Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties

IBM heeft een systeem gemaakt voor two-factor-authenticatie bij mobiele betalingen via nfc. De gebruiker moet een 'pincode' invoeren, die zorgt voor identificatie naast een bankpas. Het systeem werkt via de bankpas zelf.

De met nfc uitgeruste bankpas verifieert de versleutelde code en stuurt vervolgens een eenmalige code via de internetverbinding van de telefoon naar een server om de betaling goed te keuren. Daarna moet voor de betaling de pas nogmaals tegen de telefoon worden gehouden.

Het systeem is een extra beveiligingslaag om zeker te weten dat de houder van de bankpas degene is die de betaling doet. Zoals andere two-factor-authenticaties leunt het op iets wat de gebruiker heeft, in dit geval de bankpas, en iets wat de gebruiker weet, de pincode.

Het systeem zou gebruikt moeten worden in systemen voor mobiele betalingen, maar in hoeverre dat zal gebeuren is de vraag. De markt voor mobiele betalingen is vooralsnog klein en veel bedrijven staan in de rij om een graantje mee te pikken van de wellicht grote markt die het gaat worden. Zo hebben Google en Samsung ieder eigen portemonnee-apps, terwijl Apple Passbook voor dat doel zou kunnen uitbreiden en Microsoft op Windows Phone al Wallet heeft. Bedrijven als Paypal zouden ook graag in die markt stappen, terwijl Mastercard dat ook wil. Tot slot willen de banken zich er ook mee bezig houden.

Door die concurrentie tussen al die bedrijven is er nog geen industriebrede standaard gekomen voor mobiele betalingen, laat staan dat er afspraken zijn over de beveiliging bij die transacties.

Moderatie-faq Wijzig weergave

Reacties (35)

Misschien komt het door de titel van het bericht dat de meeste reacties gaan over NFC + portemonnee oplossingen voor directe betalingen...

Volgens mij draait het bij de IBM oplossing in het filmpje om een extra beveiligingslaag (in dit geval 2nd factor authenticatie via NFC) bij het uitvoeren van een transactie in een internet-bankieren app op een smartphone. En dus niet over het uitvoeren van een betaling m.b.v. NFC en een portemonnee app op de smartphone.
Deze oplossing geeft de banken (en hun klanten) de mogelijkheid om een 2nd factor authenticatie te doen om mobiel bankieren veiliger te maken (voor internet bankieren op de PC doen we dit allemaal al heel lang). Daarmee worden allerlei scenario's mogelijk, door de klant een extra authenticatiestap te laten doen wanneer het risico groter is, bijv: grote bedragen overboeken via je mobiel, vanuit het buitenland transacties doen, op een afwijkend tijdstip van de dag een transactie doen, etc etc.

Ik denk dan ook dat deze oplossing prima kan bestaan naast alle NFC+portemonnee oplossingen om betalingen te doen in een winkel.
Ik zie graag dat de meest veilige methode wordt gebruikt. Dus verschillende bedrijven kunnen het aanbieden maar wel graag een goede beveiliging ( onderliggende beveiligingsstandaard)
De meest veilige methode is niet perse de beste. We kunnen een methode bedenken met vele verschillende authenticatie-middelen en alleen als alles ok ik wordt er geld overgemaakt. Dat is een goed idee als je voor een paar miljoen aan aandelen koopt, maar als je een kroket uit de automaat haalt is het een beetje overkill.
Bij minder veiligheid, bijvoorbeeld bij 1 factor authenticatie zie ik dan graag een limiet. Want het gaat er niet om wat je koopt, maar wat je kan kopen met dat account. Natuurlijk hoeven er geen tientallen omslachtige stappen nodig te zijn voor de veiligheid. Maar wat bijvoorbeeld IBM laat zien in dit filmpje vind ik niet omslachtig, ook voor een kroket niet.
Ik vraag me bij dit systeem af of de pincode die ingevoerd moet worden identiek is als de pincode op de bankpas. Indien dit zo is kan een keylogger op de telefoon deze onderscheppen.
Daarna stelen van de bankpas van de gebruiker en hup rekening leeg.

De banken zeggen dan waarschijnlijk doodleuk eigen schuld er is met bankkaart en pincode betaald.

Op tv programma's zie je maar al te vaak hoe moeilijk banken doen bij fraude. Mobiele betalingen zie ik dan zeker als gevaar. Laat de banken eerst duidelijk maken hoe ze met fraude omgaan.
Dat hoop ik toch niet, als dat zo is dan heb je zeker een punt. Zodra de pincode aan een digitaal systeem anders dan een pinautomaat wordt gekoppeld is het onveilig. Zoals je al aangeeft werkt dat fraude alleen maar in de hand.
Lijkt me een stuk omslachtiger dan gewoon met je pinpas te betalen.
Inderdaad. Als ik een rits boodschappen afreken en inlaad tegelijk heb ik liever alleen mijn pasje nodig dan mijn pasje én mijn telefoon. Waarom zou je twee voorwerpen willen gebruiken voor iets wat al met 1 van die voorwerpen kan?
De meeste pinopdrachten zijn in maximaal 5 seconden verwerkt. In 5 seconden heb ik geen app geopend, een pincode ingetikt én mijn pasje geverifieerd.
Inderdaad. Deze vinding maakt het hele NFC betalen met je phone overbodig en omslachtiger dan "gewoon" pinnen.
Uit het filmpje blijkt dat de crypto op de bankkaart, over de NFC connectie, gebruikt wordt om een challenge van de bank te encrypteren voor Identificatie van de gebruiker en om de transactie digitaal te ondertekenen. Dit is een mooi systeem.

Het klopt inderdaad dat het invoeren van de PIN mogelijk onderschept kan worden door een keylogger, maar dat probleem heb je evenzeer op je desktop. Hier is er dan wel nog de tweede factor, het bezitten van de kaart.

Edit: typo's

[Reactie gewijzigd door jst_fubar op 18 oktober 2013 17:05]

...Het klopt inderdaad dat het invoeren van de PIN mogelijk onderschept kan worden door een keylogger, maar dan probleem heb je evenzeer op je desktop. ...
Dat ligt dan maar net aan de desktop-implementatie: neem bijvoorbeeld de kaartlezer van ABN Amro waarbij je pincode niet wordt ingevoerd op de desktop en dus niet logbaar is met een keylogger (hooguit wanneer je de niet-noodzakelijke usb-functie gebruikt).

[Reactie gewijzigd door hieper op 18 oktober 2013 17:04]

Inderdaad hieper, in vele implementaties doe je de crypto operaties op een aparte kaartlezer. Ik dacht aan de manier waarop in België de elektronische identiteitskaart gebruikt wordt.

Dit lijkt me wel het beste dat je kan bereiken met mobiele apparaten die niet over een smartcard reader beschikken.
weet niet of dit het gaat worden . als je straks op plekken via nfc gaat betalen is het gemak van zoiets juist dat je je telefoon bij een apparaat houd om zo een betaling te doen . als je alsnog je bankpas uit je knip moet pakken is dat gemak ook niet echt zoals men gedacht had . dan kan je net zo goed gewoon pinnen met de pas .
daarbij moet men gewoon naar 1 standaard wat overal hetzelfde is want alle verschillende alternatieven zijn leuk maar uiteindelijk mss ook weer erg onhandig als het er te veel worden.

[Reactie gewijzigd door style2k op 18 oktober 2013 16:05]

Volgens mij wordt dit pas echt interessant als een mobiel device alles vervangt. Als je naar een device nog een id-card of rijbewijs bij je moet hebben, kan je net zo goed ook nog gewoon een PIN-pas meenemen.

Of hele stap met nfc overslaan natuurlijk, maar dat vereist nog iets van de netwerken. Stel dat je een perfect netwerk hebt dan kan alles wat de winkelier op de kassa aanslaat direct zichtbaar zijn in een betaalapp, waar je de boel akkoordeert en je meteen de complete kassabon hebt opgeslagen die weer meteen wordt verwerkt in een compleet uitgavenoverzicht (die je uiteraard op al je devices kunt bekijken). Duurt misschien nog even, maar zo'n oplossing biedt echt iets extra's. NFC doet dat niet.
Zoals andere two-factor-authenticaties leunt het op iets wat de gebruiker heeft, in dit geval de bankpas, en iets wat de gebruiker weet, de pincode.

Okay ik sta bij een ATM en iemand zet een pistool/mes op m'n hoofd.: je pas en codes.
Gek genoeg denk ik dat het hierna geweldadiger wordt.
Het feit dat een gebruiker al zijn geheimen prijs geeft onder bedreiging kan je niet op een technische manier opvangen vrees ik.

Hiervoor zijn er ook limieten op de bedragen die je in één keer kan afhalen. Daarna moet je dan je kaart laten blokkeren.

[Reactie gewijzigd door jst_fubar op 18 oktober 2013 17:52]

In Singapore kun je al erg veel betalen via mobiel/nfc. Er was in de zomer nog een artikel in de krant waarin de Singaporese journaliste de test deed en klaagde dat ze toch nog cash geld of bancontact nodig had.. 8)7

Edit (nog even het artikel opgezocht in het kort):
http://www.stasiareport.c...e-riding-the-wave-2013072

[Reactie gewijzigd door Anima-t3d op 18 oktober 2013 15:03]

Filmpje is zwaar over de top voor de simpelste betaling mogelijk, maar dan met NFC ipv een gewone pin-chip. Ongebruikelijk voor IBM om zulke complete onzin uit te slaan.
Karsten Nohl, kom d'r maar in.... Voor degene die hem niet kennen, zie hier en lees zijn CV.. Sorry voor deze primaire gedachte, maar ik ben de laatste tijd het vertrouwen een beetje kwijt geraakt in het internet en online betalingen Ik denk dat het voor het aanstaande CCC-congres nog te vroeg is, maar ik denk dat in december 2014 hier wel wat nieuws over te vertellen valt.

[Reactie gewijzigd door TeleMax op 18 oktober 2013 18:15]

Liever niet die nfc - m'n microgolf-oven staat klaar om die electronica te roosteren.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True