Random Reader minder veilig dan Digipass?

Discussion:

Random Reader minder veilig dan Digipass?

(te oud om op te antwoorden)

Nomailplease

2004-01-21 18:45:44 UTC

Hallo,

Ik heb onderstaand bericht onlangs naar de Rabobank gestuurd. Zijn er hier
mensen die een reactie op dat bericht hebben? Ik bankier al jaren naar volle
tevredenheid via internet, maar die Random Reader vertrouw ik eigenlijk
niet. Het probleem zit hem niet zo zeer in de techniek, maar in het feit dat
de betaalpas eraan te pas komt.

Dag

***********

Geachte heer of mevrouw,

Mijn Digipass gaf de melding "battery low". De helpdesk Rabo
Internetbankieren heeft ervoor gezorgd dat een Random Reader voor mij klaar
ligt. Ik wil u bij deze laten weten dat ik die Random Reader niet ga
gebruiken.

Waarom wil ik dat niet? Naar mijn mening is de Random Reader lang niet zo
veilig als de Digipass. Stelt u zich het volgende scenario voor: ik betaal
bij een winkelier met mijn pas en pincode. De winkelier kopieert mijn pas en
de pincode (dit is niet ondenkbaar, het is kortgeleden nog voorgekomen
ergens in Limburg). Zoals de situatie nu is, kan de winkelier mijn
betaalrekening plunderen. Niet leuk, maar ik ben bereid dat (kleine) risico
te lopen. Geen punt.

Stel dat de winkelier wat slimmer is en met een Random Reader aan de slag
gaat. Dan kan hij dus ook rommelen met mijn spaarrekeningen en beleggingen.
Dat risico wil ik wel lopen met mijn betaalrekening, maar absoluut niet met
mijn overige rekeningen.

Bij het gebruik van de Digipass voel ik me wel veilig, want die gebruik ik
niet in winkels en ik heb de code nergens genoteerd.

Ik heb een aantal vragen die u hopelijk wilt beantwoorden:

- Kan ik een nieuwe Digipass krijgen, of zijn die niet meer beschikbaar?

- Kan het scenario zoals hierboven beschreven voorkomen, of zit er een fout
in mijn redenering?

- Heeft u een andere oplossing?

Ik hoop niet dat uw antwoord is: het risico is maar klein dat de pas en
pincode gekopieerd worden. Dat weet ik namelijk en ik accepteer dat risico
voor mijn betaalrekening, maar accepteer het niet voor mijn overige
rekeningen.

Alvast bedankt!

Option

2004-01-21 19:28:47 UTC

Post by Nomailplease
- Kan ik een nieuwe Digipass krijgen, of zijn die niet meer beschikbaar?

Nee, Digipass gaat er echt helemaal uit. Nieuwe uitleveren gebeurd al
geruime tijd niet meer.

Post by Nomailplease
- Kan het scenario zoals hierboven beschreven voorkomen, of zit er een fout
in mijn redenering?

Volgens mij zit de fout hier: de fraude met passen is voor zover ik weet nog
altijd beperkt gebleven tot het kopieren van de magneetstrip en het
afkijken )of op een andere slinkse manier verkrijgen) van de PIN-code.
Inderdaad heel vervelend zoals je ook schets want je betaalrekening kan
geplunderd worden maar meer ook niet.
De Random Reader leest echter de gegevens niet van de magneetstrip maar van
de chip! Dus de magneetstrip kopieren voor dit doel is nutteloos voor de
fraudeur.

In de toekomst zie ik de magneetstrip ook helemaal verdwijnen.

Post by Nomailplease
- Heeft u een andere oplossing?

Alleen papieren overschrijvingen gebruiken en alles chartaal afrekenen
;-))

Post by Nomailplease
Ik hoop niet dat uw antwoord is: het risico is maar klein dat de pas en
pincode gekopieerd worden. Dat weet ik namelijk en ik accepteer dat risico
voor mijn betaalrekening, maar accepteer het niet voor mijn overige
rekeningen.

Terechte opmerking.

Post by Nomailplease
Alvast bedankt!

Ben benieuwd of de Rabobank antwoorden enigszins op die van mij lijken....

Gr.
Option.

Nomailplease

2004-01-24 16:46:20 UTC

Post by Option
Volgens mij zit de fout hier: de fraude met passen is voor zover ik weet nog
altijd beperkt gebleven tot het kopieren van de magneetstrip en het
afkijken )of op een andere slinkse manier verkrijgen) van de PIN-code.
Inderdaad heel vervelend zoals je ook schets want je betaalrekening kan
geplunderd worden maar meer ook niet.

Tenzij je meteen na het pinnen beroofd wordt van je pasje.

Post by Option
De Random Reader leest echter de gegevens niet van de magneetstrip maar van
de chip! Dus de magneetstrip kopieren voor dit doel is nutteloos voor de
fraudeur.

Ik heb met iemand gesproken die veel over het onderwerp weet omdat hij zich
beroepshalve met security bezighoudt. Hij zegt dat de pincode (versleuteld)
op de magneetstrip staat en dat dit gemakkelijk te kraken is - met de juiste
apparatuur. De zwakte zit dan in het feit dat de pincode op de magneetstrip
en de chip hetzelfde is. Een zakkenroller met een heler en een katvanger is
dan al genoeg.

Option

2004-01-24 17:36:09 UTC

Post by Nomailplease

Post by Option
Volgens mij zit de fout hier: de fraude met passen is voor zover ik weet

nog

Post by Option
altijd beperkt gebleven tot het kopieren van de magneetstrip en het
afkijken )of op een andere slinkse manier verkrijgen) van de PIN-code.
Inderdaad heel vervelend zoals je ook schets want je betaalrekening kan
geplunderd worden maar meer ook niet.

Tenzij je meteen na het pinnen beroofd wordt van je pasje.

Post by Option
De Random Reader leest echter de gegevens niet van de magneetstrip maar

van

Post by Option
de chip! Dus de magneetstrip kopieren voor dit doel is nutteloos voor de
fraudeur.

Ik heb met iemand gesproken die veel over het onderwerp weet omdat hij zich
beroepshalve met security bezighoudt. Hij zegt dat de pincode

(versleuteld)

Post by Nomailplease
op de magneetstrip staat en dat dit gemakkelijk te kraken is - met de juiste
apparatuur. De zwakte zit dan in het feit dat de pincode op de

magneetstrip

Post by Nomailplease
en de chip hetzelfde is. Een zakkenroller met een heler en een katvanger is
dan al genoeg.

De pincode staat inderdaad wel versleuteld op de magneetstrip, maar de
Random Reader léést de magneetstrip helemaal niet, maar de chip.
Dus je moet dan inderdaad de pas weten te stelen én de magneetstrip uitlezen
én software hebben om de plain-text PIN te achterhalen. Onmogelijk? Nee,
alles is mogelijk, maar echt eenvoudig is het niet. En de kans dat de
rechtmatige eigenaar inmiddels zijn pas heeft laten blokkeren is
aanzienlijk.

Gr.
Option.

Nomailplease

2004-01-24 18:04:38 UTC

Post by Option
De pincode staat inderdaad wel versleuteld op de magneetstrip, maar de
Random Reader léést de magneetstrip helemaal niet, maar de chip.
Dus je moet dan inderdaad de pas weten te stelen én de magneetstrip uitlezen
én software hebben om de plain-text PIN te achterhalen. Onmogelijk? Nee,
alles is mogelijk, maar echt eenvoudig is het niet. En de kans dat de
rechtmatige eigenaar inmiddels zijn pas heeft laten blokkeren is
aanzienlijk.

Je raakt hier de kern van de zaak: hoe waarschijnlijk is het scenario dat
iemand de pas steelt en de apparatuur en software heeft om de pincode te
achterhalen. Ik vind dat scenario zeker niet onwaarschijnlijk. Een
gelegenheidsdief of junk zal zich hier zeker niet mee bezighouden: verrek ik
heb een pas bemachtigd, laat ik eens op zoek gaan naar apparatuur om die pas
te kraken. Ik kan me voorstellen dat er lieden zijn die klaar zitten met dit
soort apparatuur en zitten wachten tot een dief met een originele pas komt
die gerold is (of gestolen uit een huis). Het kraken gaat vrij snel (10 tot
de macht 4 = 10.000 mogelijkheden voor de pincode). Vervolgens even
internetbankieren: zoveel mogelijk geld overmaken naar de betaalrekening en
van daaruit naar andere rekeningen. Die rekeningen staan natuurlijk op naam
van een katvanger. (Mogelijkheden genoeg, ik hoop niet dat ik iemand op een
idee breng).

Is een tweede pasje in huis alleen om te internetbankieren dan veiliger? Het
is maar hoe je er tegenaan kijkt. Aan de ene kant draag je zo'n pasje niet
bij je. Aan de andere kant kom je er misschien later achter dat het gestolen
is. Zo'n tweede pasje zou dus eigenlijk geen magneetstrip moeten hebben. Het
beste zou zijn als de Rabo zou gaan werken met twee verschillende pincodes:
één voor de chip, een afwijkende voor de magneetstrip.

Zoals ik al gezegd heb: ik ben bereid dit risico te lopen voor mijn
betaalrekening, maar niet voor overige rekeningen.

Het risico is niet erg groot, maar veel groter dan miljonair te worden in
een loterij denk ik. Ga maar eens op internet zoeken naar "pinpasfraude" !

Sangamon

2004-01-24 18:29:53 UTC

Post by Nomailplease
Het kraken gaat vrij snel (10 tot
de macht 4 = 10.000 mogelijkheden voor de pincode).

Na poging 3 is je pas geblokkeerd. Kans van 1 op 3000 dat je binnen drie
keer de juiste code hebt. Dan moet je statisch gezien veel pinpassen
bemachtigen om er een leuk bedrag uit te halen. Gewoon gaan werken levert
meer op ;)

Post by Nomailplease
Zo'n tweede pasje zou dus eigenlijk geen magneetstrip moeten hebben. Het
één voor de chip, een afwijkende voor de magneetstrip.

Dit lijkt me van toepassing op pinpassen in het algemeen:
http://www.abnamro.nl/nl/particulier/servicedesk/faq/betalen/veiligpinnen#8

Staat de pincode op de magneetstrip?
De pinpas is onder andere voorzien van een magneetstrip. De magneetstrip
bevat geen pincode. Een magneetstrip kan weliswaar worden gekopieerd,
maar daarmee kan de pincode derhalve niet worden achterhaald. Zonder
kennis te hebben van de pincode, kan geen gebruik worden gemaakt van
toepassingen waarbij de pincode benodigd is, zoals bijvoorbeeld geld- en
betaalautomaten.

Nomailplease

2004-01-24 18:49:36 UTC

Post by Sangamon
Na poging 3 is je pas geblokkeerd. Kans van 1 op 3000 dat je binnen drie
keer de juiste code hebt. Dan moet je statisch gezien veel pinpassen
bemachtigen om er een leuk bedrag uit te halen. Gewoon gaan werken levert
meer op ;)

Als je met de pas naar een pinautomaat gaat, heb je inderdaad slechts drie
pogingen. Maar het is mogelijk met de kopie van de magneetstrip aan de slag
te gaan. Inlezen in de pc en dan maar kraken geblazen. Zo kan het dus wel,
zonder dat de pas geblokkeerd raakt.

Maar, is de pincode wel te achterhalen via de magneetstrip?

ABN:
"De pinpas is onder andere voorzien van een magneetstrip. De magneetstrip
bevat geen pincode. Een magneetstrip kan weliswaar worden gekopieerd,
maar daarmee kan de pincode derhalve niet worden achterhaald."

Ik lees het als volgt: strip bevat niet de pincode en derhalve kan de
pincode niet achterhaald worden. Misschien ben ik nu een mierenneuker, maar
het woord "derhalve" zit me dwars. De pincode staat er niet op, dus kun je
die niet achterhalen. Ik zou pas gerustgesteld zijn als er zou staan:

"De pincode staat niet op de magneetstrip, ook niet versleuteld. Uit de
gegevens die wel op de magneetstrip staan, kan op geen enkele manier de
pincode achterhaald worden."

Ik werk zelf bij een grote organisatie en weet hoe lang juristen over dit
soort formuleringen zitten te dubben.

Sangamon

2004-01-24 19:11:25 UTC

Post by Nomailplease
Als je met de pas naar een pinautomaat gaat, heb je inderdaad slechts
drie pogingen. Maar het is mogelijk met de kopie van de magneetstrip aan
de slag te gaan. Inlezen in de pc en dan maar kraken geblazen. Zo kan
het dus wel, zonder dat de pas geblokkeerd raakt.

Je gaat er dan vanuit dat je weet welk algoritme gebruikt wordt om de
pincode te versleutelen. Stel dat op die pas deze code staat:

b8b4b727d6f5d1b61fff7be687f7970f = algoritme('mijn pin')

Dat kun je die niet terug herleiden tot 'mijn pin', tenzij je weet wat het
gebruikte algoritme is. Als je dat algoritme wel weet, dan zou je ze
inderdaad allemaal om de beurt kunnen proberen.

Post by Nomailplease
"De pincode staat niet op de magneetstrip, ook niet versleuteld. Uit de
gegevens die wel op de magneetstrip staan, kan op geen enkele manier de
pincode achterhaald worden."
Ik werk zelf bij een grote organisatie en weet hoe lang juristen over
dit soort formuleringen zitten te dubben.

Ik denk dat als het mogelijk was om die pincode uit de magneetstrip te
herleiden, dat daar al lang info over te vinden zou zijn geweest op het
internet.

Nomailplease

2004-01-24 19:32:02 UTC

Post by Sangamon
Ik denk dat als het mogelijk was om die pincode uit de magneetstrip te
herleiden, dat daar al lang info over te vinden zou zijn geweest op het
internet.

Ik kan me vaag een nieuwsbericht herinneren over een zending nieuwe passen
die onderschept was waarmee fraude is gepleegd. Aangezien de pincodes niet
meegestuurd waren, roept dat de vraag op hoe dat kan. Ik ga in ieder geval
het internet nog eens afstruinen, kijken of ik iets vind hierover.

Er is een periode geweest waarin nieuwe passen met de gewone post werden
verstuurd. Inmiddels doet men dit aangetekend. Op de envelop staat
uitdrukkelijk vermeld dat de pas alleen overhandigd mag worden aan de
eigenaar. Ik heb zelf meegemaakt dat ondanks die waarschuwing op de envelop,
de pas gewoon aan mijn moeder overhandigd werd terwijl ik op het werk was.
Nu vertrouw ik mijn moeder wel, maar het zegt wel iets over de nonchalance
van de betrokkenen. Ik vind het niet zo erg om de pas zelf op te halen bij
het filiaal, net als vroeger.

Er is vast de volgende afweging gemaakt:
- het kost ons X euro om de passen af te laten halen op het filiaal
(medewerker die daar voor moet worden vrijgemaakt enz.)
- het kost ons Y euro om ze met de post te sturen. Er is wel een risico dat
het mis gaat, maar dat is zo klein, dat kost ons maar Z euro (je zult maar
degene zijn bij wie het mis gaat)

De uitkomst was vast als volgt: ( Y+Z ) < X
Dus versturen maar.

Ik durf d'r mijn kop om te verwedden dat het op die manier werkt. Ik heb
zelf vergelijkbare afwegingen gemaakt in het bedrijfsleven.

Han Willemsen

2004-01-24 19:38:19 UTC

Post by Sangamon
Je gaat er dan vanuit dat je weet welk algoritme gebruikt wordt om
b8b4b727d6f5d1b61fff7be687f7970f = algoritme('mijn pin')
Dat kun je die niet terug herleiden tot 'mijn pin', tenzij je weet wat
het gebruikte algoritme is. Als je dat algoritme wel weet, dan zou je
ze inderdaad allemaal om de beurt kunnen proberen.

Ook al weet je het algoritme dan hoeft het nog niet te betekenen dat
je eenvoudig achter de sleutel kunt komen.

Dit bericht is met behulp van PGP "ondertekend". Mijn "publieke" sleutel
kun je van diverse key-servers afhalen, de manier waarop deze methode
werkt is op internet zo te vinden, maar toch lukt het je niet met behulp
van die informatie mij "prive" sleutel te vinden

]-[an.
- --
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

Nomailplease

2004-01-24 20:12:58 UTC

Ik heb het internet eens afgestruind. Het lijkt er op dat pincodes alleen
achterhaald kunnen worden door mee te kijken of door het toetsenbord te
preparen (folie met contactdraden die de pincode aftappen). Aangezien ik zou
willen werke met een tweede pas, speciaal voor internetbankieren, zou dat
dus geen gevaar opleveren.

Helaas, net toen ik er wat meer vertrouwen in begon te krijgen vond ik dit
leuke stukje tekst:

"De onderzoekers Mike Bond en Piotr Zielinski van Cambridge University
hebben ontdekt dat bankmedewerkers betrekkelijk eenvoudig achter de pincodes
van klanten kunnen komen omdat de hardware die wordt gebruikt om de
persoonlijke identificatienummers te beveiligen lek is. Een criminele
bankemployee kan snel rijk worden als hij de paper over pinfraude leest die
Bond en Zielinski deze maand hebben gepubliceerd."

Met andere woorden: een geïnfiltreerde crimineel op de juiste plek die in
contact staat met de buitenwereld, kan de pincode wellicht leveren.

Dick Streefland

2004-01-25 12:23:30 UTC

"Nomailplease" <***@nomail.nl> wrote:
| Helaas, net toen ik er wat meer vertrouwen in begon te krijgen vond ik dit
| leuke stukje tekst:
|
| "De onderzoekers Mike Bond en Piotr Zielinski van Cambridge University
| hebben ontdekt dat bankmedewerkers betrekkelijk eenvoudig achter de pincodes
| van klanten kunnen komen omdat de hardware die wordt gebruikt om de
| persoonlijke identificatienummers te beveiligen lek is. Een criminele
| bankemployee kan snel rijk worden als hij de paper over pinfraude leest die
| Bond en Zielinski deze maand hebben gepubliceerd."
|
| Met andere woorden: een geïnfiltreerde crimineel op de juiste plek die in
| contact staat met de buitenwereld, kan de pincode wellicht leveren.

En het blijkt dat je door een aantal ontwerp fouten gemiddeld slechts
15 pogingen nodig hebt om een PIN code te achterhalen, i.p.v. 5000:

http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-560.pdf

--
Dick Streefland //// De Bilt
***@xs4all.nl (@ @) The Netherlands
------------------------------oOO--(_)--OOo------------------

Han Willemsen

2004-01-24 19:25:05 UTC

Post by Nomailplease
Als je met de pas naar een pinautomaat gaat, heb je inderdaad
slechts drie pogingen. Maar het is mogelijk met de kopie van de
magneetstrip aan de slag te gaan. Inlezen in de pc en dan maar
kraken geblazen.

Wat wil je met behulp van die pas en pc precies kraken ??

]-[an.

--
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

Nomailplease

2004-01-24 20:16:47 UTC

Post by Han Willemsen
Wat wil je met behulp van die pas en pc precies kraken ??

Er zijn apparaatjes te koop van ongeveer 30 euro die de gegevens op de
magneetstrip kunnen lezen. Deze kun je vervolgens kopiëren naar een blanco
pas. Samen met de pincode kun je dan geld pinnen.

Mijn theorie is dat de pincode (versleuteld) op de magneetstrip staat. Als
je de gekopieerde gegevens dan inleest in je pc, kun je m.b.v. software aan
de slag met het achterhalen van de pincode. Ik weet echter niet of de
versleutelde pincode überhaupt op die strip staat: sommigen beweren van wel,
anderen van niet.

Han Willemsen

2004-01-24 20:24:19 UTC

Post by Nomailplease
Er zijn apparaatjes te koop van ongeveer 30 euro die de gegevens
op de magneetstrip kunnen lezen. Deze kun je vervolgens kopiëren
naar een blanco pas. Samen met de pincode kun je dan geld pinnen.

En hoe kom je aan de pincode ??

]-[an.

--
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

W.Jansen

2004-01-25 22:17:19 UTC

Post by Nomailplease

Post by Sangamon
Na poging 3 is je pas geblokkeerd. Kans van 1 op 3000 dat je binnen drie
keer de juiste code hebt. Dan moet je statisch gezien veel pinpassen
bemachtigen om er een leuk bedrag uit te halen. Gewoon gaan werken levert
meer op ;)

Als je met de pas naar een pinautomaat gaat, heb je inderdaad slechts drie
pogingen. Maar het is mogelijk met de kopie van de magneetstrip aan de slag
te gaan. Inlezen in de pc en dan maar kraken geblazen. Zo kan het dus wel,
zonder dat de pas geblokkeerd raakt.
Maar, is de pincode wel te achterhalen via de magneetstrip?
"De pinpas is onder andere voorzien van een magneetstrip. De magneetstrip
bevat geen pincode. Een magneetstrip kan weliswaar worden gekopieerd,
maar daarmee kan de pincode derhalve niet worden achterhaald."

De pincode kan op de volgende manier achterhaald worden:
De georganiseerde jongens beschikken over nep pinautomaten en voorzetstukken
die over bestaande automaten gezet kunnen worden.
Je komt bij zo'n apparaat steekt je pas erin, het ding vraagt netjes wat je
wilt doen, dat geef je in, het ding vraagt om je pincode, dat geef je hem
netjes.
Dan komt er een melding van de automaat dat er een defect is en dat er geen
transactie kan plaatsvinden probeer het later nog eens en de automaat geeft
netjes je pas terug.
Je laat een vloek en een zucht en zoekt een automaat die het wel doet.

Even terugdenken.

Je hebt je pas erin gestopt, die wordt gelezen en gekopieerd.
Je hebt je pincode gegeven, die wordt opgeslagen.
men houdt deze gegevens netjes bij elkaar en klaar is de boef.

Post by Nomailplease
Ik lees het als volgt: strip bevat niet de pincode en derhalve kan de
pincode niet achterhaald worden. Misschien ben ik nu een mierenneuker, maar
het woord "derhalve" zit me dwars. De pincode staat er niet op, dus kun je
"De pincode staat niet op de magneetstrip, ook niet versleuteld. Uit de
gegevens die wel op de magneetstrip staan, kan op geen enkele manier de
pincode achterhaald worden."
Ik werk zelf bij een grote organisatie en weet hoe lang juristen over dit
soort formuleringen zitten te dubben.

Rene

2004-01-21 21:23:41 UTC

Post by Nomailplease
Hallo,
Ik heb onderstaand bericht onlangs naar de Rabobank gestuurd. Zijn er hier
mensen die een reactie op dat bericht hebben? Ik bankier al jaren naar volle
tevredenheid via internet, maar die Random Reader vertrouw ik eigenlijk
niet. Het probleem zit hem niet zo zeer in de techniek, maar in het feit dat
de betaalpas eraan te pas komt.
Dag
***********
Geachte heer of mevrouw,
Mijn Digipass gaf de melding "battery low". De helpdesk Rabo
Internetbankieren heeft ervoor gezorgd dat een Random Reader voor mij klaar
ligt. Ik wil u bij deze laten weten dat ik die Random Reader niet ga
gebruiken.
Waarom wil ik dat niet? Naar mijn mening is de Random Reader lang niet zo
veilig als de Digipass. Stelt u zich het volgende scenario voor: ik betaal
bij een winkelier met mijn pas en pincode. De winkelier kopieert mijn pas en
de pincode (dit is niet ondenkbaar, het is kortgeleden nog voorgekomen
ergens in Limburg). Zoals de situatie nu is, kan de winkelier mijn
betaalrekening plunderen. Niet leuk, maar ik ben bereid dat (kleine) risico
te lopen. Geen punt.
Stel dat de winkelier wat slimmer is en met een Random Reader aan de slag
gaat. Dan kan hij dus ook rommelen met mijn spaarrekeningen en

beleggingen.

Post by Nomailplease
Dat risico wil ik wel lopen met mijn betaalrekening, maar absoluut niet met
mijn overige rekeningen.
Bij het gebruik van de Digipass voel ik me wel veilig, want die gebruik ik
niet in winkels en ik heb de code nergens genoteerd.
- Kan ik een nieuwe Digipass krijgen, of zijn die niet meer beschikbaar?
- Kan het scenario zoals hierboven beschreven voorkomen, of zit er een fout
in mijn redenering?
- Heeft u een andere oplossing?
Ik hoop niet dat uw antwoord is: het risico is maar klein dat de pas en
pincode gekopieerd worden. Dat weet ik namelijk en ik accepteer dat risico
voor mijn betaalrekening, maar accepteer het niet voor mijn overige
rekeningen.
Alvast bedankt!

Ik vind dat je hier wel een terechte opmerking maakt! Maar als een winkelier
dit zou doen bij meerdere personen is dat wel snel te achterhalen.

Een oplossing is om bij de bank een gratis Rabopas aan te vragen en die te
gebruiken voor alleen het telebankieren. Deze kan je dan gewoon thuis laten
liggen. Uiteraard heeft deze pas een eigen pincode.

Rene
(die zelf bij de Rabo werkt)

Nomailplease

2004-01-24 16:48:45 UTC

Post by Rene
Een oplossing is om bij de bank een gratis Rabopas aan te vragen en die te
gebruiken voor alleen het telebankieren. Deze kan je dan gewoon thuis laten
liggen. Uiteraard heeft deze pas een eigen pincode.
Rene
(die zelf bij de Rabo werkt)

Dit is wat de Rabo me geadviseerd heeft. Zie ook mijn andere reactie.

Staat de pincode eigenlijk in de magneetstrip? De Rabo zegt van niet, ik
denk van wel. Die is namelijk te kraken en dan heb je aan het originele
pasje genoeg.

Ramble

2004-01-22 20:06:16 UTC

Post by Nomailplease
Hallo,
Ik heb onderstaand bericht onlangs naar de Rabobank gestuurd. Zijn er hier
mensen die een reactie op dat bericht hebben? Ik bankier al jaren naar volle
tevredenheid via internet, maar die Random Reader vertrouw ik eigenlijk
niet. Het probleem zit hem niet zo zeer in de techniek, maar in het feit dat
de betaalpas eraan te pas komt.
Dag
***********
Geachte heer of mevrouw,
Mijn Digipass gaf de melding "battery low". De helpdesk Rabo
Internetbankieren heeft ervoor gezorgd dat een Random Reader voor mij klaar
ligt. Ik wil u bij deze laten weten dat ik die Random Reader niet ga
gebruiken.
Waarom wil ik dat niet? Naar mijn mening is de Random Reader lang niet zo
veilig als de Digipass. Stelt u zich het volgende scenario voor: ik betaal
bij een winkelier met mijn pas en pincode. De winkelier kopieert mijn pas en
de pincode (dit is niet ondenkbaar, het is kortgeleden nog voorgekomen
ergens in Limburg). Zoals de situatie nu is, kan de winkelier mijn
betaalrekening plunderen. Niet leuk, maar ik ben bereid dat (kleine) risico
te lopen. Geen punt.
Stel dat de winkelier wat slimmer is en met een Random Reader aan de slag
gaat. Dan kan hij dus ook rommelen met mijn spaarrekeningen en

beleggingen.

Post by Nomailplease
Dat risico wil ik wel lopen met mijn betaalrekening, maar absoluut niet met
mijn overige rekeningen.
Bij het gebruik van de Digipass voel ik me wel veilig, want die gebruik ik
niet in winkels en ik heb de code nergens genoteerd.
- Kan ik een nieuwe Digipass krijgen, of zijn die niet meer beschikbaar?
- Kan het scenario zoals hierboven beschreven voorkomen, of zit er een fout
in mijn redenering?
- Heeft u een andere oplossing?
Ik hoop niet dat uw antwoord is: het risico is maar klein dat de pas en
pincode gekopieerd worden. Dat weet ik namelijk en ik accepteer dat risico
voor mijn betaalrekening, maar accepteer het niet voor mijn overige
rekeningen.
Alvast bedankt!

Dit probleem heb ik bij de Rabobank al eens aangekaart maar ik kreeg
voldoende ontwijkende antwoorden om het er voorlopig maar bij te laten. Dat
is niet goed natuurlijk maar omdat ik de pas toch bijna nooit op straat bij
me heb (omdat ik doorgaans een giropas gebruik) heb ik het voorlopig maar zo
gelaten.
Ik ben het echter volledig met je eens. De random-reader is niet veilig
omdat als je betaalpas in verkeerde handen valt je hele rekening INCLUSIEF
spaartegoeden etc. geplunderd kan worden. Ze hebben dan wel je pincode nodig
maar dat is als ik de vele krantenberichten mag geloven geen probleem om
daar achter te komen hoe voorzichtig je er ook mee om gaat. Lees b.v. maar
weer eens het zoveelste bericht in de krant over neppaslezers die over de
echte heen worden geplaatst of allerlei andere trucs om je de code te
ontfutselen. De digipas was tenminste nog persoonsgebonden met eigen
pincode. Maar heeft iemand nu jouw pinpas dan kan ie in ELKE random-reader
gebruikt worden.
De Rabobank heeft mij verteld dat als ik na misbruik hen er schriftelijk op
wijs dat ik de betaalpas voldoende voorzichtig heb gebruikt dat ik dan de
bewijslast automatisch omgekeerd heb. Nou dat staat volgens mij nergens in
de voorwaarden zo omschreven maar misschien kan iemand hier op reageren of
dit klopt ja of nee.
Verder werd mij verteld dat als iemand dan toch misbruik zou maken van mijn
rekening dat dan altijd is na te gaan naar welke rekening (en dus door wie)
het geld is weggesluisd. Maar wat dan als ze al mijn spaargeld even op de
betaalrekening zetten en het vervolgens dan vrolijk al pinnend opnemen dan
laten ze toch zeker geen sporen na. En aangezien ik niet elk half uur kijk
of ik mijn pinpas nog in bezit heb kan er dus aardig wat geld geroofd worden
op deze manier mocht ik er b.v. pas na 1 of 2 dagen achterkomen.

Nou ik hoop dat deze discussie ooit nog eens resulteert in een veiliger
manier van internetbankieren. Misschien moet ik dit bericht maar eens naar
de consumentenbond sturen.

groeten,
Cees

Foetsji

2004-01-22 21:01:14 UTC

Post by Nomailplease

Post by Nomailplease
Hallo,
Ik heb onderstaand bericht onlangs naar de Rabobank gestuurd. Zijn er hier
mensen die een reactie op dat bericht hebben? Ik bankier al jaren naar

volle

Post by Nomailplease
tevredenheid via internet, maar die Random Reader vertrouw ik eigenlijk
niet. Het probleem zit hem niet zo zeer in de techniek, maar in het feit

dat

Post by Nomailplease
de betaalpas eraan te pas komt.
Dag
***********
Geachte heer of mevrouw,
Mijn Digipass gaf de melding "battery low". De helpdesk Rabo
Internetbankieren heeft ervoor gezorgd dat een Random Reader voor mij

klaar

Post by Nomailplease
ligt. Ik wil u bij deze laten weten dat ik die Random Reader niet ga
gebruiken.
Waarom wil ik dat niet? Naar mijn mening is de Random Reader lang niet zo
veilig als de Digipass. Stelt u zich het volgende scenario voor: ik betaal
bij een winkelier met mijn pas en pincode. De winkelier kopieert mijn

pas

Post by Nomailplease
en

Post by Nomailplease
de pincode (dit is niet ondenkbaar, het is kortgeleden nog voorgekomen
ergens in Limburg). Zoals de situatie nu is, kan de winkelier mijn
betaalrekening plunderen. Niet leuk, maar ik ben bereid dat (kleine)

risico

Post by Nomailplease
te lopen. Geen punt.
Stel dat de winkelier wat slimmer is en met een Random Reader aan de slag
gaat. Dan kan hij dus ook rommelen met mijn spaarrekeningen en

beleggingen.

Post by Nomailplease
Dat risico wil ik wel lopen met mijn betaalrekening, maar absoluut niet

met

Post by Nomailplease
mijn overige rekeningen.
Bij het gebruik van de Digipass voel ik me wel veilig, want die gebruik ik
niet in winkels en ik heb de code nergens genoteerd.
- Kan ik een nieuwe Digipass krijgen, of zijn die niet meer beschikbaar?
- Kan het scenario zoals hierboven beschreven voorkomen, of zit er een

fout

Post by Nomailplease
in mijn redenering?
- Heeft u een andere oplossing?
Ik hoop niet dat uw antwoord is: het risico is maar klein dat de pas en
pincode gekopieerd worden. Dat weet ik namelijk en ik accepteer dat risico
voor mijn betaalrekening, maar accepteer het niet voor mijn overige
rekeningen.
Alvast bedankt!

Dit probleem heb ik bij de Rabobank al eens aangekaart maar ik kreeg
voldoende ontwijkende antwoorden om het er voorlopig maar bij te laten. Dat
is niet goed natuurlijk maar omdat ik de pas toch bijna nooit op straat bij
me heb (omdat ik doorgaans een giropas gebruik) heb ik het voorlopig maar zo
gelaten.
Ik ben het echter volledig met je eens. De random-reader is niet veilig
omdat als je betaalpas in verkeerde handen valt je hele rekening INCLUSIEF
spaartegoeden etc. geplunderd kan worden. Ze hebben dan wel je pincode nodig
maar dat is als ik de vele krantenberichten mag geloven geen probleem om
daar achter te komen hoe voorzichtig je er ook mee om gaat. Lees b.v. maar
weer eens het zoveelste bericht in de krant over neppaslezers die over de
echte heen worden geplaatst of allerlei andere trucs om je de code te
ontfutselen. De digipas was tenminste nog persoonsgebonden met eigen
pincode. Maar heeft iemand nu jouw pinpas dan kan ie in ELKE random-reader
gebruikt worden.
De Rabobank heeft mij verteld dat als ik na misbruik hen er schriftelijk op
wijs dat ik de betaalpas voldoende voorzichtig heb gebruikt dat ik dan de
bewijslast automatisch omgekeerd heb. Nou dat staat volgens mij nergens in
de voorwaarden zo omschreven maar misschien kan iemand hier op reageren of
dit klopt ja of nee.
Verder werd mij verteld dat als iemand dan toch misbruik zou maken van mijn
rekening dat dan altijd is na te gaan naar welke rekening (en dus door wie)
het geld is weggesluisd. Maar wat dan als ze al mijn spaargeld even op de
betaalrekening zetten en het vervolgens dan vrolijk al pinnend opnemen dan
laten ze toch zeker geen sporen na. En aangezien ik niet elk half uur kijk
of ik mijn pinpas nog in bezit heb kan er dus aardig wat geld geroofd worden
op deze manier mocht ik er b.v. pas na 1 of 2 dagen achterkomen.
Nou ik hoop dat deze discussie ooit nog eens resulteert in een veiliger
manier van internetbankieren. Misschien moet ik dit bericht maar eens naar
de consumentenbond sturen.
groeten,
Cees

Sommige banken hebben er een handje van onveilig bezig te zijn.
Er zijn websites met o.a. internetrekeningen en correspondentie met de bank,
waar je persoonlijke gegevens moet invullen en verzenden, via een ordinaire
http -verbinding.
Slordig hoor.
(Een https-verbinding geeft namelijk meer veiligheid.)

En Foets su(r)ft weer vrolijk verder.

--- Geen recht spoor zonder dwarsliggers. ---

Nomailplease

2004-01-24 17:24:53 UTC

Post by Foetsji
Sommige banken hebben er een handje van onveilig bezig te zijn.
Er zijn websites met o.a. internetrekeningen en correspondentie met de bank,
waar je persoonlijke gegevens moet invullen en verzenden, via een ordinaire
http -verbinding.
Slordig hoor.
(Een https-verbinding geeft namelijk meer veiligheid.)

Losse internetrekeningen die via http toegankelijk zijn met een usercode en
password, vind ik wel acceptabel ! Okee, https zou beter zijn. Stel dat
iemand mijn usercode en password bemachtigt, wat gaat hij daarmee doen? Kan
ie hoogstens geld overboeken naar de tegenrekening, meer niet.

Foetsji

2004-01-24 19:58:45 UTC

Post by Foetsji

Post by Foetsji
Sommige banken hebben er een handje van onveilig bezig te zijn.
Er zijn websites met o.a. internetrekeningen en correspondentie met de

bank,

Post by Foetsji
waar je persoonlijke gegevens moet invullen en verzenden, via een

ordinaire

Post by Foetsji
http -verbinding.
Slordig hoor.
(Een https-verbinding geeft namelijk meer veiligheid.)

Losse internetrekeningen die via http toegankelijk zijn met een usercode en
password, vind ik wel acceptabel ! Okee, https zou beter zijn. Stel dat
iemand mijn usercode en password bemachtigt, wat gaat hij daarmee doen? Kan
ie hoogstens geld overboeken naar de tegenrekening, meer niet.

Wat dacht je o.a. van privacy?
Bij sommige sites word ik met naam en adres welkom geheten.
En wat dacht je van online wijzigen van tegenrekeningen?
Ja ok, meestal moet je daarna een formulier ondertekenen en per post
toezenden.
Maar heb jij het idee dat handtekeningen zeer zorgvuldig vergeleken worden
met die van de inschrijving toendertijd?
Voorkomen is beter dan genezen, we hebben het niet over pinda's!
Kleine moeite lijkt mij.

En Foets su(r)ft weer vrolijk verder.

--- Geen recht spoor zonder dwarsliggers. ---

Nomailplease

2004-01-24 20:19:16 UTC

Post by Foetsji
Wat dacht je o.a. van privacy?
Bij sommige sites word ik met naam en adres welkom geheten.
En wat dacht je van online wijzigen van tegenrekeningen?
Ja ok, meestal moet je daarna een formulier ondertekenen en per post
toezenden.
Maar heb jij het idee dat handtekeningen zeer zorgvuldig vergeleken worden
met die van de inschrijving toendertijd?
Voorkomen is beter dan genezen, we hebben het niet over pinda's!
Kleine moeite lijkt mij.

Ik geef toe dat je gelijk hebt. Het online kunnen wijzigen van
tegenrekeningen is helemaal een nachtmerrie-scenario.

Option

2004-01-22 22:00:12 UTC

"Ramble" <***@ilse.nl> schreef in bericht news:40102d1f$0$3258$***@news.kabelfoon.nl...
<knip>

Post by Ramble
Dit probleem heb ik bij de Rabobank al eens aangekaart maar ik kreeg
voldoende ontwijkende antwoorden om het er voorlopig maar bij te laten. Dat
is niet goed natuurlijk maar omdat ik de pas toch bijna nooit op straat bij
me heb (omdat ik doorgaans een giropas gebruik) heb ik het voorlopig maar zo
gelaten.
Ik ben het echter volledig met je eens. De random-reader is niet veilig
omdat als je betaalpas in verkeerde handen valt je hele rekening INCLUSIEF
spaartegoeden etc. geplunderd kan worden. Ze hebben dan wel je pincode nodig
maar dat is als ik de vele krantenberichten mag geloven geen probleem om
daar achter te komen hoe voorzichtig je er ook mee om gaat. Lees b.v. maar
weer eens het zoveelste bericht in de krant over neppaslezers die over de
echte heen worden geplaatst of allerlei andere trucs om je de code te
ontfutselen. De digipas was tenminste nog persoonsgebonden met eigen
pincode. Maar heeft iemand nu jouw pinpas dan kan ie in ELKE random-reader
gebruikt worden.
De Rabobank heeft mij verteld dat als ik na misbruik hen er schriftelijk op
wijs dat ik de betaalpas voldoende voorzichtig heb gebruikt dat ik dan de
bewijslast automatisch omgekeerd heb. Nou dat staat volgens mij nergens in
de voorwaarden zo omschreven maar misschien kan iemand hier op reageren of
dit klopt ja of nee.
Verder werd mij verteld dat als iemand dan toch misbruik zou maken van mijn
rekening dat dan altijd is na te gaan naar welke rekening (en dus door wie)
het geld is weggesluisd. Maar wat dan als ze al mijn spaargeld even op de
betaalrekening zetten en het vervolgens dan vrolijk al pinnend opnemen dan
laten ze toch zeker geen sporen na. En aangezien ik niet elk half uur kijk
of ik mijn pinpas nog in bezit heb kan er dus aardig wat geld geroofd worden
op deze manier mocht ik er b.v. pas na 1 of 2 dagen achterkomen.
Nou ik hoop dat deze discussie ooit nog eens resulteert in een veiliger
manier van internetbankieren. Misschien moet ik dit bericht maar eens naar
de consumentenbond sturen.
groeten,
Cees

Je verhaal gaat niet op. Lees mijn reactie op de OP er maar even op na.
Naast het feit dat je jouw PIN-code moeten stelen (afkijken, wat dan ook)
hebben ze niets aan een gekopieerde magneetstrip in de Random Reader omdat
daar de chip wordt uitgelezen en niet de magneetstrip.

Gr.
Option.

Ruud

2004-01-23 01:18:12 UTC

Post by Option
<knip>

Post by Ramble
Dit probleem heb ik bij de Rabobank al eens aangekaart maar ik kreeg
voldoende ontwijkende antwoorden om het er voorlopig maar bij te laten.

Dat

Post by Ramble
is niet goed natuurlijk maar omdat ik de pas toch bijna nooit op straat

bij

Post by Ramble
me heb (omdat ik doorgaans een giropas gebruik) heb ik het voorlopig

maar

Post by Option
zo

Post by Ramble
gelaten.
Ik ben het echter volledig met je eens. De random-reader is niet veilig
omdat als je betaalpas in verkeerde handen valt je hele rekening INCLUSIEF
spaartegoeden etc. geplunderd kan worden. Ze hebben dan wel je pincode

nodig

Post by Ramble
maar dat is als ik de vele krantenberichten mag geloven geen probleem om
daar achter te komen hoe voorzichtig je er ook mee om gaat. Lees b.v. maar
weer eens het zoveelste bericht in de krant over neppaslezers die over de
echte heen worden geplaatst of allerlei andere trucs om je de code te
ontfutselen. De digipas was tenminste nog persoonsgebonden met eigen
pincode. Maar heeft iemand nu jouw pinpas dan kan ie in ELKE

random-reader

Post by Option

Post by Ramble
gebruikt worden.
De Rabobank heeft mij verteld dat als ik na misbruik hen er schriftelijk

op

Post by Ramble
wijs dat ik de betaalpas voldoende voorzichtig heb gebruikt dat ik dan de
bewijslast automatisch omgekeerd heb. Nou dat staat volgens mij nergens in
de voorwaarden zo omschreven maar misschien kan iemand hier op reageren of
dit klopt ja of nee.
Verder werd mij verteld dat als iemand dan toch misbruik zou maken van

mijn

Post by Ramble
rekening dat dan altijd is na te gaan naar welke rekening (en dus door

wie)

Post by Ramble
het geld is weggesluisd. Maar wat dan als ze al mijn spaargeld even op de
betaalrekening zetten en het vervolgens dan vrolijk al pinnend opnemen dan
laten ze toch zeker geen sporen na. En aangezien ik niet elk half uur kijk
of ik mijn pinpas nog in bezit heb kan er dus aardig wat geld geroofd

worden

Post by Ramble
op deze manier mocht ik er b.v. pas na 1 of 2 dagen achterkomen.
Nou ik hoop dat deze discussie ooit nog eens resulteert in een veiliger
manier van internetbankieren. Misschien moet ik dit bericht maar eens naar
de consumentenbond sturen.
groeten,
Cees

Je verhaal gaat niet op. Lees mijn reactie op de OP er maar even op na.
Naast het feit dat je jouw PIN-code moeten stelen (afkijken, wat dan ook)
hebben ze niets aan een gekopieerde magneetstrip in de Random Reader omdat
daar de chip wordt uitgelezen en niet de magneetstrip.
Gr.
Option.

als je zo achterdochtig bent waarom doe je dan nog internetbanieren
ik zelf kom bij de abnamro van daan en die heeft bijna de zelfde reader als
de rabobank
er is niks mis mee ik heb alleen een advies ga lekker flappen tappen en
betaal zo bij de winkel
dat is het veiligst

ruud

Wammes

2004-01-23 09:21:43 UTC

"Ruud" <***@NOSPAM.i65.demon.nl> schreef in bericht news:***@corp.supernews.com...

knip

Post by Ruud
er is niks mis mee ik heb alleen een advies ga lekker flappen tappen en
betaal zo bij de winkel
dat is het veiligst
ruud

Krijg je weer valse euri terug. Wat is de wereld toch slecht.

--
=========================
***@Thotmail.com
Remove (A)@(T) when replying
=========================

Ruud

2004-01-23 13:55:50 UTC

Post by Wammes
knip

Post by Ruud
er is niks mis mee ik heb alleen een advies ga lekker flappen tappen en
betaal zo bij de winkel
dat is het veiligst
ruud

Krijg je weer valse euri terug. Wat is de wereld toch slecht.
--
=========================
=========================

dat is ook zo

Nomailplease

2004-01-24 17:26:59 UTC

Post by Ruud
als je zo achterdochtig bent waarom doe je dan nog internetbanieren
ik zelf kom bij de abnamro van daan en die heeft bijna de zelfde reader als
de rabobank

Jij hebt bij de ABN dus hetzelfde "probleem". Als jij wel bereid bent dat
risico te nemen, dan is er niks aan de hand.

Nomailplease

2004-01-24 17:04:15 UTC

Post by Option
Je verhaal gaat niet op. Lees mijn reactie op de OP er maar even op na.
Naast het feit dat je jouw PIN-code moeten stelen (afkijken, wat dan ook)
hebben ze niets aan een gekopieerde magneetstrip in de Random Reader omdat
daar de chip wordt uitgelezen en niet de magneetstrip.

Ik val misschien in herhaling, maar volgens mijn informatie staat de
pincode -ook- op de magneetstrip en bovendien is dat dezelfde pincode als op
de chip. Als je alleen het (originele) pasje hebt, ben je dus ver genoeg.

Nomailplease

2004-01-24 17:01:49 UTC

Post by Ramble
Dit probleem heb ik bij de Rabobank al eens aangekaart maar ik kreeg
voldoende ontwijkende antwoorden om het er voorlopig maar bij te laten.

Ik heb via e-mail contact gehad met een medewerker van de lokale Rabo. Hij
heeft geen ontwijkende antwoorden gegeven, maar hij heeft mijn wantrouwen
ook niet weg kunnen nemen.

Post by Ramble
Dat is niet goed natuurlijk maar omdat ik de pas toch bijna nooit op straat

bij

Post by Ramble
me heb (omdat ik doorgaans een giropas gebruik) heb ik het voorlopig maar zo
gelaten.

Het gevaar blijft dus bestaan als je pasje gestolen wordt. De pincode is
namelijk te kraken via de magneetstrip en vervolgens te gebruiken met de
chip. Goed verstoppen maar. Het is mij nog onduidelijk of de pincode
daadwerkelijk op de magneetstrip staat. De Rabo-medewerker beweerdt dat de
pincode in het geheel niet op de pas staat. Maar waarom krijg je dan een
foutmelding als je de verkeerde pincode intypt in de Random Reader?

Post by Ramble
De Rabobank heeft mij verteld dat als ik na misbruik hen er schriftelijk op
wijs dat ik de betaalpas voldoende voorzichtig heb gebruikt dat ik dan de
bewijslast automatisch omgekeerd heb. Nou dat staat volgens mij nergens in
de voorwaarden zo omschreven maar misschien kan iemand hier op reageren of
dit klopt ja of nee.

Ik heb de voorwaarden nogmaals toegestuurd gekregen (ik was ze kwijt), maar
moet die nog doorspitten. Het volgende geldt in ieder geval: als 's morgens
om 08.00u je pas gerold wordt en je meldt dit pas 's avonds aan de bank
(omdat je er later achterkwam), dan is de bank volgens de voorwaarden niet
aansprakelijk voor wat in de tussentijd gebeurd is.

Post by Ramble
Verder werd mij verteld dat als iemand dan toch misbruik zou maken van mijn
rekening dat dan altijd is na te gaan naar welke rekening (en dus door wie)
het geld is weggesluisd. Maar wat dan als ze al mijn spaargeld even op de
betaalrekening zetten en het vervolgens dan vrolijk al pinnend opnemen dan
laten ze toch zeker geen sporen na.

Tja, hebben ze bij de Rabo ooit van katvangers gehoord? Sluis het geld door
naar de rekening van een katvanger en laat die het geld pinnen. Die lui zijn
vaak blij als ze een paar nachten in een warme cel mogen doorbrengen en er
valt niets te halen.

Post by Ramble
Nou ik hoop dat deze discussie ooit nog eens resulteert in een veiliger
manier van internetbankieren. Misschien moet ik dit bericht maar eens naar
de consumentenbond sturen.

De Digipass was veilig(er). Het is toch niet te geloven dat ze overgestapt
zijn op een minder veilige manier? De techniek van de Random Reader zal wel
veiliger zijn dan die van de Digipass, maar dat geldt alleen in theorie.

Ik vraag me ook af waarom ze überhaupt gestopt zijn met die Digipass? Nu
moet je dus steeds je pasje bij de hand hebben als je wilt gaan bankieren.

Nomailplease

2004-01-24 16:16:22 UTC

Ik ben inmiddels wat verder gekomen, maar het is nog steeds onduidelijk. Ik
heb gesproken met een deskundige (niet van de Rabobank). Volgens hem wordt
de pincode op tweeplekken opgeslagen op de pinpas: magneetstrip en chip.
Chip is niet te kraken (hoewel nooit helemaal zeker). Magneetstrip is
gemakkelijk te kraken.

Om te telebankieren heb je dus in ieder geval de originele pas nodig. Het
volgende scenario is -volgens deze redenering- mogelijk:

- Zakkenroller bemachtigt het pasje.
- Zijn heler kopieert de magneetstrip en achterhaalt de pincode.
- Die pincode wordt gebruikt om te telebankieren (bijvoorbeeld geld van de
spaarrekening naar de betaalrekening en van daar uit verder). Via een
katvanger is het geld te pinnen.
-
Beveiligen hiertegen kan op drie manieren:
- Afwijkende pincode voor chip, niet dezelfde (is bij Rabo niet het geval en
niet mogelijk volgens woordvoerder)
- 2e pasje aanvragen om te internetbankieren en de magneetstrip onklaar
maken.
Een extra password invoeren om in te loggen op de website (moet wel heel
gek worden als ze je pasje jatten en ook nog inbreken op je pc).

Wat zegt de Rabobank? Een medewerker die blijkbaar als woordvoerder optreedt
zegt dat de pincode nergens op de pinpas opgeslagen wordt. Ik ken iemand met
een Random Reader. Als hij een verkeerde pincode intypt, krijgt hij een
foutmelding. Het apparaat is nergens op aangesloten. Hieruit volgt dat de
pincode in ieder geval op de Chip staat (toch?).

Het advies dat ik gekregen heb: vraag een tweede pasje aan en gebruik dat
pasje alleen om te internetbankieren. Lijkt veiliger, maar toch: als het
pasje bij een inbraak verdwijnt is het scenario nog steeds mogelijk.

Ik zit nog steeds te twijfelen, de Digipass doet het gelukkig nog. Ik ben er
nog niet uit, maar waarschijnlijk betekent dit voor mij: exit Rabobank.
Eigenlijk ben ik verbijsterd hierover. Ik bankier al heel lang via de pc,
waarschijnlijk zat ik bij de eerste groep. Ik ben verder zeer tevreden over
de Rabo en het internetbankieren.

Hoe werkt het bij andere banken? Bij ABN Amro werken ze ook met zo'n reader.
Heeft iemand een tip voor mij?

Sangamon

2004-01-24 16:52:37 UTC

Post by Nomailplease
Wat zegt de Rabobank? Een medewerker die blijkbaar als woordvoerder
optreedt zegt dat de pincode nergens op de pinpas opgeslagen wordt. Ik
ken iemand met een Random Reader. Als hij een verkeerde pincode intypt,
krijgt hij een foutmelding. Het apparaat is nergens op aangesloten.
Hieruit volgt dat de pincode in ieder geval op de Chip staat (toch?).

Het volgende scenario is waarschijnlijker:
De pincode staat niet op de pas. Als je op de Random Reader je pincode
intikt, dan wordt daarmee een berekening uitgevoerd. De uitkomst daarvan
wordt vergeleken met wat op de pinpas staat. Als je de magneetstrip
uitleest, heb je dus alleen de uitkomst van die berekening, maar niet de
pincode zelf. Terugrekenen vanuit die uitkomst naar de pincode is
praktisch niet haalbaar.

Nomailplease

2004-01-24 17:32:45 UTC

Post by Sangamon
De pincode staat niet op de pas. Als je op de Random Reader je pincode
intikt, dan wordt daarmee een berekening uitgevoerd. De uitkomst daarvan
wordt vergeleken met wat op de pinpas staat. Als je de magneetstrip
uitleest, heb je dus alleen de uitkomst van die berekening, maar niet de
pincode zelf.

Ik kan me voorstellen dat het zo werkt. Dan heeft de Rabobank-medewerkers
dus gelijk, maar toch maakt het voor mijn redenering niet uit. Ik heb
gehoord (uit betrouwbare bron), dat uit de magneetstrip de pincode te
achterhalen valt, en dat het goed te doen is met de juiste
apparatuur/software.

Het is moeilijk dit soort informatie te achterhalen. Op de sites van de
banken staat wel uitvoerig beschreven hoe je je pc moet beveiligen, maar met
dit soort informatie is men minder scheutig. Misschien om mensen niet op
ideeën te brengen? Vind ik wel kwalijk, want als je echt overtuigd zou zijn
van de beveiliging, zou je daar ook niet bang voor hoeven zijn.

Post by Sangamon
Terugrekenen vanuit die uitkomst naar de pincode is
praktisch niet haalbaar.

Dit wil ik uit gaan zoeken (ik weet nog niet hoe).

Han Willemsen

2004-01-24 19:21:50 UTC

Ik heb gehoord (uit betrouwbare bron), dat uit de magneetstrip
de pincode te achterhalen valt, en dat het goed te doen is met
de juiste apparatuur/software.

Bewijs ??

]-[an.

--
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

Nomailplease

2004-01-24 20:25:09 UTC

Post by Han Willemsen
Bewijs ??

Het enige wat ik getest heb is het invoeren van een foutieve pincode in een
Random Reader. Deze geeft dan een foutmelding. Aangezien de Random Reader
"stand alone" is, is dat volgens mij het bewijs dat de chip de pincode
bevat.

Voor mijn overige beweringen is er geen enkel bewijs. Het is allemaal van
horen zeggen, opgeduikeld via Google of afkomstig van de Rabobank.

Mijn probleem is dat ik moet overstappen van Digipass naar de Random Reader.
Ik vind de Random Reader minder veilig dan de Digipass (argumenten: zie
bovenstaande berichten). Waar ik op hoop is dat mijn beweringen en
scenario's volledig onderuit gehaald worden. Dan heb ik niet mijn gelijk
gekregen, maar voel ik me wel weer veilig.

Dus: als je bewijzen gaat vragen kunnen we wel stoppen met de discussie...

Han Willemsen

2004-01-24 20:34:25 UTC

Post by Nomailplease
Het enige wat ik getest heb is het invoeren van een foutieve pincode
in een Random Reader. Deze geeft dan een foutmelding. Aangezien
de Random Reader "stand alone" is, is dat volgens mij het bewijs dat
de chip de pincode bevat.

Hoe komt die Digipass er dan achter dat je pincode niet juist is (dat
ding kan je pas niet lezen).

]-[an.

--
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

Nomailplease

2004-01-24 21:17:46 UTC

Post by Han Willemsen

Post by Nomailplease
Het enige wat ik getest heb is het invoeren van een foutieve pincode
in een Random Reader. Deze geeft dan een foutmelding. Aangezien
de Random Reader "stand alone" is, is dat volgens mij het bewijs dat
de chip de pincode bevat.

Hoe komt die Digipass er dan achter dat je pincode niet juist is (dat
ding kan je pas niet lezen).

De Rabo heeft twee methoden. Digipass: geen bankpasje nodig. Random Reader:
wel een bankpasje nodig. Digipassen worden langzaam aan vervangen door
nieuwere Random Readers.

Han Willemsen

2004-01-24 21:22:50 UTC

Post by Nomailplease

Post by Han Willemsen
Hoe komt die Digipass er dan achter dat je pincode niet juist is (dat
ding kan je pas niet lezen).

De Rabo heeft twee methoden. Digipass: geen bankpasje nodig.
Random Reader: wel een bankpasje nodig. Digipassen worden
langzaam aan vervangen door nieuwere Random Readers.

Dat was de vraag niet.

]-[an.

--
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

Nomailplease

2004-01-24 21:30:21 UTC

Post by Han Willemsen

Post by Nomailplease

Post by Han Willemsen
Hoe komt die Digipass er dan achter dat je pincode niet juist is (dat
ding kan je pas niet lezen).

De Rabo heeft twee methoden. Digipass: geen bankpasje nodig.
Random Reader: wel een bankpasje nodig. Digipassen worden
langzaam aan vervangen door nieuwere Random Readers.

Dat was de vraag niet.

Dat is wel het antwoord. Bij de Digipass-methode wordt de pincode van de
bankpas niet gebruikt. De Digipass kun je beveiligen met een zelf te kiezen,
vijfcijferig getal dat niets te maken heeft met de pincode. Het staat
volledig los van bankpas+pincode. Op de website vul je eerst het
gebruikersnummer in. Vervolgens berekent de Digipass een bepaalde code.

Sangamon

2004-01-24 22:19:12 UTC

Post by Nomailplease
Dat is wel het antwoord. Bij de Digipass-methode wordt de pincode van de
bankpas niet gebruikt. De Digipass kun je beveiligen met een zelf te
kiezen, vijfcijferig getal dat niets te maken heeft met de pincode. Het
staat volledig los van bankpas+pincode. Op de website vul je eerst het
gebruikersnummer in. Vervolgens berekent de Digipass een bepaalde code.

De digipas is inderdaad persoonsgebonden in tegenstelling tot de Random
Reader (die werkt met een persoonsgebonden bankpas)
Heb je al eens geprobeerd wat er gebeurt als je op de digipas een
verkeerde pincode invult en hoe vaak je dat kunt doen?

Foetsji

2004-01-24 22:57:45 UTC

Post by Sangamon

Post by Nomailplease
Dat is wel het antwoord. Bij de Digipass-methode wordt de pincode van de
bankpas niet gebruikt. De Digipass kun je beveiligen met een zelf te
kiezen, vijfcijferig getal dat niets te maken heeft met de pincode. Het
staat volledig los van bankpas+pincode. Op de website vul je eerst het
gebruikersnummer in. Vervolgens berekent de Digipass een bepaalde code.

De digipas is inderdaad persoonsgebonden in tegenstelling tot de Random
Reader (die werkt met een persoonsgebonden bankpas)
Heb je al eens geprobeerd wat er gebeurt als je op de digipas een
verkeerde pincode invult en hoe vaak je dat kunt doen?

Ik dacht ook 3 maal

En Foets su(r)ft weer vrolijk verder.

--- Geen recht spoor zonder dwarsliggers. ---

Han Willemsen

2004-01-24 19:20:27 UTC

Volgens hem wordt de pincode op tweeplekken opgeslagen op
de pinpas: ....

De pincode staat niet op de pinpas.

]-[an.

--
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

Nomailplease

2004-01-24 20:26:34 UTC

Post by Han Willemsen
De pincode staat niet op de pinpas.

Staat wel in de chip, wellicht niet op de magneetstrip. Natuurlijk niet
plain-text, maar versleuteld.

Nomailplease

2004-01-24 17:21:37 UTC

Samengevat:
Als mijn betaalrekening geplunderd wordt, heb ik een rotdag. Als mijn
spaarrekeningen geplunderd worden, pleeg ik zelfmoord. Aangezien ik het best
wel plezant vind hier op aarde, probeer ik dat te voorkomen. Hoe groot is
het risico eigenlijk bij Rabo internetbankieren?

(voorlopige) conclusies:
[1] De chip wordt gelezen door de Random Reader. De pincode zit in de chip
(want je krijgt een foutmelding als je in de Random Reader de foute pincode
intypt). Volgens de Rabo medewerker zit de pincode niet in de chip, maar ik
geloof dat niet. De chip valt eigenlijk niet te kraken, dus de pincode staat
daar veilig.
[2] Zit de pincode verstopt in de magneetstrip? Volgens mijn guru wel,
volgens de Rabo medewerker niet. Als het antwoord "ja" is, dan is dit een
groot lek. Met de juiste apparatuur relatief gemakkelijk en snel te
achterhalen.
[3] Het gevaar zit dus niet in het kopiëren van de pas. De crimineel heeft
dan de magneetstrip en kan daar de pincode uithalen (tenminste, als het
antwoord op vraag [2] "ja" is). Een alternatief is het afkijken van de
pincode. Maar hoe dan ook: niet relevant voor dit verhaal, want ik ben niet
geïnteresseerd in fraude met betaalrekeningen. Het gaat mij om de overige
rekeningen.

Ach, ik stop er nu maar mee. Het enige wat ik nog probeer te achterhalen is
of de pincode wel of niet opgeslagen is in de magneetstrip. Niet opgeslagen?
Dan vraag ik een tweede pasje aan en ga daarmee internetbankieren. Als het
pasje gestolen wordt, dan kan de dief in ieder geval niet de pincode
achterhalen (tenzij hij me ertoe dwingt).

Wel opgeslagen in de magneetstrip? Dan is het waarschijnlijk exit Rabo. Dan
mogen ze mijn betaalrekening blijven beheren en breng ik het overige
(spaarrekeningen, beleggingen) onder bij een concurrent.

Ik heb jarenlang gedachtenloos gebruik gemaakt van mijn Digipass, maar ik
begin het apparaatje nu pas te waarderen. Wat is ie mooi zwart, klein, wat
een guitig schermpje...

Han Willemsen

2004-01-24 19:30:02 UTC

De pincode zit in de chip (want je krijgt een foutmelding als je
in de Random Reader de foute pincode intypt).

Ik denk dat het anders is: met de gegevens die op je pasje staan
en de pincode die je intypt voert de reader een berekening uit,
waardoor gezien kan worden of pasje en code bij elkaar horen.

]-[an.

--
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

Foetsji

2004-01-24 20:10:26 UTC

Post by Han Willemsen

De pincode zit in de chip (want je krijgt een foutmelding als je
in de Random Reader de foute pincode intypt).

Ik denk dat het anders is: met de gegevens die op je pasje staan
en de pincode die je intypt voert de reader een berekening uit,
waardoor gezien kan worden of pasje en code bij elkaar horen.
]-[an.

Waarom reageert de reader (ABN) dan op 3 foute pincodes met een blokkade?
Kennelijk leest en weet de reader de juiste pincode vanaf de chip.

Nog iets om over na te denken.
Een PIN kan ik in een PIN-apparaat op de balie van de bank, m.v.v. een
bankmederwerker, wijzigen.
Mijn reader wordt daar niet warm of koud van, deze accepteert daarna vrolijk
ook mijn nieuwe PIN-code.

Dus ...... reader leest weldegelijk de chip uit.
En niet alleen deze reader, ook de betaalautomaat.

Zo werkt het ook met GSM-SIMkaarten.
Daar is zelfs een PUK-code (tot 10 maal bruikbaar) beschikbaar om zelf
eenblokkade ongedaan te maken.

En Foets su(r)ft weer vrolijk verder.

--- Geen recht spoor zonder dwarsliggers. ---

Han Willemsen

2004-01-24 20:26:53 UTC

Post by Foetsji
Kennelijk leest en weet de reader de juiste pincode vanaf de
chip.

Waarschijnlijk weet de reader dat de code die je intikt NIET
juist is.

]-[an.

--
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

Nomailplease

2004-01-24 20:30:46 UTC

Post by Han Willemsen

De pincode zit in de chip (want je krijgt een foutmelding als je
in de Random Reader de foute pincode intypt).

Ik denk dat het anders is: met de gegevens die op je pasje staan
en de pincode die je intypt voert de reader een berekening uit,
waardoor gezien kan worden of pasje en code bij elkaar horen.

Volgens mij zijn we het dan eens: namelijk dat de pincode wel degelijk in de
chip opgeslagen is. Stel dat de pincode 1234 is. Hoe kan de Random Reader
dan weten dat die pincode niet bij mijn pasje hoort, maar wel bij dat van
jou?

De pincode zal er niet zelf op staan, maar dan toch een hash ervan.

Han Willemsen

2004-01-24 20:49:47 UTC

Post by Nomailplease
Volgens mij zijn we het dan eens: namelijk dat de pincode wel
degelijk in de chip opgeslagen is.

Nee.

Post by Nomailplease
Stel dat de pincode 1234 is. Hoe kan de Random Reader dan
weten dat die pincode niet bij mijn pasje hoort, maar wel bij dat
van jou?

Daar zijn verschillende wiskundige methodes voor (die ik ook
niet begrijp). De reader weet dat de ingevoerde pincode fout
is NIET omdat hij de juiste code weet, maar omdat het gehussel
met info van je kaart + je pincode niet het gewenste resultaat
oplevert. Het proces is niet (eenvoudig) omkeerbaar uit te voeren.

]-[an.

--
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

Nomailplease

2004-01-24 21:19:02 UTC

Post by Han Willemsen
Daar zijn verschillende wiskundige methodes voor (die ik ook
niet begrijp). De reader weet dat de ingevoerde pincode fout
is NIET omdat hij de juiste code weet, maar omdat het gehussel
met info van je kaart + je pincode niet het gewenste resultaat
oplevert. Het proces is niet (eenvoudig) omkeerbaar uit te voeren.

Zit iets in. Misschien werkt het inderdaad zo.

Koos Pol

2004-01-25 16:54:29 UTC

Post by Nomailplease

Post by Han Willemsen
Daar zijn verschillende wiskundige methodes voor (die ik ook
niet begrijp). De reader weet dat de ingevoerde pincode fout
is NIET omdat hij de juiste code weet, maar omdat het gehussel
met info van je kaart + je pincode niet het gewenste resultaat
oplevert. Het proces is niet (eenvoudig) omkeerbaar uit te voeren.

Zit iets in. Misschien werkt het inderdaad zo.

Niet misschien. Het werkt zo. En het is je ook al vaker verteld in dit
draadje.

Koos

--
43rd Law of Computing: Anything that can go wr
fortune: Segmentation violation -- Core dumped

Benno van den Brink <>

2004-02-09 21:03:39 UTC

Post by Koos Pol

Post by Nomailplease

Post by Han Willemsen
Daar zijn verschillende wiskundige methodes voor (die ik ook
niet begrijp). De reader weet dat de ingevoerde pincode fout
is NIET omdat hij de juiste code weet, maar omdat het gehussel
met info van je kaart + je pincode niet het gewenste resultaat
oplevert. Het proces is niet (eenvoudig) omkeerbaar uit te voeren.

Zit iets in. Misschien werkt het inderdaad zo.

Niet misschien. Het werkt zo. En het is je ook al vaker verteld in dit
draadje.
Koos

Dus hoef ik maximaal slechts 10000 keer te husselen en naar het resultaat
te kijken om een pincode te achterhalen.... Een koud kunstje als ik het
juiste algorithme weet en de gegevens van de pas kan uitlezen.

Benno

Mario

2004-02-10 11:42:30 UTC

Post by Benno van den Brink <>
Dus hoef ik maximaal slechts 10000 keer te husselen en naar het
resultaat te kijken om een pincode te achterhalen.... Een koud kunstje
als ik het juiste algorithme weet en de gegevens van de pas kan
uitlezen.

Yep. Iedereen gaat hier uit van het principe dat het proces 'onomkeerbaar'
zou zijn, wat in principe natuurlijk ook gewoon het geval is. Alleen in dit
geval gaat het 'slechts' om 10.000 mogelijke combinaties die met een brute-
force methode simpelweg allemaal kunnen worden doorlopen. Dit in
tegenstelling tot passwords die uit letter/cijfer-combinaties bestaan
waarvan het aantal mogelijke combinaties exponentieel veel groter is.

Enig probleem is dat je dit niet via een gangbare methode kunt doen (bijv.
bij een geldautomaat) om dat deze na 3 foutieve combinaties verdere
pogingen onmogelijk maakt door de kaart in te slikken etc. Er zal dus
eigengemaakte hardware aan te pas moeten komen zonder de beperkende factor
van max. 3 pogingen en dan kunnen de bijbehorende pincodes simpelweg
achterhaald worden door elke kaart van 0000 t/m 9999 in een lus te laten
doorlopen en de codegetallen die dit oplevert te vergelijken met het
codegetal dat op de kaart staat. Probleem is alleen dat je dan de interne
werking van het systeem moet weten en welk algoritme e.d. er voor wordt
gebruikt om de pincode/pasnr combinatie om te zetten in het codegetal.
Leuke reverse-engineering uitdaging dus :-D

Maar hoe dan ook: mbv de kaart zelf en aangepaste hardware is het wel
degelijk mogelijk om pincodes te achterhalen.

Mario

2004-02-10 11:47:55 UTC

Post by Mario
Maar hoe dan ook: mbv de kaart zelf en aangepaste hardware is het wel
degelijk mogelijk om pincodes te achterhalen.

Nu ik er zo eens over nadenk: staat het codegetal eigenlijk wel op de kaart
zelf? Lijkt me eerlijk gezegd logischer dat die in de een of andere
database opgeslagen staat en deze door Interpay bij het doen van iedere
betaling/opname wordt opgevraagd en gecheckt. Dat zou tenminste betekenen
dat een centraal systeem bij kan houden hoe vaak een foutieve code is
geprobeerd en het geheel centraal kan blokkeren na 3 foutieve pogingen. Op
deze manier zie ik het nog niet zo snel gebeuren dat een code op deze
manier achterhaald kan worden aangezien je dan eerst in een grote server
moet gaan zien te hacken en dit zal nooit lang onopgemerkt blijven... :-P

Robbedoes

2004-01-24 20:58:09 UTC

Post by Nomailplease
Wel opgeslagen in de magneetstrip? Dan is het waarschijnlijk exit
Rabo. Dan mogen ze mijn betaalrekening blijven beheren en breng ik
het overige (spaarrekeningen, beleggingen) onder bij een concurrent.

Gewoon een extra rekening openen waarmee je in de winkels betaald.
De originele gebruik je dan alleen voor bankbetalingen en sparen e.d.

--
Robbedoes.

Niets is vanzelfsprekend en zelfs dat niet.

Marcel

2004-01-25 09:37:22 UTC

Post by Robbedoes

Post by Nomailplease
Wel opgeslagen in de magneetstrip? Dan is het waarschijnlijk exit
Rabo. Dan mogen ze mijn betaalrekening blijven beheren en breng ik
het overige (spaarrekeningen, beleggingen) onder bij een concurrent.

Gewoon een extra rekening openen waarmee je in de winkels betaald.
De originele gebruik je dan alleen voor bankbetalingen en sparen e.d.
--
Robbedoes.
Niets is vanzelfsprekend en zelfs dat niet.

wat ik altijd zo jammer aan dit soort discussie vind is de negatiefe
insteek. Banken wordt altijd als geldwolven neergezet. Wij nederlanderss
hebben het in ons om altijd over van alles maar te klagen. men vergeet wel
even dat Nederland op nummer 1 staat in de wereld wanneer het gaat om
goedkoop en effiecient betalingsverkeer. Een gratis overboeking van de ene
bank naar de andere bank binnen een aantal dagen is de normaalste zaak van
de wereld. Probeer dat eens in bijvoorbeeld de VS. Waarom is de credit card
daar zo populair?? misschien door het ontbreken van een bankgirocentrale
zoals in Nederland?? Vaak hoor je ook, vroeger was de service beter!!
Vroeger beter??? Nu kan ik 24 uur per dag, op bijna elke plaats op de wereld
beschikken over mijn geld(bij de rabobank kan je zelfs gratis pinnen over de
hele wereld). Wil je contact opnemen met je bank, tegenwoordig heeft bijna
elke bank wel een servicelijn die het merendeel van de dag te bereiken is.
Ook wordt er vaak geeist door klanten dat bankmedewerkers hun
overschrijvingkaarten invullen, ik zie het al voor mij: ik koop een
videorecorder,ik krijg uitleg hoe hij werk, maar ik blijf de verkoper elke
dag bellen:,, kan je effe komen, effe mij video instellen, ik wil studio
sport opnemen. Wellicht zijn we gewoon een beetje verwend??

Maar om terug te komen bij het onderwerp: Ik heb volledig vertrouwen in de
random reader. Ik moest lachen van al die expert die allemaal weten hoe het
zit. De pincode zit inderdaad op de chipknip, NIET op de magneetstrip. nog
niet overtuigd??? redeneer dan even met mij mee. Wanneer je 3 x de foutieve
pincode invoert via de Random Reader wordt de chip(knip) automatisch
geblokkeerd. Een magneetstip kan zichzelf niet blokkeren(ik heb het niet
over een centrale blokkering wanneer je via de geldautomaat loopt te
kloten), de magneetstip gaat al een aantal jaren mee. Er zijn genoeg
programma's te vinden die een magneetstip kunnen uitlezen en programma's om
te decoderen. Denk je nu echt dat in al die jaren dat de magneetstrip wordt
gebruikt, de losse paslezers en de decodeersoftware beschikbaar is niemand
het is gelukt om, indien hij op de magneetstrip stond, om de pincode uit te
lezen?? ik heb dan toch meer vertrouwen in de heren hackers dan jullie!!
Maar wat ook belangrijk is,is een stukje zorgvuldig handelen, dit mag je van
je bank verwachten, maar de bank mag dit ook zeker van zijn klanten
verwachten. Spreek een winkelier erop aan wanneer de pinautomaat slecht
staat opgesteld(zo leuke spiegel boven het gangpad bij de kassa, zodat de
kassiere kan zien of er wellicht nog wat op het winkelwagentje staat, ook
leuk om mee te kijken op het pinautomaat). geef je pas niet zo maar af aan
een winkelbediende die jou pas door een apparaat moet halen, hou je pas in
het oog!!
aankopen op het internet?? let op de beveiligde verbinding, te herkennen aan
het hangslotje en het beginadres: https:// (let op de s achter http)
vertrouw je het niet??, dan niet kopen!!! Waarom loop je wel weg in een
normale winkel die je niet vertrouw, maar koop je wel aan via Internet bij
een webwinkel die je niet vertrouw, ga gewoon op je gevoel af!!!

welicht had je het al door, maar ik ben inderdaad een medewerker van de
Rabobank, ik ben daar trots op!!!!

Groet,

ps: ik wil verder geen discussie op gang brengen over de kwaliteit van de
rabo of ander banken. Ik hoop dat ik een duidelijk en overtuigend antwoord
heb gegeven over de random reader en over de magneetstrip die op elke pas
van elke bank het zelfde is

SM de Jong

2004-01-25 10:54:05 UTC

Pffht, ik lees hier nu al een tijdje mee, maar ik kan me niet aan de indruk
onttrekken dat een hele hoop mensen zich ontzettend druk maakt om zaken die
eventueel ooit eens misschien als jje heel veel pech hebt wellicht kunnen
gebeuren...

Kortom, zeur niet teveel en leef gewoon! Als je die ene persoon op de
tienduizenden bent die fraude overkomt, ga je er DAN druk om maken ipv al
die paniek... pas op je hart, mensen..

Sorry hoor...

Post by Marcel

Post by Robbedoes

Post by Nomailplease
Wel opgeslagen in de magneetstrip? Dan is het waarschijnlijk exit
Rabo. Dan mogen ze mijn betaalrekening blijven beheren en breng ik
het overige (spaarrekeningen, beleggingen) onder bij een concurrent.

Gewoon een extra rekening openen waarmee je in de winkels betaald.
De originele gebruik je dan alleen voor bankbetalingen en sparen e.d.
--
Robbedoes.
Niets is vanzelfsprekend en zelfs dat niet.

wat ik altijd zo jammer aan dit soort discussie vind is de negatiefe
insteek. Banken wordt altijd als geldwolven neergezet. Wij nederlanderss
hebben het in ons om altijd over van alles maar te klagen. men vergeet wel
even dat Nederland op nummer 1 staat in de wereld wanneer het gaat om
goedkoop en effiecient betalingsverkeer. Een gratis overboeking van de ene
bank naar de andere bank binnen een aantal dagen is de normaalste zaak van
de wereld. Probeer dat eens in bijvoorbeeld de VS. Waarom is de credit card
daar zo populair?? misschien door het ontbreken van een bankgirocentrale
zoals in Nederland?? Vaak hoor je ook, vroeger was de service beter!!
Vroeger beter??? Nu kan ik 24 uur per dag, op bijna elke plaats op de wereld
beschikken over mijn geld(bij de rabobank kan je zelfs gratis pinnen over de
hele wereld). Wil je contact opnemen met je bank, tegenwoordig heeft bijna
elke bank wel een servicelijn die het merendeel van de dag te bereiken is.
Ook wordt er vaak geeist door klanten dat bankmedewerkers hun
overschrijvingkaarten invullen, ik zie het al voor mij: ik koop een
videorecorder,ik krijg uitleg hoe hij werk, maar ik blijf de verkoper elke
dag bellen:,, kan je effe komen, effe mij video instellen, ik wil studio
sport opnemen. Wellicht zijn we gewoon een beetje verwend??
Maar om terug te komen bij het onderwerp: Ik heb volledig vertrouwen in de
random reader. Ik moest lachen van al die expert die allemaal weten hoe het
zit. De pincode zit inderdaad op de chipknip, NIET op de magneetstrip. nog
niet overtuigd??? redeneer dan even met mij mee. Wanneer je 3 x de foutieve
pincode invoert via de Random Reader wordt de chip(knip) automatisch
geblokkeerd. Een magneetstip kan zichzelf niet blokkeren(ik heb het niet
over een centrale blokkering wanneer je via de geldautomaat loopt te
kloten), de magneetstip gaat al een aantal jaren mee. Er zijn genoeg
programma's te vinden die een magneetstip kunnen uitlezen en programma's om
te decoderen. Denk je nu echt dat in al die jaren dat de magneetstrip wordt
gebruikt, de losse paslezers en de decodeersoftware beschikbaar is niemand
het is gelukt om, indien hij op de magneetstrip stond, om de pincode uit te
lezen?? ik heb dan toch meer vertrouwen in de heren hackers dan jullie!!
Maar wat ook belangrijk is,is een stukje zorgvuldig handelen, dit mag je van
je bank verwachten, maar de bank mag dit ook zeker van zijn klanten
verwachten. Spreek een winkelier erop aan wanneer de pinautomaat slecht
staat opgesteld(zo leuke spiegel boven het gangpad bij de kassa, zodat de
kassiere kan zien of er wellicht nog wat op het winkelwagentje staat, ook
leuk om mee te kijken op het pinautomaat). geef je pas niet zo maar af aan
een winkelbediende die jou pas door een apparaat moet halen, hou je pas in
het oog!!
aankopen op het internet?? let op de beveiligde verbinding, te herkennen aan
het hangslotje en het beginadres: https:// (let op de s achter http)
vertrouw je het niet??, dan niet kopen!!! Waarom loop je wel weg in een
normale winkel die je niet vertrouw, maar koop je wel aan via Internet bij
een webwinkel die je niet vertrouw, ga gewoon op je gevoel af!!!
welicht had je het al door, maar ik ben inderdaad een medewerker van de
Rabobank, ik ben daar trots op!!!!
Groet,
ps: ik wil verder geen discussie op gang brengen over de kwaliteit van de
rabo of ander banken. Ik hoop dat ik een duidelijk en overtuigend antwoord
heb gegeven over de random reader en over de magneetstrip die op elke pas
van elke bank het zelfde is

Nomailplease

2004-01-25 13:03:49 UTC

Ik vraag me af wat je in een nieuwsgroep doet als je niet tegen een
discussie kunt. Struin je alle nieuwsgroepen af met dit soort relativerende
opmerkingen?

SM de Jong

2004-01-25 15:20:39 UTC

Waar slaat dit nu weer op??
Je kan toch ook gewoon geinteresseerd zijn in een bepaald thema of
onderwerp, maar gewoon een beetje moet worden van alle TE paniekerige
postings van mensen?
Info = ok, maar als je het allemaal zo eng vind met fraude enzo: bankier dan
lekker NIET via internet!

Post by Nomailplease
Ik vraag me af wat je in een nieuwsgroep doet als je niet tegen een
discussie kunt. Struin je alle nieuwsgroepen af met dit soort

relativerende

Post by Nomailplease
opmerkingen?

Sangamon

2004-01-25 12:22:47 UTC

Post by Marcel
wat ik altijd zo jammer aan dit soort discussie vind is de negatiefe
insteek. Banken wordt altijd als geldwolven neergezet.

Waar lees je dat de bank als geldwolf wordt neergezet?

[niet ter zake doende bankpromotieverhaal overgeslagen]

Post by Marcel
Maar om terug te komen bij het onderwerp: Ik heb volledig vertrouwen in
de random reader. Ik moest lachen van al die expert die allemaal weten
hoe het zit. De pincode zit inderdaad op de chipknip, NIET op de
magneetstrip. nog niet overtuigd??? redeneer dan even met mij mee.
Wanneer je 3 x de foutieve pincode invoert via de Random Reader wordt de
chip(knip) automatisch geblokkeerd.

Om te achterhalen of de klant de juiste pin intikt is het niet
noodzakelijk om de pincode in de chipknip te hebben. Er hoeft geen pincode
op de pas te staan. Niet in de magneetstrip en niet in de chipknip.

Post by Marcel
Denk je nu echt dat in al die jaren dat de magneetstrip wordt gebruikt,
de losse paslezers en de decodeersoftware beschikbaar is niemand het is
gelukt om, indien hij op de magneetstrip stond, om de pincode uit te
lezen??

En er is geen apparatuur om chipknips uit te lezen?

Post by Marcel
ik heb dan toch meer vertrouwen in de heren hackers dan jullie!!

Ben ik met je eens. Als het mogelijk was om die pincode eruit te krijgen,
dan was dat al lang gebeurd. Neemt niet weg dat er best over
gediscussieerd mag worden. Liever een klant die kritisch is, dan een klant
die alles klakkeloos aanneemt wat hem wordt voorgeschoteld. Dat de Random
Reader veilig is, zal uiteindelijk ook uit deze discussie blijken, maar
dan wel op basis van feiten en niet door blind vertrouwen in de techniek.

[stukje over zorgvuldig handelen]

Mee eens.

Post by Marcel
welicht had je het al door, maar ik ben inderdaad een medewerker van de
Rabobank, ik ben daar trots op!!!!

Ik ben een Rabobank klant en erg tevreden, maar wel kritisch.

Post by Marcel
ps: ik wil verder geen discussie op gang brengen over de kwaliteit van
de rabo of ander banken.

Dan moet je er zelf ook niet over beginnen ;)

Post by Marcel
Ik hoop dat ik een duidelijk en overtuigend antwoord heb gegeven over de
random reader en over de magneetstrip die op elke pas van elke bank het
zelfde is.

Dat de magneetstrip op elke bankpas ongeveer hetzelfde is, geloof ik
direct, maar het ging hier om het Internetbankieren met de pas. En als ik
me niet vergis zijn er ook banken die niet de bankpas gebruiken om te
internetbankieren, maar een ander systeem hebben (zoals de digipas).

Nomailplease

2004-01-25 13:00:49 UTC

Post by Marcel
wat ik altijd zo jammer aan dit soort discussie vind is de negatiefe
insteek. Banken wordt altijd als geldwolven neergezet. Wij nederlanderss
hebben het in ons om altijd over van alles maar te klagen.

Ik ben deze thread gestart en de enige negatieve reactie die ik tot nu toe
gelezen heb is die van jou. Jij keurt blijkbaar de discussie af. Ik ben het
begonnen omdat ik oprecht bezorgd ben over de veiligheid van de
niet-persoonsgebonden Random Reader in vergelijking met de persoonsgebonden
Digipass.

Verder vind ik het een interessante discussie die mij nieuwe inzichten heeft
gebracht. Het gaat er niet om of banken wel of niet geldwolven zijn. Banken
zijn er op uit winst te maken, net als andere bedrijven.

Het gaat er mij niet om de Rabobank af te zeiken (ik ben namelijk zeer
tevreden over die bank), maar om de veiligheid te verbeteren. De (lokale)
Rabobank heeft toegezegd dit te gaan bespreken op een bijeenkomst, dus ze
nemen het zelf ook serieus als een klant daar vragen over stelt.

Dus als jij je ergert aan de zogenaamd "negatieve" toon, dan heb je het naar
mijn mening verkeerd begrepen. Prima als je dat vindt, maar ik laat me
daardoor niet in een hoek zetten.

maxx

2004-01-25 14:50:09 UTC

Post by Nomailplease
Als mijn betaalrekening geplunderd wordt, heb ik een rotdag. Als mijn
spaarrekeningen geplunderd worden, pleeg ik zelfmoord. Aangezien ik het best
wel plezant vind hier op aarde, probeer ik dat te voorkomen. Hoe groot is
het risico eigenlijk bij Rabo internetbankieren?
[1] De chip wordt gelezen door de Random Reader. De pincode zit in de chip
(want je krijgt een foutmelding als je in de Random Reader de foute pincode
intypt). Volgens de Rabo medewerker zit de pincode niet in de chip, maar ik
geloof dat niet. De chip valt eigenlijk niet te kraken, dus de pincode staat
daar veilig.
[2] Zit de pincode verstopt in de magneetstrip? Volgens mijn guru wel,
volgens de Rabo medewerker niet. Als het antwoord "ja" is, dan is dit een
groot lek. Met de juiste apparatuur relatief gemakkelijk en snel te
achterhalen.
[3] Het gevaar zit dus niet in het kopiëren van de pas. De crimineel heeft
dan de magneetstrip en kan daar de pincode uithalen (tenminste, als het
antwoord op vraag [2] "ja" is). Een alternatief is het afkijken van de
pincode. Maar hoe dan ook: niet relevant voor dit verhaal, want ik ben niet
geïnteresseerd in fraude met betaalrekeningen. Het gaat mij om de overige
rekeningen.

Voor zover ik weet staat er geen PIN informatie op de pas. Het principe is
als volgt. Op de magneetstrip staat een code. Deze code wordt naar de
centrale computer (Interpay) opgestuurd. De ingetoetste pincode wordt ook
naar de centrale computer gestuurd. Daar wordt via een algoritme bekeken
of de ingetoetste code bij de code op de pas hoort.

--
/ maxx
/ ---- at ----------------
/ maxxware dot net

Johannes

2004-01-25 20:22:00 UTC

Post by Nomailplease
Als mijn betaalrekening geplunderd wordt, heb ik een rotdag. Als mijn
spaarrekeningen geplunderd worden, pleeg ik zelfmoord. Aangezien ik het best
wel plezant vind hier op aarde, probeer ik dat te voorkomen. Hoe groot is
het risico eigenlijk bij Rabo internetbankieren?
[1] De chip wordt gelezen door de Random Reader. De pincode zit in de chip
(want je krijgt een foutmelding als je in de Random Reader de foute pincode
intypt). Volgens de Rabo medewerker zit de pincode niet in de chip, maar ik
geloof dat niet. De chip valt eigenlijk niet te kraken, dus de pincode staat
daar veilig.
[2] Zit de pincode verstopt in de magneetstrip? Volgens mijn guru wel,
volgens de Rabo medewerker niet. Als het antwoord "ja" is, dan is dit een
groot lek. Met de juiste apparatuur relatief gemakkelijk en snel te
achterhalen.
[3] Het gevaar zit dus niet in het kopiëren van de pas. De crimineel heeft
dan de magneetstrip en kan daar de pincode uithalen (tenminste, als het
antwoord op vraag [2] "ja" is). Een alternatief is het afkijken van de
pincode. Maar hoe dan ook: niet relevant voor dit verhaal, want ik ben niet
geïnteresseerd in fraude met betaalrekeningen. Het gaat mij om de overige
rekeningen.

Voor zover ik weet staat er geen PIN informatie op de pas. Het principe is
als volgt. Op de magneetstrip staat een code. Deze code wordt naar de
centrale computer (Interpay) opgestuurd. De ingetoetste pincode wordt ook
naar de centrale computer gestuurd. Daar wordt via een algoritme bekeken
of de ingetoetste code bij de code op de pas hoort.

Nee, ook zo werkt het niet. Dan zou de pincode elke keer verstuurd
worden. Dat is niet veilig.
Het is eigenlijk veel simpeler. Dit zijn typische coderings
vraagstukken, waar relatief simpele, maar uiterst veilige technieken
voor zijn.

Op de pas staat NIET de pincode, nooit !!. Er staat een sleutel-getal
op de pas.
Deze sleutel wordt met de ingetoetste pincode gecombineerd, en de
controle berekening geeft dan enkel "pincode is juist" of "pincode is
onjuist" als resultaat.
Bij een sleutel past slechts één enkele pincode.
De berekening kan niet achterstevoren uitgevoerd worden, oftewel als
ik de sleutel weet, lukt het je niet om daar de bijbehorende pincode
uit te berekenen.

Alleen supercomputer power met heel lange rekentijd helpt, of anders
domweg alle mogelijke pincodes uitproberen. Maar dan moet je wel
precies weten hoe de rekentruuk in elkaar zit.

Het onthouden van het aantal fout pogingen zal op een vergelijkbare
manier zijn uitgevoerd, zodat dit aantal op de pas zelf bewaard wordt,
zonder dat dit zomaar uit te lezen is.

Zoek maar is op internet op "encryption" en dergelijke termen. De
basis van deze wiskundige truks zijn de priemgetallen. Daarom wordt
het ook altijd zo belangrijk gevonden hoe lang het duurt voor een
computer uitgerekend heeft of iets een priemgetal is.

Conclusie: op deze manier hoef je niet bang te zijn. Dat betekent niet
dat er geen andere 'gaten'in de beveiliging kunnen zitten.

M.Vr.Gr.
Johannes

Rene

2004-01-28 19:58:19 UTC

Post by Nomailplease
Als mijn betaalrekening geplunderd wordt, heb ik een rotdag. Als mijn
spaarrekeningen geplunderd worden, pleeg ik zelfmoord. Aangezien ik het best
wel plezant vind hier op aarde, probeer ik dat te voorkomen. Hoe groot is
het risico eigenlijk bij Rabo internetbankieren?
[1] De chip wordt gelezen door de Random Reader. De pincode zit in de chip
(want je krijgt een foutmelding als je in de Random Reader de foute pincode
intypt). Volgens de Rabo medewerker zit de pincode niet in de chip, maar ik
geloof dat niet. De chip valt eigenlijk niet te kraken, dus de pincode staat
daar veilig.
[2] Zit de pincode verstopt in de magneetstrip? Volgens mijn guru wel,
volgens de Rabo medewerker niet. Als het antwoord "ja" is, dan is dit een
groot lek. Met de juiste apparatuur relatief gemakkelijk en snel te
achterhalen.
[3] Het gevaar zit dus niet in het kopiëren van de pas. De crimineel heeft
dan de magneetstrip en kan daar de pincode uithalen (tenminste, als het
antwoord op vraag [2] "ja" is). Een alternatief is het afkijken van de
pincode. Maar hoe dan ook: niet relevant voor dit verhaal, want ik ben niet
geïnteresseerd in fraude met betaalrekeningen. Het gaat mij om de overige
rekeningen.
Ach, ik stop er nu maar mee. Het enige wat ik nog probeer te achterhalen is
of de pincode wel of niet opgeslagen is in de magneetstrip. Niet opgeslagen?
Dan vraag ik een tweede pasje aan en ga daarmee internetbankieren. Als het
pasje gestolen wordt, dan kan de dief in ieder geval niet de pincode
achterhalen (tenzij hij me ertoe dwingt).
Wel opgeslagen in de magneetstrip? Dan is het waarschijnlijk exit Rabo. Dan
mogen ze mijn betaalrekening blijven beheren en breng ik het overige
(spaarrekeningen, beleggingen) onder bij een concurrent.
Ik heb jarenlang gedachtenloos gebruik gemaakt van mijn Digipass, maar ik
begin het apparaatje nu pas te waarderen. Wat is ie mooi zwart, klein, wat
een guitig schermpje...

Hoewel je waarcshijnlijk toch niet te overtuigen bent: nee de pincode staat
niet in de strip en niet in de chip. (Waarom denk je anders dat dieven
zoveel moeite moeten doen om de pincode te achterhalen. Als deze in de strip
of chip zou staan zou er veel meer geld op deze wijze verdwijnen.) De
pincode geeft samen met een formule een uitkomst. Deze moet kloppen, anders
is de pincode fout. De pincode staat dus ook niet in de Randomreader, je kan
ook elke Randomreader gebruiken. Een andere bank kiezen heeft ook niet
zoveel zin omdat alle banken het zelfde systeem werken, afgezien van het
telebankierensysteem dan.
Bestel gewoon een apart pasje voor het telebankieren, heb ik ook gedaan
hoewel dat was omdat ik het niet handig vind dat ik steeds mijn europas moet
pakken als ik ga telebankieren.
Alles houdt een risico in. Als je via de post je opdrachten verstuurd kan
het ook onderschept worden waarna het tegenrekeningnummer wordt aangepast.
(Dit is in de praktrijk voortgekomen). Bij mij hebben ze in het verleden ook
wel eens de girocheques uit mijn bvrievenbus gehengelt. Dan loopt je
rekening snel leeg ;-(.

Rene , die nog steeds bij de grootste internetbank van Europa werkt ;-0

Nomailplease

2004-01-28 20:35:39 UTC

Post by Rene
Hoewel je waarcshijnlijk toch niet te overtuigen bent: nee de pincode staat
niet in de strip en niet in de chip.

Misschien begrijp je mijn insteek niet (net zoals sommige anderen). Het punt
is: ik _wil_ juist graag overtuigd worden, want dat betekent dat ik me
veiliger voel. Ik probeer slechts tot het gaatje te gaan en tegenwerpingen
te bedenken.

Ik denk er op dit moment als volgt over: de pincode staat niet op de
magneetstrip en dat is mooi, want dan zou de code te kraken zijn.

De pincode staat wel op de chip (maar die is veel moeilijker te kraken - ik
aarzel nog om te zeggen: niet te kraken). De Random Reader geeft een
foutmelding als je de verkeerde pincode intypt. Aangezien de Random Reader
volledig stand-alone is (heeft geen verbinding met de centrale computer) is
dat het bewijs dat de pincode in de chip opgeslagen is. Misschien niet _
letterlijk_ maar via een algoritme. En het is misschien moeilijk of niet
terug te berekenen, maar de pincode staat er gewoon op volgens mijn
denkwijze. Als ie er in versleutelde vorm op staat, dan staat ie er dus
gewoon op.

Colin Smale

2004-01-28 21:55:33 UTC

Post by Nomailplease

Post by Rene
Hoewel je waarcshijnlijk toch niet te overtuigen bent: nee de
pincode staat niet in de strip en niet in de chip.

Misschien begrijp je mijn insteek niet (net zoals sommige anderen).
Het punt is: ik _wil_ juist graag overtuigd worden, want dat betekent
dat ik me veiliger voel. Ik probeer slechts tot het gaatje te gaan en
tegenwerpingen te bedenken.
Ik denk er op dit moment als volgt over: de pincode staat niet op de
magneetstrip en dat is mooi, want dan zou de code te kraken zijn.
De pincode staat wel op de chip (maar die is veel moeilijker te
kraken - ik aarzel nog om te zeggen: niet te kraken). De Random
Reader geeft een foutmelding als je de verkeerde pincode intypt.
Aangezien de Random Reader volledig stand-alone is (heeft geen
verbinding met de centrale computer) is dat het bewijs dat de pincode
in de chip opgeslagen is. Misschien niet _ letterlijk_ maar via een
algoritme. En het is misschien moeilijk of niet terug te berekenen,
maar de pincode staat er gewoon op volgens mijn denkwijze. Als ie er
in versleutelde vorm op staat, dan staat ie er dus gewoon op.

De pincode staat niet op de chip, ook niet versleuteld, punt uit. Alleen de
uitkomst van een eenweg-berekening met de pincode. De chip moet je niet zien
als eenvoudig "geheugentje" - er zit ook logica op en een zeer primitief
bestandssysteem. Er is een heus communicatieprotocol om met die chips te
praten. De controle van de ingetoeste pincode vindt op de chip zelf plaats.
Als je hem drie keer achter elkaar een foutieve pincode ter controle
aanbiedt, dan blokkeert hij zichzelf. Deblokkeren kan alleen met een
beveiligde verbinding met veelvuldige sleuteluitwisseling met
hardwarekastjes in beveiligde ruimtes in beveiligde gebouwen van de banken.
Je kunt de inhoud van de chip niet uitlezen zonder toegang te krijgen tot de
gewenste "files" - dan heb je sleutels nodig. Die zijn wel tijdelijk
aanwezig in echte pinpads/chipknip collectors (ze worden gedownload van
Interpay), maar zo'n ding vernietigt zichzelf als je 'm openmaakt.Je hebt
geen "geheime" sleutel nodig om een pincontrole uit te voeren, maar wel om
de chip te deblokkeren, de pincode te wijzigen of een chipknip-transactie
uit te voeren. De berekening van de nieuwe pin-controleinformatie (PIN
block) wordt centraal gemaakt m.b.v. voornoemde hardwaremodules.

Dus, je hoeft absoluut niet bang te zijn dat de chip zijn geheimen
prijsgeeft, of je nou van mening bent dat de pincode op staat of niet.

Nomailplease

2004-01-29 13:53:40 UTC

Post by Colin Smale
De controle van de ingetoeste pincode vindt op de chip zelf plaats.
Als je hem drie keer achter elkaar een foutieve pincode ter controle
aanbiedt, dan blokkeert hij zichzelf.

Wat jij -denk ik- bedoeld is dat het maar één kant op werkt: de chip
berekent -op wat voor manier dan ook- of de pincode wel of niet klopt. Maar
je kunt niet terugrekenen van de chip naar de pincode.

De pincode staat in één of andere vorm op de chip. Hoe kan de Random Reader
anders het pasje blokkeren? De Random Reader "weet" dat je de verkeerde
pincode ingetypt hebt. Hoe kan de Random Reader dat dan weten? Er is maar
een mogelijkheid: de Random Reader voert een berekening uit met de pincode
en vergelijkt dat met de chip.

Maar goed, ik denk dat het een definitie kwestie aan het worden is. Het wil
er bij mij niet in dat de pincode niet op de chip staat. Ik ben daar niet
van te overtuigen. Ik heb een boek gevonden dat hierover gaat (dat boek is
aanwezig in de bib, maar ik heb de titel helaas niet bij de hand). Ik ga dat
boek eens lenen...

Colin Smale

2004-01-29 14:27:35 UTC

Post by Nomailplease

Post by Colin Smale
De controle van de ingetoeste pincode vindt op de chip zelf plaats.
Als je hem drie keer achter elkaar een foutieve pincode ter controle
aanbiedt, dan blokkeert hij zichzelf.

Wat jij -denk ik- bedoeld is dat het maar één kant op werkt: de chip
berekent -op wat voor manier dan ook- of de pincode wel of niet
klopt. Maar je kunt niet terugrekenen van de chip naar de pincode.
De pincode staat in één of andere vorm op de chip.

Nee, er staat een AFGELEIDE van op de chip.

Post by Nomailplease
Hoe kan de Random
Reader anders het pasje blokkeren?

Doet-ie niet.

Post by Nomailplease
De Random Reader "weet" dat je de
verkeerde pincode ingetypt hebt. Hoe kan de Random Reader dat dan
weten? Er is maar een mogelijkheid: de Random Reader voert een
berekening uit met de pincode en vergelijkt dat met de chip.

Doe die oogkleppen eens af: de CHIP doet de controle en meldt een
ja/nee/geblokkeerd terug aan de RR. De CHIP doet de blokkering zelf na 3
foutieve pogingen en laat zich vervolgens niet (zomaar) resetten. Anders zou
je met een (zwaar) aangepaste RR in een paar seconden alle 10000 mogelijke
pincodes kunnen uitproberen.

Post by Nomailplease
Maar goed, ik denk dat het een definitie kwestie aan het worden is.
Het wil er bij mij niet in dat de pincode niet op de chip staat. Ik
ben daar niet van te overtuigen.

Het is dat je het zelf zegt....je staat niet open voor een andere uitleg...

Post by Nomailplease
Ik heb een boek gevonden dat
hierover gaat (dat boek is aanwezig in de bib, maar ik heb de titel
helaas niet bij de hand). Ik ga dat boek eens lenen...

't Zal wel iets te maken hebben met ISO7816-4 en EMV.

Hoe dan ook, ik hoop dat je je zo langzamerhand realiseert dat de chip niet
na te maken en niet (zomaar) uit te lezen is. Frauduleuze chipkaarten (van
dit type) kunnen alleen bij de banken of hun toeleveranciers ontstaan.

Nomailplease

2004-01-29 20:35:47 UTC

Post by Nomailplease
De pincode staat in één of andere vorm op de chip.
Nee, er staat een AFGELEIDE van op de chip.

Stel, je hebt de originele pas te pakken. Dan blijven er twee vragen over:

1) Kun je die "afgeleide" te pakken krijgen?
2) Kun je met die afgeleide terugrekenen naar de pincode?

Eigenlijk wil ik op beide vragen één van de volgende antwoorden hebben: ja
of nee. Dus niet: het is heel onwaarschijnlijk, het is moeilijk, enz. Ja of
nee?

Post by Nomailplease
Doe die oogkleppen eens af: de CHIP doet de controle en meldt een
ja/nee/geblokkeerd terug aan de RR. De CHIP doet de blokkering zelf na 3
foutieve pogingen en laat zich vervolgens niet (zomaar) resetten.

Okee, dit snap ik. Heb je me misschien toch nog overtuigd op een onderdeel.

Han Willemsen

2004-01-30 13:31:14 UTC

Post by Nomailplease
Eigenlijk wil ik op beide vragen één van de volgende
antwoorden hebben: ja of nee. Dus niet: het is heel
onwaarschijnlijk, het is moeilijk, enz. Ja of nee?

En je verwacht ook nog een antwoord ??

]-[an.

--
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

SM de Jong

2004-01-30 14:26:07 UTC

wee je wat je ook kunt doen? al je geld opnemen, een paar grote sokken kopen
bij de Wibra en alles daarin bewaren. Is dat wel veilig soms???
Risico's zijn er altijd, ook als je de straat oversteekt en heeeeeeeel
misschien aangereden wordt door een automobilist...

Post by Han Willemsen

Post by Nomailplease
Eigenlijk wil ik op beide vragen één van de volgende
antwoorden hebben: ja of nee. Dus niet: het is heel
onwaarschijnlijk, het is moeilijk, enz. Ja of nee?

En je verwacht ook nog een antwoord ??
]-[an.
--
==================================================
= Utrecht - Netherlands =
==================================================

Nomailplease

2004-01-31 13:05:34 UTC

Post by Han Willemsen

Post by Nomailplease
Eigenlijk wil ik op beide vragen één van de volgende
antwoorden hebben: ja of nee. Dus niet: het is heel
onwaarschijnlijk, het is moeilijk, enz. Ja of nee?

En je verwacht ook nog een antwoord ??

Het volgende is nu aan het gebeuren: sommigen beginnen zich aan mij te
ergeren en ik begin me dan weer aan hen te ergeren. Omdat ik daar geen zin
in heb, stop ik er verder mee na vandaag.

Ik bedoel dat "ja of nee" zeker niet onbeleefd. Ik wil weten of de pincode
af te leiden is uit de gegevens op de chip. Het enige antwoord dat zinvol
is -waar je iets mee kunt- is: ja of nee. Stel dat iemand zegt: het is zeer
onwaarschijnlijk, het is moeilijk, het kan bijna niet. Wat heb ik daar aan?
Het is me allang duidelijk dat de chip wel veilig is.

Ik geef dit soort reacties niet om mijn gelijk te halen of anderen te
irriteren, maar omdat ik daadwerkelijk en precies wil weten hoe het zit. Wat
al een paar keer gebeurd is, is dat iemand een antwoord geeft (waar ik blij
mee ben), maar dat hij dan geïrriteerd raakt als ik bepaalde beweringen
onderuit probeer te halen. Alsof dat een persoonlijke aanval is. Tja, zo is
het niet bedoeld hoor.

Han Willemsen

2004-01-31 13:56:38 UTC

Post by Nomailplease
Ik bedoel dat "ja of nee" zeker niet onbeleefd.

Zo komt het anders wel over. Alsof ik het tegen een drammende
kleuter heb.

Post by Nomailplease
Ik wil weten of de pincode af te leiden is uit de gegevens op de
ja of nee.

Jammergenoeg zit de wereld niet zo eenvoudig in elkaar.

Post by Nomailplease
Stel dat iemand zegt: het is zeer onwaarschijnlijk, het is moeilijk,
het kan bijna niet. Wat heb ik daar aan?

Misschien krijg je dan meer inzicht in hoe de zaak werkt.

Het is bij veel versleutelingen vast wel mogelijk "terug te rekenen"
om de sleutel (in dit geval de pincode) te achterhalen. Het is alleen
de vraag hoeveel moeite je er in moet steken. Eerst duizenden pc's
jarenlang laten rekenen om vervolgens € 500,00 van jouw rekening
te kunnen plunderen is niet erg zinvol.

Kijk voor de grap ook eens even op de volgende url:

http://www.distributed.net/rc5/index.php.en

]-[an.

--
==================================================
= Han Willemsen - <***@xs4all.nl> =
= Utrecht - Netherlands =
==================================================

HwB

2004-01-29 20:40:46 UTC

Hey!

Ik zie deze discussie nu pas.
Ik WEET er niets van maar ik kan me goed voorstellen dat de code niet op de
pas staat, niet in de strip en niet in de chip. Het lijkt me eigenlijk heel
eenvoudig. Zie de pas (strip en chip) als een soort slot, dat de toegang tot
je rekening afsluit. Op dat slot pas één sleutel, de PIN-code. Net zo als
een sleutel alleen in het slot gaat om de deur te openen gebruik je de
PIN-code om via het slot op de pas je rekening te openen. Er zit een dranger
op de deur: die gaat na de transactie direct weer dicht en op slot. De
sleutel is geen onderdeel van het slot en de PIN-code zou dan ook niet op de
pas hoeven staan..
De vraag is nu: kun je als je het inwendige van het slot kent ook de sleutel
daaruit afleiden en namaken?
Nogmaals ik: ben absoluut geen deskundige, dus het kan ook allemaal anders
zijn. Gelukking heb ik mijn Digipas nog.

Overigens zijn onlangs mijn Europas en RaboCard vervangen (moest ze nog
gewoon bij de bank ophalen) en tot mijn verbazing heb ik gewoon mijn oude
PIN-code behouden, voor beiden dezelfde PIN-code, maar dat was ook al zo bij
mijn vorige passen. Volgens bovenstaande redenering kan de bank het slot dus
wel kopiëren. Volgens de baliemedewerkers kon dat geen kwaad: de bank kent
de code niet: die wordt door een ander (welliswaar goed beveiligd en
zeeeeeer betrouwbaar) bedrijf bewaard. Dus een derde kent op z'n minst het
slot op mijn passen. Maar als de PIN-code onverhoopt wel op de pas staat ken
dat bedrijf dus ook mijn PIN-code, niet alleen de bank en ik maar ook dat
andere bedrijf. Of ik daar nu zo gelukkig mee ben?

Een ander punt is dat je met de Digipas toegang hebt tot al je rekeningen,
waarvoor je Internet/Tele-bankieren hebt afgesproken (dus ook
spaarrekeningen en rekeningen van je (minderjareige?) kinderen). Dat is niet
erg want de beveiligingscodes op die pas is niet gerelateerd aan die
rekeningen of daaraan gekoppelde bankpassen of PIN-codes. Je kinderen moeten
de code van de Digipas kennen om bij jouw rekeningen te komen.
Iets anders is het met met de RandomReader, naar ik begrijp. Via de PIN-code
die toegang biedt tot de pas van één van je rekeningen krijg je daarmee dus
toegang tot al je rekeningen. Dus zijn die rekeningen niet meer alleen
beschermd door de rekening-eigen pas (en PIN-code) maar geven meerdere
passen (deuren) met bijbehorende PIN-codes (sleutels) toegang tot al je
rekeningen. Als jij met jouw pas + PIN toegang hebt tot de rekeningen van je
kinderen is dat dan omgekeerd ook het geval?
Of zie ik dit verkeerd?

l8r

Post by Nomailplease

Post by Colin Smale
De controle van de ingetoeste pincode vindt op de chip zelf plaats.
Als je hem drie keer achter elkaar een foutieve pincode ter controle
aanbiedt, dan blokkeert hij zichzelf.

Wat jij -denk ik- bedoeld is dat het maar één kant op werkt: de chip
berekent -op wat voor manier dan ook- of de pincode wel of niet klopt. Maar
je kunt niet terugrekenen van de chip naar de pincode.
De pincode staat in één of andere vorm op de chip. Hoe kan de Random Reader
anders het pasje blokkeren? De Random Reader "weet" dat je de verkeerde
pincode ingetypt hebt. Hoe kan de Random Reader dat dan weten? Er is maar
een mogelijkheid: de Random Reader voert een berekening uit met de pincode
en vergelijkt dat met de chip.
Maar goed, ik denk dat het een definitie kwestie aan het worden is. Het wil
er bij mij niet in dat de pincode niet op de chip staat. Ik ben daar niet
van te overtuigen. Ik heb een boek gevonden dat hierover gaat (dat boek is
aanwezig in de bib, maar ik heb de titel helaas niet bij de hand). Ik ga dat
boek eens lenen...

Nomailplease

2004-01-31 13:25:58 UTC

Post by HwB
De vraag is nu: kun je als je het inwendige van het slot kent ook de sleutel
daaruit afleiden en namaken?

Als je een deur pakt en het slot eruit sloopt, dan kun je een passende
sleutel maken. Je hebt dan wel de juiste apparatuur en vakkennis nodig.
Hetzelfde geldt voor de chip. Misschien is het nooit gelukt en is het bijna
niet te doen, maar theoretisch kan dit. Hieruit volgt dat de pincode op de
chip staat, net zoals de de sleutel in het slot zit en de vinger in de
vingerafdruk.

Ik vrees dat niemand in deze nieuwsgroep in staat is hier het definitieve
antwoord op te geven.

Post by HwB
Maar als de PIN-code onverhoopt wel op de pas staat ken
dat bedrijf dus ook mijn PIN-code, niet alleen de bank en ik maar ook dat
andere bedrijf. Of ik daar nu zo gelukkig mee ben?

Stel er werkt een handlanger bij dat bedrijf waarmee direct contact
opgenomen wordt als de pas gerold is?

Post by HwB
Iets anders is het met met de RandomReader, naar ik begrijp. Via de PIN-code
die toegang biedt tot de pas van één van je rekeningen krijg je daarmee dus
toegang tot al je rekeningen.

Inderdaad. Digipass: "slechts" je betaalrekening kan geroofd worden. Random
Reader: alle rekeningen kunnen geroofd worden. Misschien onwaarschijnlijk,
misschien ver gezocht, misschien bijna niet te doen, maar het KAN terwijl
het eerst niet kon.

Het is wat mij betreft dus niet zo fijn dat de rekeningen "beveiligd" zijn
met je pincode en pasje dat je dagelijks bij je draagt. De Rabo heeft
geadviseerd een tweede pas te gebruiken die je niet bij je draagt. Ik begin
me zo langzamerhand af te vragen wat toch de bedoeling is van die Random
Reader? Je hebt een goed apparaat en dat ga je vervangen door een apparaat
dat minder veilig is en minder gebruikersvriendelijk (pas bij de hand hebben
achter je pc, of 2e pas gaan gebruiken).

Maar goed, dit was mijn laatste bijdrage aan deze nieuwsgroep. In het begin
vond ik het leuk en leerzaam, maar langzamerhand begin ik blijkbaar mensen
te irriteren omdat ik me niet laat overtuigen. En omdat ik me daar weer aan
begin te irriteren (en ook aan reacties als: het leven is vol risico's,
waarom stop je je geld niet in een sok?) stop ik ermee. Ik merk dat ik zelf
ook reacties ga geven die niets bijdragen aan de discussie. Kortom, het gaat
zoals het zo vaak gaat in nieuwsgroepen.

Een andere reden is dat ik niet verwacht dat er nog zinvolle reacties komen.
Het meeste is wel gezegd geloof ik en om verder te komen zou een echte
deskundige nodig zijn.

Noo Noo

2004-01-30 07:36:06 UTC

Op donderdag 29 januari 2004 14:53:40 +0100, blundert "Nomailplease"

Post by Nomailplease
Wat jij -denk ik- bedoeld is dat het maar één kant op werkt: de chip

Hé sukkel, je bedoelt....^t!!!

Elke boerenlul begrijpt het volgende ezelsbruggetje meteen, nu speciaal voor jou
:-)))

De Nederlandse taal heeft een paar regeltjes die ZEER eenvoudig zijn. Als
je 1 keer de volgende krankzinnige regel leest dan vergeet je het de rest
van je leven niet meer!

Hij neukd, zij naaid, er zwemd, hij rukd, zij doed, het trekd, er waaid
wint, hij copuleerd, masturbeerd, corrigeerd, onaneerd, verzorgd, pijpd,
befd, regeld enz.

De betreffende taalregel luidt dus: HIJ, ZIJ, HET, WIE, JE, JIJ, ER enz.
doen het altijd met de T van Teefje. Daar is eigenlijk geen uitzondering
op!

Ben ®

2004-01-30 09:43:37 UTC

Post by Noo Noo
Hé sukkel, je bedoelt....^t!!!

Hebben ze jou ook weer losgelaten?

PLOINK

Groeten,
Ben ®

76 Antwoorden
261 Uitzichten
Permalink naar deze pagina
Verbeterde parsering uitschakelen

Boomnavigatie

Nomailplease 2004-01-21 18:45:44 UTC

Option 2004-01-21 19:28:47 UTC

Nomailplease 2004-01-24 16:46:20 UTC

Option 2004-01-24 17:36:09 UTC

Nomailplease 2004-01-24 18:04:38 UTC

Sangamon 2004-01-24 18:29:53 UTC

Nomailplease 2004-01-24 18:49:36 UTC

Sangamon 2004-01-24 19:11:25 UTC

Nomailplease 2004-01-24 19:32:02 UTC

Han Willemsen 2004-01-24 19:38:19 UTC

Nomailplease 2004-01-24 20:12:58 UTC

Dick Streefland 2004-01-25 12:23:30 UTC

Han Willemsen 2004-01-24 19:25:05 UTC

Nomailplease 2004-01-24 20:16:47 UTC

Han Willemsen 2004-01-24 20:24:19 UTC

W.Jansen 2004-01-25 22:17:19 UTC

Rene 2004-01-21 21:23:41 UTC

Nomailplease 2004-01-24 16:48:45 UTC

Ramble 2004-01-22 20:06:16 UTC

Foetsji 2004-01-22 21:01:14 UTC

Nomailplease 2004-01-24 17:24:53 UTC

Foetsji 2004-01-24 19:58:45 UTC

Nomailplease 2004-01-24 20:19:16 UTC

Option 2004-01-22 22:00:12 UTC

Ruud 2004-01-23 01:18:12 UTC

Wammes 2004-01-23 09:21:43 UTC

Ruud 2004-01-23 13:55:50 UTC

Nomailplease 2004-01-24 17:26:59 UTC

Nomailplease 2004-01-24 17:04:15 UTC

Nomailplease 2004-01-24 17:01:49 UTC

Nomailplease 2004-01-24 16:16:22 UTC

Sangamon 2004-01-24 16:52:37 UTC

Nomailplease 2004-01-24 17:32:45 UTC

Han Willemsen 2004-01-24 19:21:50 UTC

Nomailplease 2004-01-24 20:25:09 UTC

Han Willemsen 2004-01-24 20:34:25 UTC

Nomailplease 2004-01-24 21:17:46 UTC

Han Willemsen 2004-01-24 21:22:50 UTC

Nomailplease 2004-01-24 21:30:21 UTC

Sangamon 2004-01-24 22:19:12 UTC

Foetsji 2004-01-24 22:57:45 UTC

Han Willemsen 2004-01-24 19:20:27 UTC

Nomailplease 2004-01-24 20:26:34 UTC

Nomailplease 2004-01-24 17:21:37 UTC

Han Willemsen 2004-01-24 19:30:02 UTC

Foetsji 2004-01-24 20:10:26 UTC

Han Willemsen 2004-01-24 20:26:53 UTC

Nomailplease 2004-01-24 20:30:46 UTC

Han Willemsen 2004-01-24 20:49:47 UTC

Nomailplease 2004-01-24 21:19:02 UTC

Koos Pol 2004-01-25 16:54:29 UTC

Benno van den Brink <> 2004-02-09 21:03:39 UTC

Mario 2004-02-10 11:42:30 UTC

Mario 2004-02-10 11:47:55 UTC

Robbedoes 2004-01-24 20:58:09 UTC

Marcel 2004-01-25 09:37:22 UTC

SM de Jong 2004-01-25 10:54:05 UTC

Nomailplease 2004-01-25 13:03:49 UTC

SM de Jong 2004-01-25 15:20:39 UTC

Sangamon 2004-01-25 12:22:47 UTC

Nomailplease 2004-01-25 13:00:49 UTC

maxx 2004-01-25 14:50:09 UTC

Johannes 2004-01-25 20:22:00 UTC

Rene 2004-01-28 19:58:19 UTC

Nomailplease 2004-01-28 20:35:39 UTC

Colin Smale 2004-01-28 21:55:33 UTC

Nomailplease 2004-01-29 13:53:40 UTC

Colin Smale 2004-01-29 14:27:35 UTC

Nomailplease 2004-01-29 20:35:47 UTC

Han Willemsen 2004-01-30 13:31:14 UTC

SM de Jong 2004-01-30 14:26:07 UTC

Nomailplease 2004-01-31 13:05:34 UTC

Han Willemsen 2004-01-31 13:56:38 UTC

HwB 2004-01-29 20:40:46 UTC

Nomailplease 2004-01-31 13:25:58 UTC

Noo Noo 2004-01-30 07:36:06 UTC

Ben ® 2004-01-30 09:43:37 UTC

info - legalese

Loading...