Betalen zonder moeite

Komende week introduceren drie Nederlandse banken iets nieuws: betalen met je mobieltje. Hou je telefoon in de buurt van een betaalapparaat, en het verschuldigde bedrag wordt automatisch van je rekening afgeboekt. Je mobieltje hoeft niet eens aan te staan: de techniek werkt ook in de uit-stand.

De banken roemen de nieuwe technologie als ‘handig en snel’. Kassahandelingen worden vlotter afgehandeld: je hoeft geen pincode in te toetsen, en de kassa hoeft niet te wachten op een bevestiging van de bank dat je code klopt. De consument hoeft geen pinkaart meer bij zich te steken: zijn mobieltje wordt een wettig betaalmiddel.

De nieuwe techniek – die eerst in Leiden wordt geïntroduceerd, de rest van Nederland volgt later – heet NFC: Near Field Communication. Het komt erop neer dat we binnenkort overal met onze mobieltjes kunnen chipknippen. Per dag kun je tot een maximum van 50 euro contactloos pinnen; boven die limiet moet je alsnog een code intoetsen om de transactie te bevestigen.

Is dat nu echt handig? Het akelige is juist dat contactloos betaalverkeer buitengewoon ondoorgrondelijk is.

Wie garandeert ons dat zo’n contactloze kassa niet meer gegevens uitleest dan alleen het rekeningnummer? Mobiele telefoons dragen een schat aan informatie in zich: van FaceBook-contacten en belgegevens tot adresboeken, e-mails en bezochte websites. De gemiddelde supermarktketen zou een moord doen om daar de hand op te kunnen leggen. Wanneer ik mijn pasje in een pinautomaat stop, weet ik tenminste zeker dat daar alleen opstaat wat mijn rekeningnummer is, en verder niks.

Dat je transacties niet meer expliciet hoeft te bevestigen, heeft voor de klant vooral nadelen. Hoe voorkom je bijvoorbeeld dubbelbetalingen? Zo heeft mijn OV-chip op ondoorgrondelijke wijze reizen afgeschreven waarvoor ik keurig een papieren kaartje had gekocht, en waarbij ik mijn OV-chip bij het passeren van de poortjes angstvallig verborgen hield. Niks mee te maken, vond de OV-chip: die oordeelde zelfstandig dat-ie zich dicht genoeg bij een kaartlezer bevond om mij alsnog in te checken. (Een onhebbelijkheid die het ding overigens vooral vertoont bij het inchecken; vergeet je uit te checken, dan speelt diezelfde afstand hem – en mij – ineens wél parten.)

NFC is daarnaast akelig makkelijk te hacken. Zelfs op een paar meter afstand blijkt de communicatie tussen kassa en mobieltje ongemerkt te kunnen worden onderschept. Dat betekent dat slimme kwaadwillenden elke dag opnieuw vrolijk 50 euro van je rekening kunnen afschrijven.

Waarom zou je zo’n techniek in hemelsnaam introduceren – nota bene in het betaalverkeer – lang voordat er afdoende beveiliging voor is verzonnen?

Daarbij: straatroof neemt toe. Het Parool meldde dit weekend dat het daarbij in 45% van de gevallen gaat om het jatten van smart phones. Wil je dan heus een techniek introduceren die een premie van 50 euro per dag zet op het stelen van mobieltjes?
 

Update, 28 augustus:
Daags na publicatie van mijn column ontving ik een mailje van “mobiel betalen in Leiden’. De PR-mevrouw schreef: “In het Parool las ik je column over Mobiel betalen. Uiteraard staat het je vrij om daar kritisch over te schrijven. Echter, ik las ook enkele onjuistheden of onterechte veronderstellingen in je bericht. Daarom zou ik je graag willen uitnodigen voor onze persintroductie morgen in Leiden (zie informatie onder), zodat je enerzijds de goede informatie ontvangt en anderzijds zelf kunt ervaren hoe mobiel betalen werkt.”

Fijn dat ik van ‘Mobiel betalen’ kritisch over hun product mag schrijven, wat een opluchting is dat! Maar wel vreemd dat ze me vertellen dat er onjuistheden in mijn stukje staan, zonder erbij te te vertellen welke dan: wil ik weten wat ik mis heb, dan moet ik naar Leiden afreizen. Raar vak toch, PR.

Update, 30 augustus 2013:
Plotseling is de limiet voor contactloos betalen zonder code blijkens de website van ‘Mobiel betalen in Leiden’ verlaagd tot 25 euro; tot en met dinsdag was die limiet nog 50 euro.

Author: Spaink

beheerder / moderator

24 thoughts on “Betalen zonder moeite”

  1. Loop ik langs de buurtsuper; wordt ineens de winkelkar van iemand anders van mijn telefoon afgetrokken.
    Alweer ‘n goeie reden om nooit zo’n ding aan te schaffen.

  2. @JPaul: daar hoef je niet bang voor te zijn, je zult eerst op de een of andere manier een koppeling moeten maken tussen jouw bankrekening en de NFC code die in jouw telefoon opgeslagen is, want meer is het niet – een (hopenlijk uniek) nummer dat uitgelezen wordt. Als je dat niet doet kan er ook niks afgeschreven worden, hoe moet de kassa dan weten wat jouw bankrekening is?

    Overigens voorzie ik dat dit net zo hard gaat floppen als de chipknip. Het biedt geen meerwaarde boven contant geld en pinnen. tenzij men het op sommige plekken als enige betaalmiddel weet op te dringen, zoals men met de chipknip geprobeerd heeft, denk ik zelfs dat het nog veel harder gaat floppen.

  3. Waar de banken volgens de Volkskrant bang voor zijn is dat straks een andere partij de standaard bepaalt en daarmee de gatekeeper wordt. In de VS bijvoorbeeld zijn het de telefoonmaatschappijen die dit jaar contactloos betalen introduceren.

    Ik kan me daar wel iets bij voorstellen, alleen snap ik niet waarom ze dan op een markt met slechts 16 miljoen mensen beginnen.

  4. Branko @ 4: Ik hoorde eerderdeze week uit goede bron dat het voornaamste motief van de banken is dat transacties zo 2 seconden sneller gaan. Achterliggend doel: minder cassières….

  5. Zowel je pinpas (via de chip) als nfc werken met public key encryption en signing.

    De kassa leest absoluut geen rekeningnummer uit van je pinpas.

    De chip in je pinpas gebruikt de public key van de bank om een versleutelde betaalopdracht naar de bank te sturen. Alleen de bank kan die decrypten. De betaalopdracht wordt ondertekend met je persoonlijke geheime sleutel die op de chip staat en versleuteld is met je pincode. De geheime sleutel verlaat nooit je chip.

    Met andere woorden: er wordt een veilig betaalkanaal opgezet tussen chip en bank. Niets in het traject er tussen kan iets met onderschepte informatie.

    Bij NFC werkt dat op vergelijkbare wijze, alleen dan contactloos. Maar contactloos is niet erg: de beveiliging zit hem in de encryptie en niet in de verbinding.
    Je hebt altijd je telefoon nodig voor een betaalopdracht.

    Bij diefstal van een telefoon is het een kwestie van het revoken van de key die op je NFC chip ingebakken zit. De dief kan dan niet meer contactloos geld van je jatten.

    Kortom, het werkt allemaal toch net even iets geraffineerder dan je dacht.

  6. Ik heb alweer gegeten en gedronken, zeg ik dan.
    Ik weiger ten ene male om aan iets mee te doen wat ik niet kan overzien en niet doorzien. Geen code invoeren lijkt mij de veiligste actie.
    : )

  7. Erik @ 5: NFC is niet heel goed beveiligd, bv tegen een man-in-the-middle attack. Dat er een key om mijn telefoon zit, heeft daar niks mee te maken.

    En je bevestigt dat er een premie op het jatten van de telefoon komt te staan…

  8. Haast is de grootste plaag van deze tijd. Waaróm moet alles sneller en gemakkelijker? Die twee, in combinatie met ‘gratis’ moet een mens altijd wantrouwen. Dank voor dit artikel.

  9. De secret key in je telefoon zit daar en blijft daar. Man in the middle is daarmee effectief uitgesloten.

    En ja, misschien dat je mobieltje wat jatgevoeliger wordt. Ongeveer hetzelfde effect als bij de invoering van de chipknip denk ik.

  10. Spaink @7

    “NFC is niet heel goed beveiligd, bv tegen een man-in-the-middle ”

    Uit jouw verhaal:

    “NFC is daarnaast akelig makkelijk te hacken” ->
    https://en.wikipedia.org/wiki/Near_field_communication#Security_aspects (artikel bij note 46)

    De conclusie van dit verhaal is juist dat het relatief eenvoudig is om een “secure channel” op te bouwen over NFC vanwege:

    “As already outlined in section 3.5 it is practically impossible to do a Man-in-the-Middle-Attack on an NFC link.”

    De conclusie van het artikel is dan ook:

    5 Conclusion
    We presented typical use cases for NFC interfaces. A list of threats has been derived
    and addressed. NFC by itself cannot provide protection against eavesdropping or data
    modifications. The only solution to achieve this is the establishment of a secure channel
    over NFC. This can be done very easily, because the NFC link is not susceptible to the
    Man-in-the-Middle attack. Therefore, well known and easy to apply key agreement
    techniques without authentication can be used to provide a standard secure channel.
    This resistance against Man-in-the-Middle attacks makes NFC an ideal method for se-
    cure pairing of devices. Additionally, we introduced an NFC specific key agreement
    mechanism, which provides cheap and fast secure key agreement.

  11. Ik betaal zowiezo bijna alles contant. Toen die 2 kinderen ontvoerd en vermoord waren door hun vader eerder dit jaar kreeg je een idee hoe ze je met pinbetalingen kunnen volgen: de vader was slim genoeg om daarna alles contant te betalen maar ze wisten al z’n oude gewoonten op te duiken en openbaar te maken.

  12. De presentatie van de Smart Card Alliance bevat een aantal interessante punten over hoe het zou moeten werken:

    http://www.smartcardalliance.org/pages/publications-mobile-nfc-standards-landscape

    Het lijkt me bijzonder risicovol om contactloos te betalen. Zonder pin in te geven is er dus geen enkele handeling van de rekeninghouder nodig om geld af te schrijven.

    Verder is malware op mobile telefoons nu in opkomst en ik denk dat er voldoende interesse is om malware te ontwikkelen die op je betaalmiddel draait en daar iets mee probeert te doen.

    Dat alle banken nu roepen dat het absoluut veilig is zou ik met een grote korrel zout nemen, omdat ze hetzelfde verhaal ophielden over de magneetstrips die niet na te maken waren.

  13. Ik woon in Leiden, en doe automatisch mee met de pilot. Maar daarbij gaat het niet om betalen met je mobiel, maar via de bankpas.
    De bezwaren tegen de onveiligheid van de chip blijven bestaan, maar die over het extra aantrekkelijk maken van smartphones kloppen dus niet.

  14. Dan moet je dus perse die telefoon gebruiken om te betalen. Dat zal goed werken zeg – doet me denken aan die actie van de Postbank destijds met die Siemens telefoon om te internetbankieren. Nederlanders zijn er als de kippen bj om een gratis telefoon op te halen, maar als ze geen zin hebben hem te gebruiken om te betalen dan doen ze het niet en 2 jaar later is die telefoon weer zo verouderd dat de meesten hem in een la leggen of doorverkopen.

  15. Voor bedragen boven 25 euro moet je alsnog je pincode invoeren. En als alle bedragen op één dag samen de 50 euro overschrijden moet je ook alsnog je pincode invoeren. Tenslotte kun je zelf instellen dat je nooit zonder pincode wilt betalen.

  16. Het verlies van maximaal 50 euro als je contactloze pinpas of mobieltje wordt misbruikt, is natuurlijk heel vervelend. Maar zonder pinpas of telefoon zou ik al gauw 50 euro of meer contant geld op zak hebben. Die kunnen ook verloren raken of gestolen worden. En bij een contante betaling kan de winkelier mij bewust of per ongeluk te weinig wisselgeld teruggeven. Toen ik vroeger op reis ging, nam ik honderden guldens contant geld mee. Doodeng eigenlijk. Nu kan ik over de hele wereld met mijn pinpas of credit card betalen en plaatselijke valuta opnemen. Ik vind toch echt een enorme vooruitgang.

  17. Laten we om te beginnen eens ophouden met de huidige EMV chip (die nu op je bankpas zit) als heilig te beschouwen. Die is veilig, maar er zijn al bekende problemen mee, veroorzaakt door slechte implementaties. Zie bijvoorbeeld http://www.cl.cam.ac.uk/~sjm217/papers/ches12preplay.pdf

    Een belangrijk aspect blijft de uiteindelijk implementatie, en de praktijk wijst uit dat die lang niet altijd zorgvuldig is. Zolang dat een factor is blijft het een betalingsmiddel met bepaalde risico’s.

  18. Alles samengevat zijn er dus geen concrete voordelen voor de gebruiker. Het is niet beter, het is niet sneller.

    Het maakt de keten wél onveiliger.
    Daarnaast maakt de keten het uitstekend mogelijk het fysieke spoor van de gebruiker te volgen, o.a. door het koppelen van verschillende logs.

    Meest pregnante recente voorbeelden zijn uiteraard het opvragen van parkeergegevens en de lekke AH-bonuskaart.

    U roept misschien ‘Ik heb niets te verbergen!’
    Prima, mag ik dan even uw PIN-code en wilt u dit weekend de slaapkamergordijnen even open laten?

Leave a Reply

Your email address will not be published. Required fields are marked *

Hou me per e-mail op de hoogte van nieuwe reacties op dit artikel.
      (U kunt zich hier abonneren zonder zelf te hoeven reageren.)

This site uses Akismet to reduce spam. Learn how your comment data is processed.