IBM maakt two-factor-authenticatie voor mobiele nfc-betalingen

IBM heeft een systeem gemaakt voor two-factor-authenticatie bij mobiele betalingen via nfc. De gebruiker moet een 'pincode' invoeren, die zorgt voor identificatie naast een bankpas. Het systeem werkt via de bankpas zelf.

De met nfc uitgeruste bankpas verifieert de versleutelde code en stuurt vervolgens een eenmalige code via de internetverbinding van de telefoon naar een server om de betaling goed te keuren. Daarna moet voor de betaling de pas nogmaals tegen de telefoon worden gehouden.

Het systeem is een extra beveiligingslaag om zeker te weten dat de houder van de bankpas degene is die de betaling doet. Zoals andere two-factor-authenticaties leunt het op iets wat de gebruiker heeft, in dit geval de bankpas, en iets wat de gebruiker weet, de pincode.

Het systeem zou gebruikt moeten worden in systemen voor mobiele betalingen, maar in hoeverre dat zal gebeuren is de vraag. De markt voor mobiele betalingen is vooralsnog klein en veel bedrijven staan in de rij om een graantje mee te pikken van de wellicht grote markt die het gaat worden. Zo hebben Google en Samsung ieder eigen portemonnee-apps, terwijl Apple Passbook voor dat doel zou kunnen uitbreiden en Microsoft op Windows Phone al Wallet heeft. Bedrijven als Paypal zouden ook graag in die markt stappen, terwijl Mastercard dat ook wil. Tot slot willen de banken zich er ook mee bezig houden.

Door die concurrentie tussen al die bedrijven is er nog geen industriebrede standaard gekomen voor mobiele betalingen, laat staan dat er afspraken zijn over de beveiliging bij die transacties.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 18-10-2013 14:36 35

18-10-2013 • 14:36

35

Lees meer

Microsoft komt met eigen nfc-betaalsysteem voor Windows 10 Mobile
Microsoft komt met eigen nfc-betaalsysteem voor Windows 10 Mobile Nieuws van 13 juni 2016
Gerucht: Apple wil betalen met iPhone mogelijk maken
Gerucht: Apple wil betalen met iPhone mogelijk maken Nieuws van 25 januari 2014
'IBM overweegt deel servertak te verkopen'
'IBM overweegt deel servertak te verkopen' Nieuws van 20 januari 2014
Mobiel betaalplatform Sixdots start in lente 2014 op Belgische markt
Mobiel betaalplatform Sixdots start in lente 2014 op Belgische markt Nieuws van 10 november 2013
Samsung gaat gebrickte telefoons standaard onder garantie repareren
Samsung gaat gebrickte telefoons standaard onder garantie repareren Nieuws van 19 juli 2013
ING begint met uitgifte betaalpassen met nfc-chip
ING begint met uitgifte betaalpassen met nfc-chip Nieuws van 6 juni 2013
Samsung introduceert Wallet-app voor Android-smartphones
Samsung introduceert Wallet-app voor Android-smartphones Nieuws van 27 februari 2013
Visa en Samsung werken gezamenlijk aan nfc-betalingen
Visa en Samsung werken gezamenlijk aan nfc-betalingen Nieuws van 25 februari 2013
Nederlandse banken voeren mobiel betalen via nfc vanaf de zomer gefaseerd in
Nederlandse banken voeren mobiel betalen via nfc vanaf de zomer gefaseerd in Nieuws van 20 februari 2013
Meer producten en artikelen
Smartphones IBM

Reacties (35)

-Moderatie-faq
35
35
31
2
0
0
Wijzig sortering
barrels1 18 oktober 2013 19:37
Misschien komt het door de titel van het bericht dat de meeste reacties gaan over NFC + portemonnee oplossingen voor directe betalingen...

Volgens mij draait het bij de IBM oplossing in het filmpje om een extra beveiligingslaag (in dit geval 2nd factor authenticatie via NFC) bij het uitvoeren van een transactie in een internet-bankieren app op een smartphone. En dus niet over het uitvoeren van een betaling m.b.v. NFC en een portemonnee app op de smartphone.
Deze oplossing geeft de banken (en hun klanten) de mogelijkheid om een 2nd factor authenticatie te doen om mobiel bankieren veiliger te maken (voor internet bankieren op de PC doen we dit allemaal al heel lang). Daarmee worden allerlei scenario's mogelijk, door de klant een extra authenticatiestap te laten doen wanneer het risico groter is, bijv: grote bedragen overboeken via je mobiel, vanuit het buitenland transacties doen, op een afwijkend tijdstip van de dag een transactie doen, etc etc.

Ik denk dan ook dat deze oplossing prima kan bestaan naast alle NFC+portemonnee oplossingen om betalingen te doen in een winkel.
My Tec Master 18 oktober 2013 14:46
Ik zie graag dat de meest veilige methode wordt gebruikt. Dus verschillende bedrijven kunnen het aanbieden maar wel graag een goede beveiliging ( onderliggende beveiligingsstandaard)
SirBlade @My Tec Master18 oktober 2013 15:35
De meest veilige methode is niet perse de beste. We kunnen een methode bedenken met vele verschillende authenticatie-middelen en alleen als alles ok ik wordt er geld overgemaakt. Dat is een goed idee als je voor een paar miljoen aan aandelen koopt, maar als je een kroket uit de automaat haalt is het een beetje overkill.
My Tec Master @SirBlade18 oktober 2013 21:02
Bij minder veiligheid, bijvoorbeeld bij 1 factor authenticatie zie ik dan graag een limiet. Want het gaat er niet om wat je koopt, maar wat je kan kopen met dat account. Natuurlijk hoeven er geen tientallen omslachtige stappen nodig te zijn voor de veiligheid. Maar wat bijvoorbeeld IBM laat zien in dit filmpje vind ik niet omslachtig, ook voor een kroket niet.
bbob @My Tec Master18 oktober 2013 15:02
Ik vraag me bij dit systeem af of de pincode die ingevoerd moet worden identiek is als de pincode op de bankpas. Indien dit zo is kan een keylogger op de telefoon deze onderscheppen.
Daarna stelen van de bankpas van de gebruiker en hup rekening leeg.

De banken zeggen dan waarschijnlijk doodleuk eigen schuld er is met bankkaart en pincode betaald.

Op tv programma's zie je maar al te vaak hoe moeilijk banken doen bij fraude. Mobiele betalingen zie ik dan zeker als gevaar. Laat de banken eerst duidelijk maken hoe ze met fraude omgaan.
My Tec Master @bbob18 oktober 2013 15:22
Dat hoop ik toch niet, als dat zo is dan heb je zeker een punt. Zodra de pincode aan een digitaal systeem anders dan een pinautomaat wordt gekoppeld is het onveilig. Zoals je al aangeeft werkt dat fraude alleen maar in de hand.
Gamemaniak 18 oktober 2013 14:58
Lijkt me een stuk omslachtiger dan gewoon met je pinpas te betalen.
Pathogen @Gamemaniak18 oktober 2013 16:11
Inderdaad. Als ik een rits boodschappen afreken en inlaad tegelijk heb ik liever alleen mijn pasje nodig dan mijn pasje én mijn telefoon. Waarom zou je twee voorwerpen willen gebruiken voor iets wat al met 1 van die voorwerpen kan?
De meeste pinopdrachten zijn in maximaal 5 seconden verwerkt. In 5 seconden heb ik geen app geopend, een pincode ingetikt én mijn pasje geverifieerd.
jpfx @Pathogen18 oktober 2013 16:23
Inderdaad. Deze vinding maakt het hele NFC betalen met je phone overbodig en omslachtiger dan "gewoon" pinnen.
jst_fubar 18 oktober 2013 16:32
Uit het filmpje blijkt dat de crypto op de bankkaart, over de NFC connectie, gebruikt wordt om een challenge van de bank te encrypteren voor Identificatie van de gebruiker en om de transactie digitaal te ondertekenen. Dit is een mooi systeem.

Het klopt inderdaad dat het invoeren van de PIN mogelijk onderschept kan worden door een keylogger, maar dat probleem heb je evenzeer op je desktop. Hier is er dan wel nog de tweede factor, het bezitten van de kaart.

Edit: typo's

[Reactie gewijzigd door jst_fubar op 26 juli 2024 03:20]

Anoniem: 415735 @jst_fubar18 oktober 2013 17:02
...Het klopt inderdaad dat het invoeren van de PIN mogelijk onderschept kan worden door een keylogger, maar dan probleem heb je evenzeer op je desktop. ...
Dat ligt dan maar net aan de desktop-implementatie: neem bijvoorbeeld de kaartlezer van ABN Amro waarbij je pincode niet wordt ingevoerd op de desktop en dus niet logbaar is met een keylogger (hooguit wanneer je de niet-noodzakelijke usb-functie gebruikt).

[Reactie gewijzigd door Anoniem: 415735 op 26 juli 2024 03:20]

jst_fubar @Anoniem: 41573518 oktober 2013 17:09
Inderdaad hieper, in vele implementaties doe je de crypto operaties op een aparte kaartlezer. Ik dacht aan de manier waarop in België de elektronische identiteitskaart gebruikt wordt.

Dit lijkt me wel het beste dat je kan bereiken met mobiele apparaten die niet over een smartcard reader beschikken.
style2k 18 oktober 2013 16:03
weet niet of dit het gaat worden . als je straks op plekken via nfc gaat betalen is het gemak van zoiets juist dat je je telefoon bij een apparaat houd om zo een betaling te doen . als je alsnog je bankpas uit je knip moet pakken is dat gemak ook niet echt zoals men gedacht had . dan kan je net zo goed gewoon pinnen met de pas .
daarbij moet men gewoon naar 1 standaard wat overal hetzelfde is want alle verschillende alternatieven zijn leuk maar uiteindelijk mss ook weer erg onhandig als het er te veel worden.

[Reactie gewijzigd door style2k op 26 juli 2024 03:20]

Anoniem: 382732 @style2k18 oktober 2013 16:37
Volgens mij wordt dit pas echt interessant als een mobiel device alles vervangt. Als je naar een device nog een id-card of rijbewijs bij je moet hebben, kan je net zo goed ook nog gewoon een PIN-pas meenemen.

Of hele stap met nfc overslaan natuurlijk, maar dat vereist nog iets van de netwerken. Stel dat je een perfect netwerk hebt dan kan alles wat de winkelier op de kassa aanslaat direct zichtbaar zijn in een betaalapp, waar je de boel akkoordeert en je meteen de complete kassabon hebt opgeslagen die weer meteen wordt verwerkt in een compleet uitgavenoverzicht (die je uiteraard op al je devices kunt bekijken). Duurt misschien nog even, maar zo'n oplossing biedt echt iets extra's. NFC doet dat niet.
Luno 18 oktober 2013 16:51
Zoals andere two-factor-authenticaties leunt het op iets wat de gebruiker heeft, in dit geval de bankpas, en iets wat de gebruiker weet, de pincode.

Okay ik sta bij een ATM en iemand zet een pistool/mes op m'n hoofd.: je pas en codes.
Gek genoeg denk ik dat het hierna geweldadiger wordt.
jst_fubar @Luno18 oktober 2013 17:14
Het feit dat een gebruiker al zijn geheimen prijs geeft onder bedreiging kan je niet op een technische manier opvangen vrees ik.

Hiervoor zijn er ook limieten op de bedragen die je in één keer kan afhalen. Daarna moet je dan je kaart laten blokkeren.

[Reactie gewijzigd door jst_fubar op 26 juli 2024 03:20]

Anima-t3d 18 oktober 2013 14:48
In Singapore kun je al erg veel betalen via mobiel/nfc. Er was in de zomer nog een artikel in de krant waarin de Singaporese journaliste de test deed en klaagde dat ze toch nog cash geld of bancontact nodig had.. 8)7

Edit (nog even het artikel opgezocht in het kort):
http://www.stasiareport.c...e-riding-the-wave-2013072

[Reactie gewijzigd door Anima-t3d op 26 juli 2024 03:20]

GamingZeUs 18 oktober 2013 14:50
Filmpje is zwaar over de top voor de simpelste betaling mogelijk, maar dan met NFC ipv een gewone pin-chip. Ongebruikelijk voor IBM om zulke complete onzin uit te slaan.
TeleMax 18 oktober 2013 18:11
Karsten Nohl, kom d'r maar in.... Voor degene die hem niet kennen, zie hier en lees zijn CV.. Sorry voor deze primaire gedachte, maar ik ben de laatste tijd het vertrouwen een beetje kwijt geraakt in het internet en online betalingen Ik denk dat het voor het aanstaande CCC-congres nog te vroeg is, maar ik denk dat in december 2014 hier wel wat nieuws over te vertellen valt.

[Reactie gewijzigd door TeleMax op 26 juli 2024 03:20]

mutley69 18 oktober 2013 20:24
Liever niet die nfc - m'n microgolf-oven staat klaar om die electronica te roosteren.
janvandongen @mutley6919 oktober 2013 23:52
Omdat?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq