Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 64 reacties
Bron: VRT Nieuws, submitter: co0lman

De Belgische telco's Base, Mobistar en Proximus hebben in samenwerking met Banksys een nieuw betaalsysteem voor mobiele telefoons geïntroduceerd. De bedrijven beweren dat hun techniek 'volledig veilig' is en claimen daarmee een wereldprimeur.

m-banxafe-logo Met de nieuwe betaaldienst willen de bedrijven inspelen op de populariteit van mobiele telefoons. Er zijn momenteel ruim 9,5 miljoen gsm's in BelgiŽ - ongeveer ťťn voor elke inwoner van zeven jaar en ouder - en van de gsm-bezitters is 64 procent genegen om mobiel te gaan betalen, zo blijkt uit onderzoek van de interbancaire organisatie Banksys. Iedereen die momenteel een Bancontact- of Mister Cash-bankkaart gebruikt, kan met een aangepaste sim-kaart van het zogeheten m-banxafe-systeem gebruikmaken, en deze simmetjes zijn gratis bij belwinkels van de aangesloten bedrijven af te halen. Eerder werd de m-banxafe-technologie, die geheel door Banksys werd ontwikkeld, al gebruikt om het beltegoed van prepaidmobieltjes op te waarderen. Vanaf vandaag zijn daar het opvragen van het rekeningsaldo en de laatst uitgevoerde transactie als toepassingen bijgekomen. Op 15 mei wordt tenslotte ook het 'pay2me'-systeem, waarmee mobiel kan worden betaald, geactiveerd.

Het systeem is 'geheel veilig', beweert ontwikkelaar Banksys. Het zou daarom ook bij uitstek geschikt zijn voor betalingen tussen particulieren, die zich net als handelaren gratis op de website van de organisatie kunnen aanmelden als zij de 'pay2me'-dienst willen gaan gebruiken. Het zal echter nog wel even duren voordat de gsm de Belgische portemonnee vervangt: er is een minimumbedrag van zes euro per transactie, en de kosten - exclusief btw - van elke transactie bedragen 25 eurocent voor de betaler en 49 cent voor de ontvanger. Het opvragen van de laatste transactie of het saldo van de bankrekening kost de houder eveneens 25 cent; het opwaarderen van beltegoed is gratis. Een woordvoerder van Banksys stelde bovendien met nadruk dat het niet de bedoeling is dat mensen met een m-banxafe-gsm hun wekelijkse boodschappen ermee afrekenen: de methode is bedoeld als 'extra ondersteuning als er geen betaalterminal in de buurt is'. Of een systeem voor incidenteel gebruik wel populair kan worden moet worden afgewacht, maar er wordt desondanks al gekeken naar mogelijkheden om m-banxafe in andere landen te introduceren.

Moderatie-faq Wijzig weergave

Reacties (64)

Ik ben geen beveiligings expert ofzo, maar kun je "volledig veilig" garanderen?
Alles wat door mensen gemaakt/ontworpen is moet toch te kraken zijn, al is het een kwestie van tijd. :?
Ik ben geen beveiligings expert ofzo, maar kun je "volledig veilig" garanderen?
Nee, dat kan nooit. Niets is 'compleet veilig'. Met brute force is alles te kraken. Alleen moet je je afvragen of het het waard is.

Je moet altijd wel een balans maken tussen de veiligheid die je wel wilt hebben en de risico's. Bijvoorbeeld, al heb je 70 jaar nodig om een hash te kraken met de huidige middelen, is het dan wel de moeite waard? In dat geval kan je (naargelang je situatie) het hashalgoritme 'veilig' noemen of niet.

Als een bepaald algoritme 'gekraakt' is, dan is er een methode bedacht om in een kortere tijd de sleutel te vinden.

[edit]
RedLizzard heeft inderdaad een punt over OTP, ben dat vergeten op te noemen.

Een voorbeeld van OTP's zijn de TAN codes van de postbank. Het voordeel is dat wanneer je zo'n TAN code gebruikt hebt, hij waardeloos wordt. Het nadeel is wanneer iemand je lijstje met TAN codes te pakken krijgt. Bovendien zijn ze niet altijd praktisch. ;)
Nee, dat kan nooit. Met brute force is alles te kraken. Het maakt niet uit of het 10.000 uur of jaren duurt. Niets is 'compleet veilig'.
Hoewel dat een goed uitgangspunt is in huis-tuin-en-keukenbeveiliging, is het niet helemaal waar. Een One time pad is, mits goed gebruikt, onmogelijk te kraken.
jep het algo op zich is onkraakbaar, maar

"If the key is truly random, never reused, and kept secret, " die drie niet.. tuly random is al een enorm probleem.. laat staat kept secret.. dus is die beveiliginsmethode 100% veilig? nee.. Is het een onkraakbaar algo? ja
Let op mijn subtiele aanname "mits goed gebruikt". Praktische haalbaarheid is wat anders ;)
Tijdens de 2e wereldoorlog lieten ze gewoon een hoop oude vrouwtjes ballen met letters uit een lotto machine halen om one-time pads te maken. Ik denk niet dat er daar ooit eentje van gekraakt is geweest.
Daar moet natuurlijk nog wel bij dat het alleen onkraakbaar is als de originele tekst betekenisloos is (entropie van 100%). Als het bijvoorbeeld om een bestand gaat met voorin het type geschreven kun je vaak ondanks 'perfecte verhulling' toch het origineel met brute kracht terugvinden.
Belangrijk voor zo'n kraak is dat je het resultaat kunt interpreteren, wat bij cijfercodes natuurlijk niet het geval is.
Daar moet natuurlijk nog wel bij dat het alleen onkraakbaar is als de originele tekst betekenisloos is (entropie van 100%).
Nee, dat is alleen zo bij een slecht encryptiealgorithme. Bij een goed algorithme is deze aanval (die in het jargon een known-plaintext attack heet) niet mogelijk.
Een algoritme is naar mijn mening nooit onkraakbaar. Het kan hooguit zo zijn dat het (bijna) niet omkeerbaar is waardoor het kraken van een algoritme ernstig bemoeilijkt wordt. Denk hierbij bijvoorbeeld aan AES. Tot op heden is het nog niet gekraakt, puur vanwege het feit dat de berekeningen amper terug te herleiden zijn.

Een dergelijk algoritme is er vaak op gebaseerd dat van a naar b redelijk simpel is maar dat terug van b naar a wel zulke onmogelijke berekeningen en handelingen met zich mee brengt dat dit niet te doen is. Elk algoritme is dus naar mijn mening te kraken.

Daarnaast is er altijd de gebruiker, het wordt al gezegd... mits het goed gebruikt wordt.

Tot slot hoeft een algoritme niet gekraakt te worden om misbruikt te kunnen worden. Als je niet door de voordeur naar binnen komt is er altijd nog wel een keukenraampje wat open staat :)
Jouw mening is gewoon bewijsbaar fout, OTP is onkraakbaar.

edit: het gaat om het statement `algoritme is kraakbaar'. Dat neemt niet weg dat de output natuurlijk wel kraakbaar is, maar dan hebben we het over brute force.
Een kraakbaar algoritme impliceert dat er een tijdsbesparende methode is om vercijferde data op te helderen, en die is er niet.
Hoe brute-force je dan mijn bankkaart of sim-kaart of zelfs het login wachtwoord van mijn pc, dat bij elk van de voorgaande, je na 3x de toegang weigert ?
Zie ik nu goed dat er minimaal 1/8 deel per transactie afgedragen wordt aan de bank? Daarmee is het zelfs erger dan de 50cent die je vroeger moest betalen bij sommige winkeltjes om te mogen chipknippen :o

Dit systeem lijkt mijzelf bij voorbaat geflopt als je in het begin al met dit soort kosten komt en bovendien deze:
de methode is bedoeld als 'extra ondersteuning als er geen betaalterminal in de buurt is
Het lijkt mij dat shops dit ook zelf moeten ondersteunen, als die geen chipknip/pin/creditcard (de enige die ik ken is de chinees op de hoek, die houden hun eigen administratie bij 8-) ) accepteren lijkt het me sterk dat je hiermee wel kan betalen |:(
correctie: MAXIMAAL 1/8ste
Een woordvoerder van Banksys stelde bovendien met nadruk dat het niet de bedoeling is dat mensen met een m-banxafe-gsm hun wekelijkse boodschappen ermee afrekenen: de methode is bedoeld als 'extra ondersteuning als er geen betaalterminal in de buurt is'.

Precies alsof ze van hun eigen product niet overtuigd zijn. Dit maakt niet echt een goede indruk
Het is gewoon een stuk duurder dan de normale betaalmogelijkheden.
Maar het is bv wel handig als ze bv meubelen komen leveren, anders moet je veel cash geld in huis halen (of een bankcheque) en dat is nu niet meer nodig. En voor een bedrag van een paar 1000 euro vallen de transactiekosten ook in het niets.
Voor de duidelijkheid, dit is echt bedoeld voor 'in the field' betalingen: de toko die je ramen komt wassen, de pizza die men komt leveren, de oppas die je even moet betalen, de postode, 200g kaas die je op de markt koopt...
Dit systeem is niet voor winkels bedoeld.

En waarom al dat negatieve erover? Het is en goede uitvinding. Mischien zal het niet zoveel gebruikt worden, maarja. Men zei dat ook van Proton (chipknip ofzo in nl.), maar uiteindelijk is het een dienst dat goed draait.
idd, en trouwens, dat m-banxafe-systeem wordt al een tijdje gebruikt door Mobistar hoor. Ongeveer 2j geleden gebruikte ik dit al om direct via mijn gsm mijn beltijd te verhogen als die op was ipv altijd maar naar de winkel te gaan om een oplaad kaart te gaan kopen. Enorm handig en tijdbesparend, geloof mij vrij :)
Misschien wel, maar met §0,74 aan kosten per transactie krijgt mijn glazenwasser wel contant geld. (Trouwens, ik ben nooit thuis als de glazenwasser komt en betaal gewoon per bank)

Het idee is leuk maar vťťl te duur voor micropayments. (En de chipknip draait in Nederland voor geen meter. Om maar te zwijgen van Duitsland, Frankrijk Engeland en de rest van de wereld: Daar kent men geen eens een chipknip.)
Chipknip of Proton heeft het inderdaad nooit echt kunnen waarmaken. Waar het heel handig is, is op plaatsen waar heel snel afgerekend moet worden zoals in een studentenrestaurant of de cafetaria van werk. Ik moet er niet aan denken dat men bij ons de § 0,37 voor soep cash zou gaan betalen...

Voor de rest is de belangrijkste reden (in BelgiŽ dan toch), dat de apparaatjes voor Proton en Bancontant tegenwoordig in 1 toestel zijn geÔntegreerd. Ik heb deze Banksys-toestellen ondertussen ook al in Nederland gezien. Als je dan kan kiezen tussen betalen met Proton of Bancontact, dan valt de keuze natuurlijk snel op Bancontact.

Proton is 11 jaar geleden gelanceerd onder de studenten in Leuven, maar het is eigenlijk altijd bij het studentenpubliek gebleven.
Sommige zaken, zoals fritkoten, hebben wel zo'n machine van Banksys, maar kan je niet betalen met je bankkaart. Enkel Proton.
Wel eens naar Hong Kong geweest toevallig?
Daar halen ze hun betaalchip gewoon langs een scanner en klaar zijn ze. Niets geen moeilijk gedoe met eerst een pas in een gleufje stoppen, wachten op bedrag, en op OK drukken.

Die chippies worden trouwens ookal geintegreerd in gewone horloges en andere zaken die men zoal bij zich draagt.
zo ver hoef je niet weg. De abonnementen voor de franse tolwegen werken ook door een pas langs een scanner te halen. (altijd lachwekkend als een hollander, liefst met grote caravan, voor precies die gate gaat staan omdat het daar 'zo lekker rustig is' :+ )
We hebben al een systeem voor 'in the field' betalingen, dat heet cash. Het bestaat al duizenden jaren en hoewel de credits te vervalsen zijn hebben we redelijk wat ervaring in het vaststellen van authenticiteit...

Behalve dat enkele techno-geile managers weer aan hun trekken komen heeft dit absoluut geen meerwaarde en brengt het alleen maar onnodige risico's met zich mee.

Het voordeel is natuurlijk wel dat de overheid nu ook inzicht kan krijgen in je betalingen die je tot nu toe nog niet electronisch kon doen. :r
ga in een bos wonen!
Als die 200 gram kaas die je koopt de winkel al 49 cent kost, blijft er niet veel voor de winkel over...

Denk dat dit over grotere bedragen gaat.
regel een als het komt tot beveiligingen:

Er is altijd iemand beter.


Alles kan worden gebroken. Als je van uit gaat dat je perfecte beveiliging systeem hebt gevonden heb je al verloren.
Ik ken een onkraakbaar beveiligingssysteem. Het heet Verman-codering, en even opzoeken zal je leren dat dit 100% onkraakbaar is.

Verder kan ik ook met zekerheid zeggen dat RSA 4096-bit nog zeker 2 jaar lang onkraakbaar blijft. Tenzij iemand een efficiente manier vindt om grote getallen snel te ontbinden in priemfactoren, maar dat zou een ramp zijn voor alle beveiligde communicatie over heel de wereld.
Je spreekt jezelf tegen... "Nog 2 jaar onkraakbaar" tenzij.. Onkraakbaar is onkraakbaar en niet over onkraakbaar tot in 2 jaar. Daarnaast.. RSA kraken is extreem te parelleliseren.. en ik durf wel een wedje te leggen dat als we even het hele internet er aan zetten, dat we binnen een uurtje 'm echt wel gekraakt hebben
Nou dat is best interessant, ze zijn geloof ik pas bij ca 700 bits met de grootste kraak ooit. Zoals je begrijpt is 4000 bits zo'n slordige 2 tot de macht 3300 keer zo moeilijk. Het is dus echt niet zo dat je dat 'even' doet met alle aanwezig capaciteit.

Echter is bij de onkraakbaarheidsvoorspelling van Parasietje een ander probleem: quantumcomputers kunnen 'efficient' priemfactoren zoeken. Zoals ieder recent heeft kunnen lezen duurt het niet heel lang meer voordat grote bedrijven dergelijke computers kunnen bestellen.
@Parasietje:
Google en wikipedia kennen geen 'Verman-codering'...
Your search - Verman-codering - did not match any documents.

Inderdaad niet te kraken :+
Probeer eens met Vernam, dat helpt ;)
Bij mij help het niet veel.

Het enige wat ik weet van Vernam is dat hij het OTP heeft uitgevonden. De lorenz machine maakte van dit principe gebruik en is gekraakt in de tweede wereldoorlog.
Waarom zou het niet veilig zijn als ze gebruik maken van de beveiliging die al op een mobiel netwerk zit?. Ik ken niet veel gevallen van mensen die gratis/illigaal/gehackt op een mobiel netwerk bellen. Kennelijk is die beveiliging redelijk in orde.

Wat betreft de kosten. Dat zal wel een opstart tarief zijn om te voorkomen dat mensen massaal er mee aan de slag gaan. Gaat vast wel zakken na een tijdje...
Dat zal wel een opstart tarief zijn om te voorkomen dat mensen massaal er mee aan de slag gaan.
ja, en de supermarkt maakt de prijzen ook opzettelijk hoog omdat ze anders wel eens wat zouden verkopen ;)

Volgens mij is "massaal" gebruik nu net wat men wil.
Nee want de infrastructuur zal daar wel niet op berekend zijn. Als het gelijk breed gebruik gaat worden, komt er een enorme druk op het afhandelingsgebeuren. Nu kunnen ze dat redelijk rustig opbouwen en de aanlooppproblemen eruit halen zonder grote ellende.
Ik heb zelf nog een tijd voor de netwerkondersteuning van Banksys gewerkt, en geloof me er is capaciteit zat.
Zelfs tijdens de drukste koopjes periodes van het jaar zat het gehele system nog 90% van de tijd uit z'n neus te vreten :)

Off-topic: het is overigens wel leuk hoe je aan de hand van netwerk traffiek bepaalde sociale fenomenen kunt vaststellen. Bijvoorbeeld tijdens de allereerste keer dat Justine Henin en Kim Clijsters een Grand Slam finale tegen elkaar speelden zag je de performance grafiek letterlijk 'neerstorten' om 2 uur later weer op normaal pijl te komen. Met andere woorden: heel BelgiŽ zat toen aan zijn TV toestel gekluisterd ;)
Waarom zouden ze willen voorkomen dat mensen er massaal aan de slag mee gaan? Lijkt mij juist dat een tijdelijke hype er voor kan zorgen dat dit systeem ingeburgerd raakt. Daarom vind ik het zo raar dat zaken als de dagelijkse/wekelijkse boodschappen hier niet voor bedoeld zijn. Voor een goedkoop product is 74 cent aan transactiekosten te veel (bovendien moet de transactie minimaal 6 euro bedragen). De telco's willen toch ook hun investering terugzien lijkt mij.
en de kosten - exclusief btw - van elke transactie bedragen 25 eurocent voor de betaler en 49 cent voor de ontvanger.
Byebyezwaaizwaai immense populariteit. Ik was enhousiast over het concept tot ik las dat er kosten aan verbonden waren. Het electronisch overmaken tussen particulieren zoals je blijkbaar met dit systeem kunt is iets waar ik al langer op zit te wachten.
Zo'n kosten staat de populariteit van zoiets toch aardig in de weg, ook al is het maar een marginaal bedrag. Hetzelfde zie je met PIN waarbij winkeliers een kleine vergoeding vragen voor PINnen onder een bepaald bedrag. Anders zou ik ook voor iedere scheet PINnen.
elke transactie kost het bedrijf nou eenmaal geld omdat ze 24/7 ondersteuning moeten bieden. Ze kunnen niet savonds ff uitzetten omdat je dan bijv in restaurants niet meer kunt pinnen.

bovendien moet die infrastructuur(gaat vaak over de telefoon lijn) ook vele betalingen op elk moment kunnen verwerken. Dat kost nou eenmaal een hoop geld maar het restaurant biedt de klant wel ineens meer betaalmogelijkheden

lijkt me ideaal om in de disco of kroeg zo te kunnen betalen, geen gezeik met losgeld. Of in een taxi :)
> geen gezeik met losgeld

Ik weet niet in wat voor schimmige etablissementen jij zoal komt, maar eh... losgeld? ;)
Het is ongelofelijk dat mensen nog steeds niet door lijken te hebben dat ze voor hun eigen geld ondertussen wel X maal moeten betalen, allemaal onder het mom van gebruiksgemak. Als het op hun rekening komt kunnen ze bank kosten betalen, schrijven ze van dat schamele loon naar een andere rekening over kunnen ze betalen(ja dat kost ook geld in BE), halen ze het van hun eigen rekening af kunnen ze betalen komen ze in een winkel kunnen ze betalen om hun betaling te mogen doen en ondertussen loopt banksys weer met de zoveelste aanslag op jouw geld te glunderen alsof ze de cliŽnten een dienst bewijzen.
Het hele verhaal zou nog grappig zijn moest het vrijwillig zijn maar het wordt op grote schaal opgedrongen want je komt nergens meer aan cash geld en werkgevers kunnen of willen niet meer cash uitbetalen. Overheidsgesteunde uitzuiging zou ik het willen noemen maar dan wordt er hier en daar weer aanstoot genomen aan mijn "kortzichtige visie" Voorbeeldje, europa bedacht dat overschrijvingen binnen de Eu net hetzelfde maar mochten kosten als een binnenlandse overschrijving, wat in NL erop neerkomt dat je eigenlijk gratis je geld overschrijft binnen europa want bij de meeste NL banken betaal je voor die binnenlandse overschrijving ook niets. Nu hoe lossen we dat in BE landje op, we verhogen gewoon voor alle Belgen de kost voor binnenlandse overschrijvingen met goedkeuring van de overheid ongeveer 2 jaar voor we dit akkoord van de EU gaan uitvoeren en vervolgens gaan we reclame maken dat we zo vriendelijk zijn om de buitenlandse overschrijvingen even "goedkoop"te maken als de binnenlandse overschrijvingen, alsof ze het zelf hadden bedacht.
Het is erg maar in BelgiŽ wordt je als burger met hulp van vadertje staat vrolijk uitgezogen en ze slagen er nog in om je er een goed gevoel over te bezorgen ook of je zodanig te verblinden dat je het niet zo zuiver meer ziet.
Ondertussen hebben we dus het zoveelste betaalmiddel dat geen enkele toegevoegde waarde heeft tov cash geld voor de klant. Wat veiligheid betreft, als ze een mes tussen je ribben duwen voor je mp3 speler dacht je dan echt dat ze het zouden laten voor je chipknip/proton/gsm. Ow het ging niet over jouw veiligheid 
Ach er zal wel iemand "lang leve het kapitalisme" roepen neem ik aan en dan een hele waslijst gaan ophoesten over hoe geweldig het systeem is en waarom ik toch zo tevreden zou moeten zijn want ik hoef dan toch geen wisselgeld te ontvangen enz. Wel als al onze bespaar maatregelen zoals het verminderen van cash geld in onze samenleving telkens meer geld moeten kosten dan zit er imo wel iets verkeerd want op dit moment betaald in BE de klant heel de rekening en wordt er een kleine groep mensen gewoonweg stinkend rijk.
Dit is geen innovatie dit is gewoon de zoveelste vorm van diefstal die gecontroleerd wordt door een staat waar alleen geld nog telt.
Oh, maar dat kennen we in Nederland ook hoor.
Ze willen de strippenkaart alvast wat duurder gaan maken de komende jaren, zodat als de OV-chipkaart straks wordt ingevoerd die even duur of goedkoper is!
En over jouw bankvoorbeeld. Er was ook een plan om de transactiekosten in de EU te harmoniseren. Laat Nederland nou net de laagste kosten hebben in de hele EU en raad eens wie vooraan staan te springen om dit in te voeren! (niet de banken hoor, maar de politici, staat gooed op hun CV denk ik)
En dan over 2 dagen: "Nieuw Belgisch gsm-betaal systeem volledig gehacked" :+
Ik vind het wel duur als betalingsmiddel.
Je moet zelfs betalen om geld te ontvangen en dan nog wel 49 eurocent.

Als het goedkoper was, had ik er zeker gebruik van gemaakt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True