Currence maakt pinnen via normale internetverbinding mogelijk

Reacties

« 1 2 3 »

Door broodjekaas92, maandag 8 november 2010 09:59

is dat wel handig? (network sniffers enzo)

edit: waarom wordt deze reactie 2 keer omlaag gemod?

[Reactie gewijzigd door broodjekaas92 op maandag 8 november 2010 10:38]

Door DataGhost, maandag 8 november 2010 10:00

Ja, al die verbindingen zijn gewoon versleuteld net zoals het verkeer wat jij en je bank uitwisselen. Je kan sniffen wat je wilt maar je krijgt geen nuttige informatie te zien. Je zou ook denken dat hier langer dan twee seconden over is nagedacht.

[Reactie gewijzigd door DataGhost op maandag 8 november 2010 10:02]

Door broodjekaas92, maandag 8 november 2010 10:01

nee maar alles wat gecodeert wordt kan ook weer gedecodeert worden

Door DataGhost, maandag 8 november 2010 10:04

Ja, maar niet door jou. Dat is het hele idee erachter. Zolang jij de juiste sleutels niet weet te krijgen kan je vrij weinig uitspoken.

Door broodjekaas92, maandag 8 november 2010 10:07

alles is hackbaar (na een tijdje)

Door Fly-guy, maandag 8 november 2010 10:11

Maar dat zal niet anders zijn voor de huidige verbindingen...

Door broodjekaas92, maandag 8 november 2010 10:12

oke maar dit soort verbindingen zijn wel wat belangrijker dan een gewone verbinding

maar dit wordt een eindeloze discussie dus laten we er maar mee ophouden

Door CodeCaster, maandag 8 november 2010 10:26

@broodjekaas92: ga je vooral eens verdiepen in public-key cryptography.

[Reactie gewijzigd door CodeCaster op maandag 8 november 2010 10:26]

Door broodjekaas92, maandag 8 november 2010 10:28

Door Keypunchie, maandag 8 november 2010 12:14

@Codecaster

In principe natuurlijk ook bruut te forceren, maar ja, niet iedereen heeft een distributed computing netwerk van grazende koetjes en maanden en maanden de tijd.

Daarnaast het onderscheppen van pin-transacties is ook nog eens tijdsgevoelig (je wilt natuurlijk iets wijzigen, het bankrekeningnummer en bedrag), dus inderdaad met public/private-encryptie meer dan voldoende veilig tegen rechtstreekse hack-aanvallen.

[Reactie gewijzigd door Keypunchie op maandag 8 november 2010 12:16]

Door Spacecowboy, maandag 8 november 2010 14:04

Daarbij mag je er vanuit gaan dat er dagelijks, maandelijks en jaarlijks een sleutelwissel plaatsvindt. Dat houd dus in dat wanneer je eindelijk de sleutel hebt gevonden, deze allang alweer waardeloos is.

Door i-chat, maandag 8 november 2010 10:37

de vraag is wat er anders is aan die gecertificeerde lijnen. daar ben ik wel benieuwd naar. verder kun je natuurlijk prima gebruik maken van vpn tunnels daar zijn ook prima beveiligingen en encryptie toe te passen. probeer anders eens 's een 4mbit sleutel te kraken de enige manier is als je de sleutel in handen weet te krijgen, maar dan werken die oude cert verbindingen ook niet meer veilig.

Door DJSmiley, maandag 8 november 2010 10:55

gecertificeerd lijntje stelt technisch niet zoveel voor. Je netwerk moet aan bepaalde eisen voldoen en als dat zo is dan ben je klaar.

Je krijgt dan gewoon een eigen bgp sessie met hun om pinverkeer overheen te routeren, thats' it eigenlijk. Doordat de ip adressen verder niet announced worden, werken ze alleen over lijnen die met hun gecertificeerd zijn en dus niet verder over het internet. (iig bij ccv)

Door eymey, maandag 8 november 2010 11:58

Ik gok dat die gecertificeerde lijnen gewoon niets anders inhouden, dan dat je een speciale verbinding direct naar Currence toe krijgt. Dus een dedicated (en controleerbaar) circuit.

Ik ben idd wel benieuwd naar de beveiliging van deze nieuwe manier van aansluiten. Gaat de beveiliging niet verder dan een simpele SSL-connectie met client-certificaten? Of komt er speciale VPN-hardware tussen te staan?

Toch lijkt dit me nog steeds meer een oplossing voor kleine ondernemers die zich niet zo'n dedicated lijn kunnen veroorloven en toch laagdrempelig pin willen aanbieden. Maar je kan natuurlijk geen enkele garantie krijgen vwb 'uptime' als je dit over een goedkope internetverbinding doet.

Door Ron!n, maandag 8 november 2010 13:10

Wij hebben met ADSL zakelijk van KPN zo'n 5x meer storing dan de "prive" ADSL verbinding van XS4All. Je zou verwachten dat dit andersom zou zijn, erg jammer...

Door Spacecowboy, maandag 8 november 2010 14:06

Currence is slechts een papieren organisatie. Equens doet de daadwerkelijke transactie afhandeling c.q. routering.

Door geerttttt, dinsdag 9 november 2010 02:03

Wat maakt dit gevaarlijker dan internetbankieren? Lijkt mij even cruciaal dat er geen specifieke data onderschept of gespoofed kan worden, en bij internetbankieren gaat het ook goed (inderdaad, public/private key e.d.)

Door marcieking, maandag 8 november 2010 10:13

Ja, maar jij kunt er in 2050 weinig meer mee dat ik vandaag een euro heb gepind bij de supermarkt, om er je voordeel mee te doen moet je veel sneller zijn.

Door IcE_MaN_LtU, maandag 8 november 2010 10:36

klopt je hebt 1 euro gepint en die winkel moet nog wat 50cent? betalen voor transactie kosten zo lijden ze alleen maar verlies aangezien je tegenwoordig overall kleine bedragen mag pinnen

Door veldmuis, maandag 8 november 2010 10:41

De transactiekosten zijn lager dan die 50 cent, en het voordeel is dat de winkelier geen geld in de kassa hoeft te hebben (denk aan overvallen), en dat dat geld ook niet weggebracht hoeft te worden naar de bank, wat naast dat daar ook gewoon kosten aan verbonden zijn, ook weer een veiligheidsrisico met zich meebreng.

Door Bloodshot, maandag 8 november 2010 10:42

Ik meen ongeveer 5 cent voor de transactie.
De datacom-kosten met inbellen zijn rond de 4 cent (1 telefoontik) en voor de overige aansluitingen (via een gecertificeerd netwerk) wordt er gewerkt met maandelijkse kosten die onafhankelijk zijn van het aantal transacties.

Totaal tussen de 6 en 10 cent dus.

Door TERW_DAN, maandag 8 november 2010 10:50

klopt je hebt 1 euro gepint en die winkel moet nog wat 50cent? betalen voor transactie kosten zo lijden ze alleen maar verlies aangezien je tegenwoordig overall kleine bedragen mag pinnen

Klein geld kost een ondernemer meer dan een transactiebedrag voor de pinauatomaat. Immers die zooi moet ook weer gestort worden als er teveel van is en je moet er wel genoeg van op voorraad hebben. En met kleingeld schiet dat ook niet heel erg op.

Door Atlas85, maandag 8 november 2010 14:35

Pinnen is niet zo duur hoor - en je vergeet de handlingkosten van munt/papiergeld. Dat is veel duurder en de kans op overvallen is natuurlijk veel groter. Niet voor niets willen winkels dat je alles pint.

Door _J7_, maandag 8 november 2010 10:31

Huidige pin transacties worden ook niet gehackt. dus dat zal wel meevallen.

info:
Currence is een Nederlandse organisatie die is opgericht door een aantal vooraanstaande bankorganisaties met als doel "facilitering marktwerking en transparantie met behoud van de kwaliteit en veiligheid van het betalingsverkeer in Nederland." opgericht 1 januari 2005.

[bron: wikipedia]

Dus die weten wel wat ze doen.

[Reactie gewijzigd door _J7_ op maandag 8 november 2010 10:36]

Door latka, maandag 8 november 2010 16:45

Dus die weten wel wat ze doen.

Hoewel ik je conclusie deel vind ik de gedachtegang redelijk gevaarlijk. Heeft al menig crisis opgelevert (geheime dienst roept iets over weapons-of-mass-destruction en hoppa naar Irak, financiele experts die roepen dat belegen in hypotheken ontzettend slim is...) Allemaal experts die het niet erg bij het rechte eind hadden.

Door mphilipp, maandag 8 november 2010 11:01

Dat is een enorme dooddoener die te pas en te onpas wordt aangehaald. Voornamelijk door mensen die er geen klap van weten.

Het heeft vrij weinig nut om 3,5 jaar te gaan zitten kraken om 1 transactie te decoderen. De volgende transactie kost je namelijk wéér zolang. Zolang je dit niet instant kunt decoderen (als in on-the-fly) heeft je poging totaal geen zin.

Door Iknik, dinsdag 9 november 2010 07:29

Het heeft vrij weinig nut om 3,5 jaar te gaan zitten kraken om 1 transactie te decoderen. Zolang je dit niet instant kunt decoderen (als in on-the-fly) heeft je poging totaal geen zin.

Je hoeft geen bestaande transactie te hijacken, als er een server is die pintransacties accepteert kan ik een volkomen valse transactie aanbieden als ik weet hoe het werkt. Dat kan nu niet, omdat je een dedicated lijn nodig hebt. Na één valse transactie weet je dan gelijk wie er achter zit. Dat is met een publieke infrastructuur veel lastiger.

Het hoeft natuurlijk niet zo te zijn dat de mogelijkheid van het aanbieden van een valse transactie een enorm veiligheidslek is, dat kan best goed dichtgetimmerd worden, maar je creëert een 'single point of failure', waarbij het, áls het fout gaat, het ook gelijk góéd fout gaat (als criminelen er eenmaal achter zijn hoe het (crypto)-systeem werkt trekken ze gelijk 100.000 bankrekeningen leeg, en wie gaat dat betalen?). Met dedicated lijnen is dat veel moeilijker.

Door 1234567890a, maandag 8 november 2010 12:31

De verbinding zal natuurlijk maar een paar seconden duren. Als het kraken per transactie meer duurt dan een paar seconden is het al veilig genoeg.
verder zoals al verder is gezegt: public private key encryptie.

Door Relief2009, maandag 8 november 2010 10:04

Hangt weer af van het type beveiliging? Als alle beveiligingen gekraakt konden worden viel er niks te beveiligen.

Door Jeanpaul145, maandag 8 november 2010 10:06

Klopt maar als je iets als een sterke variant van AES gebruikt kan je wel aardig zeker zijn dat de transactie veilig veloopt denk ik zo. Daarnaast zullen ze vast wel extra maatregelen nemen, als er iets is waarmee geldbedrijven (banken, transactiebedrijven etc) niet spotten dan zijn het financiele transacties.

Door ManiacsHouse, maandag 8 november 2010 10:14

Ahum kuch... Weinig tot geen controle op automatische incasso's is er al 1.

Door Korben, maandag 8 november 2010 11:08

Ik neem aan dat ze onderliggend geen AES gebruiken - dat was er nog niet toen PIN-automaten werden geïntroduceerd - maar als basis een assymetrisch algoritme gebruiken om de sleutel voor een symmetrisch algoritme te verspreiden, en dat nog aanvullen met een signature algoritme om de databron te verifiëren.

Door Maurits van Baerle, maandag 8 november 2010 11:32

Dit gaat niet om PIN-automaten maar om betaalapparaten zoals je die in winkels tegenkomt om betalingen mee te doen. Die zijn volgens mij nooit ouder dan een paar jaar.

Bovendien, dit systeem is nieuw dus zal gewoon AES ondersteunen. Als je als winkelier je dedicated lijn op wil zeggen en het voortaan via internet wil gaan doen zul waarschijnlijk toch een nieuw apparaat moeten aanschaffen die dit ondersteunt. Dat nieuwe apparaat kan prima AES gebruiken.

Door hackerhater, maandag 8 november 2010 17:36

Ik hoop dat ze automaten dan direct ook geschikt maken voor chip-pinnen. Is dat probleem ook weg

Door Spacecowboy, maandag 8 november 2010 14:10

@ Korben: Correct. Dat is in ieder geval hoe de geldautomaten en andere interchanges werken. Wat betreft de betaalautomaten die aan Interpay en of CCV zijn gekoppeld weet ik het niet zeker, maar gezien het een publieke infrastructuur is, vermoed ik dat het ook via deze manier gaat.

Op deze manier heb je toch de veiligheid van asymmetrische sleutel, maar de performance van een symmetrische versleuteling.

[Reactie gewijzigd door Spacecowboy op maandag 8 november 2010 14:16]

Door latka, maandag 8 november 2010 16:47

He! Dat is gewoon SSL/TLS wat al sinds jaar en dag ook in je browser zit

Door katjang1991, maandag 8 november 2010 11:50

ja klopt maar dat zou ook bij een gecertificeerde breedbandverbindingen ook kunnen heb. maar je heb gewoon veel verstand nog ding van de 2 dus ik denk dat het neit zo makkelijk zal zijn

Door Yakotb, maandag 8 november 2010 12:37

Ik zou je even verdiepen in cryptografie (bijvoorbeeld RSA). Bij sommige algoritmen is gewoon wiskundig bewezen dat deze niet te kraken zijn, behalve met brute-force. In de meeste gevallen duurt het miljoenen jaren om een dergelijk bericht te ontcijferen via brute-force.

In de Verenigde Staten is cryptografie met sleutels langer dan 40 bits lange tijd als munitie geclassificeerd, zodat het niet geëxporteerd mocht worden. Anders waren buitenlandse berichten voor de overheid niet te kraken.

Door no-sense, maandag 8 november 2010 15:25

Euh... Voorzover ik weet is enkel van One Time Pad encryptie bewezen dat het absoluut onkraakbaar kan zijn. Zie http://en.wikipedia.org/wiki/Cryptography#The_computer_era
Vanwege praktische problemen (sleutel moet op z'n minst even lang zijn als het te versleutelen bericht dus hoe krijg je de sleutel veilig bij de ontvanger?)

Voor alle andere methodes is op z'n hoogst bewezen dat het onkraakbaar is zolang een bepaalde onbewezen preconditie geldt (b.v. RSA is veilig zolang er geen methode bestaat om snel een getal in factoren op te delen)

Door mrprozac, maandag 8 november 2010 16:01

een nadeel bij OTP is dat als er een bericht door bijvoorbeeld een storing is misgelopen (lees verstuurd maar niet ontvangen) dan worden alle berichten vanaf dat moment niet meer gedecodeerd omdat de encryptie sleutels niet meer overeenkomen.

Door MSalters, maandag 8 november 2010 16:15

Dat is alleen het geval bij de meest simpele, domme implementie van OTP's. Het is voldoende als de afzender "gebruik offset X" meegeeft bij elk nieuw bericht. Zolang de gebruikte delen van het OTP maar niet overlappen is het veilig.

Door Relief2009, maandag 8 november 2010 10:01

Met een beveiligde verbinding valt er weinig te sniffen.

Door wizzkizz, maandag 8 november 2010 10:01

Ik vermoed dat het werkt met SSL server en client certificaten en dat alles dus versleuteld is. Een netwerk sniffer haalt dan als het goed is niet zoveel uit. Maar het kan ook zijn dat ik peop praat natuurlijk

Door humbug, maandag 8 november 2010 11:30

Gewoon een VPN is waarschijnlijker want een stuk generieker

Door mrprozac, maandag 8 november 2010 16:02

Ik denk dat er voor VPN een nieuwe reeks aan pinautomaten moeten komen, tenzij de huidige pinautomaten die CCV levert VPN kan ondersteunen door een firmware-update.

Door latka, maandag 8 november 2010 16:48

Hoeze is VPN generieker? VPN is geen standaard SSL wel.

Door RvL, maandag 8 november 2010 10:01

Je kan een versleutelde verbinding wel sniffen, maar daar haal je niet zo heel veel nuttige informatie uit hoor.

Start maar eens een sniffer op, laat 'm b.v. https sniffen en ga eens naar een https website (je bank bijvoorbeeld).

spuit elf....

[Reactie gewijzigd door RvL op maandag 8 november 2010 10:03]

Door mcmd, maandag 8 november 2010 10:37

Op zich is dat natuurlijk wel waar, het zal niet zo snel lukken om informatie uit de datastroom te krijgen, maar op zich is het feit dat er dataverkeer is ook informatie.
Of dat bruikbare informatie is zie ik niet 1-2-3, maar het zou wellicht gebruikt kunnen worden.
Dat kan natuurlijk eenvoudig onbruikbaar gemaakt worden door continue data te versturen....

Door ]Byte[, maandag 8 november 2010 15:23

Je moet hierbij ook eerder denken aan de vertrouwelijkheid en intergriteit van de datapaketten.
JA, ALLES is te hacken. De vraag is alleen hoelang je er over doet, en daarmee hoeveel die informatie op dat moment nog waard is als deze gehacked is!
Als je er met de huidige genereatie hardware in een mega-cluster zet en er 40 jaar over doet om de volledige encryptie en checksums te kraken, weet je dus welke sleutel en checksums er 40 jaar geleden gebruikt werd.
Prettige wedstrijd met de volgende poging!

Als een datapakket niet aankomt omdat er andere rommel ((d)DOS) de lijn vol spoelt kan de klant geen betaling doen en zal hij z'n producten niet meekrijgen.
Dat zal dan eerder een functionele misser zijn, maar de transacties zijn nog steeds secure. Voor zowel de klant als de bank.

[Reactie gewijzigd door ]Byte[ op maandag 8 november 2010 16:00]

Door Banath, maandag 8 november 2010 10:05

Succes met sniffen bij een 2048bit SSL encryptie.

Wellicht dat ze zelfs hoger inzetten om iedere kans op brute force decrypten te verkleinen.
Ik zeg met opzet verkleinen, want onmogelijk is het natuurlijk niet.
Wel heb je dan een supercluster van enige honderden processoren nodig die exclusief voor jou bezig zijn met rekenen.

Door arjankoole, maandag 8 november 2010 10:15

Ze hebben 256-bit nog niet eens gekraakt, dus ze zijn vooralsnog niet geneigd - denk ik - om hoger dan 2048 te gaan.

Door i-chat, maandag 8 november 2010 10:41

klopt maar als bank wil je niet de kans lopen dat blaat's botnet een poging waagd. kans is dus dat ze gewoon 4mbit inzetten alleen al om te ontmoedigen er überhaupt aan te beginnen. voor een bank maakt het verschil nauwelijks uit, dat beetje extra rekenkracht is het duurste niet. aan de andere kant. bedrijven gaan wel vaker op het randje zitten dus misschien heb je toch gelijk.

Door TERW_DAN, maandag 8 november 2010 10:54

Zoiets wordt gewoon een kosten-baten analyse met een bepaald risico ingecalculeerd. Als een 256b key goedkoper is dan een 4096b key,dan wordt er gewoon gekeken naar het verschil in risico tussen die 2 en de bedragen die daaraanhangen. Op het moment dat de 256b dermate veilig blijkt te zijn dat bij een eventuele breuk de kosten niet meer zijn dan gelijk een 4096b implementatie zullen ze waarschijnlijk gewoon 256b implementeren.

Door CMG, maandag 8 november 2010 10:13

De huidige Internet verbindingen waar je wel met PIN op kan betalen zitten gewoon op een extra vlan, echt veel verschil maakt het dus niet uit.

Het enige verschil was dat je hiervoor niet zomaar op het gedeelte kon komen waarop de betalingen werden afgehanderd, straks hangen deze dus wel 'los' aan het internet. Aan de kant van de client veiligheid is er dus niets veranderd, ze hebben alleen hun eigen 'netwerk' verder open gegooid.

Door Powermage, maandag 8 november 2010 13:38

Jep, alleen rekent bijvoorbeeld KPN wel ik geloof 10 euro extra per maand voor de optie pinnen over IP, die vervalt dan want die is niet meer nodig.

Providers als Xenosite geven dit al een tijdje 'gratis' weg op de zakelijke lijnen (imho nog erg goedkoop) dus daar veranderd er sowieso niets.

Door gerwim, maandag 8 november 2010 10:19

Je kunt ook niet sniffen als je niet op het netwerk zit. De pin automaten zullen niet draadloos verbonden zijn (lijkt me). Dus dat betekend dat je een laptop moet aansluiten op het netwerk daar, wat je ook niet zo 123 kunt doen. Dan kunnen zij er nog een proxy opzetten waardoor je een username/wachtwoord nodig hebt, welke je niet hebt.

Mocht je dat nog lukken zonder ontdekt te worden, moet je nog een 2048 bit (Het kan zelfs 4096 bit worden) SSL verbinding kraken. En dat voor één transactie. Have fun.

Door FreshMaker, maandag 8 november 2010 10:29

Dat is gewoon een kwestie van tijd

De mobiele pinterminals zijn er met een simkaart en dectverbinding, de laatste staan in verbinding met een "eigen" receiver die weer op het eigen transmissienet aangesloten is

Dus waarom dat niet wifi -> AP -> internet kan zijn, dat is een "natuurlijk" verloop van ontwikkeling
Er zullen binnenkort veel meer wireless terminals in omloop komen - klantvriendelijkheid omhoog

Door Bloodshot, maandag 8 november 2010 10:45

Omdat er bij mijn weten geen WiFi betaalautomaten zijn. Ethernet, GSM, PSTN, ISDN, GPRS. Dan heb je het wel zo'n beetje gehad.

Door Maurits van Baerle, maandag 8 november 2010 11:36

Er zijn zat betaalautomaten die WiFi gebruiken. De Ocius Vx670 om er maar eentje te noemen.

Door Bloodshot, maandag 8 november 2010 11:41

I stand corrected, ze zijn er dus wel. Percentueel gezien valt het denk ik wel mee qua aantal.

Door Powermage, maandag 8 november 2010 13:40

En hoeveel leveranciers leveren die in Nederland?
Volgens mij heeft CCV het alleenrecht op de Vx6xx lijn in Nederland dus die zal je niet snel hier zien.

Ook snap ik best vanuit een support punt dat je liever _geen_ wifi terminals gebruikt, retailers willen betrouwbaar pinnen, en voor iets wat het liefst 100% van de tijd goed moet gaan zou ik niet laten vertrouwen op een wifi techniek die dat niet waar kan maken.

Door Dinamitci, maandag 8 november 2010 13:43

Dan moet je 2 beveiliging kraken. De AES van de wifi verbinding en dan ook nog de beveiligde verbinding naar de bank. Ik wens iedereen die dat wilt doen veel plezier

En dan nog heb je geen pincode ofzo, dus wat moet je ermee?

Door marcieking, maandag 8 november 2010 10:00

Ik heb nooit begrepen waarom er een gecertificeerde lijn nodig zou zijn, als alles over een versleutelde verbinding verstuurd wordt is dat toch ook veilig? Desnoods moet er een door Currence gecertificeerde VPN-server tussen om een beveiligde verbinding te garanderen...

Door BCC, maandag 8 november 2010 10:03

Kun je eenvoudig garanties geven over uptime en makkelijker storingen pinpointen.

Door marcieking, maandag 8 november 2010 10:12

Dat is nog wel een zinvol argument, hoewel er natuurlijk iets voor te zeggen is dat dat voor het risico van de ondernemer komt als hij besluit geen gecertificeerde verbinding te nemen.

Door arjankoole, maandag 8 november 2010 10:16

Dat risico voor de ondernemer niet weg dat diezelfde ondernemer (is doorgaans geen techneut) bij jou komt klagen als er niet gepinned kan worden. dus de overhead / overlast heb je sowieso al.

Door FreshMaker, maandag 8 november 2010 10:32

De lijnen zijn vaak al aanwezig en in gebruik voor het alarmsysteem ( AL2)
Dus de koppeling is zo gemaakt, kuchnummer van de pinverwerker en PAC erin en je hebt de gecertificeerde lijn.

Voordeel van de AL2 verbinding, is dat hij actief gecontroleerd wordt, elke 90 seconden een polling naar KPN, en bij uitval direct actie ( PAC of Currence )
Die acties gaan zelfs nog om de aansluiting heen, en worden direct met KPN uitgevoerd, lijnreset of doormeting

Door Powermage, maandag 8 november 2010 13:48

Jij hebt het over de oude digiacces verbindingen, die techniek die KPN uitrangeert en die je voor pinnen niet meer kan bestellen...

Sowieso gaat al het pinverkeer over TCP/IP tegenwoordig, soms door inbellen, vaker door een gecertificeerde internet verbinding, dingen als x25 / digiacces etc zijn vrijwel allemaal uitgerangeerd met het verlopen van de certificering van de oude generaties pin apparaten.

Door Dinamitci, maandag 8 november 2010 13:45

Er zijn geen garanties. Zowel de ADSL lijnen van Vodafone als KPN zijn gecertificeerd. En als KPN een landelijke storing heeft lig je gewoon eruit. Je krijgt geen speciale lijn.

Door Bloodshot, maandag 8 november 2010 11:44

Het zijn puur kwaliteitseisen:
Eisen die een hoge beschikbaarheid opleveren, een helpdesk, een beheerorganisatie, 24x7 monitoring, herrouteertijden, etc.

Er zijn vroeger behoorlijk wat problemen geweest met carrier-select aanbieders die compressie toepassen op de voice-calls. En daar kan modemverkeer niet goed tegen.
Deze carrier-select aanbieders waren dan ook niet gecertificeerd, dus was het het probleem van de retailer die voor een dubbeltje op de 1e rang wilde zitten.

Door Relief2009, maandag 8 november 2010 10:00

Is er wat meer informatie over welke beveiligingsmethoden er zijn gebruikt?

Edit @ MazeWing

Dat zou idd zo kunnen zijn als alles vanuit de serverside wordt geregeld.

[Reactie gewijzigd door Relief2009 op maandag 8 november 2010 10:05]

Door MazeWing, maandag 8 november 2010 10:04

Ik denk dat ze dit zoveel mogelijk geheim zullen houden. Als ze kenbaar maken welke beveiligings technieken gebruikt zijn, is de kans groot dat mensen exploits gaan zoeken in een gesimuleerde omgeving thuis...

Door 84hannes, maandag 8 november 2010 10:07

Jij gebruikt Closed Source software zeker?

Ik vermoed dat je er met een sniffer vrij snel achter komt hoe de beveiliging werkt. Je zult echter de juiste sleutels moeten hebben om hier iets mee te kunnen. Vergelijk het met de internetverbinding tussen jou en je bank. Iedere noob kan nazoeken hoe https werkt, iedere amateur kan het simuleren, maar kraken doe je niet zomaar.

edit:

Uitbreiding, na er wat langer over nagedacht te hebben:

Sommige instanties vereisen dat bij een beveiliging bekend is hoe de beveiliging gerealiseerd wordt. Hier worden zaken veiliger van, derden kunnen namelijk hun mening geven over een beveiliging. Een ander verhaal is de software waarmee ze de beviliging implementeren. Ik kan me voorstellen dat ze dit wel geheim houden. Als er dan een lek in een bepaald pakket ontdekt wordt, is niet meteen bekend welke bedrijven gebruik maken van deze software en dus vatbaar zijn voor een aanval.

[Reactie gewijzigd door 84hannes op maandag 8 november 2010 10:27]

Door _ferry_, maandag 8 november 2010 10:30

Inderdaad, tot nu toe is internetbankieren ook veilig en niet gekraakt. Alleen banksites die nagemaakt zijn en je het bedrag naar een andere bankrekeingnummer laten overmaken. Maar dat is geen 'direct' lek in de beveiliging maar in de interface.

Door PPie, maandag 8 november 2010 10:18

Waarom zou je een gesimuleerde omgeving maken?
Als het 'gewoon via internet' loopt, is domweg in een winkel aansluiten veel eenvoudiger en heb je een echt, live systeem waar je echte transacties hebt met bekende data...

Door mrprozac, maandag 8 november 2010 16:10

Omdat het aftappen van verkeer misschien illigaal en verboden is bij wet.

Het simuleren van dingen binnen een gesloten netwerk, hetzij via virtualisatie software zoals vmware of sun virtualbox is zover ik weet niet verboden. Tenzij je binnen het virtuele systeem illegale praktijken gaat uitvoeren zoals bijvoorbeeld reverse-enigeren.

Door elmuerte, maandag 8 november 2010 10:47

De beste beveiligingen zijn die waarvaan de volledige werking bekend is.

Door Standeman, maandag 8 november 2010 10:30

Ik vermoed dat je een EMV chip op je pinpas moet hebben om dergelijke transacties mogelijk te maken. Dan kan alle data vanaf de terminal naar de bank versleuteld worden over een (semi) publieke lijn.

Sla de EMV spec maar eens na. Daar staat alles in gespecificeerd. Book 1 en Book 2 zijn het meest interessant qua transacties. (ICC <--> terminal communicatie en key management).

Niks geheims aan, zijn allemaal open standaarden

Door Jeanpaul145, maandag 8 november 2010 10:03

Goed initiatief! Ik ben benieuwd of Currence dit ook echt actief gaat supporten of als ze er een beetje een "goedkoper, maar eigen risico" van gaan maken.
Ik ben ook nog nieuwsgierig naar of dit voor de consument nog iets uit gaat maken of niet.

Door Datafeest, maandag 8 november 2010 10:08

Ik mag hopen dat we van dat achterlijke "pinnen kost 25c" een keer af komen. Ja, ik ken nog plekken waar dat zo is

Contant geld is echt pre 1991.

Door DrClaw, maandag 8 november 2010 10:26

tja, en pinnen kost nou eenmaal geld; dat staat gewoon in het artikel: "nu pinnen via internet gaat kost het alleen maar een maandbedrag in plaats van per transactie".

Pinnen heeft voordelen en nadelen voor een winkelier. Grote voordeel is natuurlijk, dat er minder cash in de winkel aanwezig hoeft te zijn. Nadeel echter is, dat een winkelier met weinig pin acties liever per pin actie betaalt, en eentje met veel transacties liever per maand. Omdat het dan goedkoper is.

Currence is trouwens de lachende 3e, die wordt er stinkend rijk mee.

Door Bloodshot, maandag 8 november 2010 10:48

Volgens mij verdient Currence hier niet op, slechts de transactieprocessors.
Currence is een soort OPTA: Die verdienen ook geen geld met elk gevoerd telefoongesprek.

Door snirpsnirp, maandag 8 november 2010 11:16

tsja, chartaal betalen kost ook geld. Een kassa, storingen, risico of diefstal en beroving, systeem om geld van kassa's weg te voeren etc.

Als nadeel noem je dat je keuze hebt voor het abonnementssyteem dat je het minst kost.

Zoals gezegd, Currence is een samenwerkingsverband. Afspraken maken in aanloop naar dit soort overgangen, coördineren van campagnes voor bewustwording etc.

Door FreshMaker, maandag 8 november 2010 10:33

Ik wil niet pinnen, ik wil gewoon cash betalen !

Gezeik van 10 x controleren of het wel safe is .... skimmen ?

Door Sloerie, maandag 8 november 2010 10:49

"Cash" is net zo unsafe, alleen liggen de kosten en risico's bij de winkelier. Skimmen gebeurt vaak maar dat kost de klant geld en niet de winkelier.

Vals geld zit er vaak genoeg tussen. Werk tegenwoordig niet meer met los geld, maar tijdens de overgang van gulden naar euro heb ik genoeg valse gulden en eurobiljetten door mijn handen gehad. Meestal net niet opzichtig genoeg om door een uv lamp te kunnen niet maar wel vals na verdere inspectie of na een telefoontje van de bank.
Het nadeel is dat je meestal te laat bent en zodra je het billjet geaccepteerd hebt moet je het aannemen ook al blijkt na controle het 'dubieus' te zijn. Dit laatste is omdat sommige briefjes (voornamelijk 10 en 5 euro) nogal eens in broeken blijven zitten en in de was gaan waarna ze volledig oplichten onder uv door de enzymen en andere zooi die er in is blijven zitten, terwijl het gewone correcte briefjes zijn. Dat uv gedoe is eigelijk schijnveiligheid in mijn ogen.

Door Cafe Del Mar, maandag 8 november 2010 11:08

Je kan ook tegen de verkoper zeggen dat je hem/haar eigenlijk veel geld uitspaart door te pinnen:
- risico op overval
- geldtransport heen (levering munten)
- geldtransport terug (afvoeren van biljetten)
- risico op fouten (fout bedrag betaald, fout bedrag op de rekening geboekt, ...)
- geen geldvoorraad in de winkel (geldvoorraad is werkkapitaal en kost geld)

Het is gewoon flauw van de verkoper om geld te vragen voor iets waar hij/zij zelf gewoon meer voordeel aan heeft.

Door Dinamitci, maandag 8 november 2010 14:17

Pinnen kost geld. Als je bv 1 sigarettenpakje koopt (minieme winst) en dit met pin wilt betalen kost het kleine bedrijven geld of ze draaien quitte. Losgeld kost ook geld klopt, als je het gaat storten bij de bank betaal je hiervoor. Maar per saldo is dat goedkoper dan pinnen indien je weinig transacties hebt.

Wij hebben zelf in een klein supermarkt ook een hele tijd 25c gevraagd (ontmoedigingsbeleid om kleine bedragen te pinnen). Naarmate de aantal transacties stegen konden we een voordeliger abonnement en pinnen over internet nemen, en de 25c afschaffen. Soms kost het je nog steeds geld, maar dat neem je dan voor lief en kies je voor klantvriendelijkheid. Als die dan een een chocolaatje bij koopt maakt het alles goed, beter dan dat die klant je winkel gaat vermijden.

Wat we nog wel steeds ontmoedigen is CC betalingen. Die berekenen we 1:1 door aan de klant, dat is gewoon te duur.

Door mrprozac, maandag 8 november 2010 16:15

Ik vind dit gewoon onzin. De winkelier heeft zijn/haar keuze gemaakt om pin aan te bieden. Dat er hier kosten (lees uitgave) voor de winkelier bijkomen is normaal en te verwachten.
Maar dat de klant extra moet betalen voor het betalen via PIN is gewoon asociaal.

Door Dinamitci, dinsdag 9 november 2010 01:04

Ik hoop voor je dat als je ooit een eigen bedrijf begint er anders over zult denken voordat je vanalles gratis gaat aanbieding zonder naar je inkomsten te kijken. Misschien dat je het niet weet, maar als je verlies maakt tijdens het verkopen van producten, dan red je het niet erg lang.. je klanten hebben daar ook niet erg veel aan.

[Reactie gewijzigd door Dinamitci op dinsdag 9 november 2010 01:05]

Door xdooma, maandag 8 november 2010 10:03

1 reactie volledig verborgen op huidige niveau

Door Banath, maandag 8 november 2010 10:07

Wat natuurlijk wel een issue kan worden is een zogenaamde man in the middle attack.
Blijft het decrypten een enorme opgave.
Maar via bedrijfsspionage en andere vormen van inbraak bij Currence kan de masterkey natuurlijk ook achterhaald worden.

Aanvulling: hoe gaat Currence zich wapenen tegen Ddos aanvallen ?

[Reactie gewijzigd door Banath op maandag 8 november 2010 10:09]

Door paulus83, maandag 8 november 2010 10:34

Een MitM heeft geen zin als alle clients het goede certificaat gewoon kennen, het werkt volgens mij alleen goed bij self-signed certificaten die dus niet geverifieerd kunnen worden door de client.

Maar via bedrijfsspionage en andere vormen van inbraak bij Currence kan de masterkey natuurlijk ook achterhaald worden.

Ja, maar als iemand zo ver kan infiltreren om de vpn/ssl sleutels te stelen denk ik dat Currence een groter probleem heeft. Deze persoon kan ik de oude situatie dan bijvoorbeeld ook malifide transacties injecteren, om maar wat te noemen.

Het dDOS verhaal kan inderdaad een probleem zijn. Maar omdat de klanten vaak vanaf een vaste locatie inloggen, zou er bijvoorbeeld een (extreem grote) firewall regel gemaakt kunnen worden die alles dropt wat niet vanaf een whitelisted IP komt.

Door RefriedNoodle, maandag 8 november 2010 12:03

Het dDOS verhaal kan inderdaad een probleem zijn. Maar omdat de klanten vaak vanaf een vaste locatie inloggen, zou er bijvoorbeeld een (extreem grote) firewall regel gemaakt kunnen worden die alles dropt wat niet vanaf een whitelisted IP komt.

Helaas, was het maar zo simpel. Een firewall is al te laat, omdat een ddos-aanval vaak al de inkomende lijn of router dichttrekt, nog voordat een firewall kan zeggen "drop dit pakketje maar". Het pakketje is al binnen en heeft al bandbreedte verbruikt.

Door MSalters, maandag 8 november 2010 16:20

Die firewall moet je natuurlijk wel upstream zetten, duh. Knappe jongen die AMS-IX platlegt met een DDOS.

Door Fastmatti, maandag 8 november 2010 10:10

Toch twee vragen van mijn kant.

1. Wat kost een pintransactie nu.
2. Wat kost een pintransactie in de toekomst.

Ik betwijfel namelijk of er straks niet op een andere manier transactiekosten worden berekend. Vraag is namelijk of het inbellen de kosten zijn of de transactie zelf. De transactie zelf blijft namelijk bestaan.

Door CMG, maandag 8 november 2010 10:16

Elke vorm van betalen kost geld helaas.

Pinnen was volgens mij iets van 11 cent, iDeal tussen de 40 en de 110 cent, cash storten bij de bank vanaf 5 euro, PayPal 35 cent + 3.4% van het bedrag, credit card ook ongeveer zo iets, etc.

Door Daimanta, maandag 8 november 2010 10:21

Ik hoop dat ik die vraag een beetje kan beantwoorden:

Als eerste heb een verbindingslijn nodig met (nu nog beveiliging). De beveiliging kost ca. 10 EUR per maand, de internetverbinding ligt in de zakelijke markt zo rond de prijzen van de consumentenmarkt.

Verder kosten individuele transacties nog geld, in de buurt van de paar cent per transactie(ongeveer 7,hangt af van het bedrijf natuurlijk) en natuurlijk nog een pinabbonement wat ongeveer 10 a 20 EUR per maand kost. Mocht je inbel hebben dan heb je voor elke tranactie natuurlijk ook nog inbelkosten(dat kan best oplopen).

Door Standeman, maandag 8 november 2010 10:32

Durf ik niet te zeggen. Het is in iedergeval stukken goedkoper dan cash geld. (Beveiligen, storten, tellen, etc.)

Door Dinamitci, maandag 8 november 2010 14:32

Als je het niet durft te zeggen, heb je er dus geen ervaring mee en gok je het?

Beveiligen -> Kluis (eenmalige kosten), camera's hangen sowieso vrijwel overal al.
Storten kost geld, maar minder dan pinkosten.
Tellen, contant geld zul je sowieso houden. Of de telapparaat (eenmalige kosten) 5 seconde langer of korter bezig is, maakt echt niks uit.

Cash is goedkoper tenzij je helemaal geen cash aanneemt en alles over pin wilt doen. Maar als daardoor enkele klanten jou gaan mijden verlies je weer.

Door Rolfie, dinsdag 9 november 2010 07:59

Cash: - Kans op overval is vele malen groter.
Cash: - Je moet voldoende klein geld kopen, en bewaren.
Cash: - Storten kost tijd.
Pin: + Staat sneller op je rekening.

Door Powermage, maandag 8 november 2010 10:10

Ja, op een door currence gecertificeerde lijn KAN je per transactie betalen,
echter bied volgens mij ELKE gecertificeerde provider gewoon 'onbeperkt' aantal transacties op een gecertificeerde lijn. (dus het is een beetje verwarend, want het is niet zo dat een niet gecertificeerde lijn nu opeens goedkoper is)

Overigens hebben wij een aantal leveranciers die standaard al gratis pinnen over IP leveren bij zakelijke lijnen, dus een meerprijs betaal je niet meer, alleen al die retailers die zich zakelijk DSL van KPN hebben laten aansmeren die zullen er op voorruit gaan mbt tot bedrag)

Support zal overigens niet bij Currence liggen maar bij je lijn leverancier en je pin automaat leverancier, dus bij problemen ben je gewoon de lul als je een orange, tele2 of wat voor particuliere stunt lijn hebt.

Voor de consument gaat dit weinig uitmaken, pin is al een van de goedkoopste systemen ter wereld, denk niet dat het 'nog' goedkoper word.

Door TeMo, maandag 8 november 2010 10:33

Heel veel mensen denken dat dit niet zo veilig is. Maar ik denk persoonlijk dat de kans dat je in één keer de encrypte kraakt kleiner is, dan dat je nu inlogt op de rabobank, dan mijn rekeningnummer, pasnummer en identificatiecode raadt.

Edit
Ik ben niet zo goed met encryptie, dus I stand corrected. Maar stel er wordt een sleutel gebruikt van 512bit -> 64 byte.

Een rekeningnummer is 9 byte.
Een pasnummer is 4 byte
Een toegangscode is 8 byte

Totaal: 21 byte -> 186bit. Dus zelfs als er 265bit encryptie wordt gebruikt dan ben je veiliger dan het gokken van al deze toegangscodes.

Klopt dit?

[Reactie gewijzigd door TeMo op maandag 8 november 2010 10:41]

Door broodjekaas92, maandag 8 november 2010 10:42

als je bij inlogt op de site van je bank kan je ook zien waar je gepint hebt

Door TeMo, maandag 8 november 2010 10:44

Dat bedoel is ook precies wat ik bedoel. Ik probeer te zeggen dat als mensen dit onveilig vinden, het eigenlijk alleen maar een onderbuikgevoel is, en dat internetbankieren theoretisch onveiliger is.

Door MSalters, maandag 8 november 2010 16:27

Een rekeningnummer is 9 cijfers, niet bytes. 10^9 = 2^30 = 3,75 byte. Op dezelfde manier, pasnummer is 4 cijfers is 10^4 = 2^14 = 2,75 bytes en de toegangscode is 10^8=2^27=3,375 bytes.

Dus je redenering rammelt een beetje, maar grosso modo heb je wel gelijk: 256 bits encryptie is heel, heel veel beter dan een 14 bits pincode.

Door Mitchx3, maandag 8 november 2010 10:51

klein bedrag, pinnen mag.

« 1 2 3 »

Op dit item kan niet meer gereageerd worden.

10:39	Beveiliging Kinect is mogelijk al omzeild
09:15	Ddos-aanvallen leggen internet in Birma lam

Nieuws I/O

Shortcuts

Categorieën

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

27-05 Nieuws

00:38 Productreviews

01:13 Vraag & Aanbod

25-05 Jobs

20:30 Etc.

01:16 Reacties

01:16 Forum

25-05 Gesponsorde acties

27-05 Tweakblogs

26-05 Computable headlines

25-05 CRN headlines