Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 78, views: 49.708 •
Submitter: Hageltje

Mastercard heeft een nieuwe creditcard getoond die als extra beveiliging beschikt over een numeriek toetsenbord en een kleine display. De gebruiker kan de kaart daarmee een unieke authenticatietoken laten generen.

De creditcard, genaamd 'Display Card', functioneert hetzelfde als de hedendaagse authenticatie-apparaten die sommige banken gebruiken, zoals de e.dentifier van ABN Amro. De gebruiker toetst een code in op het toetsenbord, dat geen echte knoppen gebruikt maar aanraakgevoelig is. De kaart genereert vervolgens een unieke token die gebruikt kan worden om de identiteit van de gebruiker te verifiëren.

In de toekomst kan de display op de creditcard misschien nog meer informatie tonen, zoals recente transacties of het huidige saldo. De creditcard zal vanaf januari via de Standard Chartered bank verkrijgbaar zijn in Singapore. In de loop van 2013 zal de kaart volgens Mastercard ook beschikbaar worden in andere landen.

Mastercard DisplayCard

Reacties (78)

Reactiefilter:-178077+157+211+30
Het verhelpt geen diefstal, maar op het moment is het voldoende om iemand zijn naam, cc nummer en cvv code te hebben om de kaart te gebruiken op internet.
Er worden ook systemen geÔntroduceerd waar je de kaart in je random reader moet stoppen om te kunnen betalen, maar dat is onhandig omdat je dan altijd zo'n apparaat bij je moet hebben. Als dat op je cc zit is dat probleem weg.
Ehm. Dit is toch juist een ontwikkeling die ervoor zorgt dat je nog steeds alleen de pas nodig hebt maar wel extra beveiliging hebt?

Het apparaat waar je de creditcard in wilt gebruiken geeft een code, die voer je in om een token te genereren. Zo heb je dus de voordelen van een tokengenerator, zonder een apart apparaatje bij je te moeten dragen.

[Reactie gewijzigd door Patriot op 8 november 2012 19:17]

En hoe breed schat je dat die hash zou zijn? Je sleutelruimte is 10000 elementen groot (als je even uitgaat van 4 cijfers en dat "1234" e.d. gewoon toegelaten zijn).

Je hash-ruimte moet kleiner zijn dan dat, want anders heb je niet echt een hash-functie vast. Lees: als je hash-ruimte groter is, dan gebruik je van die grotere ruimte maar een klein gedeelte. Vermits je sleutelruimte al makkelijk af te scannen is, is de gebruikte deelruimte van je hash-ruimte dat ook (in de veronderstelling dat het algoritme gekend is, wat normaal wel zo zou moeten zijn). Conclusie is: je hashruimte is kleiner.

Als we er dan nog even van uitgaan dat je hashfunctie ideaal is en de hash van je sleutels uniform verdeelt over de hash-ruimte, dan kan je ook de kans op een goede gok berekenen: dat is 1/ het aantal elementen in je hashruimte. Dus als je hash 5000 verschillende waarden kan aannemen, is de kans dat je door te gokken, kan authenticeren, 1/5000. In je oorspronkelijke sleutelruimte is die kans 1/10 000. Kortom: een hash zal je in dit geval helemaal niets helpen. Sterker nog: het maakt de beveiliging enkel minder sterk.

Bij wachtwoorden zit het verhaal anders in elkaar: je sleutelruimte is veel groter , die kan je al minder gemakkelijk afscannen. Bv. als je aanneemt dat een wachtwoord 32 alfanumerieke tekens kan bevatten, heb je een sleutelruimte van 190 bits, bv. de sha-1 hash gebruikt 160 bits). Je kan daar dus noch de sleutelruimte, noch de hash-ruimte efficient afscannen.

Ik verwacht dus eerder dat er wel ergens de pincode gewoon op je chipje staat. Eventueel met nog een codering over heen (maar dat zou ik geen encryptie durven noemen omdat de sleutelruimte cryptografisch gezien zo belachelijk klein is). De meest belangrijke beveiliging in die chips is volgens mij nog steeds dat het te duur is en te veel specialistische kennis vereist om die chip op andere manieren uit te lezen dan wat de standaardinterface toelaat.
Er worden hier een aantal dingen door elkaar gehaald. Op een oude kaart met louter magneetstrip staat geen enkele pincode, maar wel een unieke code voor de kaart. Dit in combinatie met de ingevoerde pincode wordt gehashed en naar de bank gestuurd, die het vervolgens controleert. Omdat iedereen zomaar de magneetstrip kan uitlezen en kan dupliceren, is dit vrij fraudegevoelig - ze hoeven alleen nog je pincode te achterhalen en ze kunnen met een duplicaat vrolijk geld opnemen, terwijl jij je pas nog in je portemonnee hebt zitten en er dus geen ergen in hebt dat je bestolen wordt.

Op een kaart met een chip staat weldegelijk je pincode, maar die staat "ingegraveerd" in de chip zelf en is niet uit te lezen. Het is niet de random reader die je pincode controleert en je kaart blokkeert, het is de chip in de pas zelf die dat doet. Het zou anders ook wel suf zijn, dan kun je gewoon een reader wat modificeren om achter de pincode van een pas te komen. Het werkt volgens exact hetzelfde principe als een SIMkaart in je telefoon. Als het apparaat 3x aan de chip vraagt "is code X juist" en het is alle drie de keren fout, dan blokkeert de chip zichzelf.

[Reactie gewijzigd door .oisyn op 9 november 2012 00:39]

Ehm, nee. De bank weet je pincode niet.

Ze weten je rekeningnummer en nog wat niet specifiek geheime gegevens en hebben ergens in een Hardware Security Module een master key zitten. Daarmee versleutelen ze je rekeningnummer en die andere gegevens en dat levert dan je pincode op. Dan wordt binnen een beveiligde omgeving een pin validatie code (niet de pin zelf) op de pas geschreven (en de pin code op een brief geprint), maar de pin code wordt daarna niet opgeslagen.

Diezelfde versleuteling herhalen ze bij de uitgifte van een nieuwe pas en dan komen ze dus op dezelfde code uit.

Op je pas staat de code dus ook niet. Daar staat ook alleen een versleutelde / gehashte versie, wat voldoende is voor de chip op je pas om de pincode te valideren, maar de pincode uitlezen is er niet bij.

[Reactie gewijzigd door Orion84 op 8 november 2012 21:50]

Klopt bijna, maar niet helemaal.
De code staat wel op de backend van de bank/processor (AWL in Belgie). Anders zou het onmogelijk zijn je PIN te veranderen nadat de kaart is uitgegeven :). Dit kan ook enkel op een online terminal (veelal dus de ATM).

Rekeningnummer wordt overigens nooit gebruikt in de HSM, de PAN wel, afhankelijk of er een ISO-0,-1 of -2 pinblock gebruikt wordt.
Toch staat de PIN code in veel gevallen in de chip. Bijvoorbeeld bij de Maestro passen die door de Nederlandse banken worden uitgegeven, is dat het geval. Ik raad je aan om eens naar de website www.emvco.com te gaan, en de specificaties door te lezen...
Kleine verbetering:
De pincode heeft niets te maken met de token en wordt inderdaad niet opgeslagen, er wordt een hash van gemaakt en dat wordt opgeslagen in de chip, de pincode/hash verlaat deze chip niet, en zal dus ook niet gekend worden bij de bank. Deze dient enkel om toegang tot de diensten van de chip te verlenen.
Op het moment van het intypen van je pincode in deze kaart/reader, zal dit doorgegeven worden aan de chip, deze chip verifieert dan de pincode door de nieuwe hash met de opgeslagen hash te vergelijken.
Als de verificatie lukt, dan zal aan de hand van de sleutel op de chip, controlegetal van betaalopdracht, datum/tijd etc er een token gegenereerd worden en pas dan zal de chip dit doorgeven aan de reader/schermpje.
De bank kan dit dan verifiŽren omdat ze je gebruiksgegevens en ook het certificaat/sleutel dat op de chip opgeslagen staat hebben.
Het batterij probleem wat jij zegt was ook het eerste wat in mij opkwam bij het zien van de pas.
Er zitten geen zonnecellen op zo te zien dus dat gaat m al niet worden.
En het LCD of wat er ook zit heeft sowieso stroom nodig om de cijfers weer te kunnen geven.

Dus was even aan het googlen geslagen en vond dit:

What is the Life Expectancy of the card?

--------------------------------------------------------------------------------

The NIDS Display Card is designed to withstand real life usage conditions and highly resistant to regular wear and tear just like a regular credit card. The cards are EMV certified and passed the stringent MasterCard CSI (Card Structure and Integrity) process.

The embedded electronics are powered by an advanced battery. The life expectancy depends on several criteria such as model (event or timebase); frequency of usage; complexity of user interface;

Single Button (106EU/ES)
Minimum of 3 years or 15,000 OTPs under normal usage

Multiple Touch Button (306EU/ES)
Minimum of 3 years or 15,000 OTPs under normal usage

Single Button - Time Based (106TU/TS)
Minimum of 2 years or 10,000 OTPs under normal usage

Multiple Button - Time Based (306TU/TS)
Minimum of 2 years or 10,000 OTPs under normal usage

Dus als ie op is zal er dus gewoon een nieuwe kaart moeten komen.
Op deze site staat meer info over hoe een Displaycard werkt. ;)

[Reactie gewijzigd door Sunbeam-tech op 9 november 2012 00:17]

Op dit item kan niet meer gereageerd worden.