Analist: banken moeten mobiele betalingen met tweetrapsauthenticatie beveiligen

Banken en financiële instellingen zouden mobiele betalingen moeten beveiligen via tweetrapsauthenticatie. Dat zegt een analist van IDC. Veel gebruikers kunnen betalingen gaan doen via alleen de vingerafdruk via de Samsung Galaxy S5 en Apple Pay.

De analist van IDC waarschuwt in het bijzonder voor toepassingen, waarbij de api's beschikbaar zijn en authenticatie gebeurt op biometrische wijze, zoals een vingerafdruk. "Het zal enkele jaren duren voor de financiële industrie het beveiligingsniveau daarvan kan beoordelen. Tot die tijd is tweetrapsauthenticatie de beste aanpak voor mobiele applicaties." IDC merkt op dat de vingerafdruk voor de eerste keer inloggen op apps, bijvoorbeeld voor het zien van saldo-informatie, wel veilig genoeg zou zijn.

Veel Amerikaanse banken, maar ook creditcardmaatschappijen hebben deals gesloten met Apple voor zijn betaaldienst, terwijl Paypal dit jaar met Samsung in zee ging voor betalingen via de vingerafdrukscanner van zijn Galaxy-apparaten.

De analist laat in het midden op welke manier een betaling via een vingerafdruk minder veilig zou zijn dan via een wachtwoord. IDC is een bekend analistenbureau op de mobiele markt en verschaft bedrijven onder meer cijfers over marktaandelen van fabrikanten en mobiele platformen. Daarnaast heeft het bureau zich gespecialiseerd in beveiliging.

Nederlandse banken hanteren veelal een tweetrapsauthenticatie voor betalingen. Bij ING krijgen gebruikers codes via sms, terwijl andere banken bij betalingen aan rekeningen boven een bepaald bedrag of aan vreemde rekeningen een code vereisen via een externe reader, die daarvoor gemaakt is.

Reacties (75)

MarcoC 1 oktober 2014 19:28

Vreemd verhaal. Apple Pay is toch tweetrapsauthenticatie? Je hebt nodig:
- Jouw iPhone (elke andere iPhone voldoet niet)
- Jouw vingerafdruk

Armin @MarcoC • 1 oktober 2014 19:59

Het punt dat deze persoon nu net maakt is dat de vingerafdruk niet echt bewezen veilig is. Ofwel als ik jouw telefoon jat of jij verliest hem, kan ik potentieel ongechecked aankopen doen.

MarcoC @Armin • 1 oktober 2014 20:36

Dat kan als ook als je je betaalpas verliest. En een viercijferige pincode die je in het openbaar tientallen keren gebruikt op apparaten waarvan je de oorsprong niet weet vind je wel veilig

?

Vertel mij eens op welk punt de betaalpas + pincode-combinatie veiliger is.

Orac @MarcoC • 1 oktober 2014 21:24

Uhm... op je telefoon staat je vingerafdruk

Armin @Orac • 1 oktober 2014 21:42

Plus dus dat MarcoC niet doorheeft dat het punt is dat de vingerafdruk potentieel zélf niet veilig is. Plat gesteld, zou ik dus wellicht met mijn vinger jouw telefoon kunnen unlocken. Er is namelijk nog onvoldoende informatie om de mate van betrouwbaarheid vast te kunnen stellen.

Bij nota bene goedkopere gunsafes is dit een bekend verschijnsel, dus denk niet dat er hier enkel over exotische uitzodneringen gesproken wordt!

Dus anders dan bij verlies bankpas, waar in de praktijk vastgesteld is, dat het niet kennen van een code een afdoende beveiliging is, is dat bij vingerafdruk minder vastgesteld aldus die onderzoeker. Vandaar dus dat de onderzoeker stelt dat enkel een vingerafdruk niet genoeg is, en er een tweede middel moet zijn.

Dus los van het feit of het waar is, geen "vreemd verhaal".

MarcoC @Orac • 2 oktober 2014 08:56

Ik vind jouw argument een drogreden. Elke nieuwe manier van authenticatie is in de praktijk nog niet getest (daarom is het nieuw), dat wil niet zeggen dat het onveilig is.

Ten tweede reageer ik op het feit dat de analist zegt dat voorlopig een vingerafdruk alleen in een tweetrapsauthenticatie gebruikt moet worden, echter verbaas ik mij hierover omdat dit al reeds het geval is. Dat vind ik dus een vreemd verhaal.

MarcoC @Orac • 2 oktober 2014 08:57

En hoe groot is de kans dat het een kwaadwillende lukt om deze vingerafdruk te gebruiken om de sensor om de tuin te leiden voordat jij je iPhone en/of bankpas hebt geblokkeerd?

kramerty88 @MarcoC • 1 oktober 2014 20:04

Daarnaast vind ik dat de kant van de betaalautomaat ook nog een controle ik kan bouwen (of al heeft als het aan de kassa is). De fingerprint scanner van de iphone is al gekraakt, maar dat gebeurde door iemand die de print gelift had en 3D afdruk had gemaakt. Als je bij een kassa staat en met een nepprint iets wil betalen valt dat redelijk op volgens mij.

Wat wel een kanttekening is, is dat bij de bij jouw genoemde tweetraps een kleine loophole zit. De vingerafdruk zit namelijk (naar alle waarschijnlijkheid) al óp de telefoon.

[Reactie gewijzigd door kramerty88 op 27 juli 2024 20:51]

Safaci 1 oktober 2014 21:10

Two-step authentication is niet de heilige graal: https://www.schneier.com/...05/03/the_failure_of.html

Rafe @Safaci • 2 oktober 2014 07:51

Dat gaat meer over online bankieren, een andere omgeving met andere risico's dan de winkel waarin jij betaalt. Trojans en MITM zijn niet dingen waar jij je als klant druk over moet maken, maar de winkelier of betaalprovider.

Kern 1 oktober 2014 19:10

Zeker een goed iets! Ik zit zelf bij de ING en het voelt toch wat "veiliger" dat je eerst nog een smsje krijgt met een TAN-code voordat de betaling rond is. Echter heeft dit ook weer een nadeel als je zoals ik bijvoorbeeld vaak op zee zit en dus geen smsjes kan ontvangen.. je dus ook geen betalingen kan doen.
(mits je een standaard TAN-code lijst aanvraagt maar dan gaat het hele puntje veiligheid naar beneden als je het mij vraagt)

Hoe zit het eigenlijk met banken die deals sluiten met een bepaald bedrijf? Mag dit wel?

Helixes @Kern • 1 oktober 2014 19:20

Meer significant voor dit verhaal wellicht: Voor haar mobiele app is een slechts een ééntrapsauthenticatie nodig voor een betaling. Betalingen worden bevestigd met de vijf-cijferige code waarmee men ook inlogt. Het standaard limiet is geloof ik € 1.000 per dag. Zeg zelf maar of je dat genoeg vindt.

Verreweg de meeste banken kopen het grootste deel van hun technologie elders in. Ik denk dat je dit parallel moet zien met de random reader-achtige apparaten die andere banken verstrekken voor hun authenticatie. Volgens mij mogen bedrijven B2B wat dat aangaat heel veel doen

MarcoC @Helixes • 1 oktober 2014 19:27

Dat is niet waar.

Voor een mobiele overschrijving bij ING heb je nodig:
- What you have: je telefoon (alleen jouw telefoon kan gebruikt worden)
- What you know: je vijfcijferige pincode

Klassieke tweetrapsauthenticatie.

Helixes @MarcoC • 1 oktober 2014 20:05

Tja, als je er zo naar kijkt...

... is biometrics + telefoon eveneens tweetrapsauthenticatie.

elmuerte @Helixes • 1 oktober 2014 22:23

Klopt. Maar het probleem met de "something you are"-factor is dat je het niet kan veranderen als het compromised is.

En dan is er nog het probleem dat als je telefoon je "something you have" is, en ook de toetsing voor de "something you are" je eigenlijk maar 1 factor hebt.

Verwijderd @Kern • 1 oktober 2014 19:15

Probleem van SMS is dat op het meest gebruikte platform, een groot gedeelte van de apps, toegang tot je SMS vereist, niet alleen whatsapp, facebook of andere grote jongens, maar ook nog wel een een spelletje of andere app. Wat dat betreft voegt die verificatie via de SMS alleen wat toe, als eerst het rechten-management op bepaalde platforms eerst verbeterd wordt.

Simyager @Verwijderd • 1 oktober 2014 19:18

Of je moet altijd een dumbphone bij je hebben, maargoed die moet je dan om de halfjaar ofzo opwaarderen anders verlies je je nummer.

Maar je hebt gelijk de OS bouwers moeten er rekening mee houden.

eggda @Kern • 1 oktober 2014 20:16

ik hoef nooit een tan code (per sms) in te vullen voordat ik met mijn mobiel betaal (ING) - enkel de pincode herhalen volstaat

Tan codes enkel bij 'traditioneel' internetbankieren

Kern @eggda • 1 oktober 2014 21:09

Ik heb de ING app eigenlijk nog nooit gebruikt omdat ik er van uit ging dat je dan ook nog steeds een TAN code moest gebruiken. Op zee hebben we wel Wifi dus dat zou wel een mooie oplossing zijn dan. Thanks!

*vraagt zich af waarom iemand -1 heb gevote op mijn bericht o.o*

CAPSLOCK2000 @Kern • 1 oktober 2014 19:23

(mits je een standaard TAN-code lijst aanvraagt maar dan gaat het hele puntje veiligheid naar beneden als je het mij vraagt)

Het ligt aan je situatie. Om een papieren lijst te pakken te krijgen moeten ze in je huis inbreken. Voor SMSjes moeten ze je telefoon hacken. Ik acht de kans dat er iets met een telefoon mis gaat een stuk groter dan de kans op een woninginbraak waarbij de TAN-lijst gevonden wordt door een inbreker die er iets mee kan.

deathmonkey @Kern • 1 oktober 2014 19:30

Daarom verkies ik een apparaatje als de randomreader zoals die van de Rabobank boven een TAN-code via een telefoon. Nadeel is dat je altijd een randomreader bij je moet hebben als je wilt internetbankieren.

Sorcerer8472 @Kern • 1 oktober 2014 20:02

Zorgen dat er een Thuraya-telefoon aan boord is en daar even je simkaartje in doen als het nodig is

Tenzij je buiten het dekkingsgebied vaart, dan wordt het alweer ingewikkelder allemaal

Of zo'n velletje losse TAN-codes aanvragen natuurlijk

z1rconium 1 oktober 2014 19:08

Vreemd verhaal - creditcards zijn al jarenlang een fraude gevoelig issue - hebben ze een 3-cijferige code toegevoegd - helemaal top. En nu moeten we plotseling terughoudend zijn met een "veiligere" oplossing ?

Sorcerer8472 @z1rconium • 1 oktober 2014 19:38

Creditcardgebruik in Europa en langzaamaan ook in de VS is online gebonden aan een soort tweetrapsauthenticatie (eigenlijk 1,5-traps) waarbij je nog een code moet invoeren. Google maar op MasterCard SecureCode.

Armin @Sorcerer8472 • 1 oktober 2014 19:54

En creditcards zélf zijn ook helemaal niet fraude-gevoelig. Het is juist andersom, je juist gebruikt creditcards in fraude-gevoelige omgevingen.

Er is geen verschil in veiligheid tussen een EMV creditcard/chargecard en EMV debitcard. net zoals het inkloppen van je bankrekeningnummer op een ramdom online website net zo risicovol is, als je creditcard nummer. Sterker nog dat eerse is erger want je hebt dan geen contractuele (EU) of zelfs wettelijke (VS) bescherming itt bij creditcards.

De reden dat creditcards in europa niet populair zijn is omdat het duur voor de winkelier en online aanbieder is. De sfeer van onveiligheid is dan een mooie bonus voor winkeliers/online shops om andere goedkopere betalingsvormen te promoten.

drdelta @Armin • 1 oktober 2014 20:35

Creditcards zijn juist by design onveilig. Daarom wordt je transactie verzekerd.
Door het zien van een CC kan iemand al een betaling (online) verricht. Je hebt slechts de data nodig die op de kaart staat. Daarnaast kan deze data eenmaal onderschept/gekopieerd zo vaak gebruikt worden totdat de rekening geblokkeerd is.

Terwijl bij alle debitkaart betalingen (online) er vrijwel altijd niet alleen een pincode ingevoerd moet worden, vervolgens moet de response code (die soms nog een extra input heeft (hoogte van het bedrag)) ook terug gegeven worden. Iets dat slechts 1× (voor 1 transactie) gebruikt kan worden.

Creditcards zijn duur omdat ze een service bieden (aan het einde van de maand betalen, geld lenen) en je verzekerd bent omdat hun systeem inherent onveilig is. Who in his right mind zou daar nou gebruik van willen maken? Een systeem dat onveilig en duurder is.

Maurits van Baerle @drdelta • 1 oktober 2014 20:48

Nederland loopt eigenlijk een beetje achter op het gebied van credit card implementaties (in Nederland kon je tot voor kort nog autoriseren met een handtekening

), het debit card systeem dat Nederland nog niet zo lang geleden heeft ingevoerd is juist gebaseerd op het EMV model dat afkomstig is uit de credit card wereld (daarom staat EMV ook voor Europay, Mastercard, Visa).

Verder heb ik nog nooit een webwinkel gezien waar je voor een debit card betaling een pincode of andere vorm van bevestiging moest geven. Debit en credit werken doorgaans exact hetzelfde.

Volgens mij ben jij in de war met Ideal. Maar goed, dat heeft dan weer helemaal niets met kaarten te maken. Bij Ideal sla je dat hele stuk over en doe je rechtstreeks zaken met je bank, zonder tussenkomst van plastic.

drdelta @Maurits van Baerle • 2 oktober 2014 08:02

het debit card systeem dat Nederland nog niet zo lang geleden heeft ingevoerd is juist gebaseerd op het EMV model dat afkomstig is uit de credit card wereld (daarom staat EMV ook voor Europay, Mastercard, Visa).

EMV komt niet uit de creditcard wereld, EMV komt uit de financiele wereld. Europay, Mastercard en Visa zijn financiele instellingen die veel meer doen dan alleen creditcards (waar jij ze wellicht uitsluitend van kent). Europay/Mastercard/Visa zijn bedrijven die zowel credit als debit kaarten (en nog veeel meer) aanbieden, en zij hebben samen een nieuwe standaard ontwikkeld om betalingen, of dit nu debit of credit is, veiliger te maken.

maceddy2004 @Maurits van Baerle • 2 oktober 2014 11:46

In andere opzichten loopt Amerika dan weer achter...

Mooi blog daarover van Erik Mouthaan. Je weet wel, die man die altijd 1 wenkbrauw omhoog heeft...

http://www.rtlnieuws.nl/n...ika-werkt-nog-met-cheques

Amped @maceddy2004 • 2 oktober 2014 14:06

Mooi blog daarover van Erik Mouthaan. Je weet wel, die man die altijd 1 wenkbrauw omhoog heeft...

Armin @drdelta • 1 oktober 2014 20:43

Goh, zeg een 'Ongewenste Post". Niet eens "off topic" Kennelijk was iemand het heel erg 'oneens'.

Hoe dan ook, creditcards zijn niet 'by design' onveilig. Er is nihil verschil tussen een debit-card en credit-card (en de meeste creditcarsd in Europa zijn overigens charge cards), anders dan dat er een tussenstation is qua betalen.

Maar de veiligheid ervan is puur de maatregelen er achter. Jij gaat namelijk de fout hier:

Je hebt slechts de data nodig die op de kaart staat.

Dat is de implementatie, niet het creditcard principe zelf. Ik schreef daarom ook expliciet een creditcard met EMV. Bij die is de data op de kaart niet genoeg. En een debitcard (zoals het Nederlandse oude PIN) zonder EMV is ook een kwestie van de magneetstrip leegtrekken.

En nee, je had dan geen PIN-code nodig. Dat was toevallig de implementatie zoals Nederlandse banken die deden. In Belgie moest ik soms enkel een handtekening gebruiken en in Frankrijk soms zelfs geheel niets bij bepaalde tankstations met mijn Nederlandse PIN-pas. Volle tank en doorrijden!

Andersom, ook met de oude magneetstrip creditcard moest je bij bepaalde transacties al een code gebruiken.

Mensen verwarren structureel de implementatie en het inherente design. Creditcards kunnen net zo veilig zijn (EMV, PIN, online passwords, etc) en non-creditcards met zo onveilig. Het enige verschil is namelijk dat het geld niet rechtstreeks van je bankrekening gaat. Om die reden is een creditcard dus zelfs veliger, aangezien mocht je toch slachtoffer worden, het niet je rekening die leeggetrokken is.

Dat het Nederlandse magneetstrip systeem toevallig altijd een code had, en de vroeger meest voorkomende creditcard mangeetstrip variant voor non-online verkeer enkel een handtekening is waar. Maar dat is dus niet inherent zo.

drdelta @Armin • 1 oktober 2014 22:29

Om die reden is een creditcard dus zelfs veliger, aangezien mocht je toch slachtoffer worden, het niet je rekening die leeggetrokken is.

Nee, inderdaad, pas aan het einde van de maand wrodt je rekening leeggetrokken, wat een verschil.

Natuurlijk is de implementatie van creditcards belangrijker dan alle potentiele mogelijkheden die toevallig overal over de wereld gebruikt kunnen worden. Ik kan bij (onder andere) Amazon betalen met mijn naam + kaart nummer + verval datum, iemand die mijn kaart bekijkt, kan dit dus ook. Dat in een ander geval/land mensen wellicht het anders aanpakken, doets niets af dat mensen geld kunnen stelen door slechts de gegevens die afleesbaar zijn van de kaart, in te vullen. De stap met de magneetstrip (zoals vroeger met de kaart in NL) is een veel grotere, je hebt immer een scanner nodig die de data kan kopieren. In de VS mocht ik een krabbeltje zetten op het bonnetje van mijn betaling in de supermarkt. Als iemand op de parkeerplaats mijn portemonee mij afhandig maakt kan hij op het bonnetje mijn handtekening zien, en mijn creditkaard heeftie dan ook meteen. Nee, implementatie doet er niet toe.

Armin @drdelta • 1 oktober 2014 22:40

Nee, inderdaad, pas aan het einde van de maand wrodt je rekening leeggetrokken, wat een verschil

Geloof je dat nu echt? Ik zou bijna zeggen dat je zelf geen creditcard hebt.

Immers aan het eind evan de maand krijg je een rekening, waarna je 30 dagen de tijd hebt om de telefoon op te tillen en je creditcard maatschappij te bellen. Doe je dat wordt het nooit afgeschreven. Dat is de beveiliging.

Bij een debitcard vertelt de bank je enkel dat jij maar de afschrijver moet bellen.

Plus natuurlijk dat je nooit meer kwijt kunt raken dan je credietlimiet. Bij debit moet je maar hopen dat de bank een limiet op het soort transacties per dag geplaatst heeft dat de crimineel gebruikt.

Als iemand op de parkeerplaats mijn portemonee mij afhandig maakt kan hij op het bonnetje mijn handtekening zien, en mijn creditkaard heeftie dan ook meteen

Niet anders dan jouw oude magneetstrip maestro pas (aka elke oude Nederlandse PIN-pas met het euro/wereld logo) zoals ik reeds aangaf. In Belgie moest ik vaak zo betalen en in Frankrijk zelfs geen krabbel. Slide en wegrijden bij het tankstation - geen PIN code of hantekening!

Jij denkt dat hoe toevallig de Nederlandse oude PIN-pas werkt identiek is hoe debitcards op andere plaatsen op aarde werkten, en idem hoe jij denkt dat een creditcard werkt is niet generiek voor creditcards in het algemeen.

drdelta @Armin • 2 oktober 2014 07:52

Niet anders dan jouw oude magneetstrip maestro pas (aka elke oude Nederlandse PIN-pas met het euro/wereld logo) zoals ik reeds aangaf. In Belgie moest ik vaak zo betalen en in Frankrijk zelfs geen krabbel. Slide en wegrijden bij het tankstation - geen PIN code of hantekening!

In Nederland (Europa) gebruiken we de magneetstrip niet meer, en (vrijwel) alle banken hebben daarom magneetstrip betalingen daarbuiten dan ook automatisch geblokkeerd ivm skimming. Daarnaast heb ik in de recente jaren nergens in Europa (Nederlands, België, Duitsland, Engeland, Denemarken, Frankrijk, Oostenrijk) zonder pincode kunnen betalen.

Plus natuurlijk dat je nooit meer kwijt kunt raken dan je credietlimiet. Bij debit moet je maar hopen dat de bank een limiet op het soort transacties per dag geplaatst heeft dat de crimineel gebruikt.

Dat hangt natuurlijk gewoon van je creditcard af, American Express bied standaard een kaart aan zonder bestedingslimiet. En dit is hun goedkoopste/laagste kaart.

Overigens denken banken altijd nog dat het verstandig is terug in de tijd te gaan: Betaal sneller bij het parkeren en tolwegen. Het is duidelijk dat er een betere beveiling moet komen dan slechts de pincode die je intypt (skimming), daarom wordt dit namelijk zeer waarschijnlijk ingevoerd. 150€ risico voor de bank ipv voor jezelf, maar bij skimming wordt er daarnaast juist voor grote bedragen overgemaakt, die de bank nu dus niet meer kwijt raakt. De skimmers hebben immers de pincode niet.

[Reactie gewijzigd door drdelta op 27 juli 2024 20:51]

Armin @drdelta • 2 oktober 2014 17:52

In Nederland (Europa) gebruiken we de magneetstrip niet meer, en (vrijwel) alle banken hebben daarom magneetstrip betalingen daarbuiten dan ook automatisch geblokkeerd ivm skimming.

Idem met credit cards. Meeste credit cards op aarde gebruiken ook een EMV chip. Enkel de USA is nog traag en gaat pas in 2015 over. Maar daar is het weer zo goed als onmogelijk de kaart buiten de USA te gebruiken zonder eerst te bellen.

Maar goed, dit doet dus niets af aan mijn punt, dat creditcards en debitcards in feite identieke zaken zijn met enige verschil de rekening waar het geld vandaan komt.

Dat hangt natuurlijk gewoon van je creditcard af, American Express bied standaard een kaart aan zonder bestedingslimiet. En dit is hun goedkoopste/laagste kaart.

Die kaart heeft wel degelijk een limiet. Echter geen vaste.

Maar probeer er maar eens een jacht mee te kopen en je zult zien dat het niet gaat. Sterker nog probeer maar eens een paar duizend euro opeens te besteden en afhankelijk van je vroegere bestedingsgedrag wordt die geblokeerd.

Maar los daarvan is dat natuurlijk een detail, want het hoofdpunt is dat er een rekening tussen zit (En meeste credit en charge cards hebben wel degelijk een limiet of kunnen dat krijgen.)

Sorcerer8472 @Armin • 1 oktober 2014 20:23

Is het niet zo dat het juist altijd om de omgeving gaat?

CivLord

@Armin • 2 oktober 2014 08:33

De reden dat creditcards in europa niet populair zijn is omdat het duur voor de winkelier en online aanbieder is. De sfeer van onveiligheid is dan een mooie bonus voor winkeliers/online shops om andere goedkopere betalingsvormen te promoten.

Klopt niet.
Creditcards zijn in Europa niet populair, omdat financiële zaken waarvoor je in de VS een CC nodig hebt in Europa gewoon aangeboden worden door je eigen bank. Denk aan pinnen, tijdelijk rood staan op je betaalrekening, automatische incasso's, doorlopend krediet tegen redelijke voorwaarden, ed.

Armin @CivLord • 2 oktober 2014 17:54

Je weet dat ruwweg 50% van de betalingen in de USA met debitcards zijn ipv creditcards? En daar rood staan, pinnen, automatsiche incasso, doorlopend krediet, etc ook allemaal gewoon daar bestaan bij de normale bankrekening?

Maurits van Baerle @Armin • 1 oktober 2014 20:40

Klopt. Je kunt online ook beter een credit card dan een debit card gebruiken. Ten eerste is het bij een credit card het geld van de bank dat je kwijt bent (de bank die vervolgens een reden heeft om eventuele fraude op te sporen), bij een debitcard is het je eigen geld dat je kwijt bent en mag je zelf uitzoeken waar het gebleven is.

Bij credit cards heeft de verstrekker vaak ook nog eens beleid om zonder veel moeite betalingen terug te storten of aangekochte producten zelfs te verzekeren. Bij frauduleuze debit card betaling beschuldigt een bank je eigenlijk standaard van het slordig omgaan met je PIN code en mag je als klant het tegendeel proberen te bewijzen.

Armin @Maurits van Baerle • 1 oktober 2014 21:52

Vorige maand week nog meegemaakt. Boekte dure vliegtickets en kreeg een 'error' tijdens boeken. Je raad het al: wel afgeschreven, geen ticket.

Vliegmaatschappij gebeld en die konden na 3 dagen bellen met 4 verschillende personen inclusief supervisor mijn transactie niet terugvinden. Ik moest me vergist hebben, het zou waarschijnlijk enkel pending/reservering zijn ...

Creditcard maatschappij gebeld en die bevestigde dat het niet pending was, en een daarwerkelijk uitgevoerde transactie. ZIj gaven me een stel codes waarmee ik de vliegmaatschappij kon helpen. Weer een uur gebeld, en nog steeds niets. Ze konden me niet helpen zeiden ze,

Dan dus maar creditcardmaatschappij gebeld, 'betwist transactie' en binnen een week stond het 'terug op mijn rekening'.

Stel je voor dat dat met iDeal was gebeurd ...

https://www.rabobank.nl/p...eal_betaling_terugdraaien

Jammer dan ... $_/-\o_$

drdelta @Armin • 1 oktober 2014 22:37

Dan had je het niet kunnen terugdraaien, maar je had hen wel (zoals normaal) kunnen dwingen het afgenomen product te leveren. Daarnaast zou je het hele "pending/reserving" niet hebben, nog een hindernis minder dus.

Armin @drdelta • 1 oktober 2014 22:45

Je mist express het punt:
1) De vliegmaatschappij beweerde dat ik niet betaald had. Dus had nooit een ticket geprint.
2) Bij iDeal ben je 100% afhankelijk van de gratie van dat bedrijf. Bij credit card kan ik én de leverancier bellen én de creditcard maatschappij indien de eerste niet thuis geven.

D11 @Armin • 2 oktober 2014 00:24

Volgens mij kun je gewoon aantonen dat je betaald hebt. Moet je alleen het bedrijf in gebreke stellen. Das dan weer minder.

Armin @D11 • 2 oktober 2014 02:02

Absoluut, doch kunnen aantonen en vervolgens aannemen door de maatschapij zijn echter twee dingen. Ik kan best de vliegmaatschappij in gebreke stelen via een aangetekende brief, maar wat nu als de verkoper dan gewoon niets doet ...

Dat is namelijk de praktijk. Ik heb ook wel eens een aangetekende brief gestuurd en een bedrijf stelt toch dat ze het niet ontvangen hebben. Uiteraard win ik dan bij een rechter, maar daar heb ik niet veel aan.

Jij als kleine burger mag dan nog steeds gewoon weken zo niet maanden op je geld wachten. Of je wordt inderdaad gedwongen naar de rechter te gaan omdat men gewoon echt helemaal niets doet.

Igv creditcard is het geld niet eens afgeschreven geweest. Igv iDeal ben ik dus al die tijd mijn geld wel kwijt. En het ging niet om vliegtickets van een paar tietjes ...

sygys @Sorcerer8472 • 2 oktober 2014 08:17

Die secure code is ook een lachertje. Als je de creditcard in handen hebt heb je helemaal niets aan die beveiliging want die code staat gewoon op de kaart.

Maurits van Baerle @sygys • 2 oktober 2014 09:17

Jij bedoelt de CVC code. De SecureCode moet je zelf verzinnen en staat zeker niet op je credit card, tenzij je hem er zelf op hebt geschreven.

sygys @Maurits van Baerle • 2 oktober 2014 10:37

Oh excuses dan haal ik er 2 door elkaar. Maar waar heb je die code dan voor nodig? Ik heb hem nog nooit ergens in hoeven vullen. En heb toch al aardig wat betaald met mijn CC

gladius1983 @z1rconium • 1 oktober 2014 19:57

Dit wordt gezegd door een analist van IDC. IDC doet niks anders dan adviseren: http://m.idc.com//about

Aangezien een telefoon vaker uit de broekzak wordt gehaald is dit object makkelijker kwijt te raken. Dus kunnen er sneller problemen ontstaan.

Nu de ontwikkeling van betalen met de mobiel heel snel gaat vind ik het geen vreemde melding. Aangezien veel mensen niet direct de gevaren zien vind ik dit een goed advies. De beveiligingsmethodes die de gebruiker zelf instelt zijn vaak veel minder goed over nagedacht dan bij de gemiddelde bank. Ik denk dat je hierin best wel voorzichtig mag zijn en de consument een waarschuwing mee mag geven.

Verwijderd @gladius1983 • 2 oktober 2014 08:48

Aldus een presentatie die ik van de ING heb gezien zijn er heden geen fraude gevallen (0) mbt mobiel betalen via apps. Dit is de rede dat je alleen met een pincode hoeft in te loggen via de app.

De attackvector is (nog) te complex of te duur om in te zetten. Het is geen open web omgeving namelijk, zo'n app.

Daarnaast lopen er tal van algortimes op de achtergrond om fraude te herkennen. En die gaan zo ver inmiddels dat deze algoritmes kunnen herkennen aan de hand van gedrag of jij degene bent die op je bankieren zit. Denk hierbij aan de snelheid en manier van intikken van een bankrekening.

Hij was er zelfs zo van overtuigd dat inloggen eigenlijk niet eens meer nodig hoeft te zijn, maar dat was de persoonlijke mening van hem

, niet de bank.

Geen enkele preventie maatregel is perfect. Ook two-factor niet. Aldus de ING zetten zij de komende jaren nog sterker in op detectie van fraude, ipv preventie van fraude.

En ik zelf geloof ook dat daar een betere bescherming uit voortvloeit dan preventie.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 20:51]

Ptiel @z1rconium • 1 oktober 2014 20:23

Volgens die analist schuilt het gevaar in het feit dat de api die gebruikt wordt in de betaalapps, openbaar beschikbaar is. Nou zijn er scenario's denkbaar waarbij IDC eventueel belang zou hebben bij het veroorzaken van onrust op de markt, maar ze hebben wel degelijk een punt.

Verwijderd @z1rconium • 1 oktober 2014 20:26

Vreemd verhaal - creditcards zijn al jarenlang een fraude gevoelig issue - hebben ze een 3-cijferige code toegevoegd - helemaal top. En nu moeten we plotseling terughoudend zijn met een "veiligere" oplossing ?

Neem dan even 10 minuten de tijd om de links te lezen. Daarin staat het prima uitgelegd,

ismilyfox @z1rconium • 1 oktober 2014 19:11

Wie heeft over cc?

z1rconium @ismilyfox • 1 oktober 2014 19:15

Het gaat hier om de werkwijze van betalingen in de praktijk.

sebastienbo @z1rconium • 2 oktober 2014 11:07

Zo onveilig zijn die apps niet hoor, ten eerste ze moet al jouw gsm hebben, het gaat niet vanop een andere gsm werken want je apparaat word geregistreerd.
Nadien moet je ook weten dat je met die apps geen grote bedragen kunt betalen als je enkel je vinger gebruikt, want voor grote bedragen te storten moet je de begunstigde ook registreren via een appart bakje (dubbele controle dus)

Het is allesinds veel minder gevoelig voor fraude dan credit kaarten en bovendien , omdat er geen code meer is, kunnen die nigerianen je niet opbellen voor je code even te krijgen (omdat ze zogezegd de bank zijn) omdat er geen codes meer zijn!

BMW-M 1 oktober 2014 19:32

wat is er niet veilig aan vingerafdruk verificatie? vingerafdrukken zijn moeilijk na te maken! en kraken kan niet! bovendien, heb je niet alleen jouw vingerafdruk nodig, maar ook de telefoon!

Armin @BMW-M • 1 oktober 2014 20:01

wat is er niet veilig aan vingerafdruk verificatie

In combinatie met zeer dure professionele apparatuur is het behoorlijk veilig.

Echter in combinatie met consumentenprijs kwaliteit apparatuur niet echt:

http://www.iclarified.com...ng-a-printed-finger-video

Probleem is dat consumentenprijs kwaliteit apparattur flinke marges moet toestaan qua herkenning.

Indien ik jouw telefoon jat/vind, heb ik bovendien zo goed als zeker naast de telefoon ook jouw vingerafdruk ...

kramerty88 @Armin • 1 oktober 2014 20:23

Niet alleen consumentenprijs apparatuur. Zelfs hoogwaardige professionele scanners. Mythbusters heeft dat al eens aangetoond:

http://www.discovery.com/...t-scanners-unbeatable.htm

Sterker nog, de dure scanners waren zelfs makkelijker te kraken.

Sorcerer8472 @BMW-M • 1 oktober 2014 20:02

Volgens mij is dit juist niet heel moeilijk na te maken als je het echt wilt hoor. Zijn meerdere proof-of-concepts en filmpjes van te vinden op internet.

WhatsappHack

Smartphones

@BMW-M • 1 oktober 2014 20:49

De vingerafdruksensor van de iPhone 5S was binnen 2 weken gekraakt.
Leipe methode... Ja. Maar 't werkte wel.

CAPSLOCK2000 1 oktober 2014 19:29

Het is bijzonder treurig dat banken hier op gewezen moeten worden. Je zou denken dat men in deze sector juist alles weet van veiligheid. Zelfs hier lijkt gemak het te winnen van veiligheid. Op de een of andere manier verdwijnt gezond verstand zodra er computers en internet in het spel zijn.

Padje @CAPSLOCK2000 • 1 oktober 2014 20:02

Het is bijzonder treurig dat banken hier op gewezen moeten worden. Je zou denken dat men in deze sector juist alles weet van veiligheid. Zelfs hier lijkt gemak het te winnen van veiligheid. Op de een of andere manier verdwijnt gezond verstand zodra er computers en internet in het spel zijn.

Ik weet niet waar jij het over hebt? Heb je uberhaupt het verhaal wel gelezen en begrepen?
Enige idee voor hoeveel miljard er wel niet geskimmed is de afgelopen jaren laat staan sinds de introductie van de magneetstrip... Dus ik weet wel zeker dat banken beter af zijn met ApplePay dan met de huidige bankpas...

CAPSLOCK2000 @Padje • 1 oktober 2014 20:37

Dus ik weet wel zeker dat banken beter af zijn met ApplePay dan met de huidige bankpas...

"beter" zegt meer over hoe slecht het nu gaat dan over hoe goed ApplePay is. Mijn punt blijft dat het jammer is dat er zo veel banken zijn die digitale beveiliging niet serieus lijken te nemen. Dat we nog steeds nieuwe bankpassen met magneetstrippen maken bevestigd dat alleen maar.

Simyager @CAPSLOCK2000 • 1 oktober 2014 19:40

Meeste mensen geloven bijna dat computers heilig zijn en onfaalbaar. Probeer een gemiddelde persoon maar eens uit te leggen waarom een mens betrouwbaarder is dan een machine. Mensen zijn altijd subjectief en computers objectief, dus omdat een computer geen emoties heeft is die betrouwbaarder. Tenminste ik krijg dat idee als ik mensen hoor praten over computers.

Dat wij beter weten hoe alles in elkaar zit, tja de gemiddelde persoon boeit het niet zolang het maar werkt.

CivLord

@CAPSLOCK2000 • 2 oktober 2014 08:59

Dit is een bewuste overweging geweest tussen gebruiksgemak en veiligheid.
Het rapport probeert aan te tonen dat de overweging t.b.v. veiligheid niet voldoende is geweest.

Joostje123 1 oktober 2014 19:18

Maar als je beschikking hebt over zijn mobiele applicatie heb je al beschikking over zijn mobiel.
Dan is een SMSje nuttelooss of je moet er een ander mobiele bij hebben maar niemand loopt met 2 telefonen op zijn.

xoniq @Joostje123 • 1 oktober 2014 19:28

De mobiele applicatie heeft een 5-cijferige code nodig voor open, en nogmaals voor een overschrijving doen. Daar heb je dan ook geen sms'je. Die heb je enkel als je via de website een betaling doet op de computer, dan heb je je website login, en je externe telefoon als 2-traps authenticatie. Ook kan je kiezen voor een fysieke tan code lijst, de keuze aan de consument. Als je net als ik, altijd je tel gelocked hebt, voorvertoningen van sms berichten uit, en je verliest je tel nooit uit het oog, is het een prima verificatie bovenop de default login. En dat geld dus ook voor het gebruik van de mobiele applicatie.

Joostje123 @xoniq • 1 oktober 2014 19:34

Ja maar ze willen juist 2 steps verficatie ook op mobiele applicaties.
Dit kan niet via een SMSje want dat slaat nergens op, want als je al een transactie plaatst op de mobiele applicatie heb je al toegang tot zijn telefoon en kan je ook wel zijn SMSen uitlezen.
Dus hoe willen ze dan 2 steps verficatie toevoegen op mobiele applicaties?

Behalve via een idioot card reader. Maar dan stop ik wel met banken en plaatst ik alles onder mijn kussens.

ya_masr 1 oktober 2014 23:59

Het is in het algemeen niet top.
Kijk naar de betalingen met nfc van bank pasje.
Pak een pasje van iemand en je kan er mee betalen.

Rafe @ya_masr • 2 oktober 2014 07:54

Het is een afgewogen keuze van de bank met maatregelen om het risico te beperken voor de klant. Contactloos pinnen is maximaal 25 euro per transactie en (bij ABN) 50 euro per dag. Banken vergoeden deze bedragen bij verlies van je pas, zonder het eigen risico dat geldt bij normaal pinnen.

ya_masr @Rafe • 2 oktober 2014 17:49

Dat is waar.
Maar je kunt beter altijd voorkomen dan verhelpen.
Want er ziten waarschijnelijk wel allemaal procedures aan vast

Rafe @ya_masr • 2 oktober 2014 21:33

Goed op je pas letten dus - maar dat deed je natuurlijk al

of de bank bellen en het uit laten schakelen als je echt niet wil. Procedure is niet anders: direct melden bij de bank en indien nodig aangifte doen.

ya_masr @Rafe • 2 oktober 2014 23:41

Zoals ik al zij beter voorkomen dan verhelpen

BiLo 2 oktober 2014 09:05

Voor iedereen die een Samsung heeft met vingerscan:

https://play.google.com/s...ickclephas.fingersecurity

De app die Samsung eigenlijk zelf had moeten maken!

tipper 3 oktober 2014 15:13

Een diepgaande uitleg over de beveiliging van Apple Pay is in onderstaand artikel te lezen. Duidelijk is dat die veel verder gaan dan de vingerscanner beveiliging en de traditionele twee traps authenticatie mogelijkheden. Mij lijkt dat een analist die dit heeft gelezen met een heel ander verhaal komt.

http://www.tuaw.com/2014/...ehind-the-secure-payment/

Op dit item kan niet meer gereageerd worden.

Analist: banken moeten mobiele betalingen met tweetrapsauthenticatie beveiligen

Lees meer

Reacties (75)

Sorteer op:

Weergave: