens een plaats tegengekomen waar je je bankkaart (debit) kan gebruiken zonder je pincode. Vroeger kon je wel met je handtekening betalen met je kredietkaart, maar dat is nu ook overal vervangen door een pincode. Bovendien hoor je ook meteen CardStop te bellen als één van je kaarten gestolen is.
Deze manier kan dan wel sneller zijn (hoewel je nu al gewoon het grootste deel van de tijd aan het wachten bent op de reactie van het apparaat), maar is ook heel wat makkelijker te kopiëren.
Zoals hierboven vermeld, er zijn zat plaatsen waar je met kredietkaart kan betalen zonder PIN of handtekening, parkeerautomaten bvb.
In Frankrijk kan dat, vind ik nog steeds erg verwarrend, mijn pasje laten zien en een krabbeltje zetten is voldoende om het geld van mijn rekening af te halen.
Ook in Frankrijk wordt stapt men nu overal over op het gebruik van pincodes voor buitenlandse passen,dankzij het koppelen van de diverse internationale betaalsystemen is dit geen probleem meer. Zelfs in New York kan je in veel winkels gewoon pinnen met je Nederlandse pas.
In Duitsland heb ik ook nog heel vaak met de handtekening betaald i.p.v. met de PIN.
Toen ik vier jaar geleden in Duitsland begon te werken, was de handtekening zelfs normaler dan de PIN. Dan was PIN werkelijk een uitzondering.
Is de laatste jaren wel verandering in gekomen... Op dit moment wordt vrijwel overal gelukkig de PIN gevraagd.
Toen ik vier jaar geleden in Duitsland begon te werken, was de handtekening zelfs normaler dan de PIN. Dan was PIN werkelijk een uitzondering.
Is de laatste jaren wel verandering in gekomen... Op dit moment wordt vrijwel overal gelukkig de PIN gevraagd.
De meeste tijd aan de kassa ben ik kwijt aan het laten scannen van mn boodschappen, het betalen met pin duurt relatief kort. Echt veel tijdwinst is er dus niet te halen.-Dit gaat sneller; geen pincodes of pasjes zoeken etc...
Technisch ook mogelijk met een bankpas, vergt alleen een beetje inspanning van AH.- Je kan via de vinger afdruk air miles toekennen, hoef je dan ook geen pasje meer voor.
Volgens mij mogen winkels de bankgegevens niet voor iets anders gebruiken dan voor het afrekenen zelf. Je mag hem dus niet koppelen met een klantnummer o.i.d.
Een pasje kun je vervangen als deze op wat voor wijze dan ook gecompromitteerd (verlies, diefstal, skimming o.i.d.) is. Een vingerafdruk kun je niet vervangen als deze gecompromitteerd is. Ga je de bank even vertellen dat die boodschappen niet door jou is afgerekend?niemand kan je pasje stelen
Ik ben per definitie tegen elk identificatiemiddel dat niet vervangen kan worden door een nieuw exemplaar wanneer het middel gecompromitteerd is. Biometrische identificatiemiddelen zijn dus in mijn optiek uitgesloten. Dan heb ik het nog niet eens over privacygevoeligheid...
Ik denk dat er best wel veel voordelen te noemen zijn.
- Geen gezeur met half werkende pasjes.
- Geen pincodes meer onthouden (in geval dat ze doorgaan met vingerafdruk zonder code). Veel mensen hebben meerdere (bedrijfs) passen en moeten voor al deze passen pincodes onthouden.
- Je hoeft geen portemonee meer mee te nemen. Handig voor mensen die hun portemonee regelmatig vergeten of op plaatsen zoals het strand!
- ...
Zo al 3 voordelen die ik binnen 2 minuten kon bedenken.
- Geen gezeur met half werkende pasjes.
- Geen pincodes meer onthouden (in geval dat ze doorgaan met vingerafdruk zonder code). Veel mensen hebben meerdere (bedrijfs) passen en moeten voor al deze passen pincodes onthouden.
- Je hoeft geen portemonee meer mee te nemen. Handig voor mensen die hun portemonee regelmatig vergeten of op plaatsen zoals het strand!
- ...
Zo al 3 voordelen die ik binnen 2 minuten kon bedenken.
[Reactie gewijzigd door Remco Kramer op dinsdag 17 maart 2009 17:32]
Dan moet ik voor elk bedrijf een andere vinger gebruiken? Want dezelfde afdruk kan je niet aan twee klanten toewijzen.
Of als ik iets voor m'n ouders ga halen, dan moet ik dus met hun vinger betalen?
Of als ik iets voor m'n ouders ga halen, dan moet ik dus met hun vinger betalen?
Er staat toch niet dat je alleen maar met je vinger kan betalen?Of als ik iets voor m'n ouders ga halen, dan moet ik dus met hun vinger betalen?
Dan moet ik voor elk bedrijf een andere vinger gebruiken? Want dezelfde afdruk kan je niet aan twee klanten toewijzen.....
Huh, denk je dat verschillende bedrijven eenzelfde database hebben? Of bedoel je dat een AH dan bij een andere winkel gaat kopen met jou vingerafdruk?
Huh, denk je dat verschillende bedrijven eenzelfde database hebben? Of bedoel je dat een AH dan bij een andere winkel gaat kopen met jou vingerafdruk?
Ik denk dat ie misschien bedoelt dat ie meerdere bedrijven heeft. Ik heb zelf ook 4 betaalpassen in m'n portomonee zitten. Dan zou je dus inderdaad meerdere vingers moeten gebruiken. Moet je wel goed onthouden welke vinger voor welke rekening is om te zorgen dat bedrijfs en prive kosten gescheiden blijven (mischien moeten ze dat dan maar laten tatoeeren).
Onder dat mom wordt imo te vaak dingen door mijn strot geduwd. Het lijkt mij vrij onveilig dat je dus altijd geld op zak hebt, terwijl je je pinpas bewust thuis kan laten, ben je nu zelf gewoon een rondlopende portemonnee. Doe mij maar gewoon pinnen
Je pinpas kunnen ze stelen, je vingerafdruk niet... (Ja jawel, maar zoals je ziet hangt die scanner voor de cassiere dus valt het nogal op.)
Waarom stelen? Een vingerafdruk kan je makkelijk en goedkoop kopiëren.
Op zo'n wijze zelfs, dat je het als overlay op je huidige vinger kan gebruiken.
Bijvoorbeeld (filmpje van CCC):
http://www.youtube.com/watch?v=3M8D4wWYgsc
Ik ben er van overtuigd dat een vingerafdruk namaken veel makkelijker is dan het kopieren van een pinpas.
Op zo'n wijze zelfs, dat je het als overlay op je huidige vinger kan gebruiken.
Bijvoorbeeld (filmpje van CCC):
http://www.youtube.com/watch?v=3M8D4wWYgsc
Ik ben er van overtuigd dat een vingerafdruk namaken veel makkelijker is dan het kopieren van een pinpas.
[Reactie gewijzigd door Vich op dinsdag 17 maart 2009 17:58]
Op dit moment is het alleen de AH die dit systeem in overweging neemt. Maar stel je eens voor dat na de invoering ervan meerdere bedrijven hier op overgaan, en zelf banken. Tja ,dan word het ineens wel wat anders met de veiligheid van burgers.Je pinpas kunnen ze stelen, je vingerafdruk niet... (Ja jawel, maar zoals je ziet hangt die scanner voor de cassiere dus valt het nogal op.)
Dan zou je maar zo onder bedreiging gedwongen kunnen worden geld op te moeten nemen, want die vinger heb je altijd bij je.
Zoiets zal bij de AH niet snel gebeuren, omdat het daar altijd wel druk is,maar bij een pinautomaat van een bank is dat een ander verhaal. Als het die kant op zou gaan lijkt me dat helemaal niet zo veilig.
Je kunt ook overvallen worden en gedwongen worden om mee te gaan naar de pinautomaat om even je rekening leeg te halen met jouw vingerafdruk.
Voor zowel pcgek als redstorm
Ik zie niet hoe dat verandert ten opzichte van een pinpas op zak hebben. In beide gevallen kun je gedwongen worden lijkt mij toch? Even een pincode intoetsen of even je vinger op het plaatje houden (al dan niet de loop van een pistool in je rug). Waarom kaarten jullie dit aan als nadeel? Bij een pinpas is dit hetzelfde dus een vingerafdruk systeem zou daar in ieder geval niets aan veranderen.
Ik zie niet hoe dat verandert ten opzichte van een pinpas op zak hebben. In beide gevallen kun je gedwongen worden lijkt mij toch? Even een pincode intoetsen of even je vinger op het plaatje houden (al dan niet de loop van een pistool in je rug). Waarom kaarten jullie dit aan als nadeel? Bij een pinpas is dit hetzelfde dus een vingerafdruk systeem zou daar in ieder geval niets aan veranderen.
Je vergeet 1 ding, een pinpas kun je thuislaten als je wilt. Dus als je niet van plan bent om te winkelen of geld op te nemen.
[Reactie gewijzigd door pcgek op dinsdag 17 maart 2009 21:30]
Maar als je overal kan pinnen met de vinger waarom zou je dan nog een geldautomaat aan je vinger willen koppelen
Met een losse pinpas kan je (in Nederland) erg weinig. Mijn vingerafdruk kan gekopieerd worden, of ik kan gedwongen worden in de winkel om te gaan betalen.
Verandering is niet per definitie vooruitgang. We zien het op heel veel punten maar dezelfde fouten blijven gemaakt worden.
Vooral op gebied van veiligheid c.q. (fysieke) beveiliging lijkt alles wat maar elektronisch gebeurt een verbetering te zijn. Men vertrouwt steeds meer op elektronische identificatiemiddelen maar verliest daarbij uit het oog dat elektronische identificatiemiddelen ook fouten kunnen bevatten. En wie is daar de dupe van? Juist... Degene van wie de identiteit gestolen is. Die zal moeten aantonen dat zijn identiteit gestolen is... En hoe ga jij aantonen dat jij niet om 15:40 en 16:05 in dezelfde AH betaald hebt???
Vooral op gebied van veiligheid c.q. (fysieke) beveiliging lijkt alles wat maar elektronisch gebeurt een verbetering te zijn. Men vertrouwt steeds meer op elektronische identificatiemiddelen maar verliest daarbij uit het oog dat elektronische identificatiemiddelen ook fouten kunnen bevatten. En wie is daar de dupe van? Juist... Degene van wie de identiteit gestolen is. Die zal moeten aantonen dat zijn identiteit gestolen is... En hoe ga jij aantonen dat jij niet om 15:40 en 16:05 in dezelfde AH betaald hebt???
Ik ga niet beweren dat deze techniek waterdicht is, maar vermeld er voor de volledigheid wel even bij dat deze 'beveiligingsspecialist' wel de volledige medewerking had van degene van wie hij de vingerafdruk had gekopieerd.
Het Mythbusters verhaal is in dit geval echt een myth...
Het Mythbusters verhaal is in dit geval echt een myth...
Zelf betaal ik dan ook liever met een bankpas met pincode... dan weet ik tenminste wat ik doe. Betalen met een vingerafdruk lijkt dus risicovol te zijn met een rubberen namaak. Zo kan iemand dus jouw afdruk op zijn vinger plakken en zo gaan betalen.
De cassiere zal ook niet iedereen vragen zijn vinger te laten zien
De cassiere zal ook niet iedereen vragen zijn vinger te laten zien
Iemand kan ook je bankpas skimmen en je pincode achterhalen. De vraag is wat makkelijker is: een bankpas skimmen en pincode filmen (wat nu al regelmatig gebeurt), of achterhalen wie er met zijn vinger bij de AH kan betalen, op de een of andere manier aan een mal van diens vingerafdruk komen, een rubberen vinger gieten, en die onopvallend op je eigen vinger bevestigen, allemaal voor ¤24 aan boodschappen.
[Reactie gewijzigd door Edmond Dantes op dinsdag 17 maart 2009 17:26]
Gewoon wachten tot hij z'n winkelwagentje terug heeft gezet.op de een of andere manier aan een mal van diens vingerafdruk komen,
Soms is het te simpel om aan dat soort dingen te komen. Genoeg glazen potjes ook waar iedereen aan zit, alleen is dat natuurlijk voor de kassa, niet erna.
Ja, leuk bedacht, maar zo simpel is het dus niet. Je zult echt een nagenoeg perfekte kopie van de vingerafdruk moeten hebben om het systeem te foppen.
Dat het mogelijk is, is al aangetoond, maar het is niet zo simpel als met een plakbandje een vingerafdruk van een winkelwagentje halen.
Dat het mogelijk is, is al aangetoond, maar het is niet zo simpel als met een plakbandje een vingerafdruk van een winkelwagentje halen.
Als de mogelijkheid er is om de vingerafdruk eraf te krijgen door bijvoorbeeld het karretje mee naar huis moeten nemen of naar een bestelbus mee te nemen meenemen en daar de vingerafdruk eraf te halen dan zullen er criminelen zijn die dat gaan doen.
Geld vervalsen is ook behoorlijk moeilijk maar toch doen mensen het omdat er behoorlijk wat geld te halen valt.
Geld vervalsen is ook behoorlijk moeilijk maar toch doen mensen het omdat er behoorlijk wat geld te halen valt.
Dat het niet waterdicht is, dat klopt. Dat mensen daar misbruik van proberen te maken, klopt ook. Dat gebeurt, zoals je zegt, ook met bankbiljetten. Ook met pinpassen.
Wat ik wil zeggen is dat het niet zo eenvoudig is als door sommigen wordt voorgespiegeld. De kans op (snel) succes is minimaal.
Dat neemt niet weg dat criminele organisaties hier mee aan de haal kunnen (en zullen) gaan. Net als met skimming.
Volgens mij is er echter genoeg aanleiding om deze techniek verder te onwikkelen en niet bij voorbaat af te schrijven.
Wat ik wil zeggen is dat het niet zo eenvoudig is als door sommigen wordt voorgespiegeld. De kans op (snel) succes is minimaal.
Dat neemt niet weg dat criminele organisaties hier mee aan de haal kunnen (en zullen) gaan. Net als met skimming.
Volgens mij is er echter genoeg aanleiding om deze techniek verder te onwikkelen en niet bij voorbaat af te schrijven.
Skimmers kunnen ook nog tegengehouden worden d.m.v. een foto van de destbetreffende persoon in een display van de cassiere te laten zien.
Persoonlijk ben ik er niet zo bang voor dat mensen nu op grote schaal hun vingertoppen zullen verliezen, al zou 1 ook al teveel zijn. Toch sta ik liever onder dreiging m'n bankpas (al dan niet i.c.m. pincode) af dan m'n vingertoppen. Ik weet niet hoe jij daar over denkt???
Ik denk dat de drempel om iemand zijn vinger af te hakken toch we een stuk groter is dat iemand van zijn pinpas te beroven...
Lijkt me niks
Kan hij hem oppeens niet meer lezen, of er wordt gefraudeert
Kunnen ze beter gewoon een pasje doen met een code,
heb je ook geen oude mensen die altijd weer problemen hebben
Kan hij hem oppeens niet meer lezen, of er wordt gefraudeert
Kunnen ze beter gewoon een pasje doen met een code,
heb je ook geen oude mensen die altijd weer problemen hebben
In mijn hobby gebied hebben we nogal last van kleine sneetjes in de vingertoppen. Sta je daar bij de kassa 
.
.
Vingerafdruk + code is ook een optie. Het heeft voor- en nadelen. Als ze je vinger weten te jatten heb je andere problemen denk ik...
Als ze je vinger stelen bel je toch gewoon de supermarkt op en kunnen ze je vinger blokkeren in het systeem.. Ook al valt het waarschijnlijk wel op, als er iemand met een losse vinger gaat betalen.
Ook al valt het waarschijnlijk wel op, als er iemand met een losse vinger gaat betalen. Als ze met je bankpas gaan rotzooien kun je je bankpas laten blokkeren en een nieuwe aanvragen.
Als ze met je vingerafdrukken gaan rotzooien kun je je vingerafdrukken laten blokkeren. Maar waar kun je nieuwe vingerafdrukken aanvragen!?
Als ze met je vingerafdrukken gaan rotzooien kun je je vingerafdrukken laten blokkeren. Maar waar kun je nieuwe vingerafdrukken aanvragen!?
Ik zie de meerwaarde niet. Is het nou zo veel efficiënter dan pinnen?
Het is puur de snelheidswinst. In plaats van portemonee pakken, pasje door de gleuf halen, pin intoetsen, Ja drukken hoef je alleen maar je vinger op de lezer te leggen als je akkoord bent met het bedrag. In plaats van ± 20 - 30 seconden ben je nu in een seconde of 10 klaar. Voor een consument lijkt dat misschien weinig maar voor supermarkten is de transactiesnelheid van groot belang.
Maar voor een supermarkt zou privacy van hun clienteel ook belangrijk zijn.
Waar staat die database met vingerafdrukken ?
Wie heeft er toegang tot deze data ?
Hoe is de data ge-encrypteerd ? Is de data wel ge-encrypteerd ?
Heb ik als klant ten allen tijde toegang tot "mijn data" ?
Wordt de data enkel gebruikt ovoor betalingen , of gaat men naderhand ook lekker data-minen..
Reden genoeg om dit NOOIT te willen.
Waar staat die database met vingerafdrukken ?
Wie heeft er toegang tot deze data ?
Hoe is de data ge-encrypteerd ? Is de data wel ge-encrypteerd ?
Heb ik als klant ten allen tijde toegang tot "mijn data" ?
Wordt de data enkel gebruikt ovoor betalingen , of gaat men naderhand ook lekker data-minen..
Reden genoeg om dit NOOIT te willen.
Waarom denk je dat dit nu niet al geldt met pinpassen? Of gebruik je alleen contant geld, en pak je dat alleen met rubberenn handschoenen aan?
Een pasje werkt over het algemeen maar voor 1 dienst. Een vingerafdruk word meer en meer gebruikt voor verschillende toepassingen. Een pasje kun je bij fraude inwisselen voor een nieuwe wat bij een vingerafdruk niet kan. Een copy van een vingerafdruk kan in principe je hele leven misbruikt worden.
met de gegevens van mijn bankkaart is men helemaal niks , ik moet nog steeds toestemming geven dmv mijn unieke code. maw ze hebben een rekeningnummer en dat is alles. Het betaalverkeer wordt door de bank (kaart leverancier etc) afgehandeld maar zeker niet door AH, Colruyt , Carrefour etc... . Als ik mijn vingerafdruk moet afgeven gaat dat "meestal" gepaard met ook je andere gegevens als naam, sex,woonplaats etc... , dingen die een supermarkt niet moet weten om hun "gewone" diensten aan te bieden.
dus binnekort gaat het als volgt :
om hier te betalen , moet u biometrische gegevens afstaan.
vul een formulier in met uw gegevens
Vervolgens passeer je langs de kassa en weet AH/ etc netjes dat je net een zoontje hebt want dat kunnen ze afleiden uit je aankopen, nu hebben ze ook je gegevens en sturen ze je meteen een hele resem televerkopers op je af die allerhande babyspulletjes willen verkopen.
Misschien wil jij dit maar ik zeker niet , net zo min als ik geen klantenkaart wil of mijn gegevens invul op één of andere enquête.
Met een vingerafdruk heeft men biometrische gegevens.
Gegevens die veel ,heel veel geld waard zijn en die daarenboven kopieerbaar zijn.
dus binnekort gaat het als volgt :
om hier te betalen , moet u biometrische gegevens afstaan.
vul een formulier in met uw gegevens
Vervolgens passeer je langs de kassa en weet AH/ etc netjes dat je net een zoontje hebt want dat kunnen ze afleiden uit je aankopen, nu hebben ze ook je gegevens en sturen ze je meteen een hele resem televerkopers op je af die allerhande babyspulletjes willen verkopen.
Misschien wil jij dit maar ik zeker niet , net zo min als ik geen klantenkaart wil of mijn gegevens invul op één of andere enquête.
Met een vingerafdruk heeft men biometrische gegevens.
Gegevens die veel ,heel veel geld waard zijn en die daarenboven kopieerbaar zijn.
Mwah... Privacy en (concreet) Albert Heijn zijn 2 dingen die niet te verenigen zijn. In deze aflevering van Zembla zegt Albert Heijn dat zij geen beleid hebben ter bescherming van privacy...
Aflevering bekijken
Edit: URL fixen
Aflevering bekijken
Edit: URL fixen
[Reactie gewijzigd door tERRiON op dinsdag 17 maart 2009 19:26]
Ik zou dit zelf ook geen veilige manier van winkelen vinden, als je eenmaal je gegevens hebt 'weggeven' aan Albert Hein dan kan je daarmee overal betalen in de Albert Hein winkels. Zometeen loopt er nog ergens een gek rond die je vinger er af hakt en die gebruikt om zijn boodschapjes mee te betalen.
(De cassiere zou dit dan wel moeten opmerken daar niet van
)
Of je hebt in je vinger gesneden, dat kan ook nog natuurlijk.
Dan vind ik de andere manier toch iets veiliger, het gewoon gooien van je boodschappen in je karretje en daarna door een soort detectiepoortje lopen die alle producten scant.
(De cassiere zou dit dan wel moeten opmerken daar niet van
)Of je hebt in je vinger gesneden, dat kan ook nog natuurlijk.
Dan vind ik de andere manier toch iets veiliger, het gewoon gooien van je boodschappen in je karretje en daarna door een soort detectiepoortje lopen die alle producten scant.
[Reactie gewijzigd door Stefan op dinsdag 17 maart 2009 17:25]
Je hebt tegenwoordig hele mooie en net echte handen voor de mensen die hun hand verloren zijn, kwestie van netjes de vinger erop zetten.
Lijkt me een smerig karweitje maar mensen doen een hoop voor geld
Lijkt me een smerig karweitje maar mensen doen een hoop voor geld
Hygiënisch lijkt het mij ook niet.
Nee, er zijn nu immers ook zoveel hygiëneproblemen met pinnen. Iedereen die die knopjes maar aanraakt, bah.
Geld is anders ook niet hygiënisch, en een pinautomaat ook niet. Daar zou ik me niet al te veel zorgen over maken. Bovendien zie ik op de foto dat er geen contact is met het apparaat. Nou weet ik niet of dat enkel 'voor de foto' gedaan is, maar als het ook op een kleine afstand je vingerafdruk kan lezen, is daar toch geen probleem.
Het scannen van producten (zoals hierboven opgemerkt is door Stefan Keijzer, en gemakshalve ga ik er dan vanuit dat je ook op die manier wilt afrekenen) met behulp van rfid, is trouwens ook niet echt veilig. Ik denk zowaar nog gevoeliger voor hack- en snijwerk, als je bekijkt hoe moeilijk de invoer van de OV-chipkaart al niet was. Gegevens kunnen vrij makkelijk van een afstand gescand en gekopieerd worden, waarna iemand eveneens op jouw kosten kan winkelen. Daarmee behoudt je weliswaar een vinger, maar ook zeker niet veilig!
Het scannen van producten (zoals hierboven opgemerkt is door Stefan Keijzer, en gemakshalve ga ik er dan vanuit dat je ook op die manier wilt afrekenen) met behulp van rfid, is trouwens ook niet echt veilig. Ik denk zowaar nog gevoeliger voor hack- en snijwerk, als je bekijkt hoe moeilijk de invoer van de OV-chipkaart al niet was. Gegevens kunnen vrij makkelijk van een afstand gescand en gekopieerd worden, waarna iemand eveneens op jouw kosten kan winkelen. Daarmee behoudt je weliswaar een vinger, maar ook zeker niet veilig!
[Reactie gewijzigd door psychonetics op dinsdag 17 maart 2009 17:35]
De RFID-chips worden ingezet in de producten. Dit heeft niets met de betaalswijze te maken, behalve dat de producten niet meer individueel gescant hoeven worden. Dus je kan de productcode van een product wel scannen, maar wat dan? Dan betaal je ook voor het product? Wat je dan niet hebt?
Op zich is dit wel een goede combinatie: RFID om de producten te scannen, dan ook een RFID bankpasje, waarna je je vingerafdruk geeft om de betaling te bevestigen (waarbij, net zoals de pinpas en de pincode die combinatie van gegevens alleen bij de bank bekend zijn) zodat niet degene die toevallig achter je staat de rekening gepresenteerd krijgt 
Waarom niet redundant maken icm met een irisscan bijvoorbeeld die kun je ook lastig vergeten en is niet al te makkelijk na te maken.
Waarom zou ik mijn tegoeden willen koppelen aan een vingerafdruk of irisscan?
Geniaal systeem lijkt mij, alleen dan wel in combo met een pincode. Weg met die 10000 betaal en andere passen in m'n zak!
Vingerafdruk autorisatie is schijnveiligheid. Een goede beveiliging/autorisatie verifieert alle van de volgende criteria:
Immers, als iemand je vingerafdruk bemachtigt via iets wat je hebt aangeraakt is het al te kopiëren en kan iemand zich voor jou uitgeven. PINnen is per defnitie veiliger. Je hebt de key/data nodig op de magneetstrip en een code die je moet weten. Bovendien kan je zowel de code als de magneetstrip revoken (melden dat ie gejat is/blokkeren). Dat kan je niet met DNA/vingerafdruk/iris.
- Iets wat je weet. Een wachtwoord, een code, etc.
- Iets wat je hebt. Een key, een object, o.i.d.
- Iets wat je bent. Een vingerafdruk, een irisscan, een DNA fingerprint, etc.
Immers, als iemand je vingerafdruk bemachtigt via iets wat je hebt aangeraakt is het al te kopiëren en kan iemand zich voor jou uitgeven. PINnen is per defnitie veiliger. Je hebt de key/data nodig op de magneetstrip en een code die je moet weten. Bovendien kan je zowel de code als de magneetstrip revoken (melden dat ie gejat is/blokkeren). Dat kan je niet met DNA/vingerafdruk/iris.
[Reactie gewijzigd door gertvdijk op dinsdag 17 maart 2009 17:31]
Dus pinnen met pinpas (hebt) en pincode (weet) is ook schijnveiligheid?
Inderdaad, ooit van skimmen gehoord ?
Maar nadat geconstateerd is dat je geskimd bent kan je de pas blokkeren en/of je pincode veranderen. Wat doe je bij een vingerafdruk (of elke andere vorm van dingen die je bent; DNA, iris)? Je kan moeilijk een servicenummer bellen voor een nieuwe...Inderdaad, ooit van skimmen gehoord ?
De klanten/winkels betalen daarbij voor de risico's van de bank waar ze voor garant staan. Dat is een trade-off voor het gemak wat je ermee hebt. Ik wil geen extra kosten, maar prefereer een goed werkend systeem. Dat van PIN is zo slecht nog niet. Stel dat ze op je 'OK' knop een vingerafdrukscanner zetten. Dan heb je alles te pakken.Oh en hoe zit dat dan met een pinpas, of een creditcard? Soms is een stukje risico geaccepteerd.
[Reactie gewijzigd door gertvdijk op dinsdag 17 maart 2009 17:59]
Een nieuwe code aanvragen?Wat doe je bij een vingerafdruk (of elke andere vorm van dingen die je bent; DNA, iris)?
Oh en hoe zit dat dan met een pinpas, of een creditcard? Soms is een stukje risico geaccepteerd.
Als er iets les 1 van beveiliging systemen in de ICT is is het wel dat je de beveligingsmaatregelen dient uit te kiezen op basis van een goed uitgevoerde risico analyse. Ik kan het daarom maar deels met jouw stelling eens zijn.Als je alleen beveiligt met het laatste in het geval van de AH, dan is het fundamenteel al een faalproject. Dit is gewoon les 1 van beveiliging van systemen in de ICT.
Waar jij het over hebt is authenticatie op basis van 3 factoren. Voor veel toepassingen is 1 factor authenticatie voldoende. Voor systemen die meer beveiliging vragen word steeds meer uitgegaan van 2 factoren authenticatie op basis van bv een wachtwoord en een token.
Biometrie zie je nog maar erg weinig en is ook niet voor alle toepassingen praktisch goed bruikbaar. Daarnaast kleven er aan biometrische authenticatie enkele erg lastige privacy vraagstukken. Neem bv de irisscan: aan de hand van een goede irisscan kun je niet alleen met redelijke zekerheid bepalen wiens irirs je bekijkt maar kun je ook ziektes en naar verluid mogelijk zelfs zwangerschappen achterhalen. Een irisscan geeft meer informatie weg dan nodig en dan een gebruiker waarschijnlijk weg wil geven. Andere vormen van biometrie hebben soortgelijke nadelen.
Een ander groot nadeel noem je zelf al: je kunt biometrische eigenschappen logisch gezien nooit veranderen of intrekken. Wanneer er eenmaal fraude mogelijk is door bv een copy heb je hier last van totdat het betreffende authenticatie systeem word aangepast. Daarnaast gebruikt men voor verschillende toepassingen vaak een gelijk authenticatiemechanisme waarbij de diensten in beginsel niets met elkaar te maken hebben. Denk bv aan het identificeren om een deur van jouw huis open te maken en het betalen in een niet controleerbare omgeving als de lokale supermarkt.
Een ander nadeel is dat mensen vaak denken dat biometrie onveilbaar is terwijl het tegendeel keer op keer weer bewezen word. Er zijn talloze slechte implementaties bekend waarbij een systeem met redelijk eenvoudige en overal verkrijgbare middelen omzeilt kan worden. Tel hierbij op dat een biometrisch systeem altijd maar een bepekt aantal punten scanned en je bent mogelijk ook niet meer 100% uniek in het systeem. Men gaat er simpelweg vanuit dat het scannen van een bepaald aantal punten genoeg is om met redelijke zekerheid te zeggen dat het een bepaald uniek persoon is (statistisch gezien).
Ander probleem die je vaak tegenkomt is dat veel (slechte) biometrische toepassingen bevatten hiernaast geen lockout systeem waardoor je eindeloos kunt blijven proberen om in het systeem te komen zonder dat je hiervoor uitgesloten zult worden.
Overigens kun je de authenticatie factoren ook nog uitbreiden met "waar je bent" en wellicht zelfs met "hoe laat je bent" ofwel plaats en tijd.
Meer info en een dicussie over authenticatie is overigens op het forum te vinden:
[SEC] x-factor authenticatie
[Reactie gewijzigd door Bor de Wollef op dinsdag 17 maart 2009 19:17]
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
