[ archief ] betalen zonder Pin veilig?

[Popeye76]

Ik heb van de Rabobank een bericht gekregen dat er vanaf Juli met de pinpas betaald kan worden zonder de PIN code te gebruiken. Dit zou gaan gelden voor parkeer automaten en tol wegen.
Na wat gegoogeld te hebben blijkt dit de uitkomst te zijn van een vorig jaar ingevoerde proef in Den Haag.

Volgens de Bank zou dit veiliger zijn omdat er geen PIN code kan worden afgekeken en skimmen dan geen zin hou hebben.
Ik vraag me af of dit inderdaad zo is. Op dit forum komen er al verschillende gevallen voor bij dat er geld opgenomen is of betaald met een gestolen pin pas zonder een pin code te gebruiken.
Als bovenstaande al kan waarom zou dit dan nu niet mogelijk zijn. Ok, het zijn alleen tol wegen en parkeer automaten maar dan nog kunnen criminelen op mijn kosten parkeren en op tol wegen rond rijden als mijn pas gestolen is.

Ook ben ik bang dat het betalen zonder pin in de toekomst op nog meer plekken mogelijk is met alle gevolgen van dien.

Heeft er al iemand (negatieve) ervaringen met het betalen zonder pin en denken jullie dat dit een veilige methode gaat zijn?

[Schout1960]

Het is mogelijk om deze faciliteit net als het pinnen buiten Europa aan of uit te zetten.
Dit kun je zelf doen als je gaat inloggen via internetbankieren, instellingen.
Ik weet niet of het nu al kan.

[sjohie]

Ik heb van de Rabobank een bericht gekregen dat er vanaf Juli met de pinpas betaald kan worden zonder de PIN code te gebruiken. Dit zou gaan gelden voor parkeer automaten en tol wegen.
Na wat gegoogeld te hebben blijkt dit de uitkomst te zijn van een vorig jaar ingevoerde proef in Den Haag.

Volgens de Bank zou dit veiliger zijn omdat er geen PIN code kan worden afgekeken en skimmen dan geen zin hou hebben.
Ik vraag me af of dit inderdaad zo is. Op dit forum komen er al verschillende gevallen voor bij dat er geld opgenomen is of betaald met een gestolen pin pas zonder een pin code te gebruiken.
Als bovenstaande al kan waarom zou dit dan nu niet mogelijk zijn. Ok, het zijn alleen tol wegen en parkeer automaten maar dan nog kunnen criminelen op mijn kosten parkeren en op tol wegen rond rijden als mijn pas gestolen is.

Ook ben ik bang dat het betalen zonder pin in de toekomst op nog meer plekken mogelijk is met alle gevolgen van dien.

Heeft er al iemand (negatieve) ervaringen met het betalen zonder pin en denken jullie dat dit een veilige methode gaat zijn?

Ik kan me zo even geen topics heugen over betalingen zonder pin met een gestolen pinpas, tenminste niet hier in Nederland waar deze functionaliteit zo te lezen uitgerold gaat worden. Maar dan nog, dat zijn dan de zeer grote uitzonderingen, alhoewel dit voor de slachtoffers natuurlijk niet zo zal voelen.

Het lijkt me dat net als bij de bankier-apps voor smartphones, je op deze functionaliteit een dagelijkse limiet kan zetten, en dan verschilt het niks met zeg de cash inhoud van een gestolen portemonnee?

[bprosman]

Op dit forum komen er al verschillende gevallen voor bij dat er geld opgenomen is of betaald met een gestolen pin pas zonder een pin code te gebruiken.

Beweringen in het verleden wel, bewijs en / of links naar bewijs is nooit geleverd.

Voor creditcardhouders werkt dit al een tijdje in het buitenland , hiervoor zijn de criteria EN je moet onder een bepaald bedrag zitten EN alleen binnen bepaalde branches.
Een boek onder de $25,- kun je bijvoorbeeld zonder pincode en/of handtekening bij de boekhandel zo kopen.
Het zal wel een inschatting zijn van de risico's in die branches of criminelen lezen niet oid.

[Barman]

Het bestond/bestaat al veel langer. Alleen toen heette het chippen.

[GJvdZ]

Het bestond/bestaat al veel langer. Alleen toen heette het chippen.

Chippen is wat anders: daar zet je een bepaald bedrag op de kaart en kan je ermee betalen totdat dat potje op de kaart leeg is. Chippen werkt off-line, en wat nu wordt voorgesteld werkt online en kan het in principe worden gebruikt totdat je rekening leeg gehaald is. Tenzij er natuurlijk een maximum bedrag voor de betalingen wordt ingevoerd waarvoor je geen PIN nodig hebt. Overigens wordt dit ook al voor credit cards bij bijvoorbeeld betaalautomaten in parkeergarages gebruikt.

[ruud_a]

Op dit forum komen er al verschillende gevallen voor bij dat er geld opgenomen is of betaald met een gestolen pin pas zonder een pin code te gebruiken.

Beweringen in het verleden wel, bewijs en / of links naar bewijs is nooit geleverd.

het is natuurlijk theoretisch mogelijk om met geluk de juiste pincode van een pasje te pinnen
dat hoeft ook niemand te merken, wat daarvoor kun je het kastje van het internetbankieren voor gebruiken
3 maal geen juiste pincode, dan maar het pasje weggooien, want dan is het geblokkeerd
daarom rammelt het verhaal van de banken ook als ze roepen dat er in 1 keer de juiste pincode is gebruikt bij een gestolen pasje en dat er dus onvoorzichtig is omgegaan met de pincode
toch denk ik ook dat er nog een andere truc is die te maken heeft met de magneetstrip
die verdenk ik ervan dat daar ook de informatie van de pincode op staat, die ook op de chip staat
en die informatie van de pincode moet op de chip staan, omdat anders die identifier niet kan weten dat u de juiste pincode hebt ingevoerd
mocht ik er nog eens achterkomen, zal ik het posten


Voor creditcardhouders werkt dit al een tijdje in het buitenland , hiervoor zijn de criteria EN je moet onder een bepaald bedrag zitten EN alleen binnen bepaalde branches.
Een boek onder de $25,- kun je bijvoorbeeld zonder pincode en/of handtekening bij de boekhandel zo kopen.
Het zal wel een inschatting zijn van de risico's in die branches of criminelen lezen niet oid.

[Barman]

Het bestond/bestaat al veel langer. Alleen toen heette het chippen.

Chippen is wat anders: daar zet je een bepaald bedrag op de kaart en kan je ermee betalen totdat dat potje op de kaart leeg is. Chippen werkt off-line, en wat nu wordt voorgesteld werkt online en kan het in principe worden gebruikt totdat je rekening leeg gehaald is.

Dan zal je toch heel vaak moeten parkeren en dan raad ik Amsterdam aan als je er niet te lang over wil doen.

En dan maar hopen natuurlijk dat die gestolen pas niet geblokkeerd wordt.

[bprosman]

mocht ik er nog eens achterkomen, zal ik het posten

Dat hebben anderen al gedaan voor je , het algorithme is namelijk niet geheim, Google eens op "Triple DES encryption"

[ruud_a]

mocht ik er nog eens achterkomen, zal ik het posten

Dat hebben anderen al gedaan voor je , het algorithme is namelijk niet geheim, Google eens op "Triple DES encryption"

ik doelde meer op de aanwezigheid van de pincode op de betaalkaart
in een donkergrijs verleden werd door de banken gezegd, dat de pincode niet op de kaart stond
dat kan formeel waar zijn geweest, maar er staat op zijn minst informatie op de kaart, waarmee de identifyer kan bepalen of de pincode die u gebruikt om in te loggen op de identifyer de juiste is
deze informatie staat in ieder geval op de chip van de kaart, want de identifyer hangt niet aan de computers van de bank en kan daar geen controle op de pin doen
de vraag is of deze informatie ook ergens op de magneetstrip aanwezig is
die magneetstrip is namelijk gewoon uit te lezen en te copieren
mogelijk dat met die gegevens dan een programma geschreven kan worden om achter de pincode te komen
ik vraag me dus af of de aanwezigheid van [ informatie over] de pincode op op de magneetstrip noodzakelijk zou zijn
de enige reden die ik zou kunnen bedenken is als de systemen offline zijn
dan wil je toch wel graag ook je auto terug als je niet direct kunt betalen via het pinnen
ik zou me voorstellen dat dan de betaling intern wordt opgeslagen en pas later worden verstuurd naar de bank
dan moet de betaalautomaat wel in staat zijn autonoom de juistheid van de pincode te verifieren
en daarvoor is het dan wel nodig dat de informatie ook op de magneetstrip staat

[bprosman]

deze informatie staat in ieder geval op de chip van de kaart, want de identifyer hangt niet aan de computers van de bank en kan daar geen controle op de pin doen

Nee maar de identifier heeft wel de (zelfde) encryption key als de bank. Je toetst je pincode in , de identifier versleutelt dit met de aanwezige key tot een resultaat wat moet kloppen.
Het enige wat je zou kunnen doen is "terug versleutelen" om zo tot je pincode te komen maar dat is (gelukkig) nog niemand gelukt vanwege de complexiteit.

Voor het inloggen zit er ook nog een tijdcomponent in, een gegenereerde inlogcode is maar een bepaalde tijd geldig.

[ruud_a]

deze informatie staat in ieder geval op de chip van de kaart, want de identifyer hangt niet aan de computers van de bank en kan daar geen controle op de pin doen

Nee maar de identifier heeft wel de (zelfde) encryption key als de bank. Je toetst je pincode in , de identifier versleutelt dit met de aanwezige key tot een resultaat wat moet kloppen.
Het enige wat je zou kunnen doen is "terug versleutelen" om zo tot je pincode te komen maar dat is (gelukkig) nog niemand gelukt vanwege de complexiteit.

Voor het inloggen zit er ook nog een tijdcomponent in, een gegenereerde inlogcode is maar een bepaalde tijd geldig.

ik heb het gevoel dat we wat langs elkaar heen praten
zoals ik het zie moet het resultaat van een pincode + informatie die op het pasje staat [in dit geval op de chip] samen iets produceren waarvan de identifyer vindt dat beiden bij elkaar horen
de pincode van mijn ene pasje werkt niet op mijn andere pasje, dus er moet informatie over mijn pincode [in wat voor vorm dan ook] op mijn pasje staan
als diezelfde informatie ook op de magneetstrip staat, zou het dus misschien mogelijk zijn de pincode te achterhalen door deze aan te bieden aan de identifyer of ander apparaat
in tegenstelling tot de chip kun je in informatie van de magneetstrip eindeloos copieren en opnieuw aanbieden
de chip van het pasje wordt na 3 pogingen geblokkeerd

het terugsleutelen zal denk ik niet werken
ik vermoed dat het tot meer dan 1 oplossing zal leiden

[marius2013]

Tja, het zal best vaak goed gaan. Mooi systeem trouwens.
- Hoe kan het dat de Rabobank besluit, dat mijn pinpas vanaf 1 juli ongelimiteerd open staat?
- Vanaf 1 juli kan er zonder directe toestemming (pin/incasso) van gebruiker geld van de rekening worden gehaald. Ongetwijfeld zal het weinig voorkomen, maar wanneer dit gebeurd, is dit niet te bewijzen en daarmee is de diefstal legaal en nooit terug te draaien.

Chippen is wat omslachtiger, maar dat systeem klopt tenminste.
Deze kostenbesparing gaat ten koste van mijn veiligheid en dat accepteer ik niet.