Mastercard voorziet creditcard van keyboard en display
Mastercard heeft een nieuwe creditcard getoond die als extra beveiliging beschikt over een numeriek toetsenbord en een kleine display. De gebruiker kan de kaart daarmee een unieke authenticatietoken laten generen.
De creditcard, genaamd 'Display Card', functioneert hetzelfde als de hedendaagse authenticatie-apparaten die sommige banken gebruiken, zoals de e.dentifier van ABN Amro. De gebruiker toetst een code in op het toetsenbord, dat geen echte knoppen gebruikt maar aanraakgevoelig is. De kaart genereert vervolgens een unieke token die gebruikt kan worden om de identiteit van de gebruiker te verifiëren.
In de toekomst kan de display op de creditcard misschien nog meer informatie tonen, zoals recente transacties of het huidige saldo. De creditcard zal vanaf januari via de Standard Chartered bank verkrijgbaar zijn in Singapore. In de loop van 2013 zal de kaart volgens Mastercard ook beschikbaar worden in andere landen.
Reacties (78)
Aha dus eigenlijk een soort van pinpas met rabo reader ingebouwt. Opzich wel handig, maar ik zie niet helemaal hoe het bijvooreeld diefstal kan verhelpen.
Het verhelpt geen diefstal, maar op het moment is het voldoende om iemand zijn naam, cc nummer en cvv code te hebben om de kaart te gebruiken op internet.
Er worden ook systemen geïntroduceerd waar je de kaart in je random reader moet stoppen om te kunnen betalen, maar dat is onhandig omdat je dan altijd zo'n apparaat bij je moet hebben. Als dat op je cc zit is dat probleem weg.
Er worden ook systemen geïntroduceerd waar je de kaart in je random reader moet stoppen om te kunnen betalen, maar dat is onhandig omdat je dan altijd zo'n apparaat bij je moet hebben. Als dat op je cc zit is dat probleem weg.
Klopt, het is jammer dat eigenlijk alleen nederland gebruik maakt van een extra authenticatie laag voor credit cards. Zo moet ik idd bij m'n mastercard de random reader gebruiken, en bij m'n Visa card moet een gebruikersnaam en wachtwoord invoeren. Bij buitenlandse sites echter niet.
Nope in Belgie moet ik ook mijn "rekenmachientje" gebruiken voor mijn mastercard
Ik vind het precies andersom.
Ik vind het ontzettend irritant als een of andere Nederlandse site weer vindt dat er een speciale eigen laag nodig is. Vooral ook omdat het niet consequent is. Dan moet ik een wachtwoord invullen, en dan weer maanden niet. Uiteraard ben ik dat wachtwoord weer vergeten op het moment dat ik die betaling wil doen. En uiteraard is het wachtwoord anders dan mijn pincode.
En het beheer van dat wachtwoord, plus je andere adresgegevens is vaak niet simpel gekoppeld aan de website van de kaart, daar het vaak uitbesteed is. Dus bij verhuizing etc is het niet triviaal waar je je gegevens moet wijzigen. Uberhauopt is het wéér een database waar al je prive gegevens in staan. Wéér een database die gehacked kan worden ...
En het is zo ontzettend onnodig. De gebruiker wordt ingezet om het werk van de bank te doen. Credit cards zijn veel duurder dan andere betaalmiddelen. Een van de 'perks' is juist daarom nu net de veiligheid. Als er een onverlaat probeert iets te kopen, komt dat eerst op mijn rekeningafschrift, en heb ik alle tijd om te reclameren.
Al die romdslomp vooraf is enkel dat de banken zelf minder hoeven te controleren, en lagere kosten hebben.
Ik vind het ontzettend irritant als een of andere Nederlandse site weer vindt dat er een speciale eigen laag nodig is. Vooral ook omdat het niet consequent is. Dan moet ik een wachtwoord invullen, en dan weer maanden niet. Uiteraard ben ik dat wachtwoord weer vergeten op het moment dat ik die betaling wil doen. En uiteraard is het wachtwoord anders dan mijn pincode.
En het beheer van dat wachtwoord, plus je andere adresgegevens is vaak niet simpel gekoppeld aan de website van de kaart, daar het vaak uitbesteed is. Dus bij verhuizing etc is het niet triviaal waar je je gegevens moet wijzigen. Uberhauopt is het wéér een database waar al je prive gegevens in staan. Wéér een database die gehacked kan worden ...
En het is zo ontzettend onnodig. De gebruiker wordt ingezet om het werk van de bank te doen. Credit cards zijn veel duurder dan andere betaalmiddelen. Een van de 'perks' is juist daarom nu net de veiligheid. Als er een onverlaat probeert iets te kopen, komt dat eerst op mijn rekeningafschrift, en heb ik alle tijd om te reclameren.
Al die romdslomp vooraf is enkel dat de banken zelf minder hoeven te controleren, en lagere kosten hebben.
Het heeft allemaal niets met Nederland te maken, de Verified by Visa en Mastercard Securecode systemen zijn optioneel voor de verkopers.
Als verkoper kan je kiezen welke beveiligingsopties je gebruikt. In principe kan je voor authenticatieloos kaartnummer, naam + vervaldatum kiezen, maar dat doet niemand meer. CVV en authenticatie is wel de norm.
Doe je meer (door bijvoorbeeld dat wachtwoord) dan loop je minder risico. Het is namelijk zo dat de verkoper (deels) voor de kosten opdraait als een betaling vals is. Hoe meer beveiligingsopties, hoe duurder de transactie maar hoe minder je er zelf voor opdraait bij fraude.
Vandaar dat je vaak ziet dat kleine bedragen zonder werken, en hoe hoger het bedrag, hoe meer beveiligingslagen. Ook in het buitenland; in de VS wordt ook wel postcodeverificatie gebruikt (ook bij betaalautomaten), etc etc. Het heeft niets met Nederland te maken.
Als verkoper kan je kiezen welke beveiligingsopties je gebruikt. In principe kan je voor authenticatieloos kaartnummer, naam + vervaldatum kiezen, maar dat doet niemand meer. CVV en authenticatie is wel de norm.
Doe je meer (door bijvoorbeeld dat wachtwoord) dan loop je minder risico. Het is namelijk zo dat de verkoper (deels) voor de kosten opdraait als een betaling vals is. Hoe meer beveiligingsopties, hoe duurder de transactie maar hoe minder je er zelf voor opdraait bij fraude.
Vandaar dat je vaak ziet dat kleine bedragen zonder werken, en hoe hoger het bedrag, hoe meer beveiligingslagen. Ook in het buitenland; in de VS wordt ook wel postcodeverificatie gebruikt (ook bij betaalautomaten), etc etc. Het heeft niets met Nederland te maken.
Ik schreef dan ook "Nederlandse site" 
Overigens is het vaak niet eens de site zelf, maar het tussenbedrijf. Veel online webwinkels handelen niet zelf de creditcards, maar besteden uit. Die tussenpersoon beslist dan.
En dan wordt het vaak nog eens doorgelust naar verschillende tussenbedrijven bij verschillende kaarten, waarbij niet alleen kaarttype (VISA, MC, etc) maar ook land en uitgever relevant zijn.
Ik heb bijvoorbeeld twee VISA's waarbij de ene niet eens een wachtwoord heeft. Kunnen ze dus ook nooit om vragen.
Overigens is het vaak niet eens de site zelf, maar het tussenbedrijf. Veel online webwinkels handelen niet zelf de creditcards, maar besteden uit. Die tussenpersoon beslist dan.
En dan wordt het vaak nog eens doorgelust naar verschillende tussenbedrijven bij verschillende kaarten, waarbij niet alleen kaarttype (VISA, MC, etc) maar ook land en uitgever relevant zijn.
Ik heb bijvoorbeeld twee VISA's waarbij de ene niet eens een wachtwoord heeft. Kunnen ze dus ook nooit om vragen.
Je kunt uberhaubt niet zelf in creditcards handelen. De creditcard maatschappijen werken niet met webshops, dat is uitbesteed aan lokale geaccrediteerde bedrijven zoals Paysquare en EMS Card. Je dient een contract af te sluiten met een dergelijk bedrijf om credit cards te kunnen accepteren. Aangezien deze bedrijven dan weer alleen over de administratieve afhandeling gaan en niet over de technische hebben zij het technische gedeelte ook weer uitbesteedt. Daarom moet je, in aanvulling daarop, nog een contract afsluiten met een payment service provider, zoals Buckaroo, Ogone of MultiSafePay.
Je koppelt je webshop dus vervolgens aan de transactiesystemen van een van deze bedrijven
Maakt overigens in de praktijk niet uit, als je een wachtwoord moet invullen voor Verified By VISA is dat altijd het wachtwoord wat je bij VISA zelf hebt ingevuld, deze kun je dan ook gewoon via verified.visa.com wijzigen.
Je koppelt je webshop dus vervolgens aan de transactiesystemen van een van deze bedrijven
Maakt overigens in de praktijk niet uit, als je een wachtwoord moet invullen voor Verified By VISA is dat altijd het wachtwoord wat je bij VISA zelf hebt ingevuld, deze kun je dan ook gewoon via verified.visa.com wijzigen.
Al die rompslomp vooraf zorgt ervoor dat niet iedereen aan de haal gaat met jouw pasje. Dat heeft helemaal niets te maken met het feit dat banken persé proberen kosten te drukken. Ze willen zorgen dat CC's van het onveilige imago af komen.
Als je het allemaal zo'n rompslomp vindt, dan neem je hem toch niet? Het onthouden van een wachtwoord is nog altijd je eigen verantwoordelijkheid. Of moeten de normale Nederlandse banken ook de pincode maar opheffen? Want, tja, die is er volgens jouw logica ook alleen maar om de kosten van het traceren te drukken.
Nederland - en België - zijn juist goed bezig om dit soort systemen te implementeren, het is voor zowel de bank als de retailer aardig hoofdpijn als iemand belt met "Iemand heeft een aankoop gedaan op mijn creditcard". Nogal wiedes dat je daar een pincode of wachtwoord voor nodig hebt. En ook logisch dat elke bank een eigen authenticatie model heeft.
Rabobank heeft een random reader, ING heeft TAN codes. En in beide gevallen ben je zelf verantwoordelijk voor het onthouden van je wachtwoord of pincode. Waarom is dat met een CC ineens anders?
Als je het allemaal zo'n rompslomp vindt, dan neem je hem toch niet? Het onthouden van een wachtwoord is nog altijd je eigen verantwoordelijkheid. Of moeten de normale Nederlandse banken ook de pincode maar opheffen? Want, tja, die is er volgens jouw logica ook alleen maar om de kosten van het traceren te drukken.
Nederland - en België - zijn juist goed bezig om dit soort systemen te implementeren, het is voor zowel de bank als de retailer aardig hoofdpijn als iemand belt met "Iemand heeft een aankoop gedaan op mijn creditcard". Nogal wiedes dat je daar een pincode of wachtwoord voor nodig hebt. En ook logisch dat elke bank een eigen authenticatie model heeft.
Rabobank heeft een random reader, ING heeft TAN codes. En in beide gevallen ben je zelf verantwoordelijk voor het onthouden van je wachtwoord of pincode. Waarom is dat met een CC ineens anders?
Je kan wachtwoorden prima en veilig bewaren in Keepass.
Zet vervolgens de Keepass file in je Google Drive of in Amazon S3 omgeving en je kan overal en altijd bij je wachtwoorden en overige gegevens. Je kan er voorzorgen dat nog een aparte keyfile op een USB stick hebt staan om de database te kunnen openen. Je hebt dan 3 lagen:
- database zelf (kluis)
- keyfile (sleutel van de kluis)
- wachtwoord (cijfercombinatie)
Voordeel, je hoeft maar 1 wachtwoord te onthouden en je kan vervolgens voor elke applicatie, website whatever er in opslaan met unieke en sterke wachtwoorden.
Ik sla er dus ook licentiesleutels en heel wat andere zaken in op.
Wanneer je eenmaal bent omgeschakeld wil je niet meer anders. Ik start als eerste 's morgen keepass op omdat ik dan niet eens mijn werk kan doen. Daarbij: mocht je onverhoopt te komen overlijden dan heb je alle gegevens centraal staan. Uiteraard moet je er voor zorgen dat 2 nabestaande toegang hebben. Dit scheelt heel wat ongemak voor je nabestaanden wanneer je tijd daar is.
Ontopic:
Overigens mooie ontwikkeling deze pas al heb ik onderbuik gevoelens dat dit minder veilig is dan een aparte cardreader (stom slaat eigenlijk helemaal nergens op).
Zet vervolgens de Keepass file in je Google Drive of in Amazon S3 omgeving en je kan overal en altijd bij je wachtwoorden en overige gegevens. Je kan er voorzorgen dat nog een aparte keyfile op een USB stick hebt staan om de database te kunnen openen. Je hebt dan 3 lagen:
- database zelf (kluis)
- keyfile (sleutel van de kluis)
- wachtwoord (cijfercombinatie)
Voordeel, je hoeft maar 1 wachtwoord te onthouden en je kan vervolgens voor elke applicatie, website whatever er in opslaan met unieke en sterke wachtwoorden.
Ik sla er dus ook licentiesleutels en heel wat andere zaken in op.
Wanneer je eenmaal bent omgeschakeld wil je niet meer anders. Ik start als eerste 's morgen keepass op omdat ik dan niet eens mijn werk kan doen. Daarbij: mocht je onverhoopt te komen overlijden dan heb je alle gegevens centraal staan. Uiteraard moet je er voor zorgen dat 2 nabestaande toegang hebben. Dit scheelt heel wat ongemak voor je nabestaanden wanneer je tijd daar is.
Ontopic:
Overigens mooie ontwikkeling deze pas al heb ik onderbuik gevoelens dat dit minder veilig is dan een aparte cardreader (stom slaat eigenlijk helemaal nergens op).
google drive zou ik dan weer niet doen met je wachtwoorden, als je de privacy agreement even door leest zie je dat wanneer je iets op google drive zet het van google wordt. Ze mogen het dan herpubliceren etc, Niet de beste optie voor wachtwoorden.
OT: wat ik nergens zie staan is of de kaart ook veel dikker wordt. Zo'n display moet toch effect hebben op de dikte
OT: wat ik nergens zie staan is of de kaart ook veel dikker wordt. Zo'n display moet toch effect hebben op de dikte
Russische banken gebruiken ook een extra authenticatie laag voor credit cards
Creditcard maatschappijen staan garant voor de transactie als je als website dit soort extra beveiligingsmaatregelen toepast.
Doe je dit niet dan moet je zelf voor de schade opdraaien als het achteraf een valse kaart blijkt te zijn.
Veel buitenlandse sites en winkels nemen dit risico met kleinere bedragen voor lief omdat ze liever een verkoop realiseren dan een klant die op het laatste moment afhaakt.
Doe je dit niet dan moet je zelf voor de schade opdraaien als het achteraf een valse kaart blijkt te zijn.
Veel buitenlandse sites en winkels nemen dit risico met kleinere bedragen voor lief omdat ze liever een verkoop realiseren dan een klant die op het laatste moment afhaakt.
het grappige is, dat die extra identificatiemethode al bestaat. Ik moet bij sommige sites de mastercard netjes in de reader van Belfius stoppen, en het hele proces doorgaan. Het KAN dus, maar blijkbaar moeten er eerst ergens miljoenen gestolen worden van te veel gebruikers voor men het gaat verplichten.
Dus moet je dat dingtje van de bank altijd bij je hebben. Ik vindt het hoogst irritant als een webshop bij een creditcard betaling al die extra afhandeling meent te moeten gebruiken. Dit is lastig voor de gebruiker. En kan als negatief effect hebben dat die gebruiker liever besteld bij een zaak die de creditcard gegevens gewoon voor je in een database bewaart. En daar zit de echte onveiligheid: creditcard gegevens in databases van websites. We weten allemaal dat die onveilig zijn. Ik vind het vooral gebruiker treiteren door deze een eindeloze stroom van getallen te laten invullen; bij mijn bank: 16 voor het creditcard nummer, 4 voor de verval datum, de 4 cijferige pincode, 8 cijfers als "input veiligheidsgetal ", laten we zeggen 2 cijfers voor het bedrag, dan weer 8 cijfers als resultaat getal in de website. Dat is echt veel te veel, als ik met getallen had willen werken was ik wel accountant geworden.
Met het verschil dat een eindgebruiker niet kan weten of deze een reader of een pin terminal kan vertrouwen. Deze kaart is in dat opzicht een redelijke verbetering.
Leuke ontwikkelingen, alleen met al deze extra beveiligingen (wat overigens wel logisch is) valt het grootste voordeel van een creditcard wel wat weg, namelijk dat je alleen de pas nodig hebt. Het begint steeds meer op een normale pinpas te lijken zo, waar je tegenwoordig ook bijna overal mee kan betalen.
Ehm. Dit is toch juist een ontwikkeling die ervoor zorgt dat je nog steeds alleen de pas nodig hebt maar wel extra beveiliging hebt?
Het apparaat waar je de creditcard in wilt gebruiken geeft een code, die voer je in om een token te genereren. Zo heb je dus de voordelen van een tokengenerator, zonder een apart apparaatje bij je te moeten dragen.
Het apparaat waar je de creditcard in wilt gebruiken geeft een code, die voer je in om een token te genereren. Zo heb je dus de voordelen van een tokengenerator, zonder een apart apparaatje bij je te moeten dragen.
[Reactie gewijzigd door Patriot op donderdag 8 november 2012 19:17]
Opzich wel handig, maar je zou toch ook verwachten dat ze gelijk nfc toevoegen. 
Niet noodzakelijk. Voor NFC zul je ook NFC support naar voldoende betaalpunten moeten uitrollen voordat dat zinnig wordt. Dit systeem kunnen ze in principe direct online aanbieden.
Is Visa anders druk mee bezig, met Visa PayWave (al zeer groot in Australië)
http://www.visa.nl/nl/visa_voor_winkeliers/paywave.aspx
http://www.visa.nl/nl/visa_voor_winkeliers/paywave.aspx
Lekkere beveiliging dan, door slijtage zie je alsnog welke cijfers het zijn.
Als je code 4 cijfers bevat waar geen 8 en 6 in zit (tevens makkelijk te zien, heb je 4*3*2*1=24 mogelijke codes.
En de bewuste code zal opgeslagen zijn op de kaart, dus als daar een omweg voor gevonden is, valt de complete beveiligingslaag voor elke kaart weg.
Als je code 4 cijfers bevat waar geen 8 en 6 in zit (tevens makkelijk te zien, heb je 4*3*2*1=24 mogelijke codes.
En de bewuste code zal opgeslagen zijn op de kaart, dus als daar een omweg voor gevonden is, valt de complete beveiligingslaag voor elke kaart weg.
De pin-code is altijd opgeslagen op de kaart.... dat is ook de enige plek! Dus dat is een slecht argument, want dat geldt voor elke betaalpas.
Bovendien zijn het geen knoppen, maar is het aanraakgevoelig, daardoor zal het niet zo snel slijten. Ik denk dat het erg moelijk wordt de normale slijtage (van je portemonnee) te onderscheiden van eventuele slijtage op de knopjes.
En bovendien: 24 mogelijkheden is nog steeds wat te veel als je maar 3 mogelijkheden hebt....
Bovendien zijn het geen knoppen, maar is het aanraakgevoelig, daardoor zal het niet zo snel slijten. Ik denk dat het erg moelijk wordt de normale slijtage (van je portemonnee) te onderscheiden van eventuele slijtage op de knopjes.
En bovendien: 24 mogelijkheden is nog steeds wat te veel als je maar 3 mogelijkheden hebt....
Mijn betaalpassen hebben geen display, dus ik denk dat het iets anders is dan elke andere betaalpas. Daarbij valt de slijtage goed te zien omdat je drie plekken op de kaart hebt waar de slijtage waar je naar zoekt aanwezig zijn. En ik zie toch een verschil tussen 24 mogelijke codes en 10.000 mogelijke codes als je er maar die kan uitvoeren. (3 op tienduizend versus 3 op 24)
De knoppen worden gebruikt om een gegenereerde code in te toetsen. De kaart geeft vervolgens een nieuwe code die je op de website/betaalautomaat etc. in dient te voeren.
Hetzelfde dus als een reader die de Nederlandse banken gebruiken voor internet bankieren.
Er staat nergens dat je eerst een pincode in dient te toetsen!
Hetzelfde dus als een reader die de Nederlandse banken gebruiken voor internet bankieren.
Er staat nergens dat je eerst een pincode in dient te toetsen!
De random readers van de Nederlandse banken vragen ook een pincode, dat is de enige manier om te testen of de gebruiker van de pas ook de eigenaar van de pas is. Maar omdat de toetsen inderdaad ook voor het invoeren van controle-getallen gebruikt worden zal de slijtage wat meer verspreid zijn dan alleen op de vier cijfers van je pincode.
Nee hoor, geen enkele betaalpas zal de pincode op de pas hebben staan. De pincode wordt altijd bij de bank gecontroleerd.
Ja vast, dan werkt je random reader of E-identifer toch ook niet? Het is niet dat het ding WIFI heeft ofzo. Tevens kan ik elke willekeurige random reader gebruiken met mijn betaalpas, de code staat dus op de kaart! Anders kan je elke willekeurige pin invoeren. En dat ding meld het ook als je een foute pin invoert. En blokkeert ook naar 3 pogingen.
Er kan best een hash van je pincode op de pas staan, maar de pincode zelf zul je daar niet snel aantreffen. Zou toch niet echt veilig zijn.
En hoe breed schat je dat die hash zou zijn? Je sleutelruimte is 10000 elementen groot (als je even uitgaat van 4 cijfers en dat "1234" e.d. gewoon toegelaten zijn).
Je hash-ruimte moet kleiner zijn dan dat, want anders heb je niet echt een hash-functie vast. Lees: als je hash-ruimte groter is, dan gebruik je van die grotere ruimte maar een klein gedeelte. Vermits je sleutelruimte al makkelijk af te scannen is, is de gebruikte deelruimte van je hash-ruimte dat ook (in de veronderstelling dat het algoritme gekend is, wat normaal wel zo zou moeten zijn). Conclusie is: je hashruimte is kleiner.
Als we er dan nog even van uitgaan dat je hashfunctie ideaal is en de hash van je sleutels uniform verdeelt over de hash-ruimte, dan kan je ook de kans op een goede gok berekenen: dat is 1/ het aantal elementen in je hashruimte. Dus als je hash 5000 verschillende waarden kan aannemen, is de kans dat je door te gokken, kan authenticeren, 1/5000. In je oorspronkelijke sleutelruimte is die kans 1/10 000. Kortom: een hash zal je in dit geval helemaal niets helpen. Sterker nog: het maakt de beveiliging enkel minder sterk.
Bij wachtwoorden zit het verhaal anders in elkaar: je sleutelruimte is veel groter , die kan je al minder gemakkelijk afscannen. Bv. als je aanneemt dat een wachtwoord 32 alfanumerieke tekens kan bevatten, heb je een sleutelruimte van 190 bits, bv. de sha-1 hash gebruikt 160 bits). Je kan daar dus noch de sleutelruimte, noch de hash-ruimte efficient afscannen.
Ik verwacht dus eerder dat er wel ergens de pincode gewoon op je chipje staat. Eventueel met nog een codering over heen (maar dat zou ik geen encryptie durven noemen omdat de sleutelruimte cryptografisch gezien zo belachelijk klein is). De meest belangrijke beveiliging in die chips is volgens mij nog steeds dat het te duur is en te veel specialistische kennis vereist om die chip op andere manieren uit te lezen dan wat de standaardinterface toelaat.
Je hash-ruimte moet kleiner zijn dan dat, want anders heb je niet echt een hash-functie vast. Lees: als je hash-ruimte groter is, dan gebruik je van die grotere ruimte maar een klein gedeelte. Vermits je sleutelruimte al makkelijk af te scannen is, is de gebruikte deelruimte van je hash-ruimte dat ook (in de veronderstelling dat het algoritme gekend is, wat normaal wel zo zou moeten zijn). Conclusie is: je hashruimte is kleiner.
Als we er dan nog even van uitgaan dat je hashfunctie ideaal is en de hash van je sleutels uniform verdeelt over de hash-ruimte, dan kan je ook de kans op een goede gok berekenen: dat is 1/ het aantal elementen in je hashruimte. Dus als je hash 5000 verschillende waarden kan aannemen, is de kans dat je door te gokken, kan authenticeren, 1/5000. In je oorspronkelijke sleutelruimte is die kans 1/10 000. Kortom: een hash zal je in dit geval helemaal niets helpen. Sterker nog: het maakt de beveiliging enkel minder sterk.
Bij wachtwoorden zit het verhaal anders in elkaar: je sleutelruimte is veel groter , die kan je al minder gemakkelijk afscannen. Bv. als je aanneemt dat een wachtwoord 32 alfanumerieke tekens kan bevatten, heb je een sleutelruimte van 190 bits, bv. de sha-1 hash gebruikt 160 bits). Je kan daar dus noch de sleutelruimte, noch de hash-ruimte efficient afscannen.
Ik verwacht dus eerder dat er wel ergens de pincode gewoon op je chipje staat. Eventueel met nog een codering over heen (maar dat zou ik geen encryptie durven noemen omdat de sleutelruimte cryptografisch gezien zo belachelijk klein is). De meest belangrijke beveiliging in die chips is volgens mij nog steeds dat het te duur is en te veel specialistische kennis vereist om die chip op andere manieren uit te lezen dan wat de standaardinterface toelaat.
Er worden hier een aantal dingen door elkaar gehaald. Op een oude kaart met louter magneetstrip staat geen enkele pincode, maar wel een unieke code voor de kaart. Dit in combinatie met de ingevoerde pincode wordt gehashed en naar de bank gestuurd, die het vervolgens controleert. Omdat iedereen zomaar de magneetstrip kan uitlezen en kan dupliceren, is dit vrij fraudegevoelig - ze hoeven alleen nog je pincode te achterhalen en ze kunnen met een duplicaat vrolijk geld opnemen, terwijl jij je pas nog in je portemonnee hebt zitten en er dus geen ergen in hebt dat je bestolen wordt.
Op een kaart met een chip staat weldegelijk je pincode, maar die staat "ingegraveerd" in de chip zelf en is niet uit te lezen. Het is niet de random reader die je pincode controleert en je kaart blokkeert, het is de chip in de pas zelf die dat doet. Het zou anders ook wel suf zijn, dan kun je gewoon een reader wat modificeren om achter de pincode van een pas te komen. Het werkt volgens exact hetzelfde principe als een SIMkaart in je telefoon. Als het apparaat 3x aan de chip vraagt "is code X juist" en het is alle drie de keren fout, dan blokkeert de chip zichzelf.
Op een kaart met een chip staat weldegelijk je pincode, maar die staat "ingegraveerd" in de chip zelf en is niet uit te lezen. Het is niet de random reader die je pincode controleert en je kaart blokkeert, het is de chip in de pas zelf die dat doet. Het zou anders ook wel suf zijn, dan kun je gewoon een reader wat modificeren om achter de pincode van een pas te komen. Het werkt volgens exact hetzelfde principe als een SIMkaart in je telefoon. Als het apparaat 3x aan de chip vraagt "is code X juist" en het is alle drie de keren fout, dan blokkeert de chip zichzelf.
[Reactie gewijzigd door .oisyn op vrijdag 9 november 2012 00:39]
De e.dentifier blokkeert de pas niet, maar nadat een foutieve code is gegenereerd door een foutieve PIN-code, en je probeert in te loggen word het dus online geregistreerd/servers ABN Amro.
(Pasnr. + PIN + algoritme = inlogcode. Bij betaling is het Pasnr. + PIN + Sitecode (invoer/overtypen op e.dentifier zelf) + algoritme2 = betaalcode)
Dus je KUNT wel willekeurige PIN codes invoeren, echter zal de response foutief zijn en zal de website een fout geven (Als je de response dus niet overtypt zal er dus ook niets gebeuren). De e.dentifier zal geen toegang hebben tot een PIN code of hash: dit is gedaan zodat reverse engineering niet (zou) kunnen gebeuren.
Bij de Rabobank weet ik het echter niet, maar denk dat het ongeveer net zo werkt.
(Pasnr. + PIN + algoritme = inlogcode. Bij betaling is het Pasnr. + PIN + Sitecode (invoer/overtypen op e.dentifier zelf) + algoritme2 = betaalcode)
Dus je KUNT wel willekeurige PIN codes invoeren, echter zal de response foutief zijn en zal de website een fout geven (Als je de response dus niet overtypt zal er dus ook niets gebeuren). De e.dentifier zal geen toegang hebben tot een PIN code of hash: dit is gedaan zodat reverse engineering niet (zou) kunnen gebeuren.
Bij de Rabobank weet ik het echter niet, maar denk dat het ongeveer net zo werkt.
De Rabobank Random Reader controleert wel degelijk de PIN van de kaart en geeft een foutmelding als deze verkeerd is (of hij blokkeert weet ik niet).
Het is de chip in je pas die die controle doet, niet de reader.
De Digipass toestelletjes die in België bij de meeste banken gebruikt worden, controleren zelf of de pincode klopt. Vermits die geen verbinding maken met de bank, moet de code op de kaart staan.
Ehm, nee. De bank weet je pincode niet.
Ze weten je rekeningnummer en nog wat niet specifiek geheime gegevens en hebben ergens in een Hardware Security Module een master key zitten. Daarmee versleutelen ze je rekeningnummer en die andere gegevens en dat levert dan je pincode op. Dan wordt binnen een beveiligde omgeving een pin validatie code (niet de pin zelf) op de pas geschreven (en de pin code op een brief geprint), maar de pin code wordt daarna niet opgeslagen.
Diezelfde versleuteling herhalen ze bij de uitgifte van een nieuwe pas en dan komen ze dus op dezelfde code uit.
Op je pas staat de code dus ook niet. Daar staat ook alleen een versleutelde / gehashte versie, wat voldoende is voor de chip op je pas om de pincode te valideren, maar de pincode uitlezen is er niet bij.
Ze weten je rekeningnummer en nog wat niet specifiek geheime gegevens en hebben ergens in een Hardware Security Module een master key zitten. Daarmee versleutelen ze je rekeningnummer en die andere gegevens en dat levert dan je pincode op. Dan wordt binnen een beveiligde omgeving een pin validatie code (niet de pin zelf) op de pas geschreven (en de pin code op een brief geprint), maar de pin code wordt daarna niet opgeslagen.
Diezelfde versleuteling herhalen ze bij de uitgifte van een nieuwe pas en dan komen ze dus op dezelfde code uit.
Op je pas staat de code dus ook niet. Daar staat ook alleen een versleutelde / gehashte versie, wat voldoende is voor de chip op je pas om de pincode te valideren, maar de pincode uitlezen is er niet bij.
[Reactie gewijzigd door Orion84 op donderdag 8 november 2012 21:50]
Klopt bijna, maar niet helemaal.
De code staat wel op de backend van de bank/processor (AWL in Belgie). Anders zou het onmogelijk zijn je PIN te veranderen nadat de kaart is uitgegeven. Dit kan ook enkel op een online terminal (veelal dus de ATM).
Rekeningnummer wordt overigens nooit gebruikt in de HSM, de PAN wel, afhankelijk of er een ISO-0,-1 of -2 pinblock gebruikt wordt.
De code staat wel op de backend van de bank/processor (AWL in Belgie). Anders zou het onmogelijk zijn je PIN te veranderen nadat de kaart is uitgegeven
. Dit kan ook enkel op een online terminal (veelal dus de ATM).Rekeningnummer wordt overigens nooit gebruikt in de HSM, de PAN wel, afhankelijk of er een ISO-0,-1 of -2 pinblock gebruikt wordt.
Sommige banken bieden niet de mogelijkheid voor de klant om de PIN aan te passen.
Nutteloze beveiliging. Als je de validatiecode weet en het algoritme om te valideren (beide staan op de chip), dan heb je maar gemiddeld 5.000 stappen nodig om de pincode te achterhalen. Dat is zo weinig dat je het bij wijze van spreken zelfs nog met de hand zou kunnen doen.Dan wordt binnen een beveiligde omgeving een pin validatie code (niet de pin zelf) op de pas geschreven (en de pin code op een brief geprint), maar de pin code wordt daarna niet opgeslagen.
Toch staat de PIN code in veel gevallen in de chip. Bijvoorbeeld bij de Maestro passen die door de Nederlandse banken worden uitgegeven, is dat het geval. Ik raad je aan om eens naar de website www.emvco.com te gaan, en de specificaties door te lezen...
Het is helemaal niet nodig om die code op de kaart op te slaan voor dit systeem. De pincode die je intoetst wordt namelijk niet door de kaart geverifieerd, maar gecombineerd met andere gegevens (kaartnummer, sleutel op de chip, controlegetal van de betaalopdracht, datum/tijd, etc) tot een hashcode. Die hashcode komt dan op het schermpje, die toets je dan in op de website, dat gaat naar de bank. De bank controleert tenslotte of ze met dezelfde gegevens en de pincode die zij wél hebben (hopelijk ook als hash), op dezelfde code uitkomen.
Kleine verbetering:
De pincode heeft niets te maken met de token en wordt inderdaad niet opgeslagen, er wordt een hash van gemaakt en dat wordt opgeslagen in de chip, de pincode/hash verlaat deze chip niet, en zal dus ook niet gekend worden bij de bank. Deze dient enkel om toegang tot de diensten van de chip te verlenen.
Op het moment van het intypen van je pincode in deze kaart/reader, zal dit doorgegeven worden aan de chip, deze chip verifieert dan de pincode door de nieuwe hash met de opgeslagen hash te vergelijken.
Als de verificatie lukt, dan zal aan de hand van de sleutel op de chip, controlegetal van betaalopdracht, datum/tijd etc er een token gegenereerd worden en pas dan zal de chip dit doorgeven aan de reader/schermpje.
De bank kan dit dan verifiëren omdat ze je gebruiksgegevens en ook het certificaat/sleutel dat op de chip opgeslagen staat hebben.
De pincode heeft niets te maken met de token en wordt inderdaad niet opgeslagen, er wordt een hash van gemaakt en dat wordt opgeslagen in de chip, de pincode/hash verlaat deze chip niet, en zal dus ook niet gekend worden bij de bank. Deze dient enkel om toegang tot de diensten van de chip te verlenen.
Op het moment van het intypen van je pincode in deze kaart/reader, zal dit doorgegeven worden aan de chip, deze chip verifieert dan de pincode door de nieuwe hash met de opgeslagen hash te vergelijken.
Als de verificatie lukt, dan zal aan de hand van de sleutel op de chip, controlegetal van betaalopdracht, datum/tijd etc er een token gegenereerd worden en pas dan zal de chip dit doorgeven aan de reader/schermpje.
De bank kan dit dan verifiëren omdat ze je gebruiksgegevens en ook het certificaat/sleutel dat op de chip opgeslagen staat hebben.
Lol, al ZOU je gelijk hebben, dan nog is het 8*8*8*8. 10 mogelijkheden per digit (10-2(de 8 en 6 van jou verhaaltje vallen af)) en elke cijfer kan je natuurlijk meerdere keren gebruiken. Dan kom je al op 4096 verschillende combies.
Interessant, maar ik vraag me af of deze extra onderdelen de kaart niet een heel stuk dikker maken. Kan me voorstellen dat knoppen en een schermpje toch wel wat ruimte in nemen. Hiernaast nog een probleem: wat te doen als de batterij op is?
Het batterij probleem wat jij zegt was ook het eerste wat in mij opkwam bij het zien van de pas.
Er zitten geen zonnecellen op zo te zien dus dat gaat m al niet worden.
En het LCD of wat er ook zit heeft sowieso stroom nodig om de cijfers weer te kunnen geven.
Dus was even aan het googlen geslagen en vond dit:
What is the Life Expectancy of the card?
--------------------------------------------------------------------------------
The NIDS Display Card is designed to withstand real life usage conditions and highly resistant to regular wear and tear just like a regular credit card. The cards are EMV certified and passed the stringent MasterCard CSI (Card Structure and Integrity) process.
The embedded electronics are powered by an advanced battery. The life expectancy depends on several criteria such as model (event or timebase); frequency of usage; complexity of user interface;
Single Button (106EU/ES)
Minimum of 3 years or 15,000 OTPs under normal usage
Multiple Touch Button (306EU/ES)
Minimum of 3 years or 15,000 OTPs under normal usage
Single Button - Time Based (106TU/TS)
Minimum of 2 years or 10,000 OTPs under normal usage
Multiple Button - Time Based (306TU/TS)
Minimum of 2 years or 10,000 OTPs under normal usage
Dus als ie op is zal er dus gewoon een nieuwe kaart moeten komen.
Op deze site staat meer info over hoe een Displaycard werkt.
Er zitten geen zonnecellen op zo te zien dus dat gaat m al niet worden.
En het LCD of wat er ook zit heeft sowieso stroom nodig om de cijfers weer te kunnen geven.
Dus was even aan het googlen geslagen en vond dit:
What is the Life Expectancy of the card?
--------------------------------------------------------------------------------
The NIDS Display Card is designed to withstand real life usage conditions and highly resistant to regular wear and tear just like a regular credit card. The cards are EMV certified and passed the stringent MasterCard CSI (Card Structure and Integrity) process.
The embedded electronics are powered by an advanced battery. The life expectancy depends on several criteria such as model (event or timebase); frequency of usage; complexity of user interface;
Single Button (106EU/ES)
Minimum of 3 years or 15,000 OTPs under normal usage
Multiple Touch Button (306EU/ES)
Minimum of 3 years or 15,000 OTPs under normal usage
Single Button - Time Based (106TU/TS)
Minimum of 2 years or 10,000 OTPs under normal usage
Multiple Button - Time Based (306TU/TS)
Minimum of 2 years or 10,000 OTPs under normal usage
Dus als ie op is zal er dus gewoon een nieuwe kaart moeten komen.
Op deze site staat meer info over hoe een Displaycard werkt.
[Reactie gewijzigd door Sunbeam-tech op vrijdag 9 november 2012 00:17]
Voor het display zal toch wel een e-Ink gebruikt zijn?
Heb dit trouwens al een jaar of 5 geleden (of nog langer) al eens in elkaar gezet.
Ook een versie met een display, vergelijkbaar met een kleine gsm. Voor icoontjes enzo
Was een mooi concept, maar het opladen van de batterij was idd het grootste probleem
Heb dit trouwens al een jaar of 5 geleden (of nog langer) al eens in elkaar gezet.
Ook een versie met een display, vergelijkbaar met een kleine gsm. Voor icoontjes enzo
Was een mooi concept, maar het opladen van de batterij was idd het grootste probleem
[Reactie gewijzigd door MrNiles op vrijdag 9 november 2012 08:50]
Sowieso:
"The idea isn't a new one. It's not even MasterCard's first attempt. The company actually unveiled very similar cards in June 2010 for use in Turkey, and they have been rolled out to other countries such as Romania. Visa launched almost identical cards in Europe last year, and a company called Dynamics showed off some newfangled credit cards with displays at this year's Consumer Electronics Show. MasterCard touts the cards as a way to demand extra tokens from customers without making credit cards a hassle to use." ( http://arstechnica.com/ga...-touch-sensitive-buttons/ )
Ik denk trouwens dat het idee is dat je een one-time-code kan genereren door een willekeurige string van getallen in te voeren. Vervolgens voer je beide getallen in op een website en kan de bank controleren of de combinatie invoer en uitvoer klopt. Tenminste, dat lijkt me voor de hand liggender dan een vaste code gebruiken (ivm het eerder genoemde slijtageprobleem).
In tegenstelling tot wat veel mensen denken, is dit met name om creditcard-fraude tegen te gaan. Als alle passen van dit systeem voorzien zijn, heb je geen moer meer aan het stelen van creditcard-gegevens. Je MOET dan ook het hashing-algoritme + salt op de pas zelf bij de creditcard-gegevens hebben, anders kun je nooit een nieuwe one-time-code voor een volgende betaling genereren.
"The idea isn't a new one. It's not even MasterCard's first attempt. The company actually unveiled very similar cards in June 2010 for use in Turkey, and they have been rolled out to other countries such as Romania. Visa launched almost identical cards in Europe last year, and a company called Dynamics showed off some newfangled credit cards with displays at this year's Consumer Electronics Show. MasterCard touts the cards as a way to demand extra tokens from customers without making credit cards a hassle to use." ( http://arstechnica.com/ga...-touch-sensitive-buttons/ )
Ik denk trouwens dat het idee is dat je een one-time-code kan genereren door een willekeurige string van getallen in te voeren. Vervolgens voer je beide getallen in op een website en kan de bank controleren of de combinatie invoer en uitvoer klopt. Tenminste, dat lijkt me voor de hand liggender dan een vaste code gebruiken (ivm het eerder genoemde slijtageprobleem).
In tegenstelling tot wat veel mensen denken, is dit met name om creditcard-fraude tegen te gaan. Als alle passen van dit systeem voorzien zijn, heb je geen moer meer aan het stelen van creditcard-gegevens. Je MOET dan ook het hashing-algoritme + salt op de pas zelf bij de creditcard-gegevens hebben, anders kun je nooit een nieuwe one-time-code voor een volgende betaling genereren.
Ik betaal nog steeds met Paypal en mijn creditcard is gekoppeld aan mijn Paypal account.. ik vind het nog steeds een beetje eng om mijn creditcard gegevens in te vullen als ik online iets bestel... weird he?!
Waar haalt die display en knopjes en zo eigenlijk z'n stroom vandaan? Normaal krijgt ie dat van de kaartlezer. Zit er een batterijtje in, of wekken ze op een of andere manier stroom op uit je vingers? 
Zie een paar reacties hierboven; advanced battery blijkbaar :):
Sunbeam-tech in 'nieuws: Mastercard voorziet creditcard van keyboard en display'
Sunbeam-tech in 'nieuws: Mastercard voorziet creditcard van keyboard en display'
Op een rabo pinpas staat wel degelijk een pin, als ik de random reader gebruik voor ideal oid, en typ mijn pincode onjuist in, krijg ik daadwerkelijk de melding dat mijn ingevoerde pin onjuist is, en geeft hij mij nog 2 resterende pogingen. Dat kan hij alleen doen als hij dus de pin kan lezen van de pas.
Bij de rabo word die mischien ook in de code verwerkt die de random reader geeft, zodat er ook een check is vanaf de bank, maar de random reader checkt het dus zeker ook!
Bij de rabo word die mischien ook in de code verwerkt die de random reader geeft, zodat er ook een check is vanaf de bank, maar de random reader checkt het dus zeker ook!
Ja, dat is correct, maar om die pincode uit je pas te halen, moet je hem wel fysiek slopen, en dan wat magische code om de pincode te extraheren uit het hele lange getal wat je dan gaat vinden. Dus niet je pin, maar een lange code die overeenkomt met je pin. (door een een geheime key).
Maar dit idee, een soort "randomreader" op je pas, lijkt me erg prettig.
Je had vroeger al relatief buigbare rekenmachientje op licht energie, dus de kwetsbaarheid lijkt me niet het grootste probleem.
Maar dit idee, een soort "randomreader" op je pas, lijkt me erg prettig.
Je had vroeger al relatief buigbare rekenmachientje op licht energie, dus de kwetsbaarheid lijkt me niet het grootste probleem.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
