Navigatie overslaan.
Start

Chip & Pin is broken

Wat velen reeds enkele jaren wisten, is nu ook in een mooie paper verschenen: Bankkaarten met chip waarbij je een pincode moet ingeven om een transactie te authenticeren zijn kapot.

Lees de draft van de paper hier: http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbro...

Het probleem is dus dat je transacties met een bankkaart kan doen ZONDER over een geldige pincode te beschikken.

Waarschijnlijk zal het nog een tijdje duren vooralleer de banken het probleem officiëel erkennen, en nog langer voordat je een nieuwe bankkaart krijgt.
Gedurende al die tijd, ben jij wel nog steeds verantwoordelijk voor alle misbruik, want de bank gaat er altijd van uit dat jij slordig bent geweest met het geheim houden van je pincode.
Jij moet als het ware bewijzen dat dat niet zo is, en dat is dus quasi onmogelijk. Misschien kan deze paper dienen als bewijsmatteriaal?

Nu is natuurlijk de vraag waarom het zo lang duurt om een paper te maken terwijl iedereen die iets of wat met security bezig is dat eigenlijk al lang wist.
De georganisseerde midaad maakt hier namelijk toch ook al een tijdje handig gebruik van. (Niet zo veel omwille van de simpele reden dat er veel makkelijkere manieren zijn om aan veel meer geld te geraken met minder risico.)

Ik ga reeds vele jaren naar security conferences, en tegenwoordig zijn die vrij saai.
Er wordt namelijk niets interessants meer gezegd.

Vroeger werden dergelijke ontdekkingen vrij snel publiekelijk gemaakt, zodat de mensen van de problemen wisten, en de banken min of meer verplicht werden om er iets aan te doen.
Gedurende vele jaren is de wetgeving aan het veranderen, en onderzoek naar dergelijke dingen is in sommige Europese landen illegaal.
Bepaalde security tools en/of methodes gebruiken is in sommige Europese landen illegaal.
Publicatie van dergelijke ontdekkingen is in sommige Europese landen illegaal, etc...

Mensen die dergelijk dingen ontdekken, zullen dat tegenwoordig niet zo snel meer publiceren, integendeel, veel van dergelijk "onderzoek" is door het huidige wettelijke klimaat volledig "underground" gegaan, met alle gevolgen vandien.
Eigenlijk zijn het alleen nog maar universiteiten die zich tegenwoordig nog met dergelijke onderzoeken bezighouden, maar ook dat zal meer dan waarschijnlijk binnenkort tot het verleden behoren.

Dus, de situatie is eigenlijk heel eenvoudig samen te vatten:
De georganisseerde misdaad doet nog steeds hetzelfde als vroeger, terwijl de gewone mens steeds minder en minder op de hoogte is van dergelijke zaken. De banken leiden nog steeds geen gezichtsverlies en dragen geen verantwoordelijkheid voor dergelijke blunders en kunnen daarom de schuld makkelijker van zich afschuiven op Jan met de pet die zijn pincode wel moet hebben doorgegeven.

Iedereen wordt er beter van, behalve Jan met de pet natuurlijk, maar die is toch niet belangrijk...

BijlageGrootte
oakland10chipbroken.pdf1.84 MB