Currence maakt pinnen via normale internetverbinding mogelijk

Currence heeft aangekondigd dat het mogelijk wordt om pinbetalingen via een 'normale' internetverbinding af te handelen. Tot nu toe waren ondernemers verplicht om een gecertificeerde dataverbinding af te nemen.

Pin Om pinbetalingen veilig te kunnen verwerken over normale internetverbindingen, heeft Currence naar eigen zeggen extra veiligheidsmaatregelen genomen in zijn computersystemen en bij de betaalautomaten. Volgens de betalingsverwerker hebben pintransacties die via een adsl-, glas- of kabelverbinding verlopen als voordeel dat ze sneller kunnen worden afgehandeld. Verder zou er een kostenvoordeel zijn, omdat ondernemers voor vrijwel alle breedbandverbindingen een vast bedrag per maand betalen, terwijl bij gecertificeerde lijnen transactiekosten worden berekend.

Een andere reden dat Currence pintransacties voortaan ook via reguliere internetverbindingen verwerkt, is dat veel 'oude' telefonieverbindingen binnen enkele jaren worden uitgefaseerd. De betalingsverwerker laat verder weten dat het mogelijk blijft om door Currence gecertificeerde breedbandverbindingen af te nemen. Currence start een voorlichtingscampagne om de circa 90.000 mkb-ondernemers die nog gebruik maken van inbelverbindingen over de nieuwe mogelijkheden te informeren.

IT-banen

Reacties (137)

broodjekaas92 8 november 2010 09:59

is dat wel handig? (network sniffers enzo)

edit: waarom wordt deze reactie 2 keer omlaag gemod?

[Reactie gewijzigd door broodjekaas92 op 28 juli 2024 02:24]

DataGhost

@broodjekaas92 • 8 november 2010 10:00

Ja, al die verbindingen zijn gewoon versleuteld net zoals het verkeer wat jij en je bank uitwisselen. Je kan sniffen wat je wilt maar je krijgt geen nuttige informatie te zien. Je zou ook denken dat hier langer dan twee seconden over is nagedacht.

[Reactie gewijzigd door DataGhost op 28 juli 2024 02:24]

broodjekaas92 @DataGhost • 8 november 2010 10:01

nee maar alles wat gecodeert wordt kan ook weer gedecodeert worden

DataGhost

@broodjekaas92 • 8 november 2010 10:04

Ja, maar niet door jou. Dat is het hele idee erachter. Zolang jij de juiste sleutels niet weet te krijgen kan je vrij weinig uitspoken.

broodjekaas92 @DataGhost • 8 november 2010 10:07

alles is hackbaar (na een tijdje)

Fly-guy

@broodjekaas92 • 8 november 2010 10:11

Maar dat zal niet anders zijn voor de huidige verbindingen...

broodjekaas92 @Fly-guy • 8 november 2010 10:12

oke maar dit soort verbindingen zijn wel wat belangrijker dan een gewone verbinding

maar dit wordt een eindeloze discussie dus laten we er maar mee ophouden

CodeCaster @broodjekaas92 • 8 november 2010 10:26

@broodjekaas92: ga je vooral eens verdiepen in public-key cryptography.

[Reactie gewijzigd door CodeCaster op 28 juli 2024 02:24]

Keypunchie

E-commerce
Betalingsverkeer
Internet
Nederland

@CodeCaster • 8 november 2010 12:14

@Codecaster

In principe natuurlijk ook bruut te forceren, maar ja, niet iedereen heeft een distributed computing netwerk van grazende koetjes en maanden en maanden de tijd.

Daarnaast het onderscheppen van pin-transacties is ook nog eens tijdsgevoelig (je wilt natuurlijk iets wijzigen, het bankrekeningnummer en bedrag), dus inderdaad met public/private-encryptie meer dan voldoende veilig tegen rechtstreekse hack-aanvallen.

[Reactie gewijzigd door Keypunchie op 28 juli 2024 02:24]

Spacecowboy

@Keypunchie • 8 november 2010 14:04

Daarbij mag je er vanuit gaan dat er dagelijks, maandelijks en jaarlijks een sleutelwissel plaatsvindt. Dat houd dus in dat wanneer je eindelijk de sleutel hebt gevonden, deze allang alweer waardeloos is.

i-chat @broodjekaas92 • 8 november 2010 10:37

de vraag is wat er anders is aan die gecertificeerde lijnen. daar ben ik wel benieuwd naar. verder kun je natuurlijk prima gebruik maken van vpn tunnels daar zijn ook prima beveiligingen en encryptie toe te passen. probeer anders eens 's een 4mbit sleutel te kraken de enige manier is als je de sleutel in handen weet te krijgen, maar dan werken die oude cert verbindingen ook niet meer veilig.

eymey

@i-chat • 8 november 2010 11:58

Ik gok dat die gecertificeerde lijnen gewoon niets anders inhouden, dan dat je een speciale verbinding direct naar Currence toe krijgt. Dus een dedicated (en controleerbaar) circuit.

Ik ben idd wel benieuwd naar de beveiliging van deze nieuwe manier van aansluiten. Gaat de beveiliging niet verder dan een simpele SSL-connectie met client-certificaten? Of komt er speciale VPN-hardware tussen te staan?

Toch lijkt dit me nog steeds meer een oplossing voor kleine ondernemers die zich niet zo'n dedicated lijn kunnen veroorloven en toch laagdrempelig pin willen aanbieden. Maar je kan natuurlijk geen enkele garantie krijgen vwb 'uptime' als je dit over een goedkope internetverbinding doet.

Spacecowboy

@eymey • 8 november 2010 14:06

Currence is slechts een papieren organisatie. Equens doet de daadwerkelijke transactie afhandeling c.q. routering.

Ron!n @eymey • 8 november 2010 13:10

Wij hebben met ADSL zakelijk van KPN zo'n 5x meer storing dan de "prive" ADSL verbinding van XS4All. Je zou verwachten dat dit andersom zou zijn, erg jammer...

DJSmiley @i-chat • 8 november 2010 10:55

gecertificeerd lijntje stelt technisch niet zoveel voor. Je netwerk moet aan bepaalde eisen voldoen en als dat zo is dan ben je klaar.

Je krijgt dan gewoon een eigen bgp sessie met hun om pinverkeer overheen te routeren, thats' it eigenlijk. Doordat de ip adressen verder niet announced worden, werken ze alleen over lijnen die met hun gecertificeerd zijn en dus niet verder over het internet. (iig bij ccv)

geerttttt @broodjekaas92 • 9 november 2010 02:03

Wat maakt dit gevaarlijker dan internetbankieren? Lijkt mij even cruciaal dat er geen specifieke data onderschept of gespoofed kan worden, en bij internetbankieren gaat het ook goed (inderdaad, public/private key e.d.)

marcieking

@broodjekaas92 • 8 november 2010 10:13

Ja, maar jij kunt er in 2050 weinig meer mee dat ik vandaag een euro heb gepind bij de supermarkt, om er je voordeel mee te doen moet je veel sneller zijn.

Aivy @marcieking • 8 november 2010 10:36

klopt je hebt 1 euro gepint en die winkel moet nog wat 50cent? betalen voor transactie kosten zo lijden ze alleen maar verlies aangezien je tegenwoordig overall kleine bedragen mag pinnen

veldmuis @Aivy • 8 november 2010 10:41

De transactiekosten zijn lager dan die 50 cent, en het voordeel is dat de winkelier geen geld in de kassa hoeft te hebben (denk aan overvallen), en dat dat geld ook niet weggebracht hoeft te worden naar de bank, wat naast dat daar ook gewoon kosten aan verbonden zijn, ook weer een veiligheidsrisico met zich meebreng.

Bloodshot @Aivy • 8 november 2010 10:42

Ik meen ongeveer 5 cent voor de transactie.
De datacom-kosten met inbellen zijn rond de 4 cent (1 telefoontik) en voor de overige aansluitingen (via een gecertificeerd netwerk) wordt er gewerkt met maandelijkse kosten die onafhankelijk zijn van het aantal transacties.

Totaal tussen de 6 en 10 cent dus.

TERW_DAN @Aivy • 8 november 2010 10:50

klopt je hebt 1 euro gepint en die winkel moet nog wat 50cent? betalen voor transactie kosten zo lijden ze alleen maar verlies aangezien je tegenwoordig overall kleine bedragen mag pinnen

Klein geld kost een ondernemer meer dan een transactiebedrag voor de pinauatomaat. Immers die zooi moet ook weer gestort worden als er teveel van is en je moet er wel genoeg van op voorraad hebben. En met kleingeld schiet dat ook niet heel erg op.

Verwijderd @Aivy • 8 november 2010 14:35

Pinnen is niet zo duur hoor - en je vergeet de handlingkosten van munt/papiergeld. Dat is veel duurder en de kans op overvallen is natuurlijk veel groter. Niet voor niets willen winkels dat je alles pint.

Verwijderd @broodjekaas92 • 8 november 2010 10:31

Huidige pin transacties worden ook niet gehackt. dus dat zal wel meevallen.

info:
Currence is een Nederlandse organisatie die is opgericht door een aantal vooraanstaande bankorganisaties met als doel "facilitering marktwerking en transparantie met behoud van de kwaliteit en veiligheid van het betalingsverkeer in Nederland." opgericht 1 januari 2005.

[bron: wikipedia]

Dus die weten wel wat ze doen.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 02:24]

latka @Verwijderd • 8 november 2010 16:45

Dus die weten wel wat ze doen.

Hoewel ik je conclusie deel vind ik de gedachtegang redelijk gevaarlijk. Heeft al menig crisis opgelevert (geheime dienst roept iets over weapons-of-mass-destruction en hoppa naar Irak, financiele experts die roepen dat belegen in hypotheken ontzettend slim is...) Allemaal experts die het niet erg bij het rechte eind hadden.

mphilipp @broodjekaas92 • 8 november 2010 11:01

Dat is een enorme dooddoener die te pas en te onpas wordt aangehaald. Voornamelijk door mensen die er geen klap van weten.

Het heeft vrij weinig nut om 3,5 jaar te gaan zitten kraken om 1 transactie te decoderen. De volgende transactie kost je namelijk wéér zolang. Zolang je dit niet instant kunt decoderen (als in on-the-fly) heeft je poging totaal geen zin.

Verwijderd @mphilipp • 9 november 2010 07:29

Het heeft vrij weinig nut om 3,5 jaar te gaan zitten kraken om 1 transactie te decoderen. Zolang je dit niet instant kunt decoderen (als in on-the-fly) heeft je poging totaal geen zin.

Je hoeft geen bestaande transactie te hijacken, als er een server is die pintransacties accepteert kan ik een volkomen valse transactie aanbieden als ik weet hoe het werkt. Dat kan nu niet, omdat je een dedicated lijn nodig hebt. Na één valse transactie weet je dan gelijk wie er achter zit. Dat is met een publieke infrastructuur veel lastiger.

Het hoeft natuurlijk niet zo te zijn dat de mogelijkheid van het aanbieden van een valse transactie een enorm veiligheidslek is, dat kan best goed dichtgetimmerd worden, maar je creëert een 'single point of failure', waarbij het, áls het fout gaat, het ook gelijk góéd fout gaat (als criminelen er eenmaal achter zijn hoe het (crypto)-systeem werkt trekken ze gelijk 100.000 bankrekeningen leeg, en wie gaat dat betalen?). Met dedicated lijnen is dat veel moeilijker.

Verwijderd @broodjekaas92 • 8 november 2010 12:31

De verbinding zal natuurlijk maar een paar seconden duren. Als het kraken per transactie meer duurt dan een paar seconden is het al veilig genoeg.
verder zoals al verder is gezegt: public private key encryptie.

Jeanpaul145 @broodjekaas92 • 8 november 2010 10:06

Klopt maar als je iets als een sterke variant van AES gebruikt kan je wel aardig zeker zijn dat de transactie veilig veloopt denk ik zo. Daarnaast zullen ze vast wel extra maatregelen nemen, als er iets is waarmee geldbedrijven (banken, transactiebedrijven etc) niet spotten dan zijn het financiele transacties.

Korben @Jeanpaul145 • 8 november 2010 11:08

Ik neem aan dat ze onderliggend geen AES gebruiken - dat was er nog niet toen PIN-automaten werden geïntroduceerd - maar als basis een assymetrisch algoritme gebruiken om de sleutel voor een symmetrisch algoritme te verspreiden, en dat nog aanvullen met een signature algoritme om de databron te verifiëren.

Maurits van Baerle @Korben • 8 november 2010 11:32

Dit gaat niet om PIN-automaten maar om betaalapparaten zoals je die in winkels tegenkomt om betalingen mee te doen. Die zijn volgens mij nooit ouder dan een paar jaar.

Bovendien, dit systeem is nieuw dus zal gewoon AES ondersteunen. Als je als winkelier je dedicated lijn op wil zeggen en het voortaan via internet wil gaan doen zul waarschijnlijk toch een nieuw apparaat moeten aanschaffen die dit ondersteunt. Dat nieuwe apparaat kan prima AES gebruiken.

hackerhater @Maurits van Baerle • 8 november 2010 17:36

Ik hoop dat ze automaten dan direct ook geschikt maken voor chip-pinnen. Is dat probleem ook weg

Spacecowboy

@Korben • 8 november 2010 14:10

@ Korben: Correct. Dat is in ieder geval hoe de geldautomaten en andere interchanges werken. Wat betreft de betaalautomaten die aan Interpay en of CCV zijn gekoppeld weet ik het niet zeker, maar gezien het een publieke infrastructuur is, vermoed ik dat het ook via deze manier gaat.

Op deze manier heb je toch de veiligheid van asymmetrische sleutel, maar de performance van een symmetrische versleuteling.

[Reactie gewijzigd door Spacecowboy op 28 juli 2024 02:24]

latka @Spacecowboy • 8 november 2010 16:47

He! Dat is gewoon SSL/TLS wat al sinds jaar en dag ook in je browser zit

ManiacsHouse @Jeanpaul145 • 8 november 2010 10:14

Ahum kuch... Weinig tot geen controle op automatische incasso's is er al 1.

Relief2009 @broodjekaas92 • 8 november 2010 10:04

Hangt weer af van het type beveiliging? Als alle beveiligingen gekraakt konden worden viel er niks te beveiligen.

katjang1991 @broodjekaas92 • 8 november 2010 11:50

ja klopt maar dat zou ook bij een gecertificeerde breedbandverbindingen ook kunnen heb. maar je heb gewoon veel verstand nog ding van de 2 dus ik denk dat het neit zo makkelijk zal zijn

Yakotb @broodjekaas92 • 8 november 2010 12:37

Ik zou je even verdiepen in cryptografie (bijvoorbeeld RSA). Bij sommige algoritmen is gewoon wiskundig bewezen dat deze niet te kraken zijn, behalve met brute-force. In de meeste gevallen duurt het miljoenen jaren om een dergelijk bericht te ontcijferen via brute-force.

In de Verenigde Staten is cryptografie met sleutels langer dan 40 bits lange tijd als munitie geclassificeerd, zodat het niet geëxporteerd mocht worden. Anders waren buitenlandse berichten voor de overheid niet te kraken.

no-sense @Yakotb • 8 november 2010 15:25

Euh... Voorzover ik weet is enkel van One Time Pad encryptie bewezen dat het absoluut onkraakbaar kan zijn. Zie http://en.wikipedia.org/wiki/Cryptography#The_computer_era
Vanwege praktische problemen (sleutel moet op z'n minst even lang zijn als het te versleutelen bericht dus hoe krijg je de sleutel veilig bij de ontvanger?)

Voor alle andere methodes is op z'n hoogst bewezen dat het onkraakbaar is zolang een bepaalde onbewezen preconditie geldt (b.v. RSA is veilig zolang er geen methode bestaat om snel een getal in factoren op te delen)

PBX_g33k @no-sense • 8 november 2010 16:01

een nadeel bij OTP is dat als er een bericht door bijvoorbeeld een storing is misgelopen (lees verstuurd maar niet ontvangen) dan worden alle berichten vanaf dat moment niet meer gedecodeerd omdat de encryptie sleutels niet meer overeenkomen.

MSalters

Nederland

@PBX_g33k • 8 november 2010 16:15

Dat is alleen het geval bij de meest simpele, domme implementie van OTP's. Het is voldoende als de afzender "gebruik offset X" meegeeft bij elk nieuw bericht. Zolang de gebruikte delen van het OTP maar niet overlappen is het veilig.

gerwim @broodjekaas92 • 8 november 2010 10:19

Je kunt ook niet sniffen als je niet op het netwerk zit. De pin automaten zullen niet draadloos verbonden zijn (lijkt me). Dus dat betekend dat je een laptop moet aansluiten op het netwerk daar, wat je ook niet zo 123 kunt doen. Dan kunnen zij er nog een proxy opzetten waardoor je een username/wachtwoord nodig hebt, welke je niet hebt.

Mocht je dat nog lukken zonder ontdekt te worden, moet je nog een 2048 bit (Het kan zelfs 4096 bit worden) SSL verbinding kraken. En dat voor één transactie. Have fun.

FreshMaker

Internet

@gerwim • 8 november 2010 10:29

Dat is gewoon een kwestie van tijd

De mobiele pinterminals zijn er met een simkaart en dectverbinding, de laatste staan in verbinding met een "eigen" receiver die weer op het eigen transmissienet aangesloten is

Dus waarom dat niet wifi -> AP -> internet kan zijn, dat is een "natuurlijk" verloop van ontwikkeling
Er zullen binnenkort veel meer wireless terminals in omloop komen - klantvriendelijkheid omhoog

Bloodshot @FreshMaker • 8 november 2010 10:45

Omdat er bij mijn weten geen WiFi betaalautomaten zijn. Ethernet, GSM, PSTN, ISDN, GPRS. Dan heb je het wel zo'n beetje gehad.

Maurits van Baerle @Bloodshot • 8 november 2010 11:36

Er zijn zat betaalautomaten die WiFi gebruiken. De Ocius Vx670 om er maar eentje te noemen.

Bloodshot @Maurits van Baerle • 8 november 2010 11:41

I stand corrected, ze zijn er dus wel. Percentueel gezien valt het denk ik wel mee qua aantal.

Powermage @Maurits van Baerle • 8 november 2010 13:40

En hoeveel leveranciers leveren die in Nederland?
Volgens mij heeft CCV het alleenrecht op de Vx6xx lijn in Nederland dus die zal je niet snel hier zien.

Ook snap ik best vanuit een support punt dat je liever _geen_ wifi terminals gebruikt, retailers willen betrouwbaar pinnen, en voor iets wat het liefst 100% van de tijd goed moet gaan zou ik niet laten vertrouwen op een wifi techniek die dat niet waar kan maken.

Verwijderd @Maurits van Baerle • 8 november 2010 13:43

Dan moet je 2 beveiliging kraken. De AES van de wifi verbinding en dan ook nog de beveiligde verbinding naar de bank. Ik wens iedereen die dat wilt doen veel plezier

En dan nog heb je geen pincode ofzo, dus wat moet je ermee?

Banath

@broodjekaas92 • 8 november 2010 10:05

Succes met sniffen bij een 2048bit SSL encryptie.

Wellicht dat ze zelfs hoger inzetten om iedere kans op brute force decrypten te verkleinen.
Ik zeg met opzet verkleinen, want onmogelijk is het natuurlijk niet.
Wel heb je dan een supercluster van enige honderden processoren nodig die exclusief voor jou bezig zijn met rekenen.

arjankoole

Bedrijfsnieuws

@Banath • 8 november 2010 10:15

Ze hebben 256-bit nog niet eens gekraakt, dus ze zijn vooralsnog niet geneigd - denk ik - om hoger dan 2048 te gaan.

i-chat @arjankoole • 8 november 2010 10:41

klopt maar als bank wil je niet de kans lopen dat blaat's botnet een poging waagd. kans is dus dat ze gewoon 4mbit inzetten alleen al om te ontmoedigen er überhaupt aan te beginnen. voor een bank maakt het verschil nauwelijks uit, dat beetje extra rekenkracht is het duurste niet. aan de andere kant. bedrijven gaan wel vaker op het randje zitten dus misschien heb je toch gelijk.

TERW_DAN @i-chat • 8 november 2010 10:54

Zoiets wordt gewoon een kosten-baten analyse met een bepaald risico ingecalculeerd. Als een 256b key goedkoper is dan een 4096b key,dan wordt er gewoon gekeken naar het verschil in risico tussen die 2 en de bedragen die daaraanhangen. Op het moment dat de 256b dermate veilig blijkt te zijn dat bij een eventuele breuk de kosten niet meer zijn dan gelijk een 4096b implementatie zullen ze waarschijnlijk gewoon 256b implementeren.

RvL @broodjekaas92 • 8 november 2010 10:01

Je kan een versleutelde verbinding wel sniffen, maar daar haal je niet zo heel veel nuttige informatie uit hoor.

Start maar eens een sniffer op, laat 'm b.v. https sniffen en ga eens naar een https website (je bank bijvoorbeeld).

spuit elf....

[Reactie gewijzigd door RvL op 28 juli 2024 02:24]

mcmd @RvL • 8 november 2010 10:37

Op zich is dat natuurlijk wel waar, het zal niet zo snel lukken om informatie uit de datastroom te krijgen, maar op zich is het feit dat er dataverkeer is ook informatie.
Of dat bruikbare informatie is zie ik niet 1-2-3, maar het zou wellicht gebruikt kunnen worden.
Dat kan natuurlijk eenvoudig onbruikbaar gemaakt worden door continue data te versturen....

]Byte[ @mcmd • 8 november 2010 15:23

Je moet hierbij ook eerder denken aan de vertrouwelijkheid en intergriteit van de datapaketten.
JA, ALLES is te hacken. De vraag is alleen hoelang je er over doet, en daarmee hoeveel die informatie op dat moment nog waard is als deze gehacked is!
Als je er met de huidige genereatie hardware in een mega-cluster zet en er 40 jaar over doet om de volledige encryptie en checksums te kraken, weet je dus welke sleutel en checksums er 40 jaar geleden gebruikt werd.
Prettige wedstrijd met de volgende poging!

Als een datapakket niet aankomt omdat er andere rommel ((d)DOS) de lijn vol spoelt kan de klant geen betaling doen en zal hij z'n producten niet meekrijgen.
Dat zal dan eerder een functionele misser zijn, maar de transacties zijn nog steeds secure. Voor zowel de klant als de bank.

[Reactie gewijzigd door ]Byte[ op 28 juli 2024 02:24]

CMG @broodjekaas92 • 8 november 2010 10:13

De huidige Internet verbindingen waar je wel met PIN op kan betalen zitten gewoon op een extra vlan, echt veel verschil maakt het dus niet uit.

Het enige verschil was dat je hiervoor niet zomaar op het gedeelte kon komen waarop de betalingen werden afgehanderd, straks hangen deze dus wel 'los' aan het internet. Aan de kant van de client veiligheid is er dus niets veranderd, ze hebben alleen hun eigen 'netwerk' verder open gegooid.

Powermage @CMG • 8 november 2010 13:38

Jep, alleen rekent bijvoorbeeld KPN wel ik geloof 10 euro extra per maand voor de optie pinnen over IP, die vervalt dan want die is niet meer nodig.

Providers als Xenosite geven dit al een tijdje 'gratis' weg op de zakelijke lijnen (imho nog erg goedkoop) dus daar veranderd er sowieso niets.

Relief2009 @broodjekaas92 • 8 november 2010 10:01

Met een beveiligde verbinding valt er weinig te sniffen.

wizzkizz @broodjekaas92 • 8 november 2010 10:01

Ik vermoed dat het werkt met SSL server en client certificaten en dat alles dus versleuteld is. Een netwerk sniffer haalt dan als het goed is niet zoveel uit. Maar het kan ook zijn dat ik peop praat natuurlijk

humbug @wizzkizz • 8 november 2010 11:30

Gewoon een VPN is waarschijnlijker want een stuk generieker

PBX_g33k @humbug • 8 november 2010 16:02

Ik denk dat er voor VPN een nieuwe reeks aan pinautomaten moeten komen, tenzij de huidige pinautomaten die CCV levert VPN kan ondersteunen door een firmware-update.

latka @humbug • 8 november 2010 16:48

Hoeze is VPN generieker? VPN is geen standaard SSL wel.

Verwijderd 8 november 2010 10:10

Toch twee vragen van mijn kant.

1. Wat kost een pintransactie nu.
2. Wat kost een pintransactie in de toekomst.

Ik betwijfel namelijk of er straks niet op een andere manier transactiekosten worden berekend. Vraag is namelijk of het inbellen de kosten zijn of de transactie zelf. De transactie zelf blijft namelijk bestaan.

CMG @Verwijderd • 8 november 2010 10:16

Elke vorm van betalen kost geld helaas.

Pinnen was volgens mij iets van 11 cent, iDeal tussen de 40 en de 110 cent, cash storten bij de bank vanaf 5 euro, PayPal 35 cent + 3.4% van het bedrag, credit card ook ongeveer zo iets, etc.

Daimanta @Verwijderd • 8 november 2010 10:21

Ik hoop dat ik die vraag een beetje kan beantwoorden:

Als eerste heb een verbindingslijn nodig met (nu nog beveiliging). De beveiliging kost ca. 10 EUR per maand, de internetverbinding ligt in de zakelijke markt zo rond de prijzen van de consumentenmarkt.

Verder kosten individuele transacties nog geld, in de buurt van de paar cent per transactie(ongeveer 7,hangt af van het bedrijf natuurlijk) en natuurlijk nog een pinabbonement wat ongeveer 10 a 20 EUR per maand kost. Mocht je inbel hebben dan heb je voor elke tranactie natuurlijk ook nog inbelkosten(dat kan best oplopen).

Standeman @Verwijderd • 8 november 2010 10:32

Durf ik niet te zeggen. Het is in iedergeval stukken goedkoper dan cash geld. (Beveiligen, storten, tellen, etc.)

Verwijderd @Standeman • 8 november 2010 14:32

Als je het niet durft te zeggen, heb je er dus geen ervaring mee en gok je het?

Beveiligen -> Kluis (eenmalige kosten), camera's hangen sowieso vrijwel overal al.
Storten kost geld, maar minder dan pinkosten.
Tellen, contant geld zul je sowieso houden. Of de telapparaat (eenmalige kosten) 5 seconde langer of korter bezig is, maakt echt niks uit.

Cash is goedkoper tenzij je helemaal geen cash aanneemt en alles over pin wilt doen. Maar als daardoor enkele klanten jou gaan mijden verlies je weer.

Rolfie

@Verwijderd • 9 november 2010 07:59

Cash: - Kans op overval is vele malen groter.
Cash: - Je moet voldoende klein geld kopen, en bewaren.
Cash: - Storten kost tijd.
Pin: + Staat sneller op je rekening.

Relief2009 8 november 2010 10:00

Is er wat meer informatie over welke beveiligingsmethoden er zijn gebruikt?

Edit @ MazeWing

Dat zou idd zo kunnen zijn als alles vanuit de serverside wordt geregeld.

[Reactie gewijzigd door Relief2009 op 28 juli 2024 02:24]

MazeWing

@Relief2009 • 8 november 2010 10:04

Ik denk dat ze dit zoveel mogelijk geheim zullen houden. Als ze kenbaar maken welke beveiligings technieken gebruikt zijn, is de kans groot dat mensen exploits gaan zoeken in een gesimuleerde omgeving thuis...

84hannes @MazeWing • 8 november 2010 10:07

Jij gebruikt Closed Source software zeker?

Ik vermoed dat je er met een sniffer vrij snel achter komt hoe de beveiliging werkt. Je zult echter de juiste sleutels moeten hebben om hier iets mee te kunnen. Vergelijk het met de internetverbinding tussen jou en je bank. Iedere noob kan nazoeken hoe https werkt, iedere amateur kan het simuleren, maar kraken doe je niet zomaar.

edit:

Uitbreiding, na er wat langer over nagedacht te hebben:

Sommige instanties vereisen dat bij een beveiliging bekend is hoe de beveiliging gerealiseerd wordt. Hier worden zaken veiliger van, derden kunnen namelijk hun mening geven over een beveiliging. Een ander verhaal is de software waarmee ze de beviliging implementeren. Ik kan me voorstellen dat ze dit wel geheim houden. Als er dan een lek in een bepaald pakket ontdekt wordt, is niet meteen bekend welke bedrijven gebruik maken van deze software en dus vatbaar zijn voor een aanval.

[Reactie gewijzigd door 84hannes op 28 juli 2024 02:24]

_ferry_ Moderator CM @84hannes • 8 november 2010 10:30

Inderdaad, tot nu toe is internetbankieren ook veilig en niet gekraakt. Alleen banksites die nagemaakt zijn en je het bedrag naar een andere bankrekeingnummer laten overmaken. Maar dat is geen 'direct' lek in de beveiliging maar in de interface.

PPie @MazeWing • 8 november 2010 10:18

Waarom zou je een gesimuleerde omgeving maken?
Als het 'gewoon via internet' loopt, is domweg in een winkel aansluiten veel eenvoudiger en heb je een echt, live systeem waar je echte transacties hebt met bekende data...

PBX_g33k @PPie • 8 november 2010 16:10

Omdat het aftappen van verkeer misschien illigaal en verboden is bij wet.

Het simuleren van dingen binnen een gesloten netwerk, hetzij via virtualisatie software zoals vmware of sun virtualbox is zover ik weet niet verboden. Tenzij je binnen het virtuele systeem illegale praktijken gaat uitvoeren zoals bijvoorbeeld reverse-enigeren.

elmuerte @MazeWing • 8 november 2010 10:47

De beste beveiligingen zijn die waarvaan de volledige werking bekend is.

Standeman @Relief2009 • 8 november 2010 10:30

Ik vermoed dat je een EMV chip op je pinpas moet hebben om dergelijke transacties mogelijk te maken. Dan kan alle data vanaf de terminal naar de bank versleuteld worden over een (semi) publieke lijn.

Sla de EMV spec maar eens na. Daar staat alles in gespecificeerd. Book 1 en Book 2 zijn het meest interessant qua transacties. (ICC <--> terminal communicatie en key management).

Niks geheims aan, zijn allemaal open standaarden

marcieking

8 november 2010 10:00

Ik heb nooit begrepen waarom er een gecertificeerde lijn nodig zou zijn, als alles over een versleutelde verbinding verstuurd wordt is dat toch ook veilig? Desnoods moet er een door Currence gecertificeerde VPN-server tussen om een beveiligde verbinding te garanderen...

BCC @marcieking • 8 november 2010 10:03

Kun je eenvoudig garanties geven over uptime en makkelijker storingen pinpointen.

marcieking

@BCC • 8 november 2010 10:12

Dat is nog wel een zinvol argument, hoewel er natuurlijk iets voor te zeggen is dat dat voor het risico van de ondernemer komt als hij besluit geen gecertificeerde verbinding te nemen.

arjankoole

Bedrijfsnieuws

@marcieking • 8 november 2010 10:16

Dat risico voor de ondernemer niet weg dat diezelfde ondernemer (is doorgaans geen techneut) bij jou komt klagen als er niet gepinned kan worden. dus de overhead / overlast heb je sowieso al.

FreshMaker

Internet

@arjankoole • 8 november 2010 10:32

De lijnen zijn vaak al aanwezig en in gebruik voor het alarmsysteem ( AL2)
Dus de koppeling is zo gemaakt, kuchnummer van de pinverwerker en PAC erin en je hebt de gecertificeerde lijn.

Voordeel van de AL2 verbinding, is dat hij actief gecontroleerd wordt, elke 90 seconden een polling naar KPN, en bij uitval direct actie ( PAC of Currence )
Die acties gaan zelfs nog om de aansluiting heen, en worden direct met KPN uitgevoerd, lijnreset of doormeting

Powermage @FreshMaker • 8 november 2010 13:48

Jij hebt het over de oude digiacces verbindingen, die techniek die KPN uitrangeert en die je voor pinnen niet meer kan bestellen...

Sowieso gaat al het pinverkeer over TCP/IP tegenwoordig, soms door inbellen, vaker door een gecertificeerde internet verbinding, dingen als x25 / digiacces etc zijn vrijwel allemaal uitgerangeerd met het verlopen van de certificering van de oude generaties pin apparaten.

Verwijderd @BCC • 8 november 2010 13:45

Er zijn geen garanties. Zowel de ADSL lijnen van Vodafone als KPN zijn gecertificeerd. En als KPN een landelijke storing heeft lig je gewoon eruit. Je krijgt geen speciale lijn.

Bloodshot @marcieking • 8 november 2010 11:44

Het zijn puur kwaliteitseisen:
Eisen die een hoge beschikbaarheid opleveren, een helpdesk, een beheerorganisatie, 24x7 monitoring, herrouteertijden, etc.

Er zijn vroeger behoorlijk wat problemen geweest met carrier-select aanbieders die compressie toepassen op de voice-calls. En daar kan modemverkeer niet goed tegen.
Deze carrier-select aanbieders waren dan ook niet gecertificeerd, dus was het het probleem van de retailer die voor een dubbeltje op de 1e rang wilde zitten.

Kenhas 8 november 2010 11:07

Is dit nu nog maar zo in Nederland? Dacht dat het in Belgie toch al tijdje zo werkte.

Toevallig een kleine maand geleden van een kruidenierswinkel opdracht gekregen om netwerk kabel tot aan hun kassa's te leggen. Toevallig kwam, terwijl ik bezig was, een koerier aan met paar pakjes. Waren de betaal terminals. Gewoon netwerk kabeltje erin en na een twintigtal seconden kon de eerste verrichting gebeuren.

fryelectro @Kenhas • 8 november 2010 11:38

klopt, in België kan dit idd via Internet. De andere oplossing was een PSTN/ISDN verbinding. Huurlijnen werden (worden?) alleen gebruikt in grote zaken met meerdere kassa's.

Verwijderd @Kenhas • 8 november 2010 11:42

Yes, nederland heeft wat last van de remmende voorsprong. Pinnen was in de huidige vorm vroeg ingeburgerd, met als gevolg dat overgang naar nieuwe betaalvormen tijd kost.

Zo is bijv. in Afrika is betalen met de mobiel wijdverbreid. Om de doodeenvoudige reden dat er geen concurrerende technologie beschikbaar was. De kans dat je in Afrika een kabel raakt met je graafmachine is 1000x kleiner dan in Europa.

Banath

8 november 2010 10:07

Wat natuurlijk wel een issue kan worden is een zogenaamde man in the middle attack.
Blijft het decrypten een enorme opgave.
Maar via bedrijfsspionage en andere vormen van inbraak bij Currence kan de masterkey natuurlijk ook achterhaald worden.

Aanvulling: hoe gaat Currence zich wapenen tegen Ddos aanvallen ?

[Reactie gewijzigd door Banath op 28 juli 2024 02:24]

paulus83 @Banath • 8 november 2010 10:34

Een MitM heeft geen zin als alle clients het goede certificaat gewoon kennen, het werkt volgens mij alleen goed bij self-signed certificaten die dus niet geverifieerd kunnen worden door de client.

Maar via bedrijfsspionage en andere vormen van inbraak bij Currence kan de masterkey natuurlijk ook achterhaald worden.

Ja, maar als iemand zo ver kan infiltreren om de vpn/ssl sleutels te stelen denk ik dat Currence een groter probleem heeft. Deze persoon kan ik de oude situatie dan bijvoorbeeld ook malifide transacties injecteren, om maar wat te noemen.

Het dDOS verhaal kan inderdaad een probleem zijn. Maar omdat de klanten vaak vanaf een vaste locatie inloggen, zou er bijvoorbeeld een (extreem grote) firewall regel gemaakt kunnen worden die alles dropt wat niet vanaf een whitelisted IP komt.

Verwijderd @paulus83 • 8 november 2010 12:03

Het dDOS verhaal kan inderdaad een probleem zijn. Maar omdat de klanten vaak vanaf een vaste locatie inloggen, zou er bijvoorbeeld een (extreem grote) firewall regel gemaakt kunnen worden die alles dropt wat niet vanaf een whitelisted IP komt.

Helaas, was het maar zo simpel. Een firewall is al te laat, omdat een ddos-aanval vaak al de inkomende lijn of router dichttrekt, nog voordat een firewall kan zeggen "drop dit pakketje maar". Het pakketje is al binnen en heeft al bandbreedte verbruikt.

MSalters

Nederland

@Verwijderd • 8 november 2010 16:20

Die firewall moet je natuurlijk wel upstream zetten, duh. Knappe jongen die AMS-IX platlegt met een DDOS.

Verwijderd 8 november 2010 10:33

Heel veel mensen denken dat dit niet zo veilig is. Maar ik denk persoonlijk dat de kans dat je in één keer de encrypte kraakt kleiner is, dan dat je nu inlogt op de rabobank, dan mijn rekeningnummer, pasnummer en identificatiecode raadt.

Edit
Ik ben niet zo goed met encryptie, dus I stand corrected. Maar stel er wordt een sleutel gebruikt van 512bit -> 64 byte.

Een rekeningnummer is 9 byte.
Een pasnummer is 4 byte
Een toegangscode is 8 byte

Totaal: 21 byte -> 186bit. Dus zelfs als er 265bit encryptie wordt gebruikt dan ben je veiliger dan het gokken van al deze toegangscodes.

Klopt dit?

[Reactie gewijzigd door Verwijderd op 28 juli 2024 02:24]

broodjekaas92 @Verwijderd • 8 november 2010 10:42

als je bij inlogt op de site van je bank kan je ook zien waar je gepint hebt

Verwijderd @broodjekaas92 • 8 november 2010 10:44

Dat bedoel is ook precies wat ik bedoel. Ik probeer te zeggen dat als mensen dit onveilig vinden, het eigenlijk alleen maar een onderbuikgevoel is, en dat internetbankieren theoretisch onveiliger is.

MSalters

Nederland

@Verwijderd • 8 november 2010 16:27

Een rekeningnummer is 9 cijfers, niet bytes. 10^9 = 2^30 = 3,75 byte. Op dezelfde manier, pasnummer is 4 cijfers is 10^4 = 2^14 = 2,75 bytes en de toegangscode is 10^8=2^27=3,375 bytes.

Dus je redenering rammelt een beetje, maar grosso modo heb je wel gelijk: 256 bits encryptie is heel, heel veel beter dan een 14 bits pincode.

clueless12 8 november 2010 11:01

Ik heb net contact opgenomen met CCV of ik al via het gewone internet kan pinnen (zou weer een paar tientjes per maand schelen). Zij geven aan dat dat nog niet werkt omdat de automaten aangepast moeten worden. Ik kan echter geen reden bedenken waarom de automaten aangepast moeten worden.
Bij mij zitten die automaaten gewoon in het bedrijfsnetwerk in een eigen ip-reeks. Pas bij de uitgaande internet router wordt besloten dat het over een andere uitgaande ADSL verbinding weg moet. Tijdens het sniffen zie ik niets vreemds. De automaat bouwt gewoon een verbinding op met een specifiek ip adres.

CCV geeft aan dat ze druk bezig zijn maar dat het nog wel tot begin volgend jaar kan duren???

Heeft iemand een idee wat ze aan willen passen in de automaat?

PS: Ik heb gevraagd wat ze dan aan gingen passen maar daar kwam geen zinnig antwoord op.

[Reactie gewijzigd door clueless12 op 28 juli 2024 02:24]

Verwijderd @clueless12 • 8 november 2010 11:19

De aanpassing van apparaten heeft volgens mij meer te maken met de overgang van glippen naar dippen (magneetstrip naar chip). Controleer even of ze dat niet door elkaar halen.
edit: http://www.ccv.eu/web/NL-...n/EMV-betaalautomaten.htm

Voor zover ik weet zijn dit twee verschillende processen. Zeer goed mogelijk dat ze mis zitten daar.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 02:24]

PBX_g33k @Verwijderd • 8 november 2010 16:19

De huidige pinautomaten die CCV levert ondersteunen EMV al. CCV was vorig jaar al begonnen met het vervangen van pinautomaten.

Misschien dat ze de back-end nu pas aan het voorbereiden zijn, maar de merendeel aan pinautomaten van CCV in Nederland ondersteunt al EMV.

CMG @clueless12 • 8 november 2010 11:18

Waarom heb je deze vraag niet zo aan CCV gesteld? Je hebt zelf genoeg 'munitie' om door hun eerste response heen te schieten...

ultimasnake 8 november 2010 11:20

Hmmm, ik hoop dat ze wel enigszins eisen stellen aan het interne netwerk dan.... Zie al voor me dat ze een kabeltje trekken van router naar pin door de winkel wat lastig vinden...

Voor het gemak dan een wireless netwerkje maken en ook een router (oid) neerzetten onder de kassa.... verbinding niet beveiligen en hoppa, buren die mee kunnen spieken met de transacties (ge-encrypte data natuurlijk, maar een kwestie van tijd voor dat gekraakt is).....

Kenhas @ultimasnake • 8 november 2010 12:03

het is toegestaan om van een draadloos netwerk gebruik te maken. Wel wordt WEP-beveiliging aangeraden

Tja, buren die kunnen spieken naar de transacties. Ze kunnen toch niets aanvangen met de data. Denk dat je alweer een paar jaar verder bent eer je die data gekraakt hebt. En wat ben je er dan nog mee?

PS dat van draadloos netwerkje gaat wel over Belgie, weet niet van Nederland

MAher 8 november 2010 11:33

Als dit betekend dat e.e.a. sneller gaat, pinnen (met die chip dus, zoals in ontwikkelde landen) nu tenminste overal kan, dan is dit een goede ontwikkeling. Nederland is zo ongeveer een ontwikkelingsland op betalingsgebied.

Als buitenlandse Nederlander schaam ik me gewoon als ik met Finnen naar de winkel ga:

First try: Credit card:
Nee, geen creditcard, doen we niet aan, is duur

2 Europese bankpas: - Nee die pas werkt niet (chip die europa-wijd moet werken en hier te lande overal werkt, ook als je een ijsje koopt)

3 Nee, niet pinnen want is minder dan 5 euro

4 Nee, geen biljetten van 100 euro of meer

Zucht. Als ik dan m'n eigen NL-pasje maar trek duurt het een eeuwigheid voordat de transactie afgehandeld is. Met wat geluk ben ik vervolgens NIET geskimmed, maar de kans is redelijk groot van wel.

Toegegeven, enigszinds gechargeerd, maar voor een buitenlander is NL echt zowat cash-only en dan ook nog alleen in 'kleine' coupures. De schuld zal wel liggen bij de organisatie die het Pinnen heeft uitgevonden met bijbehorende tarieven, maar dat doet niks af aan het ongemak. Ik zie cash al jaren enkel als ik naar NL ga, of elders op vakantie.

Verwijderd @MAher • 8 november 2010 11:45

De "schuld" ligt bij onze eerdere voorsprong. En de eigenwijze banken (Chippen vs Chipknip, gruwel). We zijn nu op de juiste weg

Keypunchie

E-commerce
Betalingsverkeer
Internet
Nederland

@MAher • 8 november 2010 12:25

3 en 4 heb je een beetje met de haren erbij gesleept, imho, om je punt te maken.

Bij punt 3: Ik ken serieus geen winkel (of tankstation) meer waar je niet kunt pinnen onder een bepaald bedrag. Sterker nog, ik ken zelfs geen winkel meer waar ze daar dan een dubbeltje ofzo extra vragen.

Bij punt 4: Hoe kom je dan aan die briefjes? Als ik ga pinnen krijg ik altijd de keuze voor bepaalde briefjes en de laatste keer dat ik een groot bedrag ging pinnen (iets via V&A gekocht), kreeg ik briefjes van 50..

Het klopt wel dat het jammer is dat je in (te) veel winkels niet met creditcard kunt betalen, maar in de horeca daarentegen heb ik nog nooit dat probleem gehad.

[Reactie gewijzigd door Keypunchie op 28 juli 2024 02:24]

Powermage @MAher • 8 november 2010 13:54

Wat een oud verhaal, vast geen recente ervaring gok ik zo.

Ik schat dat meer dan 70% van de betaalautomaten over een internet verbinding gaat en daardoor een snelle transactie kan verwerken.

Credit card is in Nederland inderdaad niet echt ingeburgerd omdat pinnen veel fijner en goedkoper is (zeker voor de winkelier) waardoor je dat inderdaad niet veel tegen komt.

Europese bankpas, meer dan 70% van de automaten had altijd al een Maestro (dat is de Europese bankpas) contracten, en eind dit jaar zal dit tegen de 90 a 100 zijn, dus is dat ook verleden tijd.

Niet pinnen onder de 5 euro is ook meer en meer uitgerangeerd het laatste jaar.
En de kans is echt niet zo groot dat je bij 90% van je transacties geskimd bent.

MAher @Powermage • 8 november 2010 14:20

Ik krijg hier 100e biljetten als ik zeg een 500e afhaal bij de bank. Die accepteert bijvoorbeeld de speelgoedwinkel waar ik aan het shoppen was (vorig jaar), niet. Credit-card deden ze ook niet aan, nou toen bleven de speeltjes op de toonbank.

Vorige week nog in NL, weer speelgoedwinkel (waar je zo met een paar 100 euro aan speeltjes wegloopt). Europese bankpas en CC niet geaccepteerd, ik moest speciaal geld gaan halen om te kunnen betalen. Enige waar CC wel geaccepteerd werd was de C&A.

Pinnen duurde bij verschillende winkels echt lang (= meer dan 10 seconden), bij een aantal anderen inderdaad wel snel.

Betalen voor pinnen van klein bedrag inderdaad niet tegengekomen vorige week, dat kan inderdaad wel verbeterd zijn.

Ik kan natuurlijk wel geld uit de muur trekken, maar dat is toch van den zotte? Ik ga niet met contant geld rondlopen als het niet hoeft. Bovendien weet ik vantevoren niet hoeveel ik nodig heb.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (137)

Sorteer op:

Weergave: