Hehe eindelijk. Waarschijnlijk gaan een hoop mensen hier meteen janken dat het niet veilig is, bij deze alvast het verzoek om met concrete voorbeelden te komen ipv scenarios waarbij een rogue merchant meteen door de acquirer gepakt wordt.

De volgende stap is over naar mobiel volgend jaar!

Direct uitschakelen dat contactloos betalen. Het schijnt dat die passen alleen veilig zijn in aluminium folie om zo te voorkomen dat er misbruik kan worden gemaakt door duistere lieden!!!

Bijzonder dat de bank haar klanten dicteert terwijl de klant volgens mij koning behoort te zijn.

ik hou mijn hart vast ... dit gaat fout , zie het nu al aankomen , hopelijk kan je het uitschakelen .
Ik betaal alleen contant , zeker nu dit er aan komt en dat ga ik ook niet veranderen

Beetje vreemde opmerking dat er een hoop mensen gaan janken. Terwijl er al bewezen is dat "criminelen" er heel gemakkelijk misbruik van kunnen maken en vervolgens maximaal 50 euro kunnen roven. Bewijs jij dan maar eens aan de bank dat ze dit gedaan hebben. Voor mij geen!! contactloos betalen.

Erger nog is de keuze om telefoons die zijn uitgerust met het malware platform genaamd Android ook toe te staan. Privé wil je die rommel al niet gebruiken laat staan dat hiermee betaald mag gaan worden. RaboFail

Ik jank niet, en jouw veiligheid is gelukkig niet mijn probleem.

Waar veel mensen wel constant huilie huilie over doen:
- Bank-storingen (ING spant de kroon, maar de andere grote jongens kunnen er ook wat van)
- Netwerkstoringen (van ISP's /TelCo's)
- PIN-storingen (zelfde netwerk als NFC?)
- Tracking van smartphones (WiFi / Bluetooth)
- Lege smartphone-accu's (Heb je een lader? Betaal je eigen stroom!)
- OV-chipkaart (= identiek systeem)
- Etc.

Maar veel plezier met je NFC, niet achteraf gaan janken als het niet werkt zoals je verwacht had hé?
+ Zelf de eventuele schade betalen, niet gaan verhalen op de bank, mijn rekening is al duur genoeg!

Allereerst wil je ik even melden dat ik werk in de security wereld met dit soort kaarten. Ik krijg dus op het moment alles mee in hoe verre dergelijke systemen veilig zijn of niet.

Lees je eerst even goed in voordat je dit soort opmerkingen maakt. Allereerst is OV-chipkaart een COMPLEET ander systeem. Daarbij wordt gebruik gemaakt van mifare classic kaarten die al onveilig waren voordat de OV-chipkaart uitkwam, terwijl contactloos betalen op basis van EMV is, het enige waar ze overeen komen is dat ze allebei gebruik maken van de zelfde contactloze interface standaard (ISO 14443).

Daarbij wordt het saldo niet op de kaart geladen maar wordt de kaart alleen gebruikt als authenticatiemiddel om vervolgens een transactie te authoriseren. De private keys worden net als bij EMV betalingen opgeslagen in de chip die Common Criteria getest is en zo goed als 99% secure is (je kan hem inderdaad hacken als je een lazer hebt van een paar miljoen en zelfs dan is de kans nog geen 50% dat je de private keys eruit haalt).

Ze kunnen beter is eindelijk die magneetstrip van je pas afhalen. Dat is het meest onveilige gedeelte van de kaart op dit moment. Gelukkig zijn ze hard bezig met de laatste landen (USA) over te zetten naar EMV de komende jaren.

Wat betreft lege smartphone accu's dat heeft niets met contactloze passen te maken. En Wanneer er wel gebruikt wordt gemaakt van een telefoon dan kan er altijd nog met de huidige telefoongeneratie gebruikt worden gemaakt van de low power-mode waardoor je nog steeds betalingen tot 25 euro tot een dag nadat je telefoon leeg is kunt maken.

De overige punten geef ik je totaal gelijk in al zijn die niet heel anders dan wanneer je nu je telefoon of bankpas gebruikt voor andere doeleinden.. Dit is ook een beetje out of scope lijkt me.

Verder, voor iedereen die niet blij is met dit soort kaarten, als je een klein stukje in je kaart knipt (niet bij de chip) verbreek je spoel van de kaart en wordt hij op de contactloze interface onbruikbaar. Jij blij..

Zoals ik al zei... Kom heel duidelijk met voorbeelden. Die zijn er namelijk niet. Een paar theoretische papers waarin wordt gewerkt met een rogue merchant zoals ik al zei, maar dat is praktisch onhaalbaar.

Ik hoop dat de Rabobank (mijn bank) een mogelijkheid biedt contactloos betalen te disabelen. Ik heb er geen vertrouwen in. (zie: https://www.security.nl/posting/368691/Contactloze+betaling+vanaf+halve+meter+afstand+op+te+vangen). Meer risico op diefstal van je pas, dat is toch in 1 keer ƒ55,- (€25,-). Dit is naast de OV chipkaart, Nieuwe paspoort etc weer een verkeerde ontwikkeling.

Duidelijk, bedankt voor je reactie, correctie en pragmatisch advies, weer wat bijgeleerd! (Of eigenlijk, her-geleerd.)

Ik reageerde meer op het "janken" dan op de inhoud van je post; ik hoor namelijk alleen mensen janken over de falende techniek de laatste jaren.

Nogmaals, veel plezier ermee, ik ben al blij met cash in m'n handjes ;)

Ik hoef geen duidelijke voorbeelden. Ik wil gewoon geen NFC opgedrongen krijgen. Rabo mag het aan me vragen, of moet me in ieder geval de mogelijkheid bieden om het uit te zetten.
Ik neem even aan dat je dezelfde "anoniem" bent die meldt dat hij werkzaam is in deze industrie. Dan preek je voor eigen parochie en zijn al je argumenten al op voorhand invalid. Ook betalen via een mobiel (zowel een app als NFC) gaat 'm wat mij betreft niet worden. Gemak staat meestal haaks op security, zie je ook in andere toepassingsgebieden. Ik heb geen moeite om geld uit te geven, maar alleen aan de personen of op momenten waar ik bewust voor kies.

Kreeg mail van mijn bank dat contactloos betalen mogelijk was en dat die optie standaard aan stond,maar uit te schakelen was in internetbankieren indien gewenst. Heb het inmiddels uitgeschakeld. Heb een andere bank dan de drie grootste maar ik neem aan dat alle banken die optie zullen bieden.

Volgens mij wordt hier veel te zwart/wit gedacht. Persoonlijk zie ik het gebruik van de pincode als het grootste risico. Zeker als je het in een drukke omgeving moet gebruiken. b.v. bij een rij achter een kassa of parkeer automaat. Als men de code weet af te kijken ben je een interessant doelwit om ook de kaart te bemachtigen.

Dan heb ik liever iets van van de chipknip (is straks overleden) of de NFC. Zoals aangegeven kan dat maximaal € 25.- opleveren bij criminelen, maar dan moeten ze het systeem wel kraken* en een katvanger weten te vinden die een account bij de bank weet te krijgen. Bij een maximaal rendement van een paar maal € 25.- is het inschakelen van een katvanger ook niet meer lucratief.

Het veiligste is om standaard gewoon geen bankpasje mee te nemen en het alleen sporadisch mee te nemen als je een keer moet pinnen.

*: Ik wil ook eerst zien dat het systeem in de praktijk gekraakt kan worden op een manier dat gebruikers schade oplopen. Tot nu toe heb ik alleen studies gezien die een deel van het proces kraken. Voor het echte kraken moet je ook nog laten zien dat je bij de bank een gekoppelde rekening kunt krijgen waar het geld naar toe overgemaakt wordt.

Uitschakelen gaat heel simpel. Doe het nieuwe pasje een minuutje in de magnetron, en die NFC-chip is opgeblazen.

Het is niet zo zeer falende techniek, maar eerder ongewenste techniek.

en hoe zit het dan met het "offline" signeren van een transactie en die later online versturen? Dat is wat er nog mis kan gaan. Zo kan iemand skimmen door een leze langs je broek te halen en later de transactie versturen.

of de pre-play attack zoals bescreven in:
Cloning Credit Cards: A combined pre-play and downgrade attack on EMV Contactless
Michael Roland, Josef Langer
NFC Research Lab Hagenberg University of Applied Sciences Upper Austria {michael.roland, josef.langer}@fh-hagenberg.at

en dan heb je nog deze flaw die het mogelijk maakt om buitenlandse currency op te nemen zonder limiet:
Harvesting High Value Foreign Currency Transactions from EMV Contactless Credit Cards without the PIN Martin Emms, Budi Arief, Leo Freitas, Joseph Hannon, Aad van Moorsel
School of Computing Science, Newcastle University
Newcastle upon Tyne NE1 7RU, United Kingdom
{martin.emms, budi.arief, leo.freitas, joseph.hannon, aad.vanmoorsel}@ncl.ac.uk
http://homepages.cs.ncl.ac.uk/budi.arief/home.formal/Papers/CCS2014.pdf

Ok, het gaat hier om Credit Cards… maar ook deze gebruiken het EMV protocol. Dus of deze in nederland wel zo veilig zijn is nog maar de vraag. Toch wel een paar dingen om voorzichtig mee te zijn.

Veilig is het niet, stel dat ik met een betaalautomaat (die je kan huren voor 12,50 per dag) door de Kalverstraat ga lopen, en 5 euro van iedereen afschrijf. Zeg dat het bij 20 mensen lukt (van de 2000) dan heb ik 100 euro verdiend in 10 minuten.
Niemand die de moeite gaat nemen om die 5 euro terug te halen bij de bank. Je moet namelijk zelf kunnen aantonen dat er onrechtmatig geld van je rekening is afgeschreven. En mocht er eens iemand bij de bank gaan klagen, dan duurt het wel even voordat ze bij jou (of een katvanger) uitkomen, en dan is al het geld allang verdwenen. Tevens is een paspoort/ identiteitskaart met een android app zo uit te lezen. Genoeg info om bijvoorbeeld een abonnement af te sluiten. Ik ben zelf al een tijdje aan het testen met het uitlezen van NFC, en geloof het of niet maar op 5 cm afstand kan ik je ING pas lezen die in je portemonnee zit, tussen 5 andere passen.
Mijn mening is dat als er al jaren mensen bezig zijn met het installeren van skim readers in de pinautomaten, en de pincodes afkijken, het een kleine stap is om contactloos te gaan skimmen

Dat je nog in guldens rekent, zegt ook wel genoeg...

Mooi! Ik had gisteren ook een mail van mijn bank ABN AMRO dat ik contactloos betalen kon aanvragen. Gelijk formulier ingevuld en aangevraagd. Nu wachten op mijn nieuwe pas! Goede ontwikkeling! Gemak dient de mens!

Joh, trek jij je aluminiumjas weer aan en vergeet je hoedje ook niet recht te zetten.

Het is niet veilig. Portemonnee gejat, ben je per pas met die chip 25 piek armer. Dat was nou net de lol van alleen maar pinpassen hebben, dat je behalve je pasje zelf, verder geen geld kwijt was.