Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mastercard komt met betaalpas voor microbetalingen

Door , 140 reacties

Mastercard is in onderhandeling met de grote Nederlandse banken en winkelketens over de introductie van een nieuwe betaalkaart. Met de Paypass kunnen microbetalingen worden verricht.

Het nieuwe betaalsysteem kan middels een chip aan een creditcard worden toegevoegd. In tegenstelling tot de chipknip is het niet nodig de kaart vooraf op te laden. Ook een pincode is niet nodig. De betaalkaart werkt bovendien op basis van rfid-technologie, waardoor geen contact nodig is met een kaartlezer.

Paypass van MastercardPer Paypass-transactie mag maximaal 25 euro worden betaald; bij hogere bedragen is een handtekening nodig. Het bedrag wordt van de rekening van de klant afgeschreven zodra de kaarthouder contact maakt met de bank. Banken kunnen op hun beurt een limiet instellen en bepalen hoeveel transacties een rekeninghouder mag verrichten, voordat hij contact moet maken met de financiële instelling.

Mastercard is in onderhandeling met diverse winkelketens om het systeem te gaan invoeren. Volgens het creditcardbedrijf is de Paypass de logische opvolger van de inmiddels afgeschreven chipknip. Mastercard wil het contactloze betaalsysteem ook in mobiele telefoons gaan integreren. Daarvoor doet het concern proeven met Nokia en Motorola.

Mastercard hoopt dat met de introductie van de betaalkaart in Nederland, de Paypass op termijn uitgroeit tot de Europese standaard voor betalingen, zo bericht Het Financieele Dagblad. In Engeland, Zwitserland, Frankrijk en Turkije wordt de Paypass momenteel al gebruikt. De Europese Unie wil uiteindelijk één Europees betalingssysteem gaan invoeren, al is nog onduidelijk hoe lang de Single Euro Payments Area nog op zich laat wachten. Wel staat vast dat het Nederlandse pin-systeem en de chipknip in de toekomst het veld zullen moeten ruimen voor een internationaal betalingssysteem.

Door Dimitri Reijerman

Redacteur

12-12-2007 • 09:55

140 Linkedin Google+

Reacties (140)

Wijzig sortering
Ik zie hier een hoop skimmers rondlopen, echter zo makkelijk zal het niet gaan. Maak zelf POS software gekoppeld aan pinappartuur dus weet een beetje hoe pinnen chippen etc werkt.

1. Je kan dan misschien de ID skimmen, maar je zult nooit die RFID zomaar kunnen namaken. (even verdiepen in RFID en met name NFC)
2. Je zal nooit zomaar kunnen afschrijven met je opgezette bedrijfje. Zowel alle hardware, software, bedrijf en dataverbinding zullen gecertificeerd moeten worden door interpay. Certificeer traject van sotware alleen kost al bijna 1 jaar.

Dit systeem is mijn inziens veiliger dan pinnen en chippen bij elkaar.
En daarbij, je saldo staat niet zomaar 'vrij' op de RFID, maar wordt opgeslagen in (iets soorgelijks aan) een value block. ten minste, zo heten die dingen op Mifare kaarten.
En die waardes kun je niet eens zomaar uitlezen of overschrijven, je kan alleen een lees-commando, of een increment/decrement naar de kaart sturen waarop hij het zelf zal regelen, en je het saldo terug zal sturen.

dus, wil je iemand's saldo rippen dan zul je toegang moeten hebben tot de kaart (binnen het bereik), dan zul je de sleutel van de beveiligde blokken moeten hebben, en daarna mag je het nog eens via Interpay gaat fixen.
Wat een wijsheid, Jammer dat het niet klopt... Je saldo staat niet op het RFID want je hebt geen saldo (creditcard is geen debetcard)
Daarnaast zijn de betalingen online. Deze kaart hoef je niet op te laden. De betalingen gebeuren via een tussenpersoon (interpay in nederland). Saldo's kun je ook niet opvragen. Je kunt alleen vragen of er een x bedrag kan worden afgeboekt. Allemaal online via gecertificeerde software.
Wel goed dat er een opvolger komt, helaas minder dat er geen pincode wordt gevraagt. Ik typ liever even een code van 4 cijfers in dan dat het wat sneller gaat. Misschien wel makkelijk en snel, maar ook zeer vervelend als je je kaart kwijtraakt...

Heel leuk de techniek van tegenwoordig, maar ik durf er niet helemaal op te vertrouwen wanneer er geen vorm van identificatie is. Op het eerste gezicht een mooie vinding en makkelijk, maar de toekomst moet uitwijzen of het ook betrouwbaar is. Het zal wel makkelijk te blokeren zijn. Maar je kan toch snel even 100 euro kwijtraken als iemand even een paar winkels bijlangs gaat vorodat de code is doorgegeven en op de blocklist staat.

Edit:
Nu ik er zo overnadenk vindt ik het hele draadloze idee ook niet leuk. Een pankbas is niet 123 na te maken. Maar wie weet het signaal wel van de rfid. Ik weet niet hoe ver je met die rfid komt. Maar als je hem in je portemonee kan laten zitten kun je al heel wat meer apparatuur kwijt. Criminelen zijn tot veel in staat en ik zie dan ook wel constructies met een portemoniee vol. De verkoper heeft niks door en je kan een pasje zo vervalsen terwijl daar de RFID nie tin heoft te zitten. Handtekening kun je ook zelf zetten. Om onherkenbaar te blijven gebruik je iedere keer een ander banknummer om het af te schrijven. Buiten de winkel pak je je PDA en loop je gewoon over straat. Ondertussen verander je de bankrekening even via Bluetooth..

Ze kunnen wanneer ze het kraken notabene een combo van Bankrekeningnummer en Pasnummer die in een lokale database gewoon misbruiken. Met een of ander apparaatje bij iemand op straat even 1-2 cm van de broekzak afhouden en there you've got it. Een stuk of 10 codes ophalen en thuis door je PC laten kraken. In je PDA gooien en de volgende dag gratis shoppen.

Daarom wil ik dus een code moeten intypen. Een handtekening is in 2 minuutjes na te maken door iemand. De identificatie komt dus vanaf een database met informatie die allemaal moet worden gecontrolleerd met de info uit de pas. Er komt geen stukje beveiliging bij waar ook nog jou code moet kloppen die ook in de databse zit, maar niet in je pas en dus geldt als versleuteling.

[Reactie gewijzigd door GENETX op 12 december 2007 13:18]

Draadloos vind ik niet zo'n goed plan. Signaal zou op 1 of andere manier uitgelezen kunnen worden door derden. Lijkt me logischer om chip in te lezen in cardreader en dan bij wijze van checksum laatste transactiebedrag of tijdstip weg te schrijven. En vervolgens bij volgende transactie daarop te checken.

Overigens snap ik de creditcardclubs niet; had ruim 2 jaar al een Visa met chip, met die chip heb ik alleen 1x in Belgie kunnen betalen. M'n verse mastercard heeft nog geeneens een chip. Aangezien m'n Visa vorige maand is leeggehaald door fraudeurs lijkt me dat ook in hun belang; ombouw/aanpassing kost wat, maar levert een hoop veiligheid op.

Bovendien is PIN-betalen overal wel ingeburgerd; waarom mensen met creditcards dan ook niet daar op over laten gaan? Ben alleen beetje bevreesd voor wat ze aan kosten in rekening brengen; percentage of vast bedrag. Zie iDeal; werkt prima maar soms betaal je 0,75 per betaling.
het geld wordt pas van je rekening afgeschreven als de ontvangende partij verbinding maakt met de bank. Die moet daar dus een soort abonnement hebben. Voor criminelen wordt het dan lastig om aan zo'n abonnement te komen en als er op die manier toch gefraudeerd wordt is het eenvoudig om de dader te vinden aan de hand van de tegenrekening.
Mij lijkt het ideaal. Nadat ik 2 dagen in Rotterdam (en 1 dagje in Amsterdam) heb rondgereist met een OV-chipkaart ben ik helemaal voor dit soort systemen.

Mijn inziens is de chipknip geflopt omdat je nooit een goed idee had hoeveel je er nou op had staan. Of je moest langs een oplaadpunt of je moest zo'n achterlijk grote sleutelhanger hebben om je saldo te checken. Heb iets van 2 jaar de chipknip intensief gebruikt op de Saxion Hogeschool -het was het enige betaalmiddel daar- en heb regelmatig met te weinig saldo aan de kassa gestaan omdat ik vergeten was dat ik eerder iedereen op koffie getrakteerd had. Nooit leuk om met een ontoereikend saldo aan de kassa te staan.

Ik ga er maar van uit dat de OV-chipkaart en soortgelijke systemen degelijk beveiligd zijn/worden. Gecombineerd met nooit-meer-ontoereikend-saldo-aan-de-kassa (tm) en snelle-makkelijke-betalingen (c) lijkt het mij een topproduct.
Het valt me tegen dat het toch technische volk dat hier komt geen idee heeft dat RFID niet op meters afstand te lezen is, hoogstens een paar centimeter zonder obstakels. Als jij dus je pas in je binnenzak, in je portemonnee hebt is er echt niemand die je geld kan stelen. Vergelijk het met een magnetische parkeerkaart die je vlak voor een lezer moet houden, alleen kun je nu de magetische strip niet verneuken in je broekzak.

Verder lijkt iedereen te vergeten dat er ontzettend veel met pin gefraudeerd wordt en daar heeft blijkbaar niemand problemen mee. Zoals al een paar keer genoemd zal ook dit systeem verzekerd zijn, net zoals pin en credit card.

Ik snap alleen niet waarom je zo'n systeem zou willen in winkels. Pin voldoet nu prima en wordt gepromoot om ook voor kleine bedragen te gebruiken omdat het goedkoper is dan fysiek geld. Voor parkeerautomaten en kantines zie ik wel een mogelijkheid, net zoals chipknip nu maar dan zonder het nadeel dat de pas steeds leeg is.
IK bepaal wanner IK betaal!
Dat doe je ook door op OK te drukken. Alleen de techniek zorgt er voor dat jouw pas word herkend als geldig betaalmiddel. Die techniek is niet zomaar na te maken als dat er boven word gesugereerd. Reken er maar op dat er over na is gedacht. Immers als er gefraudeerd word is mastercard verantwoordelijk en niet jij als gebruiker. Er is 1 probleem en dat is als je pas word gestolen. Dat probleem heb je ook met giraal geld. Echter via dit systeem kun je de betalingen blokkeren en ben je verzekerd tegen diefstal. Als je giraal geld wordt gestolen is het vette pech.
Waarschijnlijk gaat het als volgt werken... Net als bijvoorbeeld bij CCV pos

Er is een reader verbonden met de kassa.
Kassa geeft seintje aan reader om te lezen
reader leest RFID tag
Reader geeft ID door aan server applicatie
server applicate maakt verbinding met server van interpay
interpay bepaald of alles in orde is (server, ID, IP etc etc) zijn een hoop controles
interpay geeft accoord aan server software en boekt bedrag af.
server software geeft accoord aan reader
reader geeft accord aan kassa dat de betaling is afgerond

Dank u en tot ziens

dus onmogelijk om geld te jatten via RFID lezertje...
Zowel de software, hardware etc moeten gecertificeerd zijn door interpay

[Reactie gewijzigd door seal74 op 12 december 2007 11:14]

Er zitten behoorlijk wat gaten in jouw voorbeeld:

Ik ga in de bus naast je staan en lees stiekem jouw rfid uit. vervolgens programmeer ik een eigen kaartje met jouw id en ga daarmee lekker betalen.
(Dit werkt ook voor de chipknip, al is het lastig om stiekem jouw chipknip uit te lezen.)

Of ik installeer een tweede 'kassa+reader' vlakbij de kassa. En als jij je betaling doet, 'skim' ik jouw kaart voor een tweede betaling.

Of ik ga met een handheld terminal (a la mobiele pin-terminal) in een willekeurig druk cafe staan en voer ongemerkt betalingen uit. En als jij bij mastercard een spookbetaling meldt, verklaar ik keihard dat jij wel degelijk in mijn cafe geweest bent.

Met rfid moet er gewoon een actie van de gebruiker nodig zijn mbv vertrouwde apparatuur. Het mag niet ongemerkt kunnen.

Hoewel... om als crimineel geld te innen van jouw kaart is lasting, het valt gewoon te veel op als je steeds maar weer bij mastercard aanklopt met betalingen die vals zijn, maar als je af en toe zo'n valse betaling er tussen smokkelt, kom je er misschien wel mee weg.
Geld van andermans kaart uitgeven is met jouw opzet kinderspel.
http://www.mastercard.com...urcards/paypass/faqs.html
"...uses a hidden embedded computer chip..."
"...With secure encryption technology..."

Ik neem aan / hoop dat het hier dus gaat om een challenge/response systeem. De kaart ontvangt een code, voert een cryptografische bewerking uit met een geheime sleutel, en stuurt het resultaat terug. De geheime sleutel wordt dus niet verzonden - die kan niemand in de bus draadloos van je uitlezen.

(En voldoende energie om de crypto-bewerkingen te doen is alleen beschikbaar in het nabije veld van de kaartlezer).

Ik dacht trouwens dat de Chipknip ook volgens een challenge/response principe werkte - waar heb je gelezen dat je die zomaar zou kunnen kopieren?
Ik weet dat je een hoop op zou kunnen lossen met cryptografie, maar het blijft een probleem dat de cryptografie die een smartcard kan doen betrekkelijk eenvoudig is vergeleken met wat bv een notebook kan.

De chipknip heeft idd een processor die de data-opslag encrypt en de communicatie pas uitvoert na correcte authenticatie, maar het geheugen is tevens 1-op-1 te kopieren.
Ik heb zo even geen bron bij de hand, maar in 1997 heeft een professor dit al gedemonstreerd, nota-bene met een connector die hij gemaakt heeft met een kurk en wat spelden :D Voor de banken is het voordeliger om deze fraude voor lief te nemen ipv maatregelen te nemen.

Een duplicaat-pas maken is eenvoudig daardat het geheugen gekopieerd kan worden. Ook kun je zo heel makkelijk het oude saldo herstellen, zonder dat je hoeft te weten wat de encrypted data betekent. Het zal echter de bank wel opvallen als jij meer uitgeeft dan dat je ooit op de kaart gezet hebt (daar hebben we de reden met de chipknip nooit betalingen tussen chipknips onderling mogelijk zullen zijn).
Het gaat hem volgens mij inderdaad NIET om veiligheid, maar alleen om bevestiging van het juiste bedrag wat afgeschreven mag worden.

Verder vraag ik mij zelf af hoe veilig het is. Nu moet een zakkenroller met zijn/haar handen je zak in om je portemonnee te stelen, maar met een soort RFID pas-lezer zou het voldoende zijn om in een rij vlak achter of voor je te staan. Dan is betalingssysteem in je mobiel veiliger, waarbij je op je mobiel de transactie moet bevestigen. Tenzij ze op de kaart een soort van contact-activatie hebben die door je vingers geactiveerd worden voordat de pas uitgelezen kan worden. En dan nog! Wie zegt dat alleen de kassa mijn RFID pas uitleest! Nee, ik wil wel op de pas zelf zien hoeveel geld eraf wordt geboekt.

Niemand houd zijn portemonnee met gesloten ogen in de lucht bij een drukke kassa hopend dat alleen de kassière geld eruit haalt. Even ervan uitgaande dat de kassière ook zijn/haar ogen dicht heeft en niet kan zien wat omstanders doen.

Dus is de mobiel volgens mij het meest te vertrouwen, want die heeft de mogelijkheid om wel te tonen wat afgeboekt wordt.
De chipknip is eenvoudig te overtreffen voor de klant. Nu is het zo dat je geld overmaakt van je betaalrekening naar je chipknip denk je. VAUDT. Je maakt geld over naar de bank. En al die tijd dat jij het geld op je chipknip laat staan, kan de bank dat geld gebruiken. Het is een supermanier voor banken om aan veel geld te komen. Reken maar eens uit hoeveel geld ze krijgen als al hun chipknippers 25 euro op die rekening zetten. Dat loopt in de tientallen miljoenen!

Daarnaast is het zo dat als je je chipknip verliest of zwaar beschadigt je het geld kwijt bent. Het is de meest kwetsbare vorm van geld die er is.
Zo! En dat werkt geweldig.
Ja en nee, maar mijn opmerking was er voornamelijk op gericht dat precies zo'n soort systeem als dat waar Mastercard nu mee komt eigenlijk al een tijdje in gebruik is.

Het idee van het systeem sta ik nog steeds 100% achter. Vroeger heb ik wel vaak gehad dat je de metro in rent om nog net een bepaalde aansluiting te halen en dat je dan merkt dat je geen strippen meer hebt. Wat dat betreft is een OV kaart met saldo dat automatisch oplaad toch wel makkelijker. Ook is het vouwen van een strippenkaart wat lastiger dan gewoon een kaartje even voor een reader houden. Daarbij komt nog dat je als inwoner van je eigen stad amper weet hoeveel zones het van halte a naar halte b is, laat staan dan mensen van buiten de stad of touristen dat weten.

De uitvoering van de OV chip kaart is echter wel erg slecht. Het opladen is gewoon -te- idioot voor woorden. Je kaart los in een bakje moeten leggen, terwijl het kritisch is dat de kaart niet weggehaald wordt tijdens het opladen is gewoon een IT design blunder van de eerste orde. Gewoon de kaart inslikken en vasthouden tot de transactie klaar is (zoals met vrijwel alle pin automaten) is een simpele en voor de hand liggende oplossing.

Ik snap de gedachte gang van de architect overigens wel. Die wilde natuurlijk demonstreren hoe -cool- het is dat de OV chipkaart geen fysiek contact hoeft te maken om uitgelezen en beschreven te worden. In dit geval is het echter gewoon -dom-.

Hopelijk leert Mastercard van een aantal fouten die de OV chipkaart gemaakt heeft, hoewel deze als ik het goed begrijp niet expliciet opgeladen hoeft te worden en dus iniedergeval dat probleem niet kent.
Contant geld is niet gratis. Ten eerste kost muntgeld best veel (nee, je kunt niet met een E20 biljet bij de bank binnenlopen en dan denken dat je met E20 muntgeld weer naar buiten komt). Ten tweede is chartaal geld een risico. Je moet het veilig op slaan en verzekeren (ie: premie betalen, of gewoon zelf het risico dragen wanneer de kassa leeggeroofd wordt). Daarnaast kost de afhandeling van een klant meer tijd omdat het geld en het wisselgeld geteld moet worden en tot slot is het ook nog eens fout en fraude gevoelig (je kunt immers geen graai in het pinautomaatje doen).

Pinnen was vroeger duur omdat er naar een centrale server ingebeld moest worden per transactie. Tegenwoordig zijn 'always-online' achtige verbindingen gemeengoed en zijn die inbelkosten helemaal niet meer nodig. Een winkelier die je nog geld durft te vragen voor kleine betalingen loopt achter, is conservatief of is een afzetter.
Als je alsnog een code moet invoeren om de betaling af te ronden, is het een kleine moeite even je bankpas door de magneetgleuf te trekken. Deze rfid is dan geen toegevoegde waarde. Echter, als ik de ontwikkelingen zie, denk ik dat men probeert te testen wat de beste en veiligste manier is om via rfid te betalen. Let wel, over een aantal jaren zal contant geld verdwijnen en betaling alleen nog maar kunnen via pasjes en chipjes.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*