Om fraude via internetbankieren te bestrijden gebruiken verschillende Britse banken paslezers om hun klanten te authenticeren, het gebruikte protocol is niet alleen door onderzoekers gekraakt, paslezers vormen ook een directe bedreiging voor consumenten. Het Chip Authentication Programme (CAP) is door verschillende banken in Europa geïntroduceerd en bestaat uit een lezer die middels een betaalpas een code genereert voor het inloggen en uitvoeren van transacties. Het CAP protocol is echter geheim, reden genoeg voor onderzoekers om de Engelse variant ervan te reverse engineeren. Die ontdekten dat CAP is geoptimaliseerd om de kosten voor de bank en de hoeveelheid typewerk voor de klant te verminderen.

Daarnaast vonden ze vanwege ontwerpfouten talloze beveiligingsproblemen, zoals het hergebruik van authenticatie tokens en het genereren van response codes die niet "vers" zijn. Het grootste probleem was de buitensporige optimalisatie. "De inmiddels overleden Roger Needham zei eens dat optimalisatie het proces is om iets te nemen dat werkt en te vervangen door iets dat bijna werkt, maar goedkoper is. De geschiedenis van cryptografische protocollen, zowel in onderzoek als in het veld, kennen talloze voorbeelden van protocol optimalisatie waar het mis ging, omdat ontwerpers iets achterwege hadden gelaten dat onbelangrijk leek, maar wiens afwezigheid catastrofaal bleek."

Het is niet alleen het "geheime" protocol, ook de implementatie ervan door de banken laat te wensen over. CAP werkt in drie modes, identify, respond en sign. De NatWest bank gebruikt alleen de respond mode voor het overmaken van geld, terwijl Barclays een sign response vereist. Een ander probleem met de gegenereerde codes is hun "versheid". De beveiliging voorkomt het hergebruik van een code, maar kan niet weten wanneer de code gegenereerd is. Criminelen kunnen daardoor een slachtoffer een respons laten generen om die op een later moment te gebruiken.

Overvallers
De onderzoekers beschrijven in hun rapport (presentatie) verschillende scenario's hoe problemen met pinnen en paslezers de consument in gevaar kunnen brengen, bijvoorbeeld via social engineering, de zwakheden van het protocol, infiltratie door criminelen in de fabrieken die de paslezers maken, "tussenpersoon aanvallen" en software implementaties, die tot meer bankfraude lijden. Het grootste probleem dat paslezers veroorzaken is dat het criminelen een manier geeft om te controleren of een opgegeven pincode wel correct is. Vorig jaar juli werden twee Franse studenten in Engeland door criminelen om hun pincode dood gemarteld. Een jaar eerder overkwam een 62-jarige beveiligingsbeambte hetzelfde lot.

Aansprakelijkheid
In Groot-Brittannië zijn banken niet aansprakelijk voor fraude met internetbankieren. "Door het invoeren van een nieuw beveiligingssysteem, zelfs met problemen, hebben de banken de bescherming van klanten verder verzwakt." De onderzoekers roepen toezichthouders op om de beveiligingsmodellen van de banken niet te geloven. "Toezichthouders hadden banken niet gelijktijdig moeten toestaan om de aansprakelijkheid bij hun klanten neer te legen en de security engineering te optimaliseren."