Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Maatschappij » Privacy & beveiliging » Pincode emv-chip blijkt vatbaar voor skimmen - update

Pincode emv-chip blijkt vatbaar voor skimmen - update

Door Bart de Water, vrijdag 18 maart 2011 10:42, views: 24.332

Onderzoekers hebben aangetoond dat de emv-chip, die de magneetstrip op pinpassen opvolgt, ook geskimd kan worden. De gevolgen voor pinnen in de EU lijken mee te vallen, omdat automaten meestal de pincode controleren bij de bank.

Emv-chip pincode skimmerVier onderzoekers presenteerden op de CanSecWest-conferentie in Vancouver de mogelijkheid om emv-chips te skimmen. Een klein printplaatje dat in de sleuf van de automaat kan worden geïnstalleerd, is genoeg om de aanval uit te voeren. De printplaat stuurt een aangepaste approved verification method-lijst naar de pinautomaat, waardoor de pincode tijdens de transactie onversleuteld door de automaat wordt gecommuniceerd naar de chip ter controle.

Deze aanval is alleen mogelijk als de automaat in offlinemodus is en dus niet communiceert met een server van de bank om de pincode te verifiëren. De onderzoekers slaagden er echter ook in om de communicatie tussen chip en automaat zo te beïnvloeden dat een offlinetransactie als eerste wordt gestart, als beide mogelijkheden worden aangeboden. In de Europese Unie komt de mogelijkheid voor offline transacties echter zelden voor en wordt het wereldwijd nooit gebruikt om contanten op te nemen bij geldautomaten.

Het maakt volgens de onderzoekers niet uit of de emv-chip van het type sda of het beter beveiligde dda is; van het laatstgenoemde type zijn er weinig in omloop. De skimactie is mogelijk terug te vinden in de logboeken van de automaat, maar de onderzoekers stellen dat detectie misschien te ontwijken is met een aangepaste aanval. Zodra de pincode eenmaal is bemachtigd, moet de pinpas worden gestolen of een kopie van de magnetische strip worden gemaakt. Dat laatste werkt alleen als de strip niet beveiligd is met een icvv-code, die kan aantonen dat er met de strip is gerommeld.

De gevonden kwetsbaarheid zal volgens de onderzoekers niet eenvoudig te verhelpen zijn, omdat het probleem in de specificatie van emv schuilt. De onderzoekers noemen verder het emv-standaard inadequaat en onnodig complex. Ook vinden ze het zorgelijk dat de bewijslast bij eindgebruikers wordt geplaatst als er fraude heeft plaatsgevonden, omdat het emv-standaard als veilig wordt beschouwd door banken.

Update 12:00: offline transacties moeten aangeboden worden door de automaat om misbruik te maken van deze kwetsbaarheid, dit komt in de EU echter zelden voor. Het artikel is hierop aangepast.

Volgende 10:56 Samsung toont 3d-display zonder bril, met lcd als lenslaag
Vorige 10:25 Dell introduceert nieuwe Vostro 3000- en Inspiron R-laptops
Advertentie

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 101 reacties zichtbaar1010 Off-topic / Irrelevant: 101 reacties zichtbaar101+1 On-topic: 46 reacties zichtbaar46+2 Informatief: 2 reacties zichtbaar2+3 Spotlight: 0 reacties zichtbaar0
«  1  2  3  »

Door Atlas85, vrijdag 18 maart 2011 10:45

Score: 1
Uiteindelijk is alles te skimmen/kopieren/hacken. Het zal in ieder geval moeilijker zijn dan bij de magneetstrip, maar wel weer een deukje in het imago van de grote voorvechters, die claimen dat dit absoluut veilig zou zijn.

Door EvilWhiteDragon, vrijdag 18 maart 2011 10:58

Score: 1
Het is op zich nog niet eens erg dat het te hacken is, maar wat het zorgelijk is dat er nu al meerdere methodes zijn voor skimmen, copieren en zonder het invoeren van een pincode betalen.
Nu is het ingewikkelder dan met de magneetstrip, maar daar heb je als klant niets aan omdat de banken nu ook de bewijslast naar de klant schuiven. Zonder toegang tot het geskimde/manipuleerde apparaat, de logs van de bank en misschien nog wel meer is het zo goed als niet te bewijzen. Dan ben je dus als consument hard de sjaak, omdat het mogelijk nog onzichtbaarder is dan skimmen van de magneetstrip.
Ik weet niet waar ik het laatst heb gezien, maar daar lieten onderzoekers zien dat je bij pinautomaten gewoon zonder pincode con pinnen omdat ze een man in the middle attack uitkonden voeren, waardoor de EMV chip dacht dat de lezer geen invoermethode accepteerde. Omdat het protocol zo gebouwt is dat je transactie dan toch door kan gaan ("klantvriendelijkheid"), is het mogelijk om dan zonder de echte pincode te betalen met een gestolen/gecopieerde pinpas.
Wat ook leuk is, is dat automaten zo verbouwt kunnen worden dat je een nader bedrag (en rekening) op het scherm/bon te zien krijgt dan dat je daadwerkelijk afrekend. Dan is je drankje misschien ineens geen 5 euro, maar 5000 euro.

Door Juok, vrijdag 18 maart 2011 11:09

Score: 1
De bank kan wel zeggen dat het bewijslast bij de klant ligt, maar de normale consument kan natuurlijk nooit zoiets bewijzen. Gezien de normale consument hier niet de middelen voor heeft. Als zoiets voor zou komen, dan kan je met de burden of proof de bewijslast omdraaien. De bank is immers de partij die zoiets het makkelijkst kan aantonen.

Door The Zep Man, vrijdag 18 maart 2011 11:17

Score: 1
De bank kan wel zeggen dat het bewijslast bij de klant ligt, maar de normale consument kan natuurlijk nooit zoiets bewijzen. Gezien de normale consument hier niet de middelen voor heeft. Als zoiets voor zou komen, dan kan je met de burden of proof de bewijslast omdraaien. De bank is immers de partij die zoiets het makkelijkst kan aantonen.
Maak je geen zorgen: een bank zal het nooit afschuiven naar de consument, zoals gedaan wordt in de situatie die de onderzoekers schetsen.

De belangrijkste steunpilaar van een bank is vertrouwen. Als dat wegvalt, valt de bank weg. Daarom dat elk skimincident uitgebreid door de bank wordt onderzocht en gedupeerde klanten het onterecht afgeschreven geld terugkrijgen. Met het nieuwe systeem zal dit niet veranderen. Immers zal een bank die onterecht geld van rekeningen laat afschrijven nooit lang overeind blijven staan.

Door Pixeltje, vrijdag 18 maart 2011 11:34

Score: 1
Behalve als alle banken hetzelfde protocol hanteren. Dan heeft het geen zin om weg te gaan bij je bank n.a.v. zo'n geval; de bank waar je heen zou willen hanteert dezelfde regels..

Denk wel dat ze daar onderling over hebben nagedacht hoor. Het gebeurt maar zelden dat de dader van zo'n skimactie gepakt wordt. Zelfs als dat wel gebeurt is het nog maar de vraag of al het gestolen geld nog teruggehaald kan worden. Criminele organisaties worden ook slimmer; ze laten een lowlife opdraaien voor de diefstal, hij krijgt misschien een procent van de 'opbrengst'. Van een kale kip kun je niet plukken, dus de banken zien over het algemeen weinig tot niets terug van het geld dat ze uitkeren aan bestolen klanten.

Als de banken dat zat zijn beleggen ze een vergadering, daar blijkt dat alle collega-banken het ook zat zijn. Uniforme regels opstellen en klaar is Kees (of eigenlijk, klaar is bank).

[Reactie gewijzigd door Pixeltje op vrijdag 18 maart 2011 11:36]

Door Sisko, vrijdag 18 maart 2011 12:43

Score: 1
En dan komt er een nieuwe bank op die wel klantvriendelijk blijft en wordt in een klap de grootste. Sorry hoor, maar jouw scenario is zo vergezocht, als de banken dat al zouden doen wordt er wel ingegrepen door een hogere instantie, of dat nu de nederlandse overheid of europa is.

Door Vorlon_Kosh, vrijdag 18 maart 2011 20:38

Score: 0
Behalve als alle banken hetzelfde protocol hanteren. Dan heeft het geen zin om weg te gaan bij je bank n.a.v. zo'n geval; de bank waar je heen zou willen hanteert dezelfde regels..
Wat er dan gebeurt vinden de banken nog veel vervelender: dan gaat men helemaal niet meer pinnen maar neemt men het hele salaris contant op en betaalt alles contant. Een soort bankrun light.

Door 3raser, vrijdag 18 maart 2011 11:41

Score: 1
De belangrijkste steunpilaar van een bank is vertrouwen. Als dat wegvalt, valt de bank weg. Daarom dat elk skimincident uitgebreid door de bank wordt onderzocht en gedupeerde klanten het onterecht afgeschreven geld terugkrijgen. Met het nieuwe systeem zal dit niet veranderen. Immers zal een bank die onterecht geld van rekeningen laat afschrijven nooit lang overeind blijven staan.
Dat klinkt bijna te mooi om waar te zijn. Helaas vind ik banken vergelijkbaar met verzekeraars. Zeker op het moment dat je afhankelijk van ze bent. En verzekeraars doen er ook alles aan om zo weinig mogelijk uit te hoeven keren.

Als skimmen vaker voor gaat komen zal de bank op den duur zeggen dat de klant zelf verantwoordelijk is. Dat recht hebben ze al, en als het ze veel geld gaat kosten zullen ze dat vast ook gaan gebruiken. Want dan moet de klant maar opletten bij het pinnen. Een verzekeraar keert ook niet uit als je auto bijvoorbeeld is leeggestolen zonder braakschade. Moderne technieken zorgen ervoor dat de diefstal (of het skimmen) vrijwel onzichtbaar blijft. Bijkomend effect is dat klanten zichzelf gaan bestelen en zeggen dat ze geskimd zijn. Op zo'n moment zullen banken dus echt niet meer uitkeren. Ongeacht of je nu wel of niet werkelijk slachtoffer van skimming bent.

Door sundace, vrijdag 18 maart 2011 11:54

Score: 1
Ze kunnen het alleen afschuiven op het moment dat er niets met de automaat kan gebeuren. Dus op het moment dat ze het naar je afschuiven, moeten ze jou ook toegang verlenen tot de logs van de pinautomaat, zodat je zaken kan nalopen.

Een verzekeraar is wat anders. Als er iets uit je auto gestolen wordt, kunnen ze idd aan jou vragen om maar te laten zien dat je er niets aan kon doen. Het is immers jou auto.
Bij de bank is het echter hun automaat en niet de mijne. Dus laat de bank maar bewijzen dat de automaat goed is. Als daar uitkomt dat er niets aan de hand is, dan kunnen we verder gaan kijken. Al denk ik dat als er iets mis is met de automaat, dat de bank meer klanten krijgt met klachten en dan wordt het voor hen lastig van zich afschuiven.

Zelfde geldt overigens voor een verzekeraar. Als de eigenaren van een bepaald type auto ineens allemaal inbraken melden zonder inbraaksporen, dan weten de verzekeraars en de politie ook wel dat er iets aan de hand is.

Door Folke, vrijdag 18 maart 2011 11:55

Score: 1
Maak je geen zorgen: een bank zal het nooit afschuiven naar de consument, zoals gedaan wordt in de situatie die de onderzoekers schetsen.
Ik weet uit eigen ervaring dat de meeste banken niet zo'n boodschap hebben aan het "vertrouwen" van één consument. Als het er veel zijn (Bijenkorf 2 jaar terug?) en ze zitten bij Kassa of Radar dan zijn de banken ineens heel braaf.

Ik heb moeten vechten tot de rechter voor een paar rot centen (is de rechtsbijstand verzekering in iedergeval niet voor niets)

Door BeosBeing, vrijdag 18 maart 2011 11:59

Score: 0
De enige oplossing is volgens mij gewoon weer te gaan betalen met muntgeld, en dan niet de Euro (één munt voor heel Europa is op zich wel een goed idee, maar die moet waardevast zijn, dus niet zo'n inflatiemunt, ook al weet men de inflatie laag te houden) maar een munt met een intrinsieke waarde, zoals gouden of zilveren munten, ook al kunnen die niet zo mooi geslagen zijn, en zijn ze niet zo hard en slijtvast als de huidige. Of papiergeld behouden moet blijven, wil ik geen uitspraken doen, ook dat is op termijn altijd te vervalsing, net zoals alles te hacken is.

Door PepijnK, vrijdag 18 maart 2011 13:08

Score: 1
Papiergeld had al jaren geleden afgeschaft moeten worden. Er zijn vele male praktischer materialen beschikbaar om geld van te maken. Zie bijvoorbeeld de bankbiljetten in Australie, die zijn van plastic. Daar kan je niet op schrijven, die kunnen niet scheuren, kunnen doorzichtige delen hebben en noem maar op.

Door mae-t.net, zaterdag 19 maart 2011 21:24

Score: 1
Ik zou een stapje minder ver teruggaan en gewoon met bankbiljetten en niet-intrinsieke munten betalen. Dat systeem heeft zich goed bewezen en kent niet de nadelen van intrinsieke munten noch die van virtueel geld zoals bij banken in gebruik.

Door leuk_he, vrijdag 18 maart 2011 11:03

Score: 1
Het is een groter probleem als dit signaal genegeerd wordt. Dat is precies wat bij de ov-chipkaart is gebeurd. Onderzoekers tonen aan dat er een lek zit. Dit wordt gebagitaliseerd, en bij invoereing 2 jaar later blijkt het hele systeem zo lek als een mandje.

De oplossing is hiervoor simpel: sta geen terminals meer toe die ongeencrypte verificatie toestaan. (aanpassing van standaard). Dat is niet zo heel simpel omdat je met levernaciers hebt te maken.

Niks doen omdat skimmers de kaart toch nog niet hebben is niet slim.

Door worldcitizen, vrijdag 18 maart 2011 11:41

Score: 0
Het is een groter probleem als dit signaal genegeerd wordt. Dat is precies wat bij de ov-chipkaart is gebeurd. Onderzoekers tonen aan dat er een lek zit. Dit wordt gebagitaliseerd, en bij invoereing 2 jaar later blijkt het hele systeem zo lek als een mandje.
Het valt mee, het is zeker niet zo lek als een mandje.
Zodra de pincode eenmaal is bemachtigd, moet de pinpas worden gestolen of een kopie van de magnetische strip worden gemaakt.
De magneet strip verwijderen als optie en de kaart is weer "veilig".

Natuurlijk moeten banken security op de voet blijven volgen.

Daarbij is de emv-chip niet te vergelijken met de MIFARE Classic card.

Ik vraag me af hoe het zit met de chip de "Nederlandse" Europassen. Ik verwacht dat deze minimaal net zo "veilig" zijn als de emv chip.

[Reactie gewijzigd door worldcitizen op vrijdag 18 maart 2011 11:41]

Door WVL_KsZeN, vrijdag 18 maart 2011 12:08

Score: 1
Of een aparte pincode voor de magneetstrip en voor de emv-chip.. dan kan de magneetstrip blijven, zelfs al is je emv-pincode geskimd.

Door OverSoft, vrijdag 18 maart 2011 12:46

Score: 1
Leuk idee, maar dat ga je er natuurlijk NOOIT inkrijgen bij de gemiddelde consument.
De gemiddelde persoon zal het geen fluit uitmaken hoe ze hun pas in een automaat stoppen en hoe die gelezen wordt en ze willen zich daar ook helemaal niet mee bezig houden.

Door leuk_he, zaterdag 19 maart 2011 12:45

Score: 1
Ov chipkaart is nu hardstikke lek. Met genoeg technische kennis kun je reizen zonder dat controleurs dit kunnen checken. Wellicht was dit op te lossen toen in een vroeg stadium signalen kwamen dat de MIFARE chip geen goede encrypty had. Je kunt het bagitaliseren dat strippenkaarten ook te vervalsen zijn en dat men nog steeds kan reizen. Maar als betrouwbaar systeem heeft het gefaald.

Blijkbaar heeft de EMV chip ook een lek. Wellicht is die zelfs te dichten. Dat moet nu aandacht krijgen i plaats van uitspraken "het valt wel mee", of "er zijn andere manieren om dit te detecteren"


Als op je europas en Mastercard of Visa symbool staat kun je er van uit gaan dat de chip op de kaart de EMV standaard gebruikt.

Door Blokker_1999, vrijdag 18 maart 2011 11:43

Score: 0
veiligheid is nooit absoluut. Alles is te breken.

Door herbalx, vrijdag 18 maart 2011 12:17

Score: 0
Moeilijker weet ik niet, maar ik blijf nog met de "oude" techniek pinnen omdat ik dan nog zicht heb om eventueel geplaatst apparatuur. bij de insteekgleuf kan ik niet zien of er mee geknoeid is....

Door GetBack, vrijdag 18 maart 2011 10:46

Score: 0
Nouja gelukkig leert de overheid van het debacel met de chipkaart.......en zullen ze ws deze kaart ook door onze strot drukken met financiele gevolgen van dien.

Door Aragnut, vrijdag 18 maart 2011 10:51

Score: 0
wordt deze methode niet nu al gebruikt?
ik kan al pinnen via mijn chip ipv magneetstrip

Door anandus, vrijdag 18 maart 2011 10:53

Score: 1
Gelukkig heeft de overheid hier niets mee te maken. Klagen mag bij je bank ;)

Door mtsr, vrijdag 18 maart 2011 11:11

Score: 1
Of bij Currence, het bedrijf dat in Nederland de PIN-betalingen uitbaat.

Of bij EuroCard, MasterCard en VISA, die de EMV standaard hebben ontwikkeld.

Door RV, vrijdag 18 maart 2011 11:20

Score: 1
Typisch voorbeeld van klagen om maar te kunnen klagen. Alles vastpakken wat je kan om iets in een slecht daglicht te stellen. Het is de bank, niet de overheid.

Door johnkessels87, vrijdag 18 maart 2011 10:47

Score: 0
Wat is er mis met Cash geld...

Ontopic:

Is het überhaupt mogelijk een "echt veilig" betaalsysteem te maken?

Door Goldin, vrijdag 18 maart 2011 10:49

Score: 0
Je kan wel een "echt veilig" systeem maken, maar dan is het nog altijd een kwestie van tijd voor dat deze ook gekraakt word.

Het blijft altijd een kat en muis spelletje.

Door Pirate-Bozz, vrijdag 18 maart 2011 10:49

Score: 1
Het is waarschijnlijk wel mogelijk om iets te maken wat een aantal jaren onkraakbaar blijft. Maar dat zal wel zoveel kosten dat het niet rendabel om te doen is.

Dat blijft namelijk altijd een factor in deze zaken.

Door Atlas85, vrijdag 18 maart 2011 10:49

Score: 1
Cash geld is nog makkelijker te kopieren.

Wat is er mis met cash?
Welnu:
-Makkelijk na te maken
-Onveilig voor de gebruikers (overval-risico)
-Niet duurzaam
-Duur (handlingkosten en opslag)
-Tijdrovend

Door Neko Koneko, vrijdag 18 maart 2011 10:53

Score: 1
Klopt, maar als iemand dat doet kan hij daarmee niet mijn bankrekening leegroven.

Zelfs als iemand 10 euro van me steelt geeft hem dat geen mogelijkheid om mijn bankrekening leeg te roven. Contact geld is in dat opzicht dus relatief veilig.

Door Roland684, vrijdag 18 maart 2011 11:09

Score: 1
-Makkelijk na te maken
Maar lang niet zo makkelijk/goed als een digitaal systeem als een chip of magneetstrip.
Alleen een watermerk kost al meer moeite dan een ov-chipkaat manipuleren.

-Onveilig voor de gebruikers (overval-risico)
Mes in je rug bij de pinautomaat en je bankrekening is geplunderd. Met contact geld ben je alleen kwijt wat je op zak hebt. En winkeliers alleen wat ze nog niet afgestort hebben, oftwel alleen het wisselgeld.

-Niet duurzaam
Munten in 100 jaar nog niet slijten niet noemenswaardig en papiergeld gaat langer mee dan een bankpas. Euro-biljetten zijn nog redelijk kwetsbaar, neem roemeense Lei, die briefjes zijn bijna onverwoestbaar. Je kunt ze echt niet doorscheuren.

-Duur (handlingkosten en opslag)
Al die apparatuur, infrastructuur, en servers/administatie zijn ook niet gratis.

-Tijdrovend
Dat doen winkels zelf door alles voor 2.98 in de schappen te zetten ipv 3 euro.
En die tijd win je 10 keer terug bij de zoveelste storing.

+
Contant geld is niet sturingsgevoelig, duidelijk voor de gebruiker wat er gebeurd en de bediening overal hetzelfde.

Door BeosBeing, vrijdag 18 maart 2011 15:35

Score: 1
Maar over contant geld hebben de banken geen controle, over giraal geld wel.
Controle betekent dat je er aan kunt verdienen.

Maar met contant geld zijn je transacties niet te traceren. Spaar je geld op in de (brandwerende en braakbestendige) kluis thuis en als je 5.000 hebt gespaard die je bij je hypotheek wilt leggen als je een huis gaat kopen, krijg je geheid vragen van de belastingdienst waar dat geld vandaan komt. Ze gaan er van uit dat je dat dan zwart verdient hebt.

In contante transacties kan de belastingdienst geen inzage krijgen, het werkt dus een zwart circuit in de hand en ze hebben er geen overzicht over.

Dat zijn de ware redenen waarom alles nu giraal moet. Eerst hebben we de goud (- en zilver-) standaard overboord gegooid zodat de schulden van met name de overheid door middel van inflatie verminderd worden en we via de banken het geld konden vermenigvuldigen. Nu moet voor hen ook het cash geld afgeschaft worden.

Giraal geld kun je blokkeren, een bankpas kun je blokkeren, een ov-chipkaart kun je blokkeren, als je opsporingsdiensten iemand zoeken, kunnen ze die heel effectief hinderen als hij nergens kan betalen, niet voor vervoer niet voor drinken en voedsel, en als hij het toch probeert, wordt hij gelijk gedetecteerd.

Door BastiaanCM, vrijdag 18 maart 2011 10:52

Score: 1
Vals cash geld, niet traceerbaar zwart geld, overvallen in winkels voor geld, overvallen op personen zelf, brandbaar.

Meh, ze hebben aangetoond dat je via de chip ook achter de pincode kunt komen. Alsof ik dat nog niet wist ? Dat ging ze sowieso wel lukken. Er zitten momenteel nog wel "maar"-en aan dus zo erg is`t nog niet ?

Bovendien zijn we eindelijk van niet werkende magneetstrippen af, sommige mensen gaan dan niet geloven dat hun pas het niet doet en staan een paar minuten dat ding er door heen te halen - pin automaat maar piepen :p

Door web_wil, vrijdag 18 maart 2011 11:22

Score: 1
Aan de andere kant: als alles digitaal zou zijn dan zou het voor overheden ook heel erg gemakkelijk zijn om 'ongewensten' in 1 keer volledig uit te sluiten van wat voor economische deelname dan ook.

Theoretisch kun je dan met 1 druk op de knop iemand tot de hongerdood veroordelen.

Ik chargeer hier, dat weet ik.. maar je weet nooit dat de overheid zoals die er nu is er over 100 jaar nog is. Voor hetzelfde geld (no punt intended) is het dan opeens een dictatuur en is verzet onmogelijk omdat je anders buiten gesloten wordt van alle middelen.

Noem maar een dwarsstraat..

Door Vorlon_Kosh, vrijdag 18 maart 2011 20:44

Score: 0
Theoretisch kun je dan met 1 druk op de knop iemand tot de hongerdood veroordelen.
Hoezo theoretisch? Heeft de overheid een tijd terug niet een terrorisme verdachte verboden nog een ban krekening te hebben? Die persoon kan dus alleen nog maar zwart betaald worden,.

Door tygetjuh, vrijdag 18 maart 2011 10:54

Score: 2
Nee.

Om je te authenticeren, zul je iets aan informatie moeten opgeven. Of dat nou een pincode, een irisscan of je DNA is, het is informatie. En die informatie moet makkelijk genoeg zijn om op een ander moment in een andere situatie identiek genoeg te zijn om geaccepteerd te worden, maar moeilijk genoeg om niet eenvoudig door een ander nagebootst te kunnen worden.

Dus hoe moeilijk je authenticatiesysteem ook is, uiteindelijk valt elke vorm van authenticatie na te bootsen. Een wachtwoord van 20 tekens wordt als 'veilig' bestempeld, maar het is niet onmogelijk om al dan niet toevallig hetzelfde wachtwoord te reproduceren. Hetzelfde geldt voor een wachtwoord van 1000 tekens. Alleen is de kans daarvan kleiner, maar deze is ook niet makkelijk genoeg om zelf te reproduceren.

Cash is ook niet veilig. Het kan uit je handen gejat worden waar je bijstaat. Eigenlijk moeten dit soort problemen bij de bron aangepakt worden. Iets met criminelen en ruimtereizen enzo. :+

Door BeosBeing, vrijdag 18 maart 2011 15:36

Score: 0
Verbannen naar het toen vrijwel onbereikbare Australië hebben de Engelsen al eens geprobeerd, lost uiteindelijk niets op.

Door Aragnut, vrijdag 18 maart 2011 10:54

Score: 1
Met de chip zou je kunnen zeggen dat alleen de chip met wat koper connectoren verbonden hoeft te worden naar het apparaat. Als je de verbindingen in een heldere plexiglas behuizing giet, dan kan daar niet gerommeld worden. ALs het apparaat vervolgens fysiek beveiligd is tegen aanpassen (wat nu vaak al te zien is bij mijn weten) dan kan zo'n chip ook niet meer geplaatst worden.

Door gjvdree, vrijdag 18 maart 2011 11:33

Score: 0
ja, maar het moet ook bruikbaar blijven

Door de.professor, vrijdag 18 maart 2011 11:36

Score: 0
Is het überhaupt mogelijk een "echt veilig" betaalsysteem te maken?
Ja hoor, direct ruilhandel. De oudste vorm van "betalen" en geheel veilig zolang het om goederen gaat. Diensten zijn uiteraard een heel ander verhaal, hierover kan nog weleens een geschil ontstaan over de kwaliteit van de geleverde prestatie, maar dat het je nu bij geld/pin/bankoverschrijvingen ook.

Door sundace, vrijdag 18 maart 2011 11:59

Score: 0
Directe ruilhandel is ook niet veilig..
denk aan vervalsingen of berovingen...

Door Vorlon_Kosh, vrijdag 18 maart 2011 20:58

Score: 0
Diensten zijn uiteraard een heel ander verhaal, hierover kan nog weleens een geschil ontstaan over de kwaliteit van de geleverde prestatie,
Goederen ook hoor. Ik wil mijn 2 koeien terug, die laptop was defect! Hoezo, die koe was ziek?

[Reactie gewijzigd door Vorlon_Kosh op vrijdag 18 maart 2011 20:59]

Door Vhough, vrijdag 18 maart 2011 10:49

Score: 0
Nee, alles is te kraken:)

Door Kadardar, vrijdag 18 maart 2011 10:50

Score: 1
Zou dat gaan btekenen dat het nieuwe pinnen word uitgesteld en dat de passen gaan vervangen worden met een andere chip of gaan we het toch nog doorvoeren en gewoon opletten of de sleuf wel klopt?

maar dan is ook de vraag hoe lang dat nieuwe veilig zou zijn.

[Reactie gewijzigd door Kadardar op vrijdag 18 maart 2011 10:51]

Door BastiaanCM, vrijdag 18 maart 2011 10:59

Score: 0
Nee joh dat word gewoon doorgevoerd. Sowieso is alles te hacken en dit is toch veiliger dan de magneetstrip.

Door BeosBeing, vrijdag 18 maart 2011 15:39

Score: 0
Veiliger, blijkbaar dus niet, zelfs makkelijker voor de skimmers want ze hebben geen camera meer nodig om de pin te achterhalen. Wel is het betrouwbaarder in de zin dat de chip niet slijt door gebruik, terwijl de magneetstrip op een krom pasje (portemonaie in je kontzak) al niet meer werkt.

Door Vorlon_Kosh, vrijdag 18 maart 2011 21:00

Score: 0
Die chip kan ook kapot hoor. Paar pasjes op elkaar en dat is zo gebeurd.

Door mtsr, vrijdag 18 maart 2011 11:25

Score: 1
De EMV-chip wordt inmiddels al een aantal jaar gebruikt in het Verenigd Koninkrijk en daar zijn vooralsnog geen grote problemen ontstaan. De chip is in elk geval veiliger dan de magneetstrip, omdat deze niet (zomaar) te kopiëren is.

Door Atlas85, vrijdag 18 maart 2011 11:43

Score: 0
In Nederland kun je ook al op heel veel plaatsen op deze wijze betalen. En ook met creditcards.

Door sundace, vrijdag 18 maart 2011 12:01

Score: 1
Nee, het probleem is immers snel en makkelijk op te lossen:
Sta geen pintransakties toe zonder verbinding met de server.
Meestal zijn die verbindingen er toch wel omdat er gekeken moet worden of je uberhaupt geld op je rekening hebt staan :)

Daarnaast is de emv chip altijd nog veiliger dan de huidige magneetstrip.

Door tigger, vrijdag 18 maart 2011 10:51

Score: 1
De printplaat stuurt een aangepaste approved verification method-lijst naar de pinautomaat, waardoor de pincode tijdens de transactie onversleuteld wordt gecommuniceerd.
Ik dacht dat het met een challenge-response mechanisme zou werken, maar de ontwerpers hebben er een 'backdoor' in gelaten en daar wordt nu handig gebruik van gemaakt |:( 8)7

Door Alcmaria, vrijdag 18 maart 2011 10:52

Score: 1
Ik geloof eigenlijk niet zoveel van dit verhaal
De chip communiceert NOOIT de clear pin naar andere apparaten, het is daar simpelweg niet toe in staat. Het enige wat de chip communiceert is een GOED of FOUT vlag richting de terminal.
Ook als de chip online gaat wordt de PIN niet gestuurd naar het autorisatiesysteem, alleen een waarde die zegt of de PIN wel of niet juist is gecontroleerd.

Wat wel mogelijk is gebleken is dat je aan de terminal een waarde "PIN IS OK" teruggeeft terwijl de chip zegt.. PIN IS NOK", ook daar moet hardware zitten tussen de CHIP en de Terminal.

Door jeroenr, vrijdag 18 maart 2011 11:13

Score: 2
Het is ook niet de chip die de pin stuurt, het is de terminal die de PIN stuurt. Normaal doet die dit versleuteld, maar het is blijkbaar mogelijk om hem dus terug te laten vallen naar onversleuteld versuren.

Door Aragnut, vrijdag 18 maart 2011 11:15

Score: 1
Je zult toch ergens een vergelijking moeten doen van de PIN met de opgeslagen gegevens. Van wat ik van het verhaal begrijp wordt via een "beveiligd" communicatiepad de ingevoerde pin naar de chip gestuurd, deze bekijkt hem, en stuurt een OK of NOK terug. Ik heb me niet ingelezen in de werking van deze chip, dus ik kan er naast zitten.

Door BrightPaulie, vrijdag 18 maart 2011 13:16

Score: 0
Klopt, de PIN wordt als parameter aan een verificatie commando aangeboden. De vergelijking wordt in de chip gedaan en een OK status code teruggestuurd.

Bij een plain text PIN, wordt deze gewoon naar de chip gestuurd en kan onderschept worden. Er kan ook een YES-card gemaakt worden welk op het verificatie commando gewoon altijd een OK terugstuurd (eerder gepubliceerde Cambridge aanval).

Indien er een enciphered PIN optie is, dan wordt deze in non-plain gestuurd.

Door _Erikje_, vrijdag 18 maart 2011 10:52

Score: 0
gelukkig wordt pin-op-chip nu gepromoot. of zijn hier ook al dikke skimhacks voor...

Door Zsub, vrijdag 18 maart 2011 10:58

Score: 0
Daar gaat dit nu juist over.

Door jeroenr, vrijdag 18 maart 2011 11:14

Score: 0
Het gaat hier over de chip...

Door jeroen234, vrijdag 18 maart 2011 11:22

Score: 0
Dit gaat juist over pin op chip

Door goovy75, vrijdag 18 maart 2011 15:18

Score: 0
Nee,

het gaat over automaten met emv-chip EN magneet kaart lezer.

De verwachting is dat over een aantal jaar alleen automaten zijn met CHIP only.

Dat zal stukken veiliger zijn. Het probleem is weer de kosten voor de mkb-ers en bedrijven die WEER moeten investeren in een automaat die chip only is omdat de banken dat opleggen.

Het waren de banken die winkels verplichten om de huidige automaten(dus chip emv en paslezer) verplicht stellen. Het zal iets veiliger worden als er chip-only is omdat de chip geintegreerd is in de automaat. Zodra deze open gebroken wordt of iets dergelijks zal de automaat gelijk "bricked" zijn en dus niet meer bruikbaar.

Een skim-actie op een chip zou je als winkel eigenlijk altijd moeten zien dan.

Ook een stukje over verantwoordelijkheid van de winkels.

Winkels zijn verplicht om te controleren of er niet gerommeld is aan de automaat.
Zelfs als de automaat iets verschoven is moeten ze alarm slaan omdat er mogelijk iets gebeurd is met de automaat. Ze hebben een onderzoeksplicht maar dat is wel gebonden aan wat ze wel kunnen weten en niet. Een interne skim waar je aan de buitenkant niets van ziet kun je ze dus moeilijk kwalijk nemen.

Door Powermage, vrijdag 18 maart 2011 17:25

Score: 0
Nederland is een van de laatste die overstappen op de EMV chip, de meeste automaten die het niet meer ondersteunde waren vaak al enorm oud en waren vaak al 2x afgeschreven.

Daarnaast hoef je geen 'Chip Only' automaat aan te schaffen, dmv een software parameter is de magneetstrip gewoon uit te schakelen.
(sterker nog, de nieuwste types hebben allemaal nog een magneetstrip lezer erop zitten)

Een winkel heeft overigens geen harde/wettelijke plicht om eea te controleren,
het word wel ten strengste aangeraden, ook worden er bijvoorbeeld stickers met unieke nummers gebruikt om problemen snel te kunnen zien, maar als elke winkel ging bellen als een automaat iets verschoven zou zijn moest bellen hadden we als leverancier waarschijnlijk wel een probleem gehad.

Door Amdk6II, vrijdag 18 maart 2011 10:53

Score: 0
Hoe doen ze dat in het buitenland dan? Ik dacht dat EMV daar grotendeels de standaard is.

Door BeosBeing, vrijdag 18 maart 2011 15:42

Score: 0
Tuurlijk, daar beginnen ze nu aan een veiliger systeem te ontwerpen terwijl wij nu pas de EMV gaan invoeren. Zolang het veilig was gebruikten we het niet, zodra het onveilig is geworden voeren we het in (, net als bij de mifare classic in de ov-chipkaart). 8)7

[Reactie gewijzigd door BeosBeing op vrijdag 18 maart 2011 15:42]

Door Sargeman, vrijdag 18 maart 2011 10:54

Score: 1
Waarom is het eigenlijk mogelijk om de communicatie modus te wijzigen :S? Volgens mij gewoon kwestie van de software aanpassen dat de pincode niet onversleuteld verstuurd kan worden.
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 10:56 Samsung toont 3d-display zonder bril, met lcd als lenslaag
Vorige 10:25 Dell introduceert nieuwe Vostro 3000- en Inspiron R-laptops
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011