Ik heb een pasjeshouder die bescherming bied tegen radio signalen. Maar ik zal de tip meenemen in mijn alu-hoedjes handleiding, bedankt. :)

Bankpas is eigendom van de bank.

Juridisch vast niet in de haak het pasje te "modificeren".

het inbrekers verhaal is erg ver gezocht.

verder geen commentaar en mee eens :-)

Het nadeel van deze oplossing is dat je je pas onbruikbaar kunt maken als er apparatuur is die "double checked".
En je weet niet of die apparatuur er is.

Ik heb ook wel overwogen om de magneetstrip van de pas te demagnetiseren omdat dit alleen maar een risico vormt,
immers volgens de banken werkt alles in Europa inmiddels met de chip. Door de magneetstrip eraf te halen voorkom
je dat je geskimd wordt bij een automaat met opzetstukje.

Maar wat nou als een geldautomaat toch de strip blijkt te lezen (om deze te vergelijken met de chip ofzo)?
De geldautomaat heeft natuurljk nog een striplezer, al was het maar voor gast klanten, dus wieweet doet ie dat.
Dan is mijn kaart onbruikbaar en wordt wellicht ingeslikt. En de bank verstrekt deze informatie niet als ik er naar vraag.

Hetzelfde zou je kunnen gebeuren met je draadloze downgrade. Het kan zomaar zijn dat "voor betere beveiliging" een
geldautomaat ook de draadloze methode gebruikt, en dan heb je een probleem.

Bedankt voor de tip, slopen is beter dan voorkomen.

Waarom niet gewoon contactloos betalen uitzetten bij mijn ING?

Je kan hem ook gewoon uitschakelen op je banksite hoor. Al die gaatjes is helemaal niet nodig.

Gelul natuurlijk dat beschermhoesjes een "hoop extra gedoe" zijn. Ik heb sinds een paar maanden naar volledige tevredenheid een hoesje van Secrid in gebruik. Het enige minnetje is mischien de prijs.

Prima, maar topicstarter gaf aan:
Topicstarter kent dus wel degelijk de mogelijkheid van een afschermhoesje, maar vind dat geen optimale oplossing.

Ik kan me de mening dat afschermhoesjes 'gedoe' zijn best voorstellen.
Ikzelf zou echter niet graag de RFID capaciteit van een bank- of ander pasje onbruikbaar maken. Dit om de reden dat ik me kan voorstellen dat ik die mogelijkheid op een gegeven moment nodig kan hebben. Eerder kwam ik al gevallen tegen waar ik enkel met chipknip kon betalen, jaren geleden, voor gebruik van een kopieerapparaat, en ik meen dat hetzelfde gold voor parkeermeters in sommige steden. Loop ik op een gegeven moment tegen iets vergelijkbaars aan waar per se contactloos betaald moet worden, en dat zou een noodzakelijkheid voor me betreffen, dan zou ik het verdraaid lastig vinden wanneer ik de RFID capaciteit van m'n pasje onbruikbaar gemaakt zou hebben.

Om die reden kies ik zelf voor het gebruik van een RFID afschermend hoesje.
Ik gebruik een RFID afschermend hoesje waarin meerdere RFID pasjes gaan, wat als bijkomend voordeel heeft dat bij een poging contact te maken de RFID van de verschillende pasjes mogelijk interfereert. Eerder was dat in het nieuws met het ING pasje en de OV-chipkaart, en zelf heb ik het ervaren met de OV-chipkaart en het oude OV-fiets pasje.
Door die combinatie van een RFID afschermend hoesje met een stapeltje elkaar potentieel storende RFID pasjes ben ik er redelijk gerust op dat de boel afdoende afgeschermd is.
En het ongemak van het gebruik van een RFID afschermend hoesje vind ik zelf minimaal.

Maar goed, een ander kan dat uiteraard allemaal anders zien, en daarom toch liever gaatjes knippen, zoals topicstarter.

Waarom zo moeilijk doen, doorboor gewoon de RFID chip ;)

grappig ik had dit ook al gedaan.
Wel een tip ik had eerst gewoon een hoekje van mijn pas afgeknipt om de antenne te onderbreken, maar pinautomaten vinden dit niet goed en slikken dan je pas in.

Was een erg leuk gesprek toen ik weer een nieuw aan vroeg. :
+Weet u ook waarom de pas is ingeslikt.
-Ja ik had er een hoek af geknipt
+Waarom knipt u er een hoek af.
-Om de rfid antenne te onderbreken.
+Wat is een rfid antenne?
-De antenne voor het contactloos betalen.
+Maar dat kunt u ook gewoon uit zetten op de website hoor.
-Ja dat weet ik maar dan werkt de chip nog steeds hoor.
+Nee hoor meneer dan doet ie het echt niet meer.
-Wilt u nu beweren dat de rfid chip geen stroom meer krijgt als ik het op de website uit zet aangezien dit uit het signaal word opgewekt.
+Eehm dat weet ik.
-Ok kan ik ook een pas krijgen zonder contactloos betalen.
+Nee maar waarom wilt u dat het is echt veilig.
-Laat maar zitten mag ik een nieuwe pas.

Waarom vind jij dat? Heb je ook enige basis om dat te zeggen anders dan je eigen onmogelijkheid of onwil te bedenken dat het best zou kunnen?

Weet je, een van de eerste dingen die ik hoorde over de mogelijkheden van NFC-passen was over iemand die met z'n portemonnee in de hand op de balie leunde, wachtende op zijn beurt, en perongeluk betaalde voor een andere klant. Dat was puur toevallig perongeluk en niemand had het door totdat de andere klant wilde betalen en de dame achter de kassa zei dat er al betaald was. Per NFC-pas.

Kun je zeggen, incident. Maar ik zeg, als dat betalen met zo'n kaart zo makkelijk is, dan is dat systeem [x] ongeschikt voor het netjes op mijn geld passen: Ik geef het uit zonder het door te hebben. Daarmee bewijst mijn bank mij geen dienst, integendeel.

Kun je roepen dat moedwillig misbruik van zo'n supergemakkelijk geldweggeefsysteem vergezocht zou zijn (hoe heb jij dat uitgedacht? ik zie het tegendeel, sterker, die ruimte tot misbruik is een bijeffect van de manier waarop het bedacht en in de markt gezet is!) maar ik zeg dan, dat is moedwillig de discussie proberen te ontsporen met non-argumenten.

Maar als je argumenten hebt dan horen we ze graag, daar niet van.

Beetje paranoïde aan het worden? Mijn bankrekeningnummer geef ik graag maar dan om er geld op te storten.

Sla dan ook gelijk maar je smartphone aan diggelen want de door jou beschreven methode wordt al jaren gebruikt met het MAC adres van je toestel, dat uniek is voor elke telefoon en te pas en te onpas wordt uitgezonden op zoek naar WiFi spots en andere toestellen in de buurt. In winkels wordt het dan weer gescand, waar het dan in een database wordt opgeslagen en gedeeld met andere winkels of filialen. Zo volgen ze het winkelend publiek door de winkel centra. Daar is heel veel informatie uit te halen, zoals koppelen aan de kassa, je loop route door de winkel -waar ga je het eerst naartoe- om bv. de winkel inrichting aan te passen om impuls aankopen te stimuleren enz. enz.

Nou nou wat zijn we veilig bezig met de bankpassen. Wist je trouwens dat het bereik van de RFID voor contactloos betalen maar 10 tot 15 cm is? Je moet je dan wel haast tegen zo'n antidiefstal poortje aandrukken. ;)

Weet je, ik denk dat we daar met z'n allen een grens moeten trekken. Alleen betalen met chipknip, pinpas, ander ingewikkeld apparaat? Wat is er mis met wat muntjes? Daat zit niet mijn naam aan vast.

Dan is het beter om stennis te schoppen, hulp te vragen, een klachtbrief te schrijven, desnoods een boete aan te vechten met "ik had graag willen betalen maar het apparaat lustte geen muntjes en geeft ook al geen bonnetje meer".

Want dit soort constructies zijn overduidelijk de schuld van de handige systeemmodelontwerper die jou zo even in een hoekje geduwd heeft. Zou nog best kunnen dat rechters je toch veroordelen met (effectief) "dan had je maar een bankrekening met pinpas en nfcchip moeten hebben, meneer" (hoe is dat redelijk, rechterT?), maar dat is kennelijk wat wij als volk met z'n allen willen: We willen hier onze neus stoten, door niet op tijd dit soort systemen terug te fluiten.

Dat hebben we bijvoorbeeld bij de ov-chipkaart gezien: Het is een rot systeem dat altijd eerst de klant de schuld geeft en er extra geld voor aftrekt en het daarnaa expres zo moeilijk mogelijk maakt kromme zaken recht te zetten zodat hun rekening met onterecht afgeschreven maar niet teruggevraagde gelden (en dus ook niet uit zichzelf teruggegeven, gemak dient het grootbedrijf en niet de reiziger) ondertussen met tientallen miljoenen euros gespekt geworden is, en het loopt vrolijk door.

Doen we er wat aan? Nee. Raken we het systeem kwijt? Ook al niet. Mogen we nog zonder? Ha ha ha ha, wat denkt u zelf, stomme reiziger? We zijn in een hoekje gezet, herstel, we hebben ons in een hoekje laten zetten, waar we moeten opzitten en pootjes geven en het kost ons alleen maar meer moeite en meer geld. Wat is nou helemaal de meerwaarde voor de reiziger?

Tel bijvoorbeeld eens alle handelingen die je moet uitvoeren in vergelijking met een strippenkaart. Welk systeem kost de minste handelingen? Waar liggen de verliesrisicos? Welk systeem is flexibeler? Wie wint?

Zo ook "alles pinnen" en "alleen nfc" en zo verder. De verbeteringen zijn niet beter. Maar als je het op z'n beloop laat dwingen de invoerders jou langzaamaan om je in steeds meer bochten te wringen. Leuk als je lenig bent, maar als je dat niet bent, ach, dan ben je onhip en ben je af. Willen wij een "slegs vir hipsters"-samenleving zijn?

Je komt alleen maar van de dwingelandij af door vaak en veel stennis te schoppen en op contant betalen te staan. En dat met z'n allen. Richt dus nog vandaag nog jouw lokale afdeling van de "wij betalen alleen contant"-club op.

Dat heb ik gedaan, echter bij een nieuwe pas, een nieuw jaar of een instelling niet gerelateerd staat ie default weer aan.

ik heb mijn bankpasje nog nooit hoeven terug te geven als ik een nieuwe krijg.
vaak staat er in de brief de oude te vernietigen.
en wat boeit het de bank dat er een gaatje in zit.
als je mijn bankpas nu ziet, is compleet versleten. zitten scheuren in.
De bank gaat echt niet letten of er een gaatje in zit.

Iedereen die serieus met beveiliging bezig is kan het zich niet veroorloven om niet een zekere mate van paranoia te cultiveren. En dat is tegenwoordig iedereen die iets met ICT van doen heeft, zelfs al is het alleen maar als eindgebruiker.

Jouw vraag hier vertelt mij dat je compleet [x] ongeschikt bent voor deze dappere nieuwe wereld.

Dat wil niet zeggen dat dat ook is wat de ontvanger van al die mooie nummertjes er mee gaat doen. Denk "eenmalige incasso", die met enige regelmaat toch niet zo eenmalig blijken te zijn (bekend voorbeeld: powned), of gewoon door heel iemand anders dan jezelf opgezet (incidentje met Jeremy Clarkson zijn bankrekening).

Het is precies dat verschil tussen wat je ermee bedoelt en verwacht te kunnen en wat je er werkelijk mee kan, in combinatie met dat dit allemaal achter je rug (in dit geval draadloos, tenzij onhandig hoesje) en dus zonder jouw directe medeweten uitgevoerd kan worden.

Kun je uitzetten en er zit geen kiepbak voor jouw geld aan vast. Je hebt hier nog enige keuze, inclusief het thuislaten van je telefoon.

Bij bijvoorbeeld je identiteitskaart heb je dat effectief niet meer. Zit wel zo'n chip in, hetzelfde protocol, dezelfde frequentie, ook uniek uitleesbaar voor de willekeurige meekijker. In het openbaar vervoer moet je ook altijd zo'n chipje bij je hebben.

Moet minstens tot twintig centimeter werken volgens de standaard, daar is het protocol op gebouwd. Wat niet wil zeggen dat het bij 21cm ophoudt. Met een beetje oppeppen --meer vermogen, betere antennes-- is dat zelfs ook wel tot twee meter op te rekken. Die poortjes staan aan twee kanten en hebben daarmee een haalbaar bereik van zeg drie tot vier meter.

Daarnaast vergeet je dat dit ongericht dataharken betreft, als in sleepnetjes, als in het maakt niet uit welke vis ze vangen als'ie maar goed vet is. Als er wel eens vissen door de mazen glippen zal de visser worst wezen zolang'ie maar genoeg vangt. Niet dat jij wat hebt aan dat idee als jij toevallig wel gevangen wordt.

Maar het punt is eigenlijk net even anders: Er worden hier willens en wetens lekke, onveilige systemen aan het publiek opgedrongen en het beveiligingsargument is "het zal wel loslopen". Hier vraagtekens bij zetten heet "paranoïde"? Hallo?

Hebben we dan helemaal niets geleerd van, ik noem eens een dwarsstraat, het internet? Willen we niet leren? Zeg het maar.

Veel mensen zien maar 1 belang, hun eigen belang. Maar er zijn ook andere belangen.
Zo is er het probleem dat een automaat waar muntjes in zitten een kandidaat is om opengebroken te worden door een
junk of ander straattuig, wat een hoop schade oplevert. Electronisch betalen lost dat op.
Daarom is het ingevoerd, niet om jou te tracken. Dat dat nu ook kan is mooi meegenomen (vindt vooral de belastingdienst)
maar dat was niet het doel.

Anoniem 13:03,
Je hebt uiteraard helemaal gelijk.
Ik doe dan ook zo veel mogelijk precies dat wat jij daar beschrijft.
Echter, mijn ervaring is dat niet alles te winnen is door de kont tegen de krib te gooien.
Ik vind het nodig om dat te doen, zonder terugvechten heb je bij voorbaat al verloren, maar je wint er niet altijd mee.
Betreffend betalen - ik betaal zoveel mogelijk contant waar dat handig en doenlijk is, ik betaal enkel met pin waar ik dat zelf handiger vind, en ik zal niet door middel van "contactloos betalen" betalen wanneer ik dat ook maar enigszins kan voorkomen. (En ha, internetbankieren, of zelfs bankieren en zelfs betalen via smartphone, dat doe ik niet, want ik heb het volstrekt nergens voor nodig, en ik hoop dat beslist zo lang mogelijk vol te kunnen houden.)
Echter, omdat ik niet uit kan sluiten op een gegeven moment lelijk klem te komen te zitten wanneer ik in een onoverkomelijk geval niet kan betalen door middel van "contactloos betalen", zal ik die optie niet onmogelijk maken door bijvoorbeeld een gaatje in m'n pasje te knippen. Daarom, afschermen in plaats van onbruikbaar maken. Maar dat neemt natuurlijk niet weg dat ik dat systeem nooit zal gebruiken zolang ik dat kan voorkomen. Ze kunnen de kippensnot krijgen.

Het probleem is hier dat banken nu hun klanten gaan opleggen een techniek te gebruiken die onveiliger is en een privacy probleem introduceert. Nu kun je nog gratis deze pas inruilen, maar dat kan straks niet meer. Ter vergelijking, WiFi tracking kun je kiezen door WiFi en BT uit te schakelen of geen smartphone te gebruiken. Bij de bankpas heb je straks geen keuze meer. En dan maar prutsen met hoesjes...? Omdat de bank dit probleem niet wil oplossen legt deze het maar bij de klant neer.

Een pas zit dus niet altijd in een beschermhoes, anders kun je hem niet gebruiken. En het bereik van de communicatie heeft niets te maken met de pas maar alles met de sterkte en gevoeligheid van de lezer. Als de chip in de pas afhankelijk is van de rfid antenne kan zal de pas in veel buitenlandse apparaten niet werken en bij een kleine beschadiging aan de rand ook niet meer. Dat maakt deze pas dus onbetrouwbaarder.

Gewoon even testen met een rfid pas die bijna verlopen is? Misschien kun je bij een kantoor van de bank vragen voor een gaatje in je nieuwe pas, dan doe je zelf niets verkeerd. Of natuurlijk vragen of de bank zijn beleid wil aanpassen. Of maar doen wat de bank wil dat je doet; dat zijn meestal de kudde-dieren onder ons.

Het mag dan wel een 'onschuldige' pas zijn maar dit gaat om een princiepe: een pas die zonder verificatie geld van je rekening kan halen moet je kunnen weigeren, nu en in de toekomst. Geeft de bank je die mogelijkheid niet, dan is er niets mis mee om binnen het kader van de wet zelf een oplossing te verzinnen.

Zelf ook bij de bank geweest, hebben geen verstand van zaken.
NFC/RFID snappen ze niets van, de balietypjes.Herkenbaar verhaal, zelfs de manager wist het niet of deed net alsof.is toch hun core-business geld afhandig maken dus kritische consumenten moeten niet zeuren.

En die tracking is inderdaad gevaarlijk, mensen zijn daar veels te veel onwetend/naief in.
Complimenten voor de topicstarter.

Rfid/nfc is minimaal op tientallen meters uit te lezen/manupileren.Kost niets meer tegenwoordig.
En de banken zullen over een paar maanden zeggen dat ze het niet wisten/niet zagen aankomen/niet vergoeden om dan weer met een rotsmoes komen.

Waarschijnlijk heb je wel meer RFID pasjes die netzoveel/evenmin traceerbaar zijn, die je wel wilt kunnen gebruiken.
Bijv. een OV chipkaart. Oplossing:


http://www.secrid.nl/

Ik heb er niet om gevraagd. Ik kom nu voor mijn belang op. En dan zeg jij, ja maar die anderen hebben ook belang hoor. Daar zou ik meer sympathie voor hebben gehad als ze begonnen waren ook mijn belang mee te nemen in hun leuke speeltjes, in plaats van daar pas aan te denken als het tijd word om hun "oplossingen" mij door de strot te duwen, onderwijl de standaard platitudes van "voor uw en onze veiligheid" mummelend. Voor mijn veiligheid is het niet, dus is die zin maar halfwaar. Wil je echt dat onze relatie alleen nog maar op halve waarheden berust? Is dat waarom ik toch vooral aan jouw belang moet denken terwijl jij zo overduidelijk het mijne vergeet? Nou? Zeg het maar.

Dat zal vast. Maar de kosten worden in een privacyprobleem en een gebruiksrisico omgezet en naar de klant afgeschoven. "Wie is er hier nou de ondernemer?", denk ik dan. Het is risicoafschuiven naar een partij die verder machteloos staat want niet in staat dat risico anders te verpakken want volledig afhankelijk van de "dienst"verlener, en daarmee is de hele exercitie oneigenlijk en dus onverdedigbaar.

Toch raar dat er dan niet meer gedaan dan sussen en verzekeren dat het allemaal zeker weten superduper heel erg veilig is en ga toch vooral rustig slapen domme klant. Ook als je met concrete tegenwerpingen komt. Kennelijk is het de inzet om het arme baliepersoneel met de mond vol tanden te laten staan zodat de klant plaatsvervangend beschaamd van alle tenenkrommerij afdruipt.

Heel toevallig wordt er dan ook werkelijk absoluut helemaal geen moeite gedaan om een electronisch betaalmidde te verzinnen wat equivalent is aan contant. Terwijl dat best kan.

Elders heet zoiets ook wel "grove nalatigheid". Raar dat het in dit veld gewoon kan.

Tja, waarom makkelijk als het ook moeilijk kan ? ;)


Of gewoon uitzetten..... ?


Lol. Je kunt contactloos betalen gewoon aan of uitzetten. Dus of je een nieuwe pas hebt ? Totaal niet boeiend.


Wat zouden ze volgens jou moeten aanpassen (behalve wellicht contactloos betalen default uit- i.p.v. aanzetten) ?

Default uit zou ook mijn voorkeur hebben. Maar wanneer je een nieuwe pas krijgt, kan je dat in 5 seconden doen in je internetbankieren, voordat je ooit met die pas je huis verlaat. Wat dat betreft is het feit dat contactloos betalen wellicht default weer aan staat op zijn hoogst een ongemak (als de veronderstelling al klopt).

Ik vind het zeer triest dat er nog steeds mensen zijn die zeggen: "als je niks te verbergen hebt...." en "ze maken het je toch alleen maar makkelijker".
Tegen die mensen wil ik dit graag kwijt:
U beseft helaas niet dat Nederland geen democratie is, een monarchie is per definitie al geen democratie en Nederland is een dictatuur die
zeer kundig is verpakt in een democratisch jasje.
Die zogenaamde fijne familie van oranje die heeft dat al honderden jaren kunstig op weten te houden.
Politiek is een farce die familie regeerd met ijzeren vuist en ja voor het geval u het niet wist,ook in Nederland worden mensen in naam der kroon vermoord of verdwijnen spoorloos hoor.
Heeft u voor de grap wel eens gegoogled met hoeveel van de meest smerige dictators van deze planeet bea staat handjes te schudden?
Nederland is een 1 partij staat, uw stemkeuze is op leugenaars die rattus lakeius" heten. zonder uitzondering alle 2e kamer leden zijn chantabel door hen.
De reden waarom dit soort controle mogelijkheden langzaam maar zeker worden uitgebreid is er maar 1: ze zijn doodsbang dat het gepeupel intelligent genoeg word om ze te doorzien!
post dit maar eens security.nl?

Leuke tip!

Heb je het ook zelf uitgevoerd?
Hoe weten we zeker dat de bankautomaat inderdaad een geperforeerde pas lust? De theorie klinkt aannemelijk.
Maar tussen theorie en het in de praktijk uitvoeren, daar wil nog wel eens een onhebbelijk (teleurstellende) grote frictie zitten.

Daarom, graag wat illustraties waar mogelijk daarvan op het web svp.
Anders is het wel een hele vrijblijvende tip met een relatief hoog risico voor de uitvoerders van je tip en zou het eventueel verworden tot een ongewilde hoax.
Denk voor het uploaden aan het verwijderen van de foto/pas meta/data.

Aan de experimenteer lustigen; probeer deze tip eerst maar eens uit op een dummy-pas en niet direct op je bankpas om te zien wat het materiaal nou eigenlijk doet.
Eerst een paar keer oefenen dus!

Gaatjes maken zou overigens ook nog subtieler moeten kunnen, die spoortjes zijn namelijk minder dan een millimeter dik, of is het niet erg als je ze alle drie pakt?
Dun boortje, dun spijkertje, gloeiend naaldje, spitskort meskeepje?
Wat doen we met de braampjes of reliëf? Platdrukken, schuren, veilen?

Pas op voor je vingers, haren en ogen bij alternatieve gaatjes methodes!
Anders heb je waarschijnlijk een primeur als een van de eerste fysieke privacy slachtoffers bij de eerste hulppost (waar je dan wel gelijk weer kan vragen wat zij van het nut van het EPD vinden en een goed boompje over het bewaren van privacy kan opzetten met het overig verplegend personeel).

Kom maar op met foto's/filmpjes van succes story's.
Als dat uploaden van aangepaste passen een hit wordt is het mogelijk wel een overweging voor banken weer normale passen te gaan aanbieden.

Xclude lijkt, voor zover ik mij door veel achterdocht en onzin heb geworsteld de enige met een normaal gezond verstand ten aanzien van dit onderwerp.

Vandaag bij AWNB RFID hoesjes besteld voor mijn idkaart en rijbewijs en het leuke van deze hoesjes dat het meteen ook sjablonen zijn die gegevens afdekken als weer iemand een kopie nodig heeft van die passen.

Er wordt hier gesproken alsof nu iedere bank dit soort bankpassen opdringt.
Maar is er dan geen alternatieve bank die NIET van plan is om zulke bankpassen in te voeren?

Zo rationaliseer je jezelf naar een vooringenomen conclusie toe. Maar hee, als jij je er maar goed bij voelt. Dat veiligheidsgevoel is heel belangrijk tegenwoordig, expliciet belangrijker dan werkelijke veiligheid. Dus je bent goed bezig, en nog in goed gezelschap ook. Mastercard, en Minister Opstelten, bijvoorbeeld, kunnen het met je vinden.

Wat hier opvallend is, is dat de topic starter met een tip komt voor mensen die contactloos betalen permanent willen deactiveren en hier een aantal mensen dit zeer fel en aan de hand van niet zo goed gefundeerde argumenten aan het veroordelen is.

Als je dit geen goed idee vindt, dan is er niemand die je verplicht een gat te knippen in je pas. Dan zet je het via internetbankieren uit; je pas blijft dan echter nog steeds het banknummer rondstrooien omdat deze setting alleen het accepteren door een betaalautomaat blokkeert. Je kan nog steeds als een soort van product gevolgd worden, tenzij je een hoesje gebruikt bijvoorbeeld. In de praktijk blijkt echter dat je pas wel helemaal in het hoesje geschoven moet zijn om te werken. Als de pas 0,5 cm uitsteekt kan deze al uitgelezen worden. Kun je zelf testen.

Wie vroeger opgelet heeft op school weet dat het niet uit maakt hoeveel baantjes onderbroken moeten worden; de pas en betaalautomaat zijn samen simpelweg een transformator zonder kern. Hoe minder banen cq windingen van de luchtspoel, hoe kleiner het gat in de pas logischerwijs. Kwestie van zelf uitproberen, met een oude bankpas of een andere onbelangrijke RFID pas is er toch weinig te verliezen?

Om naar iemand die een handige tip geeft direct paranoïde te roepen, getuigt van conservatief en kort door de bocht denken; voor mensen die veel met beveiliging bezig zijn is het een soort van sport om iets dusdanig veilig te krijgen dat zelfs de meest doorgewinterde schurken hier hun tanden stuk op bijten; dat is de ultieme uitdaging en vereist nu eenmaal denken in doemscenario om alle risico's te zien en dus af te dekken. Deze zorgvuldige denkwijze zorgt er uiteindelijk voor dat de massa technologie daadwerkelijk veiliger kan gebruiken, in plaats van met schijnveiligheid.

En ja, geen kleingeld meer voorkomt inderdaad opengebroken parkeermeters, maar lost een probleem niet op, het verplaatst een probleem.

Daar heb je wel gelijk in. Maar tegelijkertijd is het wel belangrijk signalen terug te geven. Nu wordt zoiets in de markt gegooid en dan gekeken of het aanslaat. Soms niet --chipper, chipknip, vrij voorspelbaar overigens-- en soms kabbelt het door tot ze er eens flink de propagandamotor op zetten --pinnen-- en daarna de tijd rijp achten er maar gewoon vanuit te gaan dat "iedereen" wel mee zal doen, of gewoon botweg de boel verplichten --ov-chipkaart, hoe zat het ookalweer met die "95%" belofte? Maar eigenlijk is dat allemaal eenrichtingsverkeer. En dat mag best anders.

Dat vereist wel dat "de markt" nuttige afwegingen kan maken op inhoud inclusief "failure modes", en dat vereist weer een marktequivalent van die "better educated voter", waar je dus volksstammen nodig hebt die niet blind op marketeering (campagnebeloftes) afgaan maar een duidelijk idee hebben van waar het werkelijk over gaat.

Aangezien de leveranciers het categorisch vertikken om hier open en eerlijk over te zijn zullen we het zelf moeten doen. Door bijvoorbeeld onze familie en vrienden in te lichten, en wel zo dat ze niet denken "wat een zeurkous". Nog best een opgave.

Lijkt me een prima moment om dan legitiem met je handen in het haar te kunnen staan en te roepen dat je geen draadloze pas hebt en dus moet de opzichter toch maar muntjes aannemen. Soms moeten er dingen gewoon kapot. En waarom zou jij rekening houden met eventualiteiten veroorzaakt door mensen die evident geen rekening met jou wensen te houden?

Overigens, mischien leuk om de bank om een bankpas zonder nfc te vragen en subtiel te laten doorschemeren dat een losse nfc-kaart wellicht acceptabel zou zijn, mits werkelijk anoniem en waarbij saldi net zo makkelijk van contant naar de kaart als andersom te converteren zijn.

De onus om te bewijzen dat de kaart werkelijk anoniem is rust natuurlijk nog steeds bij de uitgever, en tls-type beloftes zijn al waardeloos gebleken, ze moeten dus met iets beters komen om nog geloofwaardig te zijn.

Bij ABN-AMRO heb je de keuze, je kan je betaalpas omruilen tegen een pas zonder RFID.

Ehhhm... ik wil niet teveel zeggen, maar a.u.b. nog beter opletten op school hoor.

Zo is het. Het risico van de opengebroken parkeermeter is nu verschoven naar jouw opengebroken bankpasportemonnee
en jouw opengebroken privacy. Steek voor de meester maar je (middel)vinger op als je dit ook graag (niet) wilt...

Naar welke bank moet ik om niet zo'n type bankpas opgedrongen te krijgen? Tegenwoordig draait het toch allemaal om marktwerking? Dus weglopen bij banken met zulke suffe sukkelbankpassen, en massaal overstappen!

Helemaal mee eens.

Ha!, dat heeft niets met vroeger te maken.
Na het lezen van de tekst en vele reacties ben ik passen en paspoort gaan bekijken op baantjes (die passen kregen het goed warm van die halogeen, smelly!). Bij het zien van de parallele drie baantjes heb ik kennelijk op enig moment de associatie gehad dat het om drie circuits ging, exacte tekst was na zoveel leesvoer wat weggezakt, waarop ik mij eigenlijk afvroeg hoe je kon bepalen welke van de drie je moest hebben en waarbij ik dacht dat je met een gemiddelde tang er eigenlijk altijd wel twee banen zou pakken.
Vergissinkje mijnerzijds, zo ben ik dan ook wel weer, dat bij een cricuit het doorknippen van 1 baan voldoende is is mij helder, dat van school 'weet ik niet meer', dat is te lang geleden.

Ik vermoed dat weinigen onbelangrijke RFID passen hebben slingeren, dus passen die je niet meer gebruikt of van geen waarde zijn.
Daar is/lijkt de techniek in toepassing te nieuw voor, te duur (statiegeld), of te tijdrovend (nieuwe pas aanvragen en dagen tot een week niet kunnen pinnen!)..
Er is dus wel wat te verliezen!

Daarom is het zeker wel van extra waarde als ook is aangetoond dat het werkt en dat de tip niet alleen 'boekjes/internetwijsheid' is maar ook beproefd is in de praktijk, bijvoorbeeld door topic starter zelf.
Dat miste ik nog wel.
In zijn algemeenheid verwacht ik bijvoorbeeld dat ook van mensen die bijvoorbeeld met shell command tips komen, heb je het zelf uitgeprobeerd?! Werkt het ook echt? Krijg je er geen extra gedonder van?

Samengevat,
ik vergiste me met de baantjes (TS uitleg iets weggezakt, verleid door het analoge beeld iets anders te denken).
Luchtig doen (wat TS niet doet maar jij wel) over een verklooide bankpas vind ik niet zo verantwoordelijk en niet op haar plaats.
Ik sta daarom nog steeds achter het feit dat het wenselijk is dat als iemand iets dergelijks ingrijpends tipt dat ook illustreert met een afbeelding als 'bewijs' van daadwerkelijk in de praktijk gebracht, zodat je als lezer meer dan een beetje een idee hebt waar je aan begint.
Best belangrijk.

Dus :

- Weet iemand al of het werkt en of bankautomaten passen met gaatjes slikken en toch uitkeren?
Wie heeft daarvan een 'plaatje bij het gaatje?'

- 'Weet iemand of je het dunne koordje ook moet losmaken bij het pinnen?
Want die pas om mijn nek hanger lijkt een extra bijzonder nuttige uitkomst met die perforatie!
Handig hoor, nooit meer zoeken naar je bankpas! '
;)

Meer dan mensen zelf doorhebben. Doe iets waardoor je met een "enkelgebruiks"-treinkaartje achterblijft, bv. een treinreis die je toch wel maakt en dan die hatelijke euro extra uitgeven, of je maakt handig gebruik van zo'n goedkope dagkaart ofzo. Er zijn ook wel artikelen waar tegenwoordig zo'n rfid-sticker in het blister zit, of zelfs ingenaaid in een kledingstuk, bijvoorbeeld een jas. Even goed opletten want je hebt 'm zo gemist. Of als je een ondertussen verlopen abonnementskaart van (alweer) de ns, die zijn al een paar jaar van zo'n chip voorzien en verlopen ieder jaar. Een beetje rondkijken of -vragen in je omgeving en je hebt er zo een paar gevonden. Gelijk een mooi excuus een praatje aan te knopen over die chipjes en de privacygevolgen.

Echt prima wanneer iemand dit wel wil doen hoor. Vergeet niet de overige zaken ook aan te pakken waarmee je gevolgd kan worden zoals telefoon, e-readers etc.

Gewoon weer kontant betalen dus?

Dat is het punt, nietwaar? Het moet echt allemaal stuk voor stuk worden aangepakt, en dan is het maar wat gemakkelijk om bij ieder ding naar alle andere te wijzen en te roepen dat die er ook nog zijn. Ja, dat weten we.

Daar alle "betere" alternatieven welbeschouwd en stuk voor stuk ondermaats blijken, inderdaad.

@ idereen die zegt "gewoon kiezen voor contactloos betalen uitschakelen bij ING": Ik ben zelf geen expert op het gebied van RFID, maar is het niet zo dat zo lang het pasje een werkend circuit bevat valt het signaal op te pikken is? Volgens mij is het enige dat je bereikt door het uit te schakelen bij ING dat als je er mee probeert te betalen, er een melding van de bank tergkomt bij de betaalterminal dat dat met deze pas niet mag. Het is een maatregel tegen het risico dat als je pas wordt gestolen de dief er contactloos mee gaat betalen (voor een bedrag tot aan welke limiet daar dan ook voor is ingesteld), maar geen maatregel tegen het RFID signaal van de pas.

Ik vind dat contactloos betalen juist een veilige optie. Te vaak staat een PIN automaat laag opgesteld waardoor een pincode relatief eenvoudig is mee te kijken.
Uiteraard kun je dat afschermen maar voldoende mensen die dat niet doen of net een keer vergeten.
En aangezien maar weinig mensen hun pincode regelmatig veranderen (veel banken ondersteunen het niet eens eenvoudig) lijkt me dat een veel groter risico.
Een pas met pincode geeft vaak toegang tot een veel groter saldo dan met een sterk gelimiteerd contactloze transactie.

Ik heb een handige portemonnee van Secrid, met een afgeschermde, aluminium pashouder met een snel releasemechanisme. Lekker stevig, dus geen last van slijtende en lekkende bescherming.

De pas zal inderdaad een RFID signaal blijven uitzenden, mits in de buurt van een terminal (anders krijgt de RFID chip geen stroom). Maar het bereik van het signaal is erg klein en een speciaal hoesje schermt het (vrijwel) geheel af.

De fysica zegt van wel. Je zou eens kunnen testen of die vinkjes op die gebruikersvriendelijke websites ook invloed hebben op de natuurwetten. Wieweet kunnen bankiers zulke functies voor hun website ook gewoon inkopen tegenwoordig.


Dus dan is maar helemaal geen PIN in hoeven voeren en draadloos de pas benaderen een beter idee?

Leg eens uit hoe je dat gedacht had?

Dus idem dito met vergeten draadloze passen af te schermen. Of werkt "vergeten" daar ineens anders?

De "veiligheid" van een pincode zit 'm dan ook niet in de uniciteit van de nummertjes. Je zou namelijk best een variabele, zelf te kiezen, pincode van 3 tot 9 cijfers kunnen toestaan. Drie cijfers is zwak maar er zijn mensen voor wie vier al te moeilijk is*, maar alleen de mogelijkheid tot meer cijfers al creert extra "raadruimte". Dat dit er niet is ingebouwd is een duidelijke hint dat het niet om de kraaksterkte ging.

Het is veel meer dat je naast het in een gleuf steken van een pas je een tweede, en hopelijk ook bewuste, handeling moet uitvoeren. Met een draadloze pas kun je het aantal bewuste handelingen van je slachtoffer tot nul reduceren.

Ik ben met je eens dat pinnen een ondergewaardeerd risico is en dat om nog wel meer redenen dan die jij geeft. Maar of zelfs niet eens meer een pas in een gleuf hoeven steken en ook geeneens een code hoeven invoeren dan dus veiliger zal zijn lijkt me een wat dubieuze conclusie. Want het houdt een duidelijke verlaging van de drempel in. Zeker omdat draadloos ook dwars door portemonnee en kleding heen kan, je hoeft het dus helemaal niet eens door te hebben. Ik zie dan ook niet helemaal hoe dat in z'n geheel geneutraliseerd wordt door een lagere limiet per transactie.

Merk op: Je krijgt er meer en volautomatisch uit te voeren transacties door. Je zou hier (dubieus maar niet illegaal) gebruik van kunnen maken door, ik noem een dwarsstraat, poortjes bij iedere keer langslopen een euro "toegang" of "bijdrage" of "donatie" te laten rekenen. Gewoon volautomatisch. Doe dat bij een landelijke keten en je hebt er weer een leuk geldmachientje bij. Wie gaat dat aanvechten?


* Je kan je afvragen of je zulke mensen aan de pinpas wil. Maar als je daar oordelen over wil vellen wil ik eigenlijk eerst wel even een liefst objectieve redenering van je zien waarom de grens bij vier en niet bij vijf, zes, of zeven cijfertjes moet liggen.

Dit houd niet tegen dat de pas nog steeds uit te lezen is over de ISO 14443 interface. Het zorgt alleen dat een betaling niet meer wordt geauthoriseerd door de back-end van de bank. Alle persoonsgegevens zijn met de juiste APDUs nog steeds uit te lezen. Let er wel even op dat er vaak wel anticollision optreed omdat mensen meerdere passen in hun portemonnee hebben zitten. Om deze reden werkt een OV-chipkaart ook vaak niet vanuit je portemonnee.

Wat betreft skimming, dat heeft helemaal geen zin. Het enige wat je zou kunnen doen is met moeite een relay attack uitvoeren. Contactloos betalen is net zo veilig als een normale contact EMV betaling. Ze kunnen eindelijk die magneetstrip er eens afhalen. Gelukkig duurt dat niet lang meer nu ze in de VS hard bezig zijn om voor 1 oktober over te stappen op EMV.

Dat denk ik ook. Het zal een zogenaamd "administratief uitzetten" zijn, net als bij "slimme meters" in je meterkast.
Er kan nog net zoveel naar believen worden uitgelezen. Dat mag officieel niet zomaar, in elk geval niet bij slimme meters.
Het zullen in voorkomende gevallen dan ook vooral criminelen of wetenschappelijke hackers zijn die zoiets proberen te doen. Maar als niemand het merkt of kan bewijzen, kraait er dus geen haan naar als iemand het stiekem toch doet.

Maar bij een bankpas moet je dan wel binnen het bereik van een draadloze kaartlezer zijn. De vraag is echter of men niet een terminal kan maken (of namaken) met verhoogd zendbereik, zodat de bankpas ook op grotere afstand al voldoende stroom krijgt om in werking te treden. Soms misschien ook als hij in een hoesje zit. Het "terugzendvermogen" van de bankpas is waarschijnlijk groot genoeg om ook het signaal op wat grotere afstand (meerdere meters of misschien wel tientallen meters) nog op te vangen. Desnoods zet men meerdere ontvangers neer, zodat iemand altijd wel in de buurt is van één van die ontvangers. In hoeverre er encryptie op het bankpassignaal is gedaan, is mij onbekend. Je mag verwachten van wel. Maar het is door consumenten niet te controleren of er misschien toch nog steeds één of andere te achterhalen unieke identiteitscode van de rfid-chip wordt teruggezonden zodat je gevolgd zou kunnen worden zonder dat je bewust van de pas gebruik maakt. Niet altijd is dat opzettelijk gedaan, maar vaak heeft men onvoldoende nagedacht over mogelijkheden van "oneigenlijk gebruik" of zelfs misbruik. En dat maakt dit soort oplossingen dubieus, om niet te zeggen: onwenselijk. Ook omdat er wat mij betreft maar zo weinig extra gemak is, dat ik me sterk afvraag of ik bereid ben om dit soort risico's hoe klein die misschien ook mogen zijn, te nemen in ruil voor het eveneens maar heel erg kleine extra gebruikersgemak.
Verder stellen de al eerder aan het licht gekomen hoge commerciële ambities van ING mij niet gerust toen zij van plan
waren om informatie over onze pinbetalingen aan andere commerciële partijen door te verkopen.

De NFC chip in bankpassen is geschikt om te scannen op 2 tot 6 cm. Dus inderdaad als er iemand heel dichtbij komt kan ie jouw pas scannen. Maar normaal gesproken kan je die persoon dan ook zoenen. Het verhaal dat iemand per ongeluk voor een ander betaald is dan ook een hoax.

Als je de chip functionaliteit uitzet bij de bank, zal de chip nog steeds werken, echter zal de data niet te herleiden zijn. Er moet immers een verrificatie plaatsvinden tussen de bank en de chip. Als de bank niets teruggeeft zal de chip waardeloze data bevatten.

Beschadigen van de passen zal in het geval van fraude alleen maar een reden voor de bank zijn om jou de schuld te geven. Mocht je zo bang zijn voor misbruik: koop een hoesje, laat je bankpas thuis of wikkel 'm in een hele rol ALU folie.

Waar haal je dat vandaan? Bedenk dat we het hebben over moedwillig oprekken van, zeg, een industrieele lezer, wellicht door een handige knutselaar. We hebben het niet over wat de officieele propaganda zegt, en een aanvaller is ook al niet gehouden om dezelfde leesapparatuur te gebruiken als wat de banken graag hebben dat je zou gebruiken.

Die heeft dus veel meer vrijheid en mogelijkheden dan jij hier voor mogelijk houdt.

Je bedoelt dat perongeluk op een lezer leunen niet kan? Net zoals in- en uittchecken met je ov-chipkaart nooit verkeerd kan gaan en dus een hoax moet zijn? (Hoeveel miljoen ookalweer op die niet-teruggevraagde-gelden rekening bij de vervoersbedrijven?)

Er zit dus geen uniek nummer tussen die "waardeloze" data? Data die je gewoon zelf uitleest en "vergeet" te melden aan de bank want je bent voor deze ene keer geinteresseerd in het volgen van mensen, niet in het vragen aan de bank om geld.

Hoe ging dat ook alweer met dat anti-botsingsverhaal? Hoe doen ze dat zonder unieke nummers?

(De volgende keer, bij de kassa, kijk je welke passen je leest terwijl er betaald wordt, en je correleert welke nummers je tegelijk ziet. Ook als er gepind wordt weet je dan welke naam er bij welke cluster unieke pasnummers hoort, en dat kun je dan terugkoppelen aan eerdere leesacties. Doe je dat over tijd, kun je zelfs zien wie wel eens de pas van moeders mag lenen, bijvoorbeeld. Hoe je dat kan zien? Er zit ook een chip in je identiteitskaart, en de ov-studentenkaart. Hetzelfde protocol, kun je dus ook uitlezen. Met genoeg datapunten heb je aan alleen een uniek nummer genoeg om identiteiten en relaties vast te stellen, ook al heb je er niet onmiddelijk de NAW ook nog bij. Maar wie weet, wat nog niet is dat kan komen.)

Zo van je komt bij de bank, blijkt je kluis leeggeroofd. Zegt de bank "heeft u zelf gedaan meneer". Jij haalt je kluissleutel tevoorschijn en daar blijkt een van de twee baarden afgebroken, en doet het dus niet. Nu zeg jij dat de bank naar die kapotte sleutel zal wijzen als bewijs dat je jouw bankkluis toch echt zelf hebt leeggeroofd?

Leg eens uit hoe jij je dat voor je ziet?

Wat ben je toch volstrekt behulpzaam en practisch met je meedenken.

Wel eens in een drukke bus, metro trein gestaan? Iemand met een tasje met de benodigde apparatuur valt niet op en gaat vrolijk zijn gang.

.... This post sponsored by Secrid, and trolls

Goed topic dit en ben het geheel eens met de standpunten van de OP.

Achterlijke banken met hun veiligheidsbesef van nul (of gehaaidheid van 100).
Als een idioot hebben ze gauw al m'n passen driedubbel vervangen (ach maakt het uit, het is toch uiteindelijk op de kosten van de klant die we elk jaar lekker omhooggooien) en vervolgens geven ze je geen mogelijkheid om deze onzinfunctionaliteit uit te zetten, want het is zo veel beter en sneller (nou nou, wel een hele seconde, wat de beschermhoesjes weer compleet opheffen).
Er had op zijn minst een knop o.i.d. op die kaarten moeten zitten om ongewenste transacties tegen te gaan.

Welk Privacy-Elfje levert eindelijk het visuele- praktijkbewijs dat het ook werkt?
(bankautomaten/pinautomaten)

Privacy-fee'tjes ook van harte welkom!

Aan de hand van enkele reacties zou je dat wel denken. Hoewel ik liever een klein gaatje in mijn pas zou hebben (of een toekomstgarantie voor een klassieke pas zou nog beter zijn) dan een dergelijk oerlelijke en idioot geprijsde anti-rfid beurs te moeten kopen of een aparte pashouder mee moet slepen. Helaas moet en zal de bank op kosten van iedereen die dit niet gaat gebruiken, weer eens laten zien dat ze 'innovatief' bezig is.

Bullshit!

Een laptop was innovatie, net als GSM, de auto, de koelkast, centrale verwarming en lang geleden vuur, koffie en het wiel. Geld kunnen uitgeven zonder dat met een bewuste actie te bevestigen is niet innovatief, dat is gewoon dom of een mislukte poging een fundamenteel vastgelopen economie weer aan de praat te krijgen.

Opvallend deze discussie omdat er eens werkelijk wordt nagedacht over techniek icm de onzichtbare effecten hiervan. Ipv het klakkeloos omarmen van nieuwe snufjes als zijnde 'handig' zijn er toch steeds meer mensen op deze planeet die kritisch durven denken en kijken.

En toch blijf ik me verbazen over de domheid waarmee sommige techjunkies met techniek omgaan; blijkbaar is rfid niet alleen populair in bankpassen, je kan het ook laten implanteren.

Maar wat als je eens op een SEH beland en met spoed de MRI scanner in moet...?

Waarom denken mensen toch nooit eens vooruit en begint men pas te klagen als het al te laat is?

Mocht het zover zijn een oude bankpas tegen te komen en te testen dan is het misschien handig om te weten of de mensen van security.nl het niet erg vinden de resultaten per bank te posten onderbezet topic..

Tja. Ikzelf wilde geen merk noemen. Wie zo'n product wil, die vindt het met enig zoeken zelf best wel, neem ik aan.
Dat het door anderen desondanks wél genoemd wordt, dat is misschien als 'service' bedoeld, voor de 'moeilijke zoekers'?

Er zijn uiteraard verschillende soorten tech-mensen, net zoals dat ook geldt voor andere verschillen tussen mensen.
Er zijn altijd de zorgvuldigen en voorzichtigen, en de mensen die alles als een kip zonder kop doen.
Hier op Security.NL zien we vooral de zorgvuldige en voorzichtige tech-mensen, maar we weten dat er ook genoeg tech-volk is dat geen boodschap heeft aan zorgvuldigheid en zich verlekkert aan elk nieuw tech-snufje en dat wil hebben, eventueel zelfs een chip-inplantaat, zoals je noemt.

Ja. Uiteraard zou het interessant zijn om dergelijke resultaten te zien.
Ik vermoed echter dat er weinigen zijn die experimenteren met hun bankpassen door er gaatjes in te knippen of zoiets.
En ik vraag me af of de topicstarter zélf nou ook werkelijk zo'n actie heeft uitgevoerd, of enkel de mogelijkheid noemt.

Tjonge,
die vraag om praktijk informatie was hier 'nog niet' gesteld,..
Keihard negeren van de vraag om die informatie lijkt eerder van toepassing in deze topic discussie.

@ T.s. doe je zelf nog mee? Laat eens wat van je horen.

Dus, nog een keertje : Wie levert eindelijk het visuele- praktijkbewijs dat het ook werkt?
(bankautomaten & pinautomaten, parkeerautomaten?)

Wat mij in bovenstaand verhaal opvalt is dat niemand het onderscheid maakt tussen contactloos betalen en pinloos betalen van (doorgaans) kleine bedragen.

Dat zijn twee losse dingen. Ook met de niet-contactloze passen kun je bij sommige banken kleine bedragen zonder pincode betalen (parkeerplaatsen, tolwegen etc).
Net zo goed als je met contactloze passen kunt configureren dat ze altijd om een pincode vragen.

Het zijn helaas de banken zelf die deze zaken door elkaar halen door te roepen dat contactloos betalen zo handig is omdat je dan geen pincode hoeft in te voeren. Jammer....

Qua privacy & tracking niet relevant, maar wel qua ongewenste betalingen, skimming, ongemerkte diefstal etc.

Ok goed argument over het openbreken, maar wat is er dan mis met een chipknip die je volledig anoniem kunt gebruiken, zoals bijvoorbeeld degeen die je vroeger bij de euromast kon kopen voor ondermeer parkeren ?
Ik zie geen nadelen (tenminste niet voor ons)

Recent is de magneetstrip van mijn bankpas stuk gegaan en kon daardoor geen geld meer pinnen bij een ING bankautomaat.

Je kunt gewoon kosteloos een andere pas aanvragen. Heb net gebeld met de bank (ABNAmro) en de nieuwe pas zonder antenne wordt kosteloos naar me opgestuurd. Kosteloos, omdat ik niet om een nieuwe pas had gevraagd. Duurt 3-5 dagen. Tot die tijd kun je -indien nodig- gewoon met de antenne-pas pinnen. Dat doorboren leek mij een gedoe; laat hen maar het werk doen...

Pas in aluminiumfolie gewikkeld bewaren. Kooi van faraday.

klaar.

Leuk, maar niet alle banken leveren deze service voor zover ik weet.

Voor wat betreft de gratis afschermende hoesjes die je soms kunt krijgen: het is een beetje de vraag of dit afdoende is.
Wat ik heb gezien is iets met alufolie o.i.d.. Aluminium folie schermt goed af tegen elektrostatische velden, maar minder goed tegen wisselende elektromagnetische velden: er dringt altijd iets doorheen. Het signaal wordt wel gedempt, maar niet volledig tegengehouden. (zoiets hebben we ook gezien bij de GSM-telefoon in de magnetron, elders op dit forum).
Het zou daarom best kunnen dat meer dan 1/10 deel van het signaal toch nog door het "aluhoesje" heen gaat.
('k hoop het binnenkort eens te gaan meten)

Niet alu-folie, maar zgn. "Mu-metaal" is volgens mij de beste afscherming tot frequenies van maximaal 30MHz.
(contactloos betalen zit op ca.13,56MHz). Maar mu-metaal is helaas wel veel duurder...

Dan zet je hem toch weer uit??? 10 seconden werk.

Terminologie klopt, nu het juiste gebruik ;-)
"De juiste APDU's" -> Klinkt goed, je vergeet dat het eerste commando een authorisatie is, en je weet de sleutel (blijft in de back-end) niet.
'Anticollision' moet in deze context 'collision' zijn. De passen hebben wel anti-collision mechanismen. Maar helaas zijn de implementaties door system integrators vaak niet optimaal, waarbij ze situaties met meerdere passen niet goed testen.

Sterker nog, ze zijn geeneens relateerd aan de Oranjes want Willem van Oranje had geen nazaten. Een verre achterneef hebben de Oranje fanaten destijds gevonden om stadhouder te worden. Deze is later koning van Engeland geworden meen ik (pin me daar niet op vast). Bottomline, dit koningshuis heeft net zo veel Oranje in hun bloed als jij en ik, niets dus. Sterker nog de geruchten dat Whilhelmina geen kind van was van Willem 3 maar van een stoeipartijtje tussen Emma en nog iemand anders blijven sterk aanwezig. De gehele monarchie is dus gebaseerd op een leugen die onstaan is toen Bonaparte zijn broer Lodewijk tot koning der Nederlanden bombadeerde. Formeel gezien zou er dus een Bonaparte op de troon moeten zitten en geen Oranje-Nassau, of wat er voor moet doorgaan.
Of dit koningshuis met ijzeren vuist regeerd betwijfel ik, daar hebben ze hun hofnarren voor (de regering bijvoorbeeld). Verder zijn ze lid van de Bilderberg groep en deze groep heeft nogal verregaande ideeën hoe ze het best van 'nutteloze' burgers af willen komen. Zolang je geld opbrengt ben je nuttig en zoniet ben je nutteloos en ben je overbodig.

Ja, dan 5 lagen aluminiumfolie of 10 , dan is t wel uitgedempt hoor.
1x Testen met overmaken dan weet je het meteen.

Kan je natuurlijk ook proberen als je tenminste geen probleem hebt met het steeds helemaal afwikkelen en weer helemaal opnieuw inwikkelen elke keer als je de bankpas gebruikt. ;-))
Maar ik had het dus over die gratis hoesjes, en vraag me af van welk materiaal de coating is, en of dit afdoende dempt.

Hoesjes zit omsloten aluminium in: dit zal het elektrisch component van radiogolven blokkeren.

Beter is een hoesje van ijzer of blik, omdat dit ook voorkomt dat de chip energie kan ontvangen van de reader. De chip heeft dan zelf ook geen idee dat hij bij een lezer is geweest ipv een foutcode op te slaan omdat communicatie is mislukt.

Maar vooral handig omdat blik dus een dubbele werking heeft en dus veiliger is. Helaas roest ijzer dan weer wel; niet handig om die troep in je beurs te hebben na een encounter met H2O.

ga maar eens testen of je ov chip niet meer werkt met zo een hoesje voor je er op vertrouwen zou

Misschien staat het antwoord wel tussen alle andere reakties, maar aan jou de vraag: Wat mag niet zichtbaar zijn bij een kopie ID-kaart? Er is weinig info te vinden wat nou zichtbaar mag zijn en wat niet.

Ik heb namelijk niet zo'n hoesje, laat staan zo'n RFID-pas met zender/ontvanger, of ID-kaart hoesje.

Misschien een domme vraag, maar heeft iedereen zo'n nieuwe chip in zijn contactloze bankkaart, zit die ook in een creditcard verstopt (of komt dat misschien nog)?

Tijd voor een RFID stoorzendertje :)

Testje inmiddels gedaan. Hoe?
1. Uit stevig karton 2 stukken op creditcardformaat (86mm x 54mm) geknipt
2. Beide "kaarten" doorvlochten met koperdraad, beginnend vanaf de buitenkant aan één stuk door "rechthoekig
spiraalvormig" naar binnen toe, zodat er zich 3 aaneengesloten windingen vormen op enkele mm naast elkaar.
3. Eenvoudige digitale oscillator gebouwd met frequentie van 13 á 14 MHz. Deze aangesloten op één van deze kaarten.
Dit functioneert als de actieve zender. Daarbij maatregelen genomen om harmonischen van de blokgolf nog wat te onderdrukken door van de zenderkaart een LC-kring te maken die is afgestemd op ca. 13,5MHz (C=150pF)
4. Meetprobe van oscilloscoop op ontvangerkaart aangesloten en op ca. 1 á 2 cm afstand gehouden van de zender.
5. Achtereenvolgens gemeten zonder het afschermende hoesje en mét het afschermende hoesje over de ontvanger heen.

Resultaat viel alleszins mee. Met het "gratis aluhoesje" bleef er minder dan 1% van het signaal over.
Daarmee betrad ik het gebied van meetfouten, vooral veroorzaakt door instraling van de actieve zender op de aardklem van de meetprobe en op de meetkabels. Heb deze meetfout geprobeerd te reduceren door zorgvuldige herpositionering van de meetkabels/probe en differentiaalmeting. Op grond hiervan schat ik in, dat het hoesje misschien zelfs ook nog wel 99,5% van het signaal tegenhoudt.

Gewone aluminiumfolie schermt af in eenzelfde orde van grootte. Exacte meting zoals gezegd lastig i.v.m. provisorische meetopstelling. Maar bijv. twee laagjes aluminiumfolie lijkt niet onder te doen voor het gratis beschermhoesje.
(één laagje schermt ook al prima af; lijkt al heel dicht in de buurt te zitten van het gratis beschermhoesje)
Kennelijk heeft aluminiumfolie met afschermen van frequenties rond 13,5MHz nauwelijks een probleem.

Wel is belangrijk dat de bankpas helemaal in zijn beschermhoesje zit. Wanneer hij er enkele mm uitsteekt, dan wordt er duidelijk meer signaal gemeten dan wanneer de bankpas helemaal in zijn aluhoesje zit.


Laatste opmerkingen: in de bankpas zit een chip. Deze moet om te beginnen eerst voldoende stroom krijgen om te kunnen werken. De hiervoor benodigde energie verkrijgt de chip via het uitgezonden signaal van de actieve zender.
(de actieve zender is normaalgesproken de betaalterminal waar je je bankpas bij moet houden bij het afrekenen)
Maar de bankpas krijgt op 13,5MHz niet genoeg stroom om te starten wanneer er een aluhoesje om de bankpas heen zit. Gevolg: een bankpaschip zendt in zo'n geval helemaal niets uit. Dit is bescherming nr.1.

Maar stel dat een "crimineel krachtige turboboostzender" door alle afscherming heen toch nog voldoende spanning opwekt, zodat de chip begint te werken. Of misschien wordt er om de chip te voeden een tweede, relatief lage frequentie gebruikt die nauwelijks door alufolie wordt afgeschermd. In dit geval gaat de chip uitzenden. Maar altijd op een frequentie rond 13,56MHz voor zover ik weet. Het is van zichzelf al een heel zwak signaal: normaal met een bereik van max. 1 meter bij gebruik van gevoelige ontvangstapparatuur. Dus na meer dan 100x verzwakking vanwege het afschermende hoesje is het bereik nog eens een heel stuk kleiner geworden. Men moet een gevoelige reader dan wel héééél dichtbij houden om iets te kunnen ontvangen... Dit is bescherming nr.2.

Mijn conclusie: aluminiumfolie biedt best al een redelijk goede bescherming wanneer de bankpas niet wordt gebruikt. Maar met een extra mu-metaal afscherming (of misschien blik???... kenmerk van beide materialen: het is magnetisch, dus een magneetje plakt er aan vast) zal je ook nog kunnen voorkomen dat de bankpaschip kan worden gevoed met laagfrequent energie die ver beneden de 13,5MHz ligt. Daarmee zal ook in deze gevallen worden voorkomen dat de bankpas überhaupt zal gaan uitzenden. Dit biedt dan dus nog een extra stukje zekerheid, die je naar mijn verwachting echter waarschijnlijk zelden of nooit nodig zult hebben. (en verder zou je als een soort stoorzender bijv. nog een verbruikte NS-dag-chipkaart erbij kunnen stoppen, of een chipkaartje uit de gratis verspreidde "Spoordeelweken" ; )

@TS, bedankt voor deze info. Ik ga 'm testen, ik laat weten wat de resultaten zijn.

Ik heb 'm net getest, Gaatjes in de banen "geknipt". Het werkt! Zojuist gepind en daarna getracht NFC betalingen uit te voeren bij een aantal winkels. Niks, nada, noppes! NFC gedeelte is 'terminated'. Nogmaals bedankt @TS.

Vanzelfsprekend maken een groot aantal mensen zich druk over de privacy ten aanzien van de bankpas met RFID.
Maar we lopen massaal met een identiteitskaart met de zelfde mogelijkheid rond. En over de RFID-labels die overal ingestopt en opgeplakt worden hoor ik de laatste tijd ook weinig meer.

Een probleem bij de bankpas is verlies of diefstal. Maar het grootste probleem is gewelddadige beroving. De winkels schaffen contant geld af terwijl juist de burger weer wordt opgescheept met een andere vorm van contant geld. En het beroerde is de misdadiger ziet op het moment van beroving niet of u het contactloos betalen bij de ING heeft uitgezet.

Je kan tegen die mensen beter zeggen dat zij zelf helemaal niet bepalen of ze wat te verbergen hebben. De machthebber bepaalt of jij wat te verbergen hebt. Jij zelf niet!!! De joden hadden voor WO2 ook niets te verbergen (registratie geloof), totdat er een andere autoriteit kwam die anders bepaalde. Helaas bleek de infrastructuur er dus al te liggen.

We moeten dus niet kijken of een bepaalde techniek schadelijk is, maar of je datgeen wat ermee KAN gebeuren wil accepteren.

Ik wil geen reclame maken maar ik heb ook zo'n pasjeshouder van Secrid. Daar kunnen 6 pasjes in, beschermd tegen RFID-signalen.

Hoe komen die pasjes trouwens aan de stroom om continu een signaal uit te kunnen zenden, zit er een miniscuul kleine batterij in of zo? En is het niet makkelijker om de energiebron eruit te slopen om die pasjes onklaar te maken?

Er zit geen energiebron in. De chip krijgt zijn energie door middel van inductie. Kijk maar: http://en.wikipedia.org/wiki/RFID

Wel eerst alles lezen, want een paar berichten hierboven wordt daar uitvoerig op ingegaan.

Precies! Silver folie in de binnenkant van je porto doen werkt ook prima. Gemak dient de mens.

... welke bank is dit toevallig geweest, dan kunnen we een overzicht maken, dit kan namelijk per bank verschillen.

Tja je moet je telefoon dan ook maar beter thuis laten aangezien je daarmee ook getraceerd kan worden (ook door winkels), en natuurlijk ook nergens meer betalen met je pinpas...

Tegenwoordig kan je met een richtantenne de contactloos betalen, dat is de RFID chip in de bankpas, tot op 30 meter afstand uitlezen. Dan ontvang je alle informatie die op de chip staat. Uitzetten bij de bank doet helemaal niets. De stroomkring en de chip wordt dan immers niet onderbroken of verwijderd.

Ik heb mijn bank gebeld en kreeg gewoon een bankpas zonder RFID chip. Geen lastige vragen als je aangeeft perse een pas zonder RFID te willen, geen enkel probleem, goede service en nog geen drie dagen later in huis, in de tussentijd kon ik de oude pas nog gebruiken en nu heb ik de RFID-loze pas.(dat heb ik gecontroleerd en die zit er niet in, ook geen antenne)

Een andere bank waar ik bankier deed een partij moeilijk en liegen ook gewoon over de technologie. Je geeft ze gewoon de keuze om een RFID-loze pas te verstrekken of een goede klant gaat naar een andere bank. De bank koos eieren voor zijn geld en nu heb ik ook daar een RFID loze bankpas.

Er zijn dus op zijn minst twee banken die als je het vraagt gewoon een RFID-loze bankpas verstrekken.

Nu mijn ID-kaart en paspoort nog. Wellicht moet ik daar het gaatje knippen toepassen. Dit soort artikelen zijn onbetaalbaar en keigoed!

Dat is een leuk verhaal maar je vertelt er niet bij hoe onpraktisch groot een richtantenne is op de frekwenties waar
zo'n bankpas mee werkt. Ik denk dat als je die maakt en opstelt je wel een hoop mensen verzamelt die zich afvragen
wat dat is, maar of ze binnen de 30 meter durven te komen is de vraag.

Kortom, broodje aap verhaal.

Ik begrijp wel wel waar die 30 meter vandaan komt.

Bijv. https://www.secrid.com/veelgestelde-vragen bij de vraag "Waartegen beschermt de Cardprotector?"
Er wordt daar verteld dat RFID-kaarten tot op wel 30 meter afstand kunnen worden geactiveerd.

Bij contactloze bankpassen gaat het echter niet om RFID maar om NFC technologie!
De afkorting NFC betekent "Near Field Communication. ("dichtbij" veld communicatie)

NFC heeft slechts een maximaal bereik van ten hoogste 10 centimeter. Meestal minder.
Zie: http://www.nfc-nederland.nl/veel_gestelde_vragen.php#afstand

Zeg nooit nooit, maar het lijkt me welhaast ondoenlijk om dat bereik verder op te rekken,
omdat je gebonden bent aan het beperkte terugzendvermogen van de kaart.
De antenne van een NFC card is erop gebouwd om heel weinig vermogen uit te zenden, en ik verwacht dat het zendvermogen dat aan de zendantenne wordt toegevoerd ook nog eens elektronisch wordt begrensd.

Dus iemand kan wel vanaf grote afstand met veel vermogen proberen om een contactloze bankpas tot leven te wekken, maar het terugzendsysteem op de pas kan hoogst waarschijnlijk niet veel verder worden ontvangen dan tot een centimeter of tien van de pas. De ontvangstapparatuur van een aanvaller moet volgens mij dus altijd staan opgesteld binnen een straal van 10 cm van een onbeschermde bankpas. Mijn advies: niet al te bang zijn. Wel doordacht er mee omgaan en jezelf
goede gewoontes aanleren over hoe met de contactloze pas om te gaan.

Wanneer je de pas niet gebruikt, altijd beschermen met alufolie of een geschikt afschermend hoesje, en er pas uithalen als je met hoesje en contactloze kaart al vlakbij de NFC cardlezer bent. En zodra communicatie met de NFC-terminal is geslaagd ook meteen weer afscherming er omheen doen op ca. 10 à 20 cm verwijderd van die NFC-terminal.

En verder: je bent natuurlijk niet verpicht om die pas bij elke aankoop te gaan gebruiken.
Voldoende contant geld op zak vermijdt in veel gevallen de noodzaak om een tracerend, privacy-onvriendelijk betaalmiddel te gaan gebruiken... ;-)

Goeroehoedjes

Voor nog geen €5 heeft de ANWB winkel er ook een http://webwinkel.anwb.nl/webwinkel/rfid-cover-id-kaart.html

Sterker nog, het zou beter zijn als banken de pin automaat contactloos zouden maken, geen gezeur meer met skimmen dmv ingebrachte lezers.. voorzet lezers zijn dan eenvoudig te herkennen..

Je pas gewoon in een blikje bewaren en samen met andere rfid passen (OV-chipkaart, andere bankpassen, toewgangpas van kantoor etc)

Reactie op de hoax van de TS:
- De bankpas heeft NFC, geen RFID.
- Voeding is 'hoogfrequent' en de informatie wordt gemoduleerd (laagfrequent). Precies andersom dus.

Draadloos skimmen is een zelf verzonnen bangmakerij. De magneetstrip was te eevoudig te kopieren, omdat die alleen statische gegevens bevat.
De chip (al of niet draadloos) maakt gebruik van cryptografie met niet uitleesbare sleutels. Dus ook niet te kopieren.

Banken en winkels doen aan riskmanagement. Afhankelijk van de zekerheid die ze willen hebben vragen ze extra maatregelen, zoals het controleren van je pincode, en token validatie.
Bij een drukke benzinepomp in Frankrijk heb ik meermaals meegemaakt dat ze enkel je bankpas lezen voor je banknummer en je hebt betaald. Dus zonder gebruik van een pincode.
Ze maken daar de afweging tussen snelle service en het risico dat ze niet kunnen bewijzen dat je wilde betalen (door pincode validatie).

Het risico zit hem in tegenstelling tot de suggestie van de TS niet in de toegepaste techniek, maar hoe banken ermee omgaan.

Omdat ze hem bij het minste geringste weer AAN zetten..

Nieuwe bankpas? Dan wil u vast wel contactloos skimmen aanzetten!
Pinlimiet verhoogd? Dan wil u vast wel contactloos skimmen weer aan zetten.
Nieuw jaar begonnen? We zetten het wel weer aan.

Draadloos betalen heeft geen enkel voordeel.
Snell kunnen 'pinnen' ? Dan hadden die klootjes PIN niet moeten uitschakelen, waardoor we nu niet meer PINnen maar MAESTROen en VPAYen... Dat vertelden ze er effe niet bij toen ze de PIN servers in Utrecht uit gingen zetten en al jouw data over de schutting gooiden naar Mastercard en Visa.

Met PIN had je namelijk pre-authorisatie, dat betekende dat zodra je jouw pas erin stopte, je al kon beginnen met je pincode invoeren en later kwam de transactie van de automaat erbij.

Nu moet je wachten tot de kassiere de laatste zak chips heeft gescanned, het systeem een Maestro transactie heeft gebouwd, dan kun je pincode invoeren, dan wordt de actie van geauthoriseerd.

Dus als SNEL de voorkeur hadden gehad, dan hadden ze PIN niet moeten uitzetten ter faveure van Maestro.

Veilig? Wat is er veilig aan draadloos? Draadloos wifi was al binnen 2 dagen lek, WEP duurde een maand, WPA duurde een jaartje of 2.. WPA2 is ook al lek. Dus hoe veilig is draadloos mastercardten?

Net zo handig als chipknip... alleen daar vingen de banken nog rente over het geld wat in je beurs zat.
Gelukkig is dat kreng nog relatief snel verdronken in de bankput.

In 2013 waren er al paar onderzoekers die NFC communicatie met behulp van 'n aangepast winkelwagentje op iets van 'n meter afstand konden capturen/afluisteren.

hxxp://digital-library.theiet.org/content/journals/10.1049/joe.2013.0087#C5
hxxp://www.zdnet.com/article/researchers-use-shopping-cart-to-put-mobile-nfc-payment-theft-on-wheels/

Over 'n jaar of wat verdwijnen er bij de "klanten" geregeld kleine bedragen van de rekening.
Te lastig om terug te vorderen want aan de klant de bewijslast om aan te tonen dat er gefraudeerd is en dat voor steeds €20-25, en de bank zegt/denkt niet mijn probleem, u bent onvoorzichtig geweest.
Mensen komen daardoor net in 't rood aan 't eind van de maand, de bank denkt kassa, roodstand rente.

Net als met credit card fraude, kosten worden doorberekend aan de klanten/slachtoffers, klanten komen in de problemen.
En de heren bankiers denken alleen aan hun bonus ipv aan't maken van 'n betrouwbaar & veilig betaalsysteem

Pas op. Misschien loopt er een race-leeuw met olifantspoten en giftanden op straat. Niet naar buiten gaan!
(dat is zo ongeveer wat je hier zegt, maar dan net even anders)

Is NIET correct!
Ik heb dat vorig jaar uit gezet en het staat nog steeds uit.
Als ik het "instellingen wijzigen" scherm open dat staan daar mijn bestaande limieten en de contactloos betalen
instelling, daarbij staat NEE gekozen en dat kan ik dan aanpassen.

Kortom je bralt maar wat!
Wel pas je goed in het groepje paranoide gasten wat hier rond hangt.
Ik lees net op Teletekst dat ze een nieuwe wet gaan maken om mensen die zich onaangepast gedragen
te kunnen opsluiten voor 3 dagen ter observatie. Pas maar op!

Ik kan je in elk geval vertellen dat mijn OV chipkaart niet herkent wordt in mijn SECRID wallet. Zelfde geldt trouwens voor de <€10 clone die ik van Aliexpress geplukt heb.

pff... ze hebben alleen maar (met moeite) op ca. een halve meter afstand een aantal transacties afgeluisterd.
Ja afluisteren zal op een wat grotere afstand nog wel lukken ja, als er tenminste niet teveel omgevingsruis is.
Misschien lukt het onder ideale omstandigheden tot op 1 meter van de uitleesterminal nog wel.
Maar wat kan je met die data? Vrijwel niets.
De overdracht van de unieke user ID die je soms nog wel "plain" kan lezen als de pas niet in een afgeschermd hoesje zit is geanonimiseerd, en alle kritieke transactiedata is hier encrypted (denk aan EMV)
Maar als jij je door Violet B wilt laten opjutten: ga gerust je gang. ;-)

Ik heb voor 18,- een portemonnee gekocht die RFID skimmen voorkomt. Kan ik als ik dat wil contactloos betalen wat soms best handig is en hoef ik de bankpas die strikt genomen van de bank is niet te 'modificeren'.

+1

RFID en NFC is niet hetzelfde! WIkipedia is je beste vriend:
NFC = NEAR Field Communication
RFID = Radio Frequency IDentifier

Je kan niets uitlezen bij een bankpas voordat je eerst een authenticatie doet.

Hehe, eindelijk eens een paar serieuze opmerkingen waar ik wat van kan leren.
Dat bedoel ik echt oprecht. Al dat gekakel hier over hoe dom je bent als je dat soort elektronica gebruikt.

Heren dank! Zal dit advies echt te harten nemen!

ID-bewijzen werken wél met RFID,
en kunnen daarom waarschijnlijk vanaf een grotere afstand worden uitgelezen dan contactloze bankpassen.

Gaatje knippen in ID met de bedoeling de RFID daarin onklaar te maken, maakt het document ongeldig en is strafbaar:
https://www.security.nl/posting/26770/Juridische+vraag%3A+Mag+ik+de+chip+in+het+paspoort+slopen%3F

Elk digitaal systeem heeft per definitie risico's.
Dus beter wel zoveel mogelijk afschermen met een geschikt afschermend hoesje.
O.a. verkrijbaar bij ANWB. (dekt ook een aantal zichtbare gegevens af die de meeste mensen niets aangaan)

Let ook op dat je je ID niet zomaar uit handen geeft: er staan gegevens op die nodig zijn om de RFID uit te kunnen lezen.
Eigenlijk zou alleen bevoegd overheidsgezag dit mogen en kunnen doen.
Maar ik verdenk bijv. banken ervan, dat zij dit inmiddels ook kunnen.
(en o ja: "Een geheim van één is van jou alleen, maar een geheim van twee weet iedereen.......")

P.S.:
eigenlijk verwens ik die hele ID-rommel. Hoopte na WOII dat we af waren van: "AUSWEIS!"..., maar helaas zijn mensen hardleers, en hebben we te leren leven met de sufferds van onze tijd, die het oude allang weer vergeten lijken te zijn.

Dit draadje valt onder deze categorie: https://www.youtube.com/watch?v=SGkFRs6eng4

Wat betreft het stilzwijgend re-activeren van contactloos betalen bij de 1NG kan ik (en namens mijn vriend) bevestigen. Sinds wij enkele jaren geleden onze 'new and improved' nieuwe ING pas toegestuurd kregen hebben wij beide die 'service' meteen laten uitzetten. Dit hebben we de volgende dag gecontroleerd en het stond uit (uiteraard werkt de chip op je pas gewoon continue, echter de bank authoriseert dan niet de ngc-betaling).

Binnen een maand stond het plotseling weer aan bij ons beiden! Toen we verhaal hierover haalden kregen we telefonisch (na aandringen en veel doorverbinden) de volgende (door mij opgeschoonde) krankjorem reactie : "mensen weten niet wat goed voor ze is dus we draaien zo nu en dan een globaal opt-inscript, er is dus geen fout/bug in het systeem zoals jullie vrezen".

Bij mij is nu in de afgelopen jaren 2x het contactloos betalen stilzwijgend ge-reactiveerd, bij mijn vriend 3x (bij vervangende pas op bestaande/onveranderde rekening).
Bij een vriendin van mij die hier ook actief op let is het ook al 2 keer stilzwijgend ge-reactiveerd (ook 1NG).

Waar het exact mee te maken heeft weet ik niet, maar het gebeurt zeker wel bij de 1NG.

Magneetstrip:
sinds we hier met de chip betalen (ipv magneetstrip) is de magneet-strip relatief veilig te maken.
De enige significante aanvalsvector is de geld-automaat. In de pas-gleuf kunnen skimmers (met mcu, geheugen, leeskoppen en batterij ter grootte van een pinpas (maar dunner) worden geschoven. Deze lezen de magneetstrip uit tijdens invoer/uitvoer van de pas.
Het overgrote merendeel van de europesche geldautomaten heeft naast een magneetstrip lezer ook een interne chiplezer. De geldautomaat leest eerst de magneet-strip uit. Er zitten wat geneste checksums op die data, en de hele data op de strip moet dus valid en decodable zijn. Eenmaal gelezen en gedecodeerd staan er tevens instructies op voor de host (de geldautomaat). Een van de mogelijke instructie-opties instrueert de automaat dat de chip gebruikt MOET worden (en een variatie is 'use chip if available' en dat is een 'mag'). Als een automaat een chip-interface heeft zal die in beide gevallen de chip gebruiken, als ie geen chip-interface heeft zal die de pas uitwerpen als de pas-verstrekker enkel chip-gebruik heeft gedefinieerd.
De (bedoelde) grap is dat de transactie bij overschakelen naar chip opnieuw begint.
Dit wordt (met succes) commercieel benut als anti-skim oplossing: men plakke een andere magneetstrip over de originele magneetstrip op de pas. Hierop staan valide bogus gegevens met de instructie dat de chip gebruikt MOET worden. In geval van nood kun je de nep-strip van je pas afhalen (als je in 't buitenland (denk USA) op 'n antieke automaat moet betalen/pinnen).
Als je ballen hebt kun je ook je eigen strip overschrijven (de data staat in de patenten en technische reviews), echter bedenk wel dat veel modere automaten de magneetstrirp kunnen fingerprinten (helemaal niet zo moeilijk als je snapt hoe het werkt) en dat je echt wel met de bank zijn pas aan het rommelen bent. Met de gekochte stripjes ben je gewoon een legeitieme gebruiker van 'n commercieelbeveiligings product (die allemaal dezelfde wereldwijd bekende data (en fingerprint) gebruiken).

Pincode:
De betaalautomaat-skimmers gebruiken (naast hun geld-automaat skimmer) een (verborgen) camera (optioneel hittegevoelig) voor het bemachtigen van de pincode. Uiteraard scherm je goed je code af door iets (zoals je hand) goed boven de hand te houden die de code indrukt).
De boeven hebben 2 oplossingen:
a: stel in een geparkeerde auto (oid) een verborgen HR cameratje op in een dusdanige hoek dat het tussen je hand en het toesenbord kan kijken
b: gebruik gewoon een hittegevoelige camera.
Door de achter-gebleven warmte-pattroon (heat-signature) weten ze welke 4 cijfers je hebt ingedrukt (dat verlaagt het aantal opties van 10^4 naar slechts 4^4 mogelijke opties) en in welke volgorde (de eerst ingedrukte knop is kouder dan de laatst ingedrukte knop).

Met de dummy-magneet-strip maakt dat iets minder uit (ze hebben immers je data niet). Maar dat lost potentieel diefstal gevaar van de pas/portemonnee niet op (als ze al je code hebben).
Echter door moderne goedkope miniatuur hite-camera's (die je voor op je iphone kunt klikken) en simpele apps die automatisch de top 3 van meest waarschijnlijke pincode's uitspugen voor een thermische foto is dit gevaar dus ook aanwezig in (drukke) winkels. De boef loopt gewoon met oordopjes, muziek en smartphone in z'n hand door de kassa om te betalen na het 'slachtoffer' en leest zo met grote waarschijnlijkheid de kort daarvoor ingedrukte pincode af..

Eens je dat weet, is de oplossing simpel: verpest (door het vergroten van de mogelijke opties en volgorde) de warmte-signatuur die je achterlaat op het pincode-toetsenbord.


Het punt is: zelf op een simpele niet erg lastige manier zorg dragen om mede pro-actief je digitale/financiele identiteit te te beveiligen (zonder dat er 'aluminium hoedjes gedrag' voor nodig was) was tot nu to relatief simpel!
a: scherm rondom je pincode af en verpest het hitte-signature (bv: tapdans over de knoppen en druk er zo nu en dan daadwerkelijk een in)
b: inspecteer geldautomaat voor ieder gebruik OF plak dummy magneet-strip op je pas

Het enige overgebleven risico dat je toch niet kunt ondervangen waren gehackte malafide pinautomaten in shabby winkels (of gesnifte communicatie-lijn). Zoals gebruikelijk.. een kleine dosis gezond verstand hielp in zulke situaties meestal best goed.


Hier komt het probleem van de NFC. Plotseling is het zelf mede proactief zorg dragen voor je gevoelige gegevens een flink stuk lastiger geworden (zoniet bijna onmogelijk voor de gemiddelde burger).

a: de 'gouden standaard' oplossing (voor sommigen): gewoon geen nfc in de pas (tot nu de enige echte 100% oplossing). Echter niet alle banken willen zo'n pas leveren.
b: 'de-activeren in je rekening-profiel' aka 'simpel uitzetten'. Echter, zoals door diversen gemeld: bij tenminste 1 bank is dat geen betrouwbare oplissing (tenzij je het 'makkelijk' vindt om elke dag s' ochtends even te controleren of het niet plotseling weer aan staat).

Dan rest: shielden, jammen en kapot maken.

Shielden:
Om maar met de deur in huis te vallen: aluminium folie werkt beter dan veel van de commercieel verkrijgbare producten. Dit is door diverse experts bevestigd en getest. De kans is dus groot dat je voor (veel geld) iets koopt dat slechter werkt dan aluminium folie (me duct-tape (in een paar geisoleerde lagen)).
Alu folie dus toch ergens goed voor? Niet echt.
Het is een goed gedocumenteerd feit dat diverse oudere maar legale commerciele readers (die laten we zeggen wat steviger gebouwd waren) betrouwbaar dwars door de aluminiumfolie heen lezen. De gemiddelde aanvals-vermogens zijn absoluut hoger dan zo'n oude reader.
De aanvaller moet hooguit iets dichterbij komen, dus je offert je 'gemak' op voor weinig bescherming tegen een aanvaller. Echter de laatste generaties nog zwakkere (maar meer verfijnde) lezers zullen inderdaad niet door de alu-folie heen lezen, en dat kun je ook als gemak beschouwen als hoofdzakelijk onbedoelde betalingen wilt voorkomen, en je geen zorgen maakt over digitale skimming.
Shielden/kooi_van_faraday KAN niet 100%. In werkelijkheid gaat het om 'demping' (attenuation).
Diverse naief gekozen materialen (en sandwiches) kunnen in werkelijkheid just als (versterkende) richt-antenne werken.

Wat je wilt is een materiaal dat goed dempt op de gebruikte frequentie. Daar wil je 'n certificering van weten. Hoeveel db op welke frequenties?.
De meeste fabrikanten zullen niet vermelden welk dempend materiaal ze hebben gebruikt. Of een certificering van hun eindproduct kunnen overleggen. De kans is groot dat ze je metaalhoudend folie verkopen, precies hetzelfde zilverkleurige spul dat aan de binnenkant van kartonnen vruchtensap pakken zit (geen grap)!

Vervolgens wil je ook nog eens dat het gebruikte dempende materiaal op de juiste manier is toegepast. Een condoom tjokvol gaten werkt immers niet echt (tenzij je de illusie wil dat je veilig bent).
Als je bijvoorbeeld tegoei rond googled, ontdek je dat de id-cover begon als 'discussion-piece' over het afschermen van foto-kopieerbare data op identificatie papieren. De 'afscherming' (vol gaten) was 'n after-thought. Op dat gebied heeft het ding en materiaal geen enkele specifice certificering en zal het ook nooit krijgen.

De amerikaanse DOD is natuurlijk al jaren bewust bezig met veiligheid van zulke pasjes. Deze certificering (van materialen en producten) en de testmethoden (materialen en constructie) en onderliggende gedachten en discussie zijn publiekelijk in te zien.
Hierin vind je onder-andere precies een van de conclusies van de bovenstaande technische tester terug: 5 mm onbeschermd (ook over minder dan de breedte/lengte) zijn genoeg om zelfs in normale omstandigheden te kunnen communiceren.

Een 'veilige' portemonnee (gebasseerd op demping) moet dus fatsoenlijke materialen op een correcte manier toepassen.
Echter, meestal is er veel te weinig bescherming:
A: enkel rondom (billfold): klap open, geen enkele bescherming:
B: ook beschermingsmateriaal aan de binnenkant voor als de billfold open is.. echter.. alle producten die ik heb gezien steken de kaartjes 5mm of meer uit (over meestal de langste kant) zodat je ziet waar welk pasje zit en je het er gemakkelijk uit kunt schuiven.
Dus billfold open.. einde oefening voor alle kaartjes.
Ik heb nog geen product gezien (dat eruit ziet als 'n redelijk normale billfold) dat volledige en individuele bescherming biedt MET een gecertificeerd dempings materiaal.

Google eens op 'magnetically opaque' DOD standards|certification en bijvoorbeeld het material cryptalloy.
Onderzoek en koop een gecertificeerd materiaal sleeve met DOD certificering (in afwachting van mooie/bruikbare portemonnee's met muntenvak en fatsoenlijk materiaal en constructie). Maar da's niet makkelijk en _vreeet_ tijd..

JAMMEN:
Er zijn al jaren actieve en passieve jammers. Ze zijn vaak getest door de experts in de hacker community en falen. De belangrijkse reden is dat het een soort wapen-wedloop is: anti-collision technieken worden continue ge-avanceerder.
Er is ook een open-source passieve jammer van de autoritheit (op dit gebied): chris|kris|Kristine Paget
Ook de hare (eerst zijne) faalt in d'r eigen tests.
Echtere gedachte er achter is vrij slim en een mooi staaltje van pure hackers-mentaliteit. Er zit niet echt een 'zender' in een nfc pas (in de traditionele zin van 't woord); in de plaats daarvan moduleert hij het afgenomen vermogen (stomweg de 'antenne' met 'n mosfetje kort-sluiten in een bepaald patroon). De 'reader' detecteert deze fluctuaties en decodeert de logica die deze fluctiaties voorstellen. Met een paar simpele componenten (tellertje/delertje, antennetje, voedingkje) begint ie daar gewoon doorheen te blaten. Des te sterker de zender zendt, des te harder hij schreeuwt.
Google vooral de youtube video van haar presentatie, ERG verhelderend! Ze heeft het zo vaak uit-gelegd dat het haar inmiddels lukt om materie snel en simpel aan redelijk normale mensen uit te leggen.

Hier zit zo'n beetje de kern van het probleem:
non-destructieve oplossingen werken (vaak) niet betrouwbaar. Dit probleem oplossen is significant moeilijker dan nfc interfacen/aanvallen etc... Hier hebben we het niet alleen over doe het zelvers en slimme hackers, maar ook professionals in beveiligings sectoren.

Een van de praktische oplossingen kan door de kaart-fabrikanten geleverd worden: een simpele 'aan/uit' (moment schakelaar?) fysiek op de pas. Hier zijn wereldwijd al diverse prototypes van gepresenteerd.
Omdat dit nu niet binnen handbereik ligt voor de gebruiker (en omdat de gebruiker misschien gewoon helemaal niet wil dat er uberhaupt (kortstondig tijdens bedienen van de knop) wil dat er draadloos data word verstuurd, niet een onredelijke wens voor sommigen) komt de optie "vernielen" in zicht.

Bij onze passen zit de nfc in de chip verwerkt, dus magnetron of hamer of boor verwoesten onze chip, en zoals hierboven uitgelegd, de geldautomaat zal 'm uitspugen (of opeten) omdat de magneetstrip bij ons enkel gebruikt wordt om te instrueren de chip te gebruiken.

Proberen de firmware van de chip te overschrijven is zonder twijfel illegaal (evenals het reverse-engeneren), dan rest zoals gesuggereerd te proberen de 'antenne' aan te vallen, effectief te proberen 'm inderdaad te 'downgraden'.
En dan hopen dat de geldautomaat in de toekomst niet een firmware upgrade doet om the choken op 'n kaart met kapotte 'antenne'...

Zelfs dat is geen 100% oplossing. Er zijn enkele onderzoeken al over waar je de 'antenne' het best kunt onderbreken; sommige locaties werken beter dan andere. De reden lijkt nog niet duidelijk waarom in de community, wel zijn er al chips ontdekt met 'n kleine extra antenne achter/rondom de chip en het lijkt dat die op een spiegel-frequentie reageert..

Hopelijk verduidelijkt dit alles waarom de meeste standaard (bijna bagatelliserende) 'waar maak je je druk om' reacties gebaseerd zijn op een gebrek aan feiten (vooral de illusie van 'je kunt 't toch gewoon uitzetten', of 'op elke straathoek koop je 'n mapje en dan is 't opgelost').

Ook ABN AMRO doet periodiek contactloos betalen weer inschakelen. Familielid had dit uitgeschakeld, toen ze na een meer dan een half jaar wilde betalen en bij het uit haar tas halen van haar beurs ineens betaald bleek te hebben.

En de opmerking van hun helpdesk is dat je het via internetbankieren toch gewoon weer uit kan zetten...

Welk hoesje gebruik jij hiervoor en hoe heb jij vastgesteld dat het hoesje doet waarvoor je het gebruikt?

Daarom heb ik bij ABN AMRO na het ongevraagd toegestuurd krijgen van een nieuwe pas direct een nieuwe pas zonder contactloos betalen gevraagd. Was geen probleem, kost niets extra's ('immers heeft u hier niet om gevraagd', zo snugger zijn ze dus gelukkig nog wel) en kunnen ze instellingen aanpassen zoveel ze willen. Al zouden ze de keuze van de consument natuurlijk gewoon moeten respecteren.

Complete onzin, bij ABN AMRO kun je contactloos betalen niet aan en uit zetten via internet bankieren zoals bij ING. Wel kun je kosteloos een pas zonder RFID chip aanvragen. Dan weet je 100% zeker dat je niet bedonderd kan worden.

http://delangemars.nl/2015/08/18/duitsers-beschadigen-massaal-rfid-chip-op-id-kaart/

Duitser op vliegveld aangehouden toen bleek dat hij een officieel document had beschadigd: zijn RFID chip.6d&vyau

Beter van wel anders leest Albert Heijn het iedere keer uit als je de winkel binnengaat en verlaat.

Tenminste, dat vermoeden bestaat.
https://www.security.nl/posting/522964/Albert+Heijn+wil+volgend+jaar+winkels+zonder+kassa%27s+testen

Hier de Rabobank pas open gemaakt, om chip te exposen. Dan weet u dat.

https://wordpress.com/post/maudoortwijn.com/204835

Ik ben bezig om geldloos te betalen via RFID. Maar de banken werken nog niet echt mee ;)

edoch, deze discussie speelde ook toen ik in de jaren 80 meedraaide in de pilot voor PIN pas van de Rabo.
Dat was ook je ziel verkopen aan de duivel...dus...
Maar ik kon zaterdagavond nog geld halen bij de Rabo als iedereen al door zijn geld heen was. Dat was wel erg handig.
Ik vind het makkelijk hoor dat - tik en door- betalen.

Absolute onzin. Om dat te kunnen, moet je die systemen koppelen met de systemen van de bank. Dat gaat niet gebeuren, en als winkelier kan je hier dus helemaal niets mee. Je denkt zeker ook dat je je bankpas kan gebruiken om een sportschool in te komen, of de toegangscontrole bij een werkgever indien ze allebij chipkaarten gebruiken ;)

Overschat je je eigen belang voor de bank niet, ''de bank koos eieren voor zijn geld'' ? Het zal banken bar weinig uitmaken of je als consument bij ze weg gaat. Het is niet voor niets dat de spaarrente de nul nadert; men heeft ons niet nodig.

Dat is wel heel veel moeite, voor erg weinig geld. Moet hij ook nog katvangers gaan regelen, om de 25 euro over te kunnen boeken..... Het slachtoffer bedreigen en geld laten pinnen brengt meer op, en is moeilijker te traceren.... Ooit gehoord over iemand die onder bedreiging contactloos mocht gaan betalen ? ;)

Ehhh, waar zijn ze zonder ons geld?

Hahaha wat een prutser. ; ) (hier zie je het ook: https://maudoortwijn.com/)
En hij kan de antenne niet vinden. Logisch. Bij NFC is de spoel waar de chip stroom van krijgt tegelijk de antenne.

Er zit geen RFID in onze bankpassen. Wel een NFC-chip. Dat is niet precies hetzelfde. De communicatie werkt net even anders, en dat is een belangrijk detail. http://electronics.howstuffworks.com/difference-between-rfid-and-nfc.htm

Prima af, want van de ECB krijgen ze geld gratis en zonder gezeur .

En hoe komt de ECB aan geld? Komt vast uit de lucht vallen...
Banken beheren andermans geld. Dat geld is van de miljarden mensen wereldwijd die een bankrekening hebben.
ONS geld dus.

Nog wel... Maar hoe lang nog?
Bovendien komt er in 2019 weer een nieuwe baas bij de ECB.
Dat zal wel weer iemand met een Noord-Europese mentaliteit zijn.
"Iedereen is wel weer zo'n beetje in het zadel geholpen, nu weer vinger op de knip en strak monetair beleid,
geldkraan dicht en richting 2% rente."

Een vraag:
Is het überhaupt waar dat via draadloos contact informatie kan worden ontvangen zonder authenticatie whatsoever.

Dat is wat ts beweert.
Je loopt met je bankpas door een alarmpoortje en als de winkelier dat wil kan hij je bankrekeningnummer uitlezen.

Dat kan ik niet geloven.
Niet zonder enige vorm van authenticatie.
Niet met de NL-se Wet op de privacy

Ik zou willen adviseren om bijvoorbeeld eens de docu 'The Money Masters' te bekijken op youtube. Duurt even (meer dan 3 uur) maar daarna wordt een hoop duidelijk over hoe het monetair stelsel werkt in onze huidige tijd.

Jawel hoor, het is zonder authenticatie mogelijk om de bankpas het bankrekeningnummer te laten uitzenden.
Het poortje voorziet de bankpas draadloos van energie, zodat de bankpas van electriciteit wordt voorzien en gaat werken.
Ik weet niet of het automatisch onmiddellijk wordt uitgezonden of dat vanaf de alarmpoort eerst een commando moet worden geven. Maar dat maakt ook eigenlijk niets uit. Het kan in ieder geval.
Zie https://www.abnamro.nl/nl/prive/betalen/betaalpas/uw-nieuwe-betaalpas.html daar staat onder andere:

Of dit bij alle Nederlandse banken hetzelfde werkt weet ik niet, maar houd er maar rekening mee.

Je snapt duidelijk niet hoe het monetair systeem in elkaar zit...want ECB kan vanuit 'niets' gewoon eurotjes toveren.Google eens op 'quantitative easing' (QE). Andere banken, die "ONS geld" beheren en aan ons geld uitlenen, zelfs geld dat ze helemaal niet hebben kunnen ook zo geld/schuld creëren. TROS/RADAR heeft hier twee interessante afleveringen over gemaakt Ik geloof het heette 'Ons Geld'