ESET: laadpaalpasjes zijn eenvoudig te kopiëren door slechte beveiliging

Pasjes voor vrijwel alle laadpalen zijn alleen beveiligd met een uniek id-nummer dat door iedereen te kopiëren is. De pasjes missen andere beveiligingscomponenten en kunnen zo door iedereen worden gestolen, blijkt uit onderzoek van ESET.

Volgens het beveiligingsbedrijf zijn de laadpassen van 'vrijwel alle grote laadpaalaanbieders van Nederland' kwetsbaar, schrijft de NOS. "We zijn hotels en tankstations langsgegaan en hebben onder andere FastNed, EvBox en anderen geprobeerd", bevestigt ESET-onderzoek Dave Maasland tegenover Tweakers.

De passen zijn enkel beveiligd met een uniek serienummer. Dat kan worden gekopieerd met een willekeurige app op een telefoon die nfc kan scannen. In een video van de NOS is te zien hoe dat in enkele seconden gebeurt. Een aanvaller kan vervolgens met alleen het unieke serienummer van de kaart op iemand anders' naam laden. ESET gebruikte daarvoor alleen een simpele nfc-schrijver en een goedkope beschrijfbare Mifare Classic-kaart met slechts zeven bytes aan geheugen. Dat was genoeg om de kaart te kopiëren.

Volgens ESET zijn de passen van vrijwel alle grote Nederlandse aanbieders lek. FastNed zegt dat het inderdaad "niet de best beveiligde techniek" gebruikt, maar dat het wel let op 'verdachte' transacties. Ook worden laadstations zelf in de gaten gehouden met camera's, zegt het bedrijf. Ook NewMotion, een grote aanbieder van de kaarten, zegt tegen de NOS 'bekend te zijn' met het probleem. De bedrijven zeggen niet of zij met een oplossing komen. Er zijn op dit moment geen aanwijzingen dat er op deze manier fraude wordt gepleegd. Volgens NewMotion wordt daar 'goed op gecontroleerd', en hoeven klanten volgens het bedrijf niet te betalen als zij slachtoffer worden.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 12-12-2019 08:17
170 • submitter: Anoniem: 1259094

12-12-2019 • 08:17

170 Linkedin

Submitter: Anoniem: 1259094

Lees meer

ACM gaat per december controleren op transparantie van laadpaal- en laadpasprijs Nieuws van 20 oktober 2020
Vattenfall gaat 8000 laadpalen plaatsen in Limburg en Noord-Brabant Nieuws van 4 september 2020
ESET ontdekt netwerk achter Evilnum-malware dat financiële instellingen aanviel Nieuws van 9 juli 2020
NS start proef waarbij ov-chipkaart als sleutel voor ov-fiets werkt Nieuws van 10 december 2019
Rechter: AP hoeft niet op te treden tegen NS en Arnhemse afvalpas Nieuws van 6 september 2019
NS begint proef voor betalen met bankpas of creditcard tussen Den Haag en Leiden Nieuws van 7 januari 2019
Gemeente Assen gaat slechte beveiliging bewonerspas bespreken na melding tweaker Nieuws van 15 oktober 2018
Gerucht: China keurt overname NXP door Qualcomm snel goed Nieuws van 28 mei 2018
Meer producten en artikelen
Beveiliging en antivirus ESET Laadpaal

Reacties (170)

-Moderatie-faq
170
170
73
17
1
84
Wijzig sortering
donny007
12 december 2019 08:44
Een aanvaller kan vervolgens met alleen het unieke serienummer van de kaart op iemand anders' naam laden. ESET gebruikte daarvoor alleen een simpele nfc-schrijver en een goedkope beschrijfbare Mifare Classic-kaart met slechts zeven bytes aan geheugen.
Dit is een klassieke implementatiefout bij RFID-systemen. Mifare Classic chips zijn voorzien van beveiligde sectoren (die sinds de EV1 revisie niet meer zomaar te kraken zijn), echter heeft de applicatiebouwer er hier voor gekozen om alleen de unique identifier te gebruiken als authenticatiemiddel. Unique identifiers zijn vrij uitleesbaar en dus makkelijk te clonen.

Het UID met een lengte van 7-bytes is een indicator voor het gebruik van Mifare Classic EV1, dat hebben ze dan wel weer goed gedaan. Je komt ook nog systemen tegen met de kwetsbare 4-byte UID Mifare Classic chips.
bbc
@donny00712 december 2019 08:57
Wij gebruiken op het werk Mifare DESFire EV1 en hebben random ID geactiveerd. Je moet de juiste sleutel hebben om het serienummer van de chip te kunnen uitlezen.

Dei Mifare Classics hebben trouwens een beperkt aantal serienummers. Er zijn er meerdere met hetzelfde serienummer in omloop, maar worden niet aan hetzelfde bedrijf geleverd.
djwice
@bbc12 december 2019 19:06
Zit er een limiet op het aantal pogingen in korte tijd en een alarm / beveiligingsalert bij X aantal pogingen in korte tijd?
bbc
@djwice12 december 2019 19:41
Het aantal pogingen maakt niet uit. De master key die de sleutel beschermt is voorlopig krachtig genoeg. Meestal volstaat de serienummer alleen niet om te doen wat je wil doen. Wij gebruiken andere data die op de badge staat als random key om aan de tweede layer van informatie te raken. Hier is het probleem dat er totaal geen beveiliging werd toegepast. Je kan de chip ook zo programmeren zodat hij niet reageert als je niet de juiste sleutel hebt.

De DESFire EV1 heeft ook een beveiliging ingebouwd. Wanneer hij denkt dat hij aangevallen wordt gaat hij in beveiligingsmodus en schrijft een counter weg op de chip. De chip moet dan zo lang in het magnetisch veld blijven tot de counter op 0 staat alvorens hij weer gaat reageren.

De Mifare Classic heeft die features wel niet. Er is ook een verschil in kostprijs voor al die chips. Je kan ook Mifare Ultralights kopen die in papier zitten. Misschien hebben ze een vergadering gehouden en beslist dat geen security inbouwen goedkoper was ...
BeosBeing
@bbc12 december 2019 09:35
Dei Mifare Classics hebben trouwens een beperkt aantal serienummers. Er zijn er meerdere met hetzelfde serienummer in omloop, maar worden niet aan hetzelfde bedrijf geleverd.
Dat is handig. Heb je een leasecontract bij Athlon, ga je tanken/opladen/.. bij Total (ik noem maar wat) gaat je rekening naar Leaseplan. Dat vind ik wel strak. Omgekeerd natuurlijk niet, die Leaseplan-rijder zijn tankrekening kan dan ook bij de Athlon-rijder terecht komen, en als jij dat dan net bent.
bbc
@BeosBeing12 december 2019 13:28
Niet echt, random ID antwoordt met 4 bytes. Het is de bedoeling dat je een sleutel gebruikt om het echte serienummer van 7 bytes op te vragen. We hadden hier bij een dienst lockers staan die ons niet geïnformeerd hadden dat ze daar de oude Mifare classic badge voor gebruikten. Random ID dient dus eigenlijk om het echte serienummer te verbergen, net om kopiëren tegen te gaan.

De persoon die iets in de locker stak was het dan ook kwijt, omdat hij telkens met een andere uid zich aanmeldde :)
BeosBeing
@bbc12 december 2019 17:18
Dan 9.999 keer proberen en daarna lukt het.

Maar normaal zal men dat random ID niet activeren uiteraard.
DiedX
@bbc12 december 2019 11:55
De DESFires ook btw. Ik heb de implementatie mogen zien van DESFire bij een high-security bedrijf. We hadden daar zogenoemde projectpassen. Dán zijn je identifiers uniek, anders heb je een (1 op miljoenen) kans dat een ander bedrijf hetzelfde ID heeft...
blorf
@DiedX12 december 2019 13:53
Ik heb al zo'n 30K Ultralights met random UID uit China gekocht. Nog nooit 2 gezien met dezelfde UID. Met 8-byte UID's is de kans iets groter maar nog steeds te verwaarlozen. Eerder kwamen ze van een lokaal bedrijf die ze met oplopende UID's leverde. Dat is een keertje misgegaan omdat ze waren vergeten door te tellen na een bestelling.
Maar uiteindelijk mekkert je database toch gewoon over iets van "UID is al in gebruik"? Een record blind overschrijven met een ander persoon zou een beetje dom zijn.

[Reactie gewijzigd door blorf op 12 december 2019 13:58]

blorf
@donny00712 december 2019 11:04
Ik heb een POS-systeem met persoonsidentificatie dmv pasje + foto gemaakt, die de medewerker moet controleren. Dan heb je dat probleem niet. De fout hier is dat het 'unieke' nummer wat elke telefoon met redelijke NFC-hardware gewoon kan aannemen als sleutel wordt gebruikt zonder iets anders mee te nemen bij de controle. Om eerlijk te zijn vind ik dit bijna niet te geloven. NFC-chips zijn nooit uniek en zeker niet de UID, wat een amateurs! Je zou bijna gaan denken dat ze dit bewust doen om maar weer wat kenteken/gezicht data bij elkaar te kunnen sprokkelen met camera's buiten het systeem.

Ze zouden in ieder geval het kenteken van de auto erbij kunnen nemen. Nog steeds niet toelaatbaar veilig maar er valt wel een groot deel van het mogelijke misbruik af.
Met beschrijfbare pasjes is het probleem zo opgelost. Gewoon bij elk gebruik een extra niet zichtbaar nummer uit een gedefinieerde niet-voorspelbare serie toevoegen en bij het volgende gebruik die controleren, en het volgende nummer uit de lijst wegschrijven naar de chip. Dan leg je de autoriteit bij het systeem en niet het pasje. Je hebt alleen wel noodzakelijk precies dat pasje nodig, of een expert die de toegang tot de storage hackt, dat nummer eraf trekt en op een 100% identiek pasje terugplaatst. De originele pas stopt er daarna mee omdat die nummer-chain niet meer klopt.

[Reactie gewijzigd door blorf op 12 december 2019 11:56]

Skit3000
@blorf12 december 2019 13:17
Ik snap niet helemaal wat de foto in jouw POS-systeem toevoegt als deze op het pasje zelf is opgeslagen of geprint aangezien iemand die alsnog zo kan aanpassen, dus ik neem aan dat je deze ergens extern hebt een er bij haalt wanneer er een authenticatiepoging plaatsvindt.

In plaats van je voorstel om een semi-willekeurig nummer op de chip na elke transactie weg te schrijven voorkomt inderdaad dat er twee passen tegelijk actief zijn, maar nog beter is het als de pas hier dan een bepaalde unieke berekening over heen gooit die alleen de pas en de server weten. Iemand die jouw pas kopieert kan dan namelijk nog steeds geen antwoord geven aan de server tijdens deze handshake. Ik weet alleen niet of dit type pas dat kan.
blorf
@Skit300012 december 2019 13:18
De foto is niet op het pasje opgeslagen. En de pas kan geen verborgen data bevatten waar de ontwikkelaar met zijn hardware wel bij kan maar een willekeurig persoon met een eigen NFC-reader niet. Het is een publieke standaard. Aan de beveiliging van de pas zelf zou ik niet hangen. Dat dat link is weten we al sinds de 1e Mifare NFC-chips. Ik heb me er niet in verdiept maar ik denk dat er wel online tools zijn die zo'n pas in het geheel kunnen dumpen en wegschrijven, inclusief beveiliging en andere variabele data.

[Reactie gewijzigd door blorf op 12 december 2019 14:01]

djwice
@Skit300012 december 2019 19:14
Hangt er van af, als je tijdens de kopieslag meerdere nummers als input geeft en de antwoorden registreerd. Wellicht kun je dan of een rainbow table aanleggen of het algoritme achterhalen.
blorf
@djwice12 december 2019 19:35
Hoezo? Je kan een aaneengesloten reeks cijfers gewoon baseren op een random seed of handmatig verzinnen, en alles remote opslaan. Je hebt geen algoritme of constante nodig ofzo. Een rainbow table of communicatie met een server is onzin. Daat gaat over verleutelingsstandaarden en heeft hier niks mee te maken. Je slaat die hele reeks in een keer remote op waarbij de cijfers inhoudelijk niet relevant zijn, geen onderlinge relatie hebben en ook nergens op gebaseerd zijn. Met alleen goed of fout als antwoord; succes met zoeken naar het eerstvolgende nummer...

Overigens lijkt het me logisch dat zo'n laadpaal na een aantal mislukte pogingen met een zichtbaar vervalste pas ook aan een bel gaat trekken en stopt met luisteren. Als ik een gaatje zocht zou ik eens kijken bij de fysieke hardware. Misschien dat je op een of andere manier een flag set kan krijgen waardoor het laden gewoon begint. Ergens een draadje aan hangen. Of misschien draadloze 'admin' toegang. Zou me niks verbazen als dat er gewoon op zit. Maar goed, als je alleen maar de juiste UID hoeft aan te nemen is dat niet nodig...

[Reactie gewijzigd door blorf op 12 december 2019 20:27]

djwice
@blorf12 december 2019 19:10
Hangt er van af; kopieer pasje, tank eerder dan eigenaar -> clone blijft werken en eigenaar staat met lege batterij bij een laadpaal die niet wil laden.
CARLiCiOUS
@donny00712 december 2019 13:29
die sinds de EV1 revisie niet meer zomaar te kraken zijn
Sinds 2015 is er al een aanval bekend die ook op de EV1 werkt.
Een implementatie van de aanval is beschikbaar voor libnfc. Het kan ook met de proxmark3, een implementatie zit tegenwoordig in de mainline firmware (youtube).
Neverwinterx
@donny00712 december 2019 16:40
De unique identifier van mifare classic mag je eigenlijk alleen gebruiken als je daar nog een andere biometrie check aan koppelt. Bijvoorbeeld dan moet je een aparte database hebben die de mifare UID mapt op een fingerprint die op voorhand geregistreerd is (en die dus op een aparte database zit, niet op de kaart zelf). En dan bij het lezen van de kaart doe je nog eens een verificatie van de fingerprint. Het boeit dan niet dat iemand de mifare UID kan kopieren want je moet nog altijd voldoen aan de biometrie check (die op zich uiteraard ook veilig moet zijn en zijn eigen kwetsbaarheden kan hebben). Op die biometrie database gelden dan overigens ook allerlei wetten die kunnen verschillen van land tot land. Je hebt bovendien ook (een veilige) connectie nodig met die database, want je bent daar dan van afhankelijk.
vanaalten
12 december 2019 08:22
Is dit niet heel erg oud nieuws?
nieuws: Onderzoeker: beveiliging laadpalen elektrische auto's laat te wensen ...
...december 2017:
Zo kwam hij erachter dat verschillende diensten, waaronder het ook in Nederland actieve NewMotion, een laadpas gebruiken op basis van de Mifare Classic-chip, waarvan al langer bekend is dat deze onveilig is. Daardoor kon hij een laadpas bijvoorbeeld eenvoudig kopiëren en de gebruikers-id aanpassen, die de enige onderscheidende factor tussen de kaarten is.
(overigens heb ik zelf helaas geen android telefoon, wel een laadpas en zou graag een tweede laadpas als reserve willen, liefst in sleutelhanger-formaat - dus ik ga eens kijken wat de alternatieve mogelijkheden om te kopieeren zijn...)

[Reactie gewijzigd door vanaalten op 12 december 2019 08:23]

Springuin
@vanaalten12 december 2019 08:48
Of het MiFare classic is of niet, dat maakt zelfs niet uit. Voor laadpalen wordt alleen het UID van de kaart gebruikt, niets van de crypto of wat dan ook. Het hele systeem rondom het betalen van je laadstroom hangt aan dit ID. Als men dit wil oplossen moet alles op de schop: laadpalen, backend systemen en systemen van pasaanbieders. Ga er maar van uit dat dat voorlopig niet zal gebeuren...
Tozz
@Springuin12 december 2019 09:06
Waarom moet alles op de schop? Alle laadpalen hangen aan het Internet (dat hebben ze nodig tbv. de koppeling van laadsessies naar de backend) en voor zover ik weet ondersteunen deze allemaal remote firmware updates.

Als ik de aanname doe dat de RFID lezer van de laadpaal wel ook de andere data van de chip zoals encryptiesleutels kan verifieren, dan is het volgens mij een kwestie van een firmware update op de laadpaal.

Aan de backend kant hoeft niets aangepast te worden, want die kan volstaan met alleen de UID voor verrekening zolang de laadpaal de UID maar op 'echtheid' heeft gechecked middels de encryptie functionaliteit van de kaarten.
wimd68
@Tozz12 december 2019 09:27
Nou alle passen zullen ws. moeten worden aangepast.

Aan een lezer die op basis van een encryptie sleutel werkt, kun je natuurlijk via het internet de encryptie sleutel even doorgeven, maar dan heb je kans dat ie wordt afgeluisterd. Dat werkt dus niet. Daarnaast moet de lezer in de laadpaal hiermee om kunnen gaan.
En eigenlijk wil je dat die sleutel veilig in de lezer opgeslagen zit. Dat ding staat buiten en als iemand de lezer van de paal trekt dan moet hij niet bij de sleutel kunnen. Voor de veilige opslag van de sleutel zou je dan eigenlijk een SAM module nodig hebben in de lezer. En paslezers die hier gebruik van maken zijn best wel duur.
FvdM
@wimd6812 december 2019 10:23
Aan een lezer die op basis van een encryptie sleutel werkt, kun je natuurlijk via het internet de encryptie sleutel even doorgeven, maar dan heb je kans dat ie wordt afgeluisterd.
Ik hoop toch wel dat er transport encryptie is. Data in plaintext het internet over sturen zou wel heel naïef zijn na alle ophef de laatste tien jaar. Meestal staan dit soort apparaten middels een vpn in verbinding met de backend.
wimd68
@FvdM12 december 2019 10:53
Ik verwacht eigenlijk wel dat zoiets veilig zou moeten kunnen, maar toevallig hebben we die discussie hier over de pasprinters (Matica XID 8300). De printer print de pas en beschrijft ook de chip. Leverancier van de printer wil dit alleen over USB en niet over het netwerk omdat men dit niet veilig genoeg acht.

Het plaatsen van de sleutel op de chip (via netwerk of via een doopkaart) is wel een kritisch moment. Als je dit via het netwerk doet kun je niet garanderen dat iemand bij de paal of in het netwerk dit afluistert. Daarom wordt door onze leverancier geadviseerd om dit via een doopkaart te doen bij paslezers. Bij de pas wordt dit gedaan bij een printer die via de USB is aangesloten.
Tozz
@FvdM14 december 2019 21:50
Geen VPN, maar gaat over HTTPS. Betreft het OCCP protocol en is wat JSON.
AceAceAce
@wimd6812 december 2019 09:47
@wimd68
"Aan een lezer die op basis van een encryptie sleutel werkt, kun je natuurlijk via het internet de encryptie sleutel even doorgeven, maar dan heb je kans dat ie wordt afgeluisterd. Dat werkt dus niet."
Dit is veels te simpel gedacht dat dit niet werkt.
Op afstand sleutels verversen/uploaden gebeurt al jaren, veilig. In SIM kaarten, ATMs, Mobiele betaal apps, OV palen.
sympa
@AceAceAce12 december 2019 20:39
Als je al een sleutel hebt kan je die gebruiken om je nieuwe sleutel te installeren (decrypten eigenlijk).
Als je nog niks hebt kan iedereen die nieuwe sleutel op een blanco kaart installeren...
AceAceAce
@sympa12 december 2019 21:14
En daarom worden er in het geval van bv sim kaarten in de fabriek al transportsleutels geïnstalleerd waaronder de nieuwe sleutels op afstand geladen en/of huidige sleutels geroteerd kunnen worden.

Als je meer wilt weten.zoek eens op SCP02/03/81 (ETSI / Globalplatform)

[Reactie gewijzigd door AceAceAce op 12 december 2019 21:16]

Tozz
@wimd6814 december 2019 21:52
Als ik het goed begrijp bevatten de pasjes wel encryptiefunctionaliteit maar wordt die nu niet gebruikt. Als dat met een firmware update aan de laadpaal opgelost kan worden ben je er toch?

Dit is geen hogere wiskunde. Contactloos betalen werkt immers ook prima.
peterkuli
@Tozz12 december 2019 12:50
Als ik de aanname doe dat de RFID lezer van de laadpaal wel ook de andere data van de chip zoals encryptiesleutels kan verifieren, dan is het volgens mij een kwestie van een firmware update op de laadpaal.
Maar dan moet de desbetreffende sector van die chip wel zijn beveiligd, lees: er moet een encryptiesleutel naartoe geschreven worden alvorens de sector beveiligd is.
Zoals ik het nu begrijp, is het serienummer van de chip vrij uitleesbaar. Als dat niet meer mag moet de chip voor die sector dus beschreven worden met de sleutel, maar is dat nu niet gebeurd. Dat betekent dat alle kaarten die in omloop zijn, nog moeten worden beschreven. Er vanuit gaande dat de laadpalen zelf niet kunnen schrijven, moet dus iedereen die een pasje heeft actief de pas laten beschrijven. Dat lijkt mij een behoorlijke operatie...
ronaldlokers
@vanaalten12 december 2019 08:35
@vanaalten Met een iphone kan je tegenwoordig ook dit soort kaarten lezen en schrijven, daar zijn genoeg apps voor te vinden.
GeleFles
@ronaldlokers12 december 2019 11:03
Met mijn Iphone 8 kan ik mijn newmotion NFC tag niet uitlezen..
vanaalten
@ronaldlokers12 december 2019 08:38
Ah, ja, maar een iPhone SE - die ik heb - is een heel fijn toestel maar voor NFC wat te beperkt. Apple Pay doet het, maar meer zal je er niet mee kunnen verwacht ik.

Maar dank voor de suggestie. :)
ronaldlokers
@vanaalten12 december 2019 08:42
Ah, nee die heeft volgens mij nog niet de benodigde chip :-(

Dan is je goedkoopste optie een nfc reader/writer bij ome Ali. Afhankelijk van hoe leuk je het vind om ermee te spelen kan je een kant en klaar oplossing kopen of iets met een Arduino maken.
PhantomPotato
@ronaldlokers12 december 2019 09:28
Ik zie al voor me dat iemand een arduino met een accu en NFC shield meezeult om een tweede laadpasje te hebben.
ronaldlokers
@PhantomPotato12 december 2019 10:19
Je gebruikt de Arduino dan natuurlijk om de gegevens op een extra pasje of keyfob te zetten, niet om de Arduino als pasje te laten functioneren.
FvdM
@PhantomPotato12 december 2019 10:52
Een Particle Xenon (arduino compatible) heeft NFC ingebouwd. Zeker met een platte lipo of zelfs knoopcel kan het heel compact zijn.
Jordy_413
@vanaalten12 december 2019 08:26
Denk dat een USB nfc lezer/schrijver wel genoeg moet zijn.
cyclone
@Jordy_41312 december 2019 10:44
Android telefoon met 1 van de vele NFC apps in de play store and bob's your uncle
wimd68
@vanaalten12 december 2019 08:41
In het verhaal waar jij aan refereert wordt gezegd dat de chip heel eenvoudig te kraken is. Dat betekent dat er wel versleuteling is, die helaas niet sterk genoeg is.

In het verhaal van vandaag wordt gezegd dat er helemaal geen versleuteling is, en dat alleen het lezen van het onversleutelde chipserienummer al voldoende is.

Dat is wel een nuance verschil.

de Mifare desfire techniek biedt mogelijkheden om gebruik te maken van versleutelde applicaties op de chip die alleen met de juiste sleutel uitgelezen kunnen worden. Dit wordt op dit moment gezien als de meest veilige techniek. Er zijn koffie apparaten waarbij je je met je pasje moet registreren, die beter beveiligd zijn dan deze laadpalen.
LarBor
@wimd6812 december 2019 09:44
Versleuteld of onversleuteld maakt in dit geval niets uit volgens mij. Het is een string karakters die uitgelezen wordt door de laadpaal. Of dat nou leesbaar of onleesbaar is, is irrelevant.
AuteurTijs Hofmans
@vanaalten12 december 2019 09:19
Sort of ja, al ging dat wel over de veiligheid van de chip in die kaarten en niet over het proces zoals het nu beschreven wordt. Maar inderdaad, veel dingen met een mifare zijn potentieel kwetsbaar. Ik vond het nu interessant omdat het getest is op alle Nederlandse laadpaalaanbieders, en omdat het gewoon met een appje kan dat iedereen kan downloaden. Maakt het wel net wat anders.
kodak
@Tijs Hofmans12 december 2019 11:32
In 2015 was ook al bekend dat Nederlandse aanbieders de zwakke Mifare-classic gebruikte. Appjes om de nfc uit te lezen en zenden bestaan ook al sinds 2015, telefoons waren wat schaarser. Eenvoudige handleidingen en goedkope tools zijn er ook al vele jaren omdat de zwaktes van nfc al meer dan 10 jaar bekend zijn en mede vanwege de zwakke implementatie zoals de ov-chipkaart.

Het is nu getest of de zwakte ook is uit te buiten, maar dat is een beetje vergelijkbaar met weten dat veel fietssloten zwak zijn en dan gaan staan gillen dat iemand het open heeft gekregen bij een specifieke aantal toepassers.

Het nieuws is vooral dat dit soort kennis over zwaktes pas nieuws is als iemand voor een camera gaat staan terwijl er al jaren diverse waarschuwingen waren over de zwaktes en zwakke toepassingen en het weinigen verder wat lijkt te interesseren tot het mis gaat. Morgen een item over het risico van het openen van fietsen met een nfc-slot zoals met de ov-fiets?

[Reactie gewijzigd door kodak op 12 december 2019 19:09]

E.T.O.
@vanaalten12 december 2019 08:59
Bij een aantal aanbieders kan je een sleutelhanger laadpas overigens gewoon gratis toegestuurd krijgen. Uiteraard een ander serienummer, maar meerdere passen is over het algemeen geen probleem.
vanaalten
@E.T.O.12 december 2019 09:21
Mja, Driessen Autolease vraagt daar zonder problemen €3 per extra pas, per maand voor. Voor een stukje plastic van een paar dubbeltjes kostprijs. Dat ging mij wat te ver...
Odie
@vanaalten12 december 2019 10:47
Een kloonbare kaart (met 7 byte programable UID) kost je waarschijnlijk ook zoiets of zelfs meer, dus ik zou dat gewoon lekker doen.
vanaalten
@Odie12 december 2019 10:54
Eh, de leasemaatschappij vraagt €3 per pas, PER MAAND. Zij hebben eenmalige kosten en maken daar een herhalende rekening van.

Dus als een lege, programmeerbare kaart, eenmalig €3 kost, lijkt dat mij een betere uitgave. :)
bzzzt
@vanaalten12 december 2019 11:34
Wat doe je als je een van de twee kaarten kwijtraakt? Je zal de andere dan ook in moeten trekken anders kan iemand anders mogelijk 'gratis' e-tanken op jouw rekening...
Odie
@vanaalten12 december 2019 11:40
Eh, de leasemaatschappij vraagt €3 per pas, PER MAAND.
Oeps, per maand. Dat is wel absurd ja...
Kroesss
@vanaalten12 december 2019 12:53
Het is nog goedkoper dan eenmalig € 3. Het eerste zoekresultaat op Ali geeft een set van 10 lege kaarten voor net iets meer als € 2...

https://s.click.aliexpress.com/e/Zduabf6SR
bzzzt
@vanaalten12 december 2019 11:33
Hoe vaak raken die kaarten zoek en moet er iemand achteraan om te deactiveren en een nieuwe kaart af te leveren? Dat zit natuurlijk ook bij de prijs in...
Cowamundo
@vanaalten12 december 2019 08:30
Muziek wordt gecoverd en weer uitgebracht, Films worden opnieuw uitgebracht, waarom dan ook niet het nieuws?
Er gebeurt toch niks belangrijkers in de wereld dus dan is dit toch om te smullen . :+
migjes
@vanaalten12 december 2019 10:11
tja, het is dat de techniek nog zo jong is.
hier door bevat het nog veel ongemakkelijkheid.

ben wel benieuwd wanneer de auto zelf als laadpass gaat dienen.
en dit systeem gewoon overal werkt, aan de laadpaal en klaar.
(en als het dan nog even kan, gewoon via de energie rekening van je huis leverancier.
lekker meteen verrekenen met de zonnepanelen op je huis dak, transport betaal je appart, dus geen probleem.)
veltnet
@migjes12 december 2019 11:38
De techniek is helemaal niet jong en bestaat al een tijd. Dit heeft meer met incapabele managers en te volgzame techneuten te maken
Odie
@veltnet12 december 2019 11:46
Toch is het niet moeilijk om gekloonde kaarten te herkennen, dus het zou relatief simpel moeten zijn om die grotendeels (er zijn uitzondering op deze regel) te weren. Echter, ik vermoed dat het financieel risico voor de laadboeren relatief klein is met een inkoop van enkele centen per kilowattuur en een relatief laag risico op daadwerkelijke diefstal. Via CCS kan je de VIN uitlezen en heb je dus een spoor, FastNed heeft ook nog camera's en slowchargers (de naam zegt het al) zijn zo traag dat voor een dief het gewin en het risico om gepakt te worden (de auto staat immers relatief lang stil voor een beetje significante hoeveelheid gratis stroom) te groot is.

Zodra de elektrieke vloot echt serieus begint te worden zal men waarschijnlijk af stappen dit malle pasjes systeem en gaat men gewoon met NFC bankpassen (of ApplePay etc) en/of uitsluitend QR codes en/of Apps werken. Het is van de zotte dat je voor elke aanbieder een apart pasje moet hebben.
migjes
@Odie12 december 2019 15:53
via CCS de VIN uitlezen, die koppelen aan je EAN code.
krijg je gewoon via de elektra leverancier van je huis de rekening binnen.
waar dan weer mooi, de opbrengst van je zonnepanelen weer afgetrokken kunnen worden. *
(transport word toch al appart betaald, dus daar geen problemen mee. )

(mmm, privacy is dan wel een verhaaltje, maar er zijn al elektra leveranciers die jouw ook tankpassen leveren. dus of dat een echt probleem word?
b.v. https://www.energiedirect.nl/apps/tankey )

*) via dat systeem kan je slimmemeter eens een keer echt slim worden. :+

[Reactie gewijzigd door migjes op 12 december 2019 15:55]

migjes
@veltnet12 december 2019 11:48
de techniek van laadpassen en elektra auto's op deze schaal is vrij jong hoor.
dat begint nu pas een beetje op te komen, en lijkt wel het wilde westen ;)
(dat we dit eigenlijk al meer als 80 jaar kunnen, maar nooit hebben gedaan is een ander verhaal.
er is eigenlijk te weinig vraag naar geweest, dus nooit uitgevoerd.)
pjotter101
@vanaalten12 december 2019 12:31
Daar zat ik ook aan te denken, alvast zelf een reserve pas maken! O-)
Philos31
12 december 2019 08:53
Het is nog veel erger, de unieke codes staan ook op de passen bijvoorbeeld: GFX-TOT-XXX-XXX
Je kunt de code van deze pas gewoon in de apps van de laadpaalaanbieder invoeren en met de app laden.

Dus als je collega zijn laadpas op zijn bureau laat liggen voer je even die code in je fastned app in en kun je op zijn/haar kosten laden bij de fastned.

Heel handig voor de gebruiker dat het zo kan, maar ook heel makkelijk te misbruiken.
CyBeRSPiN
@Philos3112 december 2019 10:10
En ook heel makkelijk te herleiden wie de dader is. Bij FastNed lezen ze je voertuig-ID uit via CCS.
En zijn er beelden van je kenteken.
Heb je mooi wat uit te leggen..
LoadedBaton
@CyBeRSPiN12 december 2019 12:47
Dus ook gelijk even het voertuig-ID spoofen en twee kentekenplaten bestellen. Rij je wel gratis.
Philos31
@CyBeRSPiN12 december 2019 13:09
Yep, dat kan, maar ik heb Chademo en valse kentekenplaten...
Verder werkt het ook in andere apps, bijvoorbeeld chargeassist voor alle greenflux palen (En palen die Greenflux als backend hebben, bijv pitpoint) of in de Smoov app voor alle Allego palen.
CyBeRSPiN
@Philos3112 december 2019 13:12
Ik reageerde specifiek op je FastNed app truc. Daarmee kun je niet elders een laadsessie starten ;)
Het klopt dat je met name ongezien bij Type2 palen je slag kan slaan. Geen cameratoezicht, geen koppeling met een auto, en 1-2 maanden voordat de eerste transacties voor de eigenaar zichtbaar worden.
Maar puur een serienummer in de app vullen zonder verdere check is dus ook al heel slecht beveiligd..

[Reactie gewijzigd door CyBeRSPiN op 12 december 2019 13:13]

Stoney3K
@Philos3112 december 2019 11:59
Het is nog veel erger, de unieke codes staan ook op de passen bijvoorbeeld: GFX-TOT-XXX-XXX
Je kunt de code van deze pas gewoon in de apps van de laadpaalaanbieder invoeren en met de app laden.
Met andere woorden, dit is een enorme waarschuwing om niet op te gaan scheppen met foto's van je laadpas omdat je net een nieuwe elektrische auto hebt geleased.

Een beetje hetzelfde als geen foto's van je huissleutels op internet zetten dus.
Rouwette
@Philos3112 december 2019 09:25
Trial-and-error werkt dus misschien ook wel :P
Infant
12 december 2019 13:05
Ja, daar was geen onderzoek voor nodig. Gelukkig valt het mee, laat ik een voorbeeld noemen van een ander soortgelijk systeem wat ook niet 100% waterdicht is:

Ik heb nog een benzine auto, en die moet je soms ook tanken.

Je kunt gewoon naar een tankstation rijden, er benzine in gooien, en dan gewoon weg rijden zonder te betalen! Nou ja!
En mijn nummerbord, kun je gewoon kopiëren! Nu heb jij, op mijn nummerbord, "gratis" benzine gehaald.
Fluitje van een cent.

Met dezelfde eenvoud kan je een laadpasje van iemand kopiëren, of nog erger, het ge-whiteliste nummer uit een laadpaal op je pasje zetten, en voila... gratis laden!

Beide methoden zijn echter illegaal. Moeten we hier nu een super geavanceerd beveiligings- systeem voor opzetten? Ik vind van niet. Laadpalen zijn al prijzig genoeg voor wat ze zijn: een relais met een energie meter.

Let op! Volgende artikel na heel veel onderzoek gaat over dat al je laadtransacties plain-text door de lucht geschoten worden, en hoe erg dat is. En dat niemand er iets aan doet.
davides
@Infant12 december 2019 14:17
jouw voorbeeld gaat maar ten dele op. Ziezo is er al het verschil dat bij alle tankstations videobewaking staat. De meeste openbare laadpalen hebben geen videobewaking. Waardoor je veel anoniemer fraude kan plegen.

Daarnaast gaat jouw voorbeeld ook voor minder locaties op. Bijvoorbeeld voor onbemande tankstations, waar je vooraf moet betalen, is het niet mogelijk op deze wijze te frauderen. Deze fraude met laadpassen kan gewoon op alle tienduizenden locaties in NL.

Daarnaast vergt deze fraude mogelijkheid, dat eigenaren van tankpassen zelf periodiek alle transacties moeten controleren op juistheid (of dat er fraude transactie tussen staat). Dat is ook al anders dan bij jouw voorbeeld. Tankstations hebben geen machtiging tot automatische incasso van mij, dus zullen ze me een nota moeten sturen ipv dat ze het gewoonweg van mijn rekening kunnen afschrijven,
Sorcerer8472
12 december 2019 10:09
Hoe eenvoudig is het eigenlijk om gewoon UIDs te gokken? Ze moeten natuurlijk wel actief zijn, maar bij TNM lopen de kaartnummers (zelfde als UID?) gewoon op, dus vrij eenvoudig iets gokken wat in die range ligt. Je zou er een app voor kunnen bouwen die een random ID uit die range uitprobeert zelfs :X
Keypunchie
12 december 2019 08:29
Het is een wat moeilijke diefstal.

Sta je daar met je gekopieerde pas een lege accu een half uur te laden... heb je voor een paar tientjes aan stroom buit gemaakt!! Wooo!

Het is een misdaad die makkelijk te detecteren is (camera’s en laadtijden), weinig oplevert en slecht schaalt.

Wat niet wil zeggen dat ze niet beter zouden moeten beveiligen, maar het is op zich wel begrijpelijk dat het geen top-prio is.

[Reactie gewijzigd door Keypunchie op 12 december 2019 08:31]

_gibeon_
@Keypunchie12 december 2019 09:09
Totdat het je overkomt (zoals mede-Tweaker WolfsRain) en je toch voor 270 euro de boot in gaat.
Het statement van Fastned klopt wel, die hebben camerabewaking. Maar de +/- 50.000 publieke laadpalen van andere aanbieders hebben zelden tot nooit camera-toezicht.
Sorcerer8472
@_gibeon_12 december 2019 10:04
Precies, en anders dan in dit nieuwsbericht staat doen de aanbieders dus niet zo veel tegen fraude en mag je gewoon betalen. Valt me erg tegen van TNM.

Kaart kwijtraken of kaart klonen hebben hetzelfde resultaat, behalve dat bij klonen je eigen en andermans sessies door elkaar lopen.
CurtPoindexter
@_gibeon_12 december 2019 11:32
Hij was zijn pas verloren en nooit geblokkeerd dat kan elke hark overkomen en is echt iets heel anders.
_gibeon_
@CurtPoindexter12 december 2019 12:23
De aanleiding is inderdaad anders, maar de uitkomst gelijk. Aangezien sessies maandelijks gefactureerd worden (roaming-sessies duren soms nog langer) kan het lang duren voor je er achter komt. En er is geen bewijs dat iemand anders jouw pas (fysiek of een kloon) gebruikt heeft. Dus: je moet gewoon betalen.
CurtPoindexter
@_gibeon_12 december 2019 13:10
Wat een kul. Alsof mijn huis afbrandt omdat ik de frituurpan vergeet. En dan een pyromaan de schuld geven.

Ja de uitkomst is hetzelfde!
_gibeon_
@CurtPoindexter12 december 2019 13:40
Ik geef toch niemand de schuld?
Het verschil is dat je bij jouw brand-voorbeeld kunt achterhalen wat er is gebeurd. In dit geval niet.
Je loopt dus het risico dat iemand je pas kloont en de aanbieder de kosten op jou gaat verhalen, omdat je niets aan kunt tonen.
CurtPoindexter
@_gibeon_12 december 2019 13:51
En dat is dus niet wat die gast is overkomen. Ik snap je punt hoor maar tot nu toe, fraude met gekloonde passen = 0, fraude met gestolen en verloren passen >= 100 minstens.

Ik weet dat het leuk is om hier over te mekkeren (boe wat kut die passen!) maar er is niks gebeurd.
Keypunchie
@_gibeon_12 december 2019 11:53
In principe moet onder contractrecht die 270 euro teruggegeven worden. Immers, jou is niks geleverd.

Dat het in de praktijk bij zo’n ‘laag’ bedrag er een verschil zit tussen in je recht staan en je recht krijgen herken ik, maar vanuit civielrechtelijk perspectief is dit voor risico van de leverancier.
Arokh
@Keypunchie12 december 2019 09:28
Veruit de meeste elektrische auto's met zo'n pasje zijn leaseauto's. Dikke kans dat de fraude langer door kan gaan op die manier omdat de bestuurder vaak niet zelf de stroom betaalt. Dan is het maar de vraag hoe snel er iemand achterkomt.
mOrPhie
@Keypunchie12 december 2019 09:38
Zeker, maar met het toenemend aantal laadpalen en het steeds normaler worden van elektrisch rijden denk ik dat het geen overdaad is om eens goed naar de beveiliging te kijken. De use case van een laadpas moet niet die van criminelen worden die laadpassen verkopen op de zwarte markt. Als je als crimineel veel UID's skimt, kun je daarna behoorlijk wat passen verkopen. Misschien nu nog geen issue, maar over een jaar of 10 wellicht wel.

[Reactie gewijzigd door mOrPhie op 12 december 2019 09:39]

zyberteq
@Keypunchie12 december 2019 08:59
Als de beveiliging alleen op dat serienummer zit, moet je die theoretisch zelf kunnen genereren als je weet hoe die gemaakt wordt. En dan is het opeens wel schaalbaar.

Maar verder heb je helemaal gelijk.

Ik vind het wel een notitie waard voor het geval opladen duurder wordt. Dan wordt de beveiliging vanzelf noodzakelijker.
mOrPhie
@zyberteq12 december 2019 09:33
De UID genereren zal niet gaan. Bij het aanmelden van een pas aan de laadpaal wordt het UID gecontroleerd bij de provider. Daarom kun je een UID wel kopiëren, maar niet genereren.
Roy23
@Keypunchie12 december 2019 09:14
Komt nog eens bij dat de meeste elektrische auto's zakelijk worden gereden waarbij de pas voor het laden betaald wordt door de werkgever. Waarom zou je dan de laadpas van een ander stelen/kopiëren?
andreetje
@Keypunchie12 december 2019 09:43
Het feit dat anno 2019 een artikel wordt gepubliceerd over makkelijk te kopiëren betaal-pasjes is al voldoende reden tot ophef.

Het is een domme bezuiniging, ongeacht of het tot diefstal leidt en of de dader gepakt wordt.
G4n0nD0rf
12 december 2019 08:29
Ik snap de bedoeling van de laadpasjes niet. Waarom kan dit niet gewoon met de bank/pinkaart zoals aan de pomp? Op deze ongebruiksvriendelijke manier gaat elektrisch rijden maar moeilijk van grond komen.
Bart ®
@G4n0nD0rf12 december 2019 10:23
Er zijn fabrikanten van laadpalen die aan het experimenteren zijn met betaalunits geschikt voor contactloos laden. Daar moet je echter weer overeenkomsten met banken voor sluiten, waar dat met het huidige systeem niet nodig is. Dat maakt de boel wat complexer.
SuperDre
@Bart ®12 december 2019 11:11
Kijk, dat is nu eens nuchter nagedacht en een goede verklaring. Ware het niet dat men natuurlijk de bankpas ook als tankpas zou kunnen gebruiken.
HakanX
@Bart ®12 december 2019 23:31
Daar is niet echt iets heel bijzonders voor nodig. Is even eenvoudig als het aansluiten van een willekeurig nieuwe pinterminal, valt niet erg veel aan te experimenteren.
Je nieuwe terminal meld je gewoon online bij je bank en eventueel bij de aanbieder van de terminal met de code die je online bij je bank ziet. Thats it.

Elke keer de wiel opnieuw uitvinden zoals met de OV chip kaart is niet nodig.
Geertsema83
@G4n0nD0rf12 december 2019 08:38
Het lijkt erop dat ze daar in Duitsland ook pas vrij recent (enkele maanden) actiever mee aan het worden zijn: https://e-drivers.com/lad...as-in-plaats-van-laadpas/

In dit geval wordt er gesproken over een laadpas, maar in principe is het hetzelfde als een tankpas. In veel gevallen wordt er zakelijk gereden met de elektrische auto. Middels een laadpas is alles beter te registreren voor het bedrijf.
Voor particulieren zie ik de noodzaak of meerwaarde van een laadpas ook niet.
guanche
@G4n0nD0rf12 december 2019 08:47
Reden is dat aanbieders en autofabrikanten je in willen locken bij bepaalde systemen. Er zijn ook (intentionele) compat verschillen tussen de systemen. Maar geheel eens dat de adoptie niet ten goede komt.
Blokker_1999
@guanche12 december 2019 09:00
Er zijn helemaal geen comaptibiliteitsverschillen. Het is gewoon een kwestie van een roamingovereenkomst afsluiten tussen laadpasaanbieder en laadpaalexploitant om een kaart werkend te krijgen op die laadpalen.
Blokker_1999
@G4n0nD0rf12 december 2019 09:02
En net zoals aan de pomp kan je ook tankkaarten hebben die enkel maar bij bepaalde merken van stations werken. Die zijn meestal ook goedkoper dan wanneer je zelf betaald. Dat is exact wat hier gebeurd. En ongebruiksvriendelijk zou ik het nu ook niet echt noemen. Je bankkaart moeten bovenhalen en een pincode intypen is mijn inziens ongebruiksvriendelijker want het is meer werk. En de laadpas blijft in de wagen liggen, de bankkaart kan je thuis vergeten.
G4n0nD0rf
@Blokker_199912 december 2019 09:08
Ja maar je bent dan wel gebonden aan de leveranciers waarvan je een laadpas hebt. Zit je vervolgens met vijf laadpassen in je auto.
SuperDre
@Blokker_199912 december 2019 11:09
Maar je hoeft vaak niet je pincode in te voeren bij contactloos betalen.. En ik ben met je eens veel mensen zullen die tankpas in de auto hebben liggen, maar genoeg mensen hebben die gewoon in hun portemonee, net als hun bankpas (of mobiel).
Tozz
@G4n0nD0rf12 december 2019 09:08
Om dezelfde reden dat gebruikers van leaseauto's ook niet tanken met een pinpas, maar met een tankpas.
Stoney3K
@Tozz12 december 2019 12:38
Het verschil is alleen dat je bij een pomp nog op de 'normale' manier kan betalen als je je eigen pomp niet kan bereiken en je ergens anders moet tanken.

Als je bijna een lege accu hebt en er staat alleen een paal van aanbieder X terwijl jij bij aanbieder Y zit, dan heb je gewoon pech. Je kan dan niet laden, ook niet tegen een hoger tarief.
Tozz
@Stoney3K14 december 2019 21:48
Wat een onzin. Ik heb een NewMotion laadpas en ik kan overal laden, bij welke laadpaal aanbieder dan ook. Ook in het buitenland.

In een aantal landen waar EV's nog geen gemeengoed zijn zijn vaak uitzonderingen, zoals betalen met SMS of creditcard, maar in "West Europa" kun je met een beetje laadpas overal laden.
Dancing_Animal
12 december 2019 08:21
Dus met een camera houden zij in de gaten of je niet een gekopieerde pas gebruikt. Knap.
rammes
@Dancing_Animal12 december 2019 08:25
ik denk dat ze bedoelen, "als er om 12:u in Rotterdam wordt geladen en om 12:20 in Maastricht dan kijken we naar de camera beelden wie dat was."
Arokh
@rammes12 december 2019 09:30
Ik denk dat ze bedoelen: als er een dikke klacht komt van iemand dan kijken we de beelden na.
Stoney3K
@Arokh12 december 2019 12:40
En dan mag je hopen dat die klacht binnen 48 uur komt en niet aan het einde van de maand wanneer er iets geks op de rekening wordt aangetroffen, want anders zijn die camerabeelden al lang en breed vernietigd.
Arokh
@Stoney3K12 december 2019 13:24
Goed punt. Eens. En je rekent natuurlijk bijvoorbeeld eens per maand af, of de administratie van je werkgever (die de rekening wellicht betaalt) valt het pas op na facturatie... Kan zomaar meer dan 30 dagen overheen gaan.
Tozz
@Stoney3K14 december 2019 21:49
Bij snelladers is het nog zo dat de auto zijn VIN doorgeeft aan de lader. Dat kan gebruikt worden voor "Plug and charge" (laden begint zonder laadpas te moeten aanbieden). Die data zal langer bewaard worden, en daar is in principe de dader mee te achterhalen.
Sfynx
@rammes12 december 2019 16:02
ik denk dat ze bedoelen, "als er om 12:u in Rotterdam wordt geladen en om 12:20 in Maastricht dan kijken we naar de camera beelden wie dat was."
En als de fraudeur op een meer realistische tijd/plaats gaat opladen heb je gewoon pech vermoed ik, en mag je gewoon dokken voor elektriciteit die je niet afgenomen hebt.
jpfx
@Sfynx12 december 2019 17:25
En als die fraudeur slim is heeft hij ook valse platen. Lekker opsporen dan.
Yzord
12 december 2019 08:22
Het valt natuurlijk wel op als de ene auto in Leeuwarden staat te laden en in Amsterdam ook eentje staat te laden op hetzelfde ID-nummer. Maar als je weet waar de persoon van het pasje woont en je laadt de auto in de buurt op een vroeg tijdstip in het weekend dan kunnen ze er niet veel tegen doen behalve kentekencheck. Maar dan nog is dat geen sluitend bewijs, want vrouwlief kan natuurlijk op de pas van manlief haar auto laden.

Beter is het gewoon de beveiliging op te schroeven, maar iets zeg me dat het allemaal geen geld mocht kosten bij de aanleg van deze netwerken. Hopelijk komt daar nu verandering in, maar de kosten zullen wel verhaald worden op de gebruiker.
Snow_King
@Yzord12 december 2019 08:35
Betaald de gebruiker niet altijd? Jij als klant betaald uiteindelijk alle kosten van een bedrijf.

En ik denk dat dit een kosten/baten verhaal is. Kleine kans op fraude en dat risico wordt genomen. Alles vervangen is veel duurder.
fsfikke
@Snow_King12 december 2019 08:53
Betaald de gebruiker niet altijd? Jij als klant betaald uiteindelijk alle kosten van een bedrijf.
Dat klopt natuurlijk, maar klanten betalen dus ook de implementatie van een nieuwe veiligere authenticatiemethode. De vraag is welke van de twee meer kost.
Snow_King
@fsfikke12 december 2019 09:15
De laadpassen moeten ook roamen. Dus wil je dit voor elkaar krijgen moet je niet alleen de laadpassen in Nederland veranderen (en de lezers), maar ook wil je dan nog dat die passen werken bij palen in het buitenland.

Dit zo maar vervangen is een lastige en daarmee dure operatie.
apt
@Yzord12 december 2019 08:51
Valt nog niet altijd zo makkelijk op denk ik: ik laadt nooit in de buurt van huis, alleen incidenteel bij een lange rit, en dat is dan weer in Leeuwarden en dan weer in Amsterdam. Ik laadt misschien 2 a 3 keer per maand buiten de deur. Als een ander hem incidenteel zou gebruiken zou dat niet zo snel opvallen. Tenzij ik de rekening controleer.

Ik denk dat er wel meer mensen zijn die altijd thuis laden en incidenteel ergens anders.
Arokh
@apt12 december 2019 09:32
Bij een tankpas moest je altijd de kilometerstand invoeren. Je krijgt dan als je wilt direct een melding dat deze persoon extreem onzuinig rijdt bijvoorbeeld.
Is dat bij de stroomoassen verslechterd? Is er helemal geen controle meer op zuinigheid?
SuperDre
@Arokh12 december 2019 11:05
Dat is dan misschien bij jou zo geweest, maar ik ken maar weinig mensen met een tankpas die een kilometerstand moeten invoeren.
Arokh
@SuperDre12 december 2019 12:05
Het was een Shell tankpas, ik ken meerdere mensen die dat altijd moesten. Geen idee eof het nog zo is, ik zit al 4 jaar niet meer in een leaseomgeving.
unglaublich
12 december 2019 08:30
Ik begrijp niet waar deze bedrijven hun brakke ICT ontwikkelaars vandaan halen. Je kunt NFC chips daadwerkelijk beveiligen, kijk naar wat de banken kunnen met moderne pasjes. Daarvoor moet je het beschermde deel van de chip gebruiken, maar dat is schijnbaar moeilijker dan gewoon het ID uitlezen. Telkens weer: afvalpas systemen; toegangssystemen; nu laadpalen, maken alleen gebruik van het ID ter verificatie.

Alsof ik tegen een poortwachter zeg: "ik ben de directeur", en de poortwachter zegt: "zal wel, kom er maar in!"
Caelorum
@unglaublich12 december 2019 08:49
Ja, dat is allemaal leuk, maar ik als gebruiker heb geen zin om elke keer ook een pincode in te moeten rammen. Laat staan dat die knoppen ook weer extra hardware vereisen, dus weer meer onderhoud.
Leuk vanuit beveiliging gedacht (wat ook belangrijk is), maar usability misschien nog wel meer voor zoiets als dit. Wat mij betreft gaan die pasjes er compleet uit en werkt het gewoon net zoals bij de Tesla Supercharger. Ze lezen de ID maar uit via de kabel en registreren het dan maar ergens in een account. Kunnen ze het er dan wel (later) afschrijven.
XO101
@Caelorum12 december 2019 09:11
Ben het wel eens met je betoog rondom usability, maar als de laadpaal fabrikanten onderstaand gaan doen moeten ze ook letten op veiligheid...
Ze lezen de ID maar uit via de kabel en registreren het dan maar ergens in een account. Kunnen ze het er dan wel (later) afschrijven.
Tesla staat er ook niet echt bekend om veilig te zijn qua implementatie van verschillende technieken. Zo zijn de sleutels ook al meerdere malen gehackt (https://www.wired.com/sto...del-s-key-fob-encryption/)

[Reactie gewijzigd door XO101 op 12 december 2019 09:12]

Arokh
@XO10112 december 2019 10:04
Maar ook dat laatste is voor de gwbruiksvriendelijkheid niet zo heel relevant. Een gebruiker maakt het niet uit hoe veilig het is, maar hoe makkelijk. En als het misgaat, betaalt de leasemaatschappij of stroomleverancier.
SuperDre
@Arokh12 december 2019 11:14
Dan ga je wel uit van een leasemaatschappij en niet iemand die zelf de auto koopt, ja joh, die mensen zijn er ook nog..
Arokh
@SuperDre12 december 2019 12:09
Ja dat weet ik, alleen zijn die er op de elektrische markt nog niet zo veel.

Voor volgend jaar wordt een "doorbraak" verwacht van het aantal privekopers op elektrisch gebied. En dat zijn er dan enkele duizenden. Dat is helemaal niks. Nog steeds niet.

En de meeste huidige elektrische privé auto's zitten in de absolute top van de markt. Ja, ze zijn er, maar er zijn weinig mensen die de kosten op kunnen hoesten. Net zoals er weinig mensen zijn die een Bently kunnen betalen. Ja, die zijn er ook. Maar ze stellen niets voor qua aantal.
dehardstyler
@Caelorum12 december 2019 09:46
Stel je voor: 4 cijfers intypen voor betere beveiliging. Wat moet het vreselijk zijn om een elektrische auto te hebben, ik bibber er gewoon helemaal van. Wat wordt mensen toch een onrecht aangedaan tegenwoordig. Zo stond ik vanochtend ook met mijn auto bij een onbemande pomp, ik helemaal uitgestapt, 5 meter naar een paal gelopen (denk eraan het was maar een paar graden boven 0, ijskoude handen ;( ) , pinpas er in. EN WAT SCHETST MIJN VERBAZING?!? Moet ik mijn pincode intypen! :X Direct de hele dag chagrijnig. |:(
RangedNeedles
@dehardstyler12 december 2019 10:29
Gelukkig is de kans dat je bankrekening geplunderd wordt door andere EV-rijders nihil :+
SuperDre
@dehardstyler12 december 2019 11:16
4 cijfers hier, 4 cijfers daar, en weer 4 cijfers ginds... ik heb al moeite genoeg om mijn eigen pincode te onthouden en die van het alarm... Dat ik gebruik moet maken van mijn pinpas, ok, maar als een laadpas OOK nog een losse pincode gaat krijgen (nouja, dan schrijf ik die wel op de pas zelf, of als ik em zelf kan kiezen pak ik wel nummers die op de pas staan).. Maar waarom een pas als de auto zelf een identificatie heeft die uitgelezen wordt bij laden.....
dehardstyler
@SuperDre12 december 2019 11:26
Ow, wat heb je het toch zwaar zeg. Dan schrijf jij hem inderdaad op de pas zelf, prima kerel. Kan de rest van Nederland het wel gewoon gebruiken waarvoor het bedoeld is! d:)b
SuperDre
@dehardstyler12 december 2019 14:00
De rest van nederland, ik denk op dat gebied wat betreft cijfers onthouden ik redelijk een doorsnee nederlander ben, in iedergeval afgaande op mensen rondom mij die ook altijd klagen dat ze steeds vaker pincodes moeten onthouden.
dehardstyler
@SuperDre13 december 2019 08:46
Ik denk dat je het over wachtwoorden hebt, ik heb nog nooit iemand horen zeggen dat hij / zij zoveel pincodes moet onthouden. Maar iedereen die moeite heeft met 4 cijfers onthouden kan er dan toch een sticker opplakken met de pincode. Dan hebben de personen in kwestie nog steeds dezelfde beveiliging als nu ( zie geen beveiliging ) en kan de rest van de mensen het wel gewoon veilig gebruiken.
SuperDre
@dehardstyler13 december 2019 23:03
Nee, werkelijk over pincodes, oa omdat Windows tegenwoordig ook om een pincode vraagt (bij veel mensen), maar veel mensen hebben dan niet door dat het blijkbaar gewoon een wachtwoord kan zijn.
Caelorum
@dehardstyler12 december 2019 12:12
Stel je eens voor dat je na elke rit naar de pomp moet en dan je pincode in moet vullen in plaats van die ene keer in de week. Eens kijken hoe jij het vind als je het 14x per week moet doen.

En vooral nu is er de mogelijkheid om het beter te implementeren waarop het nog steeds veilig is, dus waarom nog op een ouderwets systeem van een wachtwoord terugvallen?

[Reactie gewijzigd door Caelorum op 12 december 2019 12:13]

dehardstyler
@Caelorum12 december 2019 12:34
Ik gebruik een wachtwoord van 9 karakters om mijn telefoon te unlocken, meer dan 30 keer per dag. Maak je om mij alsjeblieft geen zorgen. ;)

edit: Verder betalen we nog niet zolang met NFC passen. Vroeger gebruikte je je pincode ook makkelijk 14 keer per week denk ik?
En vooral nu is er de mogelijkheid om het beter te implementeren waarop het nog steeds veilig is, dus waarom nog op een ouderwets systeem van een wachtwoord terugvallen?
Voor Tesla kun je inderdaad de "Supercharger" manier gebruiken. Hoe doen we het voor de Audi's, Hyundai's en bijvoorbeeld Mitshubitshi's dan?

[Reactie gewijzigd door dehardstyler op 12 december 2019 12:37]

Sfynx
@Caelorum12 december 2019 16:18
Beetje overdreven, je onderschat de hersenen een beetje. Hoe vaker je een code moet invullen hoe makkelijker het juist wordt. De spierbewegingen die mijn hand moet maken om mijn pincode in te vullen zijn onbewust inmiddels, daar denk ik niet meer bij na.
Het is alleen irritant als die code regelmatig verandert, bij het alarm van mijn werk tik ik constant de vorige code in als deze is veranderd na vertrek van een collega :')
Ik heb wachtwoorden van meer dan 20 tekens die ik ingetikt heb zonder dat ik er erg in heb.

Maar inderdaad, een gewoon een doodnormale contactloze betaalterminal zodat je met iets als Apple Pay of de Google versie ervan kan betalen zou ook dat gewoon oplossen en is veel veiliger dan wat we nu hebben.
Caelorum
@Sfynx12 december 2019 19:41
Ik onderschat niets. Elke keer een handeling extra moeten doen, welke overbodig is, is gewoon super irritant. Of je nu je erbij hersenen nodig hebt of niet.
unglaublich
@Caelorum13 december 2019 08:48
Dat hoeft ook helemaal niet!? Het gaat er om dat het onmogelijk wordt om een pas te kopiëren.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee