En de enige bedrijven die dus jouw gevoelige data hebben zijn de NS, Translink en je bank?
Zijn we ervan verzekerd dat dit digitaal goud niet word doorverkocht?

Een unieke token….
Speculatie: ik vermoed een hash.
En aangezien je makkelijk door allle rekeningnummers kunt bruteforcen heb je zo een rainbow table bij de hand.

Een pseudoniem is nog steeds uniek en kan worden herleid naar de daadwerkelijke identiteit van de gebruiker.

Inchecken met betaalpas geldt voor alle openbaar vervoer bedrijven. Niet alleen NS, QBuzz en Arriva

Ik ga mezelf niet vergapen aan mogelijke privacy aspecten. Daar komen weer genoeg reacties over binnenlopen hier.

Wat mij intrigeert is de voor de hand liggende factor dat het reizend publiek voor maar liefst 41% 'zijn buik vol heeft' van een ooit opgetuigd OV betaalpas-systeem; een vehikel dat nooit noodzakelijk was geweest als de Nederlandse hoogmoed achterwege was gebleven door als voorbeeld voor hoe het anders kan, over het kanaal, 'yes' bij de Britten te informeren hoe je het een en ander ook effectief kan regelen m.b.v. de BETAALPAS.

Een heel verwachte toename als je bedenkt dat dit pas op 31 jan 2023 ingevoerd is. Dus in 2023 kon je het maar 11 maand gebruiken en de eerste paar maand hadden mensen vast ook nog saldo op hun OV kaart.

Als je weinig via het OV reist, is die OV kaart een heel gedoe. Je moet hem kopen (eerst opzoeken waar, want op een onbemand station worden ze niet verkocht), een paar keer gebruiken en dan een paar jaar later weer kosten maken om het restsaldo terug te krijgen. Na het verlopen van mijn 1e kaart ben ik overgestapt op losse tickets. Nu zou ik inderdaad ook overwegen mijn betaalpas te gebruiken.

Vroeger kocht je een treinkaartje en dan had GEEN ENKEL bedrijf jouw gevoelige locatiedata, reisgegevens of andere data. De overheid zou op zijn minst moeten handhaven dat privacyvriendelijke vervoersbewijzen:
- niet duurder zijn dan dit soort tracking-meuk;
- en op elk station even makkelijk te krijgen zijn als dit soort tracking-meuk.

Na alle inflatie en verhoging ritsprijzen van de afgelopen tien jaar moeten ze maximum oplaadbedrag van saldo op de anonieme OV-chipkaart ook verhogen van 150 euro naar tenminste 300 euro. Ik moet steeds vaker bijstorten, straks verschilt het weinig meer van een enkelereis kaartje kopen.

Het is juist de bedoeling van NS, Translink enz. om de anonieme of naamloze OV-chipkaart zo gebruiksonvriendelijk te maken, dat mensen dan maar een kaart op naam nemen of hun niet-anonieme bankpas gebruiken.

Qua maximum oplaadbedrag zonder inflatiecorrectie, hetzelfde heeft het parlement vorig jaar goedgekeurd voor het beperken van contante betaling tot 3000 euro, zonder indexering voor inflatie. Onze "volksvertegenwoordigers" of wat daarvoor doorgaat streven doelbewust naar uitfasering van privacy-vriendelijke betaalmethoden. Alles willen ze monitoren en traceerbaar maken.

Dat is de EU-agenda en die volgen ze tot nu toe allemaal, van "links" tot helemaal "rechts".
Komt er een JD Vance en zegt in München dat de EU niet democratisch is. Oh, wat een drama voor de EU-bonzen! Dat mag van hen absoluut niet gezegd worden.
In plaats van dat ze leren van hun vijanden. "Je vijand is je beste leermeester." Dat zouden ze boven de ingang van elk EU-gebouw moeten zetten.

Dat was in de jaren 80 en 90. Developers met opleiding gebruiken nu betere methoden zoals HMAC.

Niet zo heel vreemd, zijn vervoerders waarbij het gebruik van bankpas (uiteraard: nog wel) goedkoper* is dan de ov-chipkaart.
Daarnaast is het uitermate merkwaardig dat de ov-bedrijven wederom voor translink gekozen hebben. Het ov-chipkaart-systeem heeft nooit fatsoenlijk gewerkt, nog altijd vol bugs (eigen ervaring bij de ns). Ook ov-pay zal nooit fatsoenlijk gaan werken, omdat de meest simpele zaken net als bij de ov-chipkaart niet geïmplementeerd kunnen worden (misschien dat het wel kan, maar blijft vreemd dat simpel ogende bugs niet opgelost worden, kan uiteraard ook de houding van de ns zijn).

*deze term is uiteraard relatief, je betaalt alsnog 90+ procent teveel, echter is dat een andere discussie.

Nooit van de Oyster card gehoord?

Zoals verwacht hebben de trollen weer het hoogste woord, terwijl dit onderwerp eigenlijk iedereen aangaat, die regelmatig gebruik van het openbaar vervoer maakt. Ikzelf gebruik een persoonlijke OV kaart, en heb die aan een vervoersorganisatie gekoppeld, zodat bij verlies van de OV kaart deze snel kan worden geblokkeerd.

Wat zijn nu de voor en nadelen van de betaalkaart versus de persoonlijke OV Kaart. Ten eerste kan je op je betaalkaart geen OV abonnement van de trein, bus of tram zetten, dus moet je in dat geval de betaalkaart aan de OV-pay app koppelen. Gebruik je de betaalkaart zonder OV-pay app, dan moet je goed opletten, dat je altijd uitcheckt, anders is het een hels werk om je teveel betaalde instaptarief terug te krijgen.

Met de persoonlijke OV pas, zal iedere gebruiker die regelmatig met het OV reist daarvoor ook een abonnement aanschaffen. Dus om het maximum bedrag van 150 euro te verhogen naar 300 euro is onzin.
Regelmatig met de NS reizen betekend meestal dat je een Flex abonnement hebt, en derhalve op rekening reist, en niet meer op saldo. Er hoeft dan geen geld op de kaart worden gezet, en ook kan tegelijkertijd reizen met de bus, of tram op rekening. Ook zonder een NS abonnement kun je de OV kaart instellen op rekening rijden, en feitelijk fungeert dan de OV kaart als je betaalpas, handig, als je ook wel eens een NS fiets wilt huren.

Nadeel is dat bepaalde bus abonnementen niet compatible met de NS abonnementen op de OV kaart zijn, bijvoorbeeld het Noord-Nederland abonnement van Arriva en Qbuz (gestapelde korting bus en Arriva trein) kan niet samen op een OV kaart die ingesteld is op rekening rijden. In dat geval heb je dus twee OV kaarten nodig.

Op _alle_ onderwerpen wordt gereageerd door mensen die er nog nooit wat van gezien of mee gedaan hebben.
Op de security onderwerpen zijn dat typisch hobbyisten zonder werkervaring.


De betaalkaart is ideaal voor degenen die NIET vaak met het OV reizen, maar "soms" in de situatie zitten dat ze even een ritje OV moeten nemen.

Met de auto naar een P+R, paar haltes tram/metro de stad in.
Afspraak ergens etc.

Vervelend als je dan ontdekt dat je "nooit nodig" ov kaart thuis ligt.

Alletwee de wijn bij het eten kunnen drinken.

Overigens is het met een normale kaart (of prepay) ook (wat) gedoe om een check uit gemist terug te krijgen.

Dat hoeft niet - als je geen woon werk hebt maar gewoon "met enige regelmaat" met OV gaat kun je nog steeds prepaid werken , en hooguit een daluren abo erbij zetten.


De ov fiets is inderdaad altijd op rekening. Maar het OV reizen hoeft dat niet te zijn.


Ah, niet mijn probleem, maar inderdaad onhandig.

a:
Nee, je bank heeft nauwelijks details.
En zal extreem hard op de vingers gemept worden door DNB als het -nota bena- lokaliseren van clienten mogelijk maakt.

b:
NS zal enkel data van NS hebben, niet van een Arriva of Connexion.
Plus, bank A(BN) weet niet wat er bij bank B(unq) gebeurt.

Oh ja? En wat is de key? Het pasnummer zeker? Dat zijn maar liefst 3 digits.

Neen.
Dank voor je reactie maar het interesseert mij in mijn context ook niet. Mijn post was uitsluitend gericht tegen de eigengereide VOC mentaliteit dat wij, Nederlanders, de hautaine aan narcisme grenzende eigengereidheid hebben te denken álles beter te weten en/of kunnen dan de rest van de wereld. Die in 2002 of daaromtrent geïntroduceerde OV-chip kaart was/is daarvan een ranzig voorbeeld, terwijl je in Engeland nu al decennia met een betaalpas het openbaar vervoer in- en uit kan.

Het zou alleen een kwestie zijn geweest om de schoenen aan te trekken i.p.v. opgeblazen van eigendunk ernaast lopen, de boot nemen en in Groot-Brittannië informeren hoe zij het een- en ander m.b.t. betalen in het openbaar vervoer i.p.v. cash hadden geregeld. Inderdaad... heel gewoon met een bankpasje.

Dat in de wortel al rotte qua ontwikkelingskosten inclusief implementatie miljoenen verslindende veel te complexe prutsysteem met saldo laad- en controlepalen inclusief het extra gedoe met een bankpas, was dan volledig overbodig geweest.

Dat was de aard van mijn opmerking. De Oyster card is gewoon de OV pas van Londen (let wel: enkel Londen), met alle laadsystemen e.d. die erbij horen; inderdaad net de OV pas.

Daarnaast ook daar al jaren betalen met de betaalkaart. Pas op: enkel binnen Londen (en wellicht wat andere plaatsen?), maar zodra je met de trein een eindje buiten Londen komt (bijvoorbeeld naar een vliegveld) dan kan dit dus niet en moet je gewoon een kaartje kopen. Dus zo perfect is de wereld in de UK op dit gebied ook niet.

Er is niks mis met ("ongekraakte") cryptografische hashes.

Een veel voorkómend probleem is dat onervaren programmeurs denken dat het zin heeft om korte en/of voorspelbare getallen (of karakterreeksen, door programmeurs "strings" genoemd, denk bijv. aan IPv4-, Ipv6- en MAC-adressen, BSN's en telefoonnummers) te pseudonimiseren middels whatever cryptografische functie: zonder het meenemen van een "secret" ("pepper", "IV" = Initialisatie Vector" of geheim gehouden cryptografische sleutel) krijg je dat nooit veilig als je ervan uitgaat dat de gebruikte functie niet geheim is of als je niet 100% zeker weet dat de functie geheim gehouden kan worden (wat zelden het geval is, ga uit van "nooit").

Het hashen van een een korte string met een "gewone" (ongekraakte) cryptografische hashfunctie is zinloos, omdat je met een moderne grafische kaart in zeer korte tijd de hashwaarde van alle mogelijke input-combinaties kunt uitrekenen. Dat gaat tegenwoordig zó snel dat je de output niet eens meer in een rainbow table hoeft op te slaan (je vergelijkt gewoon elke berekende output met de hashwaarde die je in handen hebt, totdat je een match vindt).

Salts (die "even geheim" zijn als de resultaathash, normaal gesproken daarnaast worden opgeslagen) helpen ook nauwelijks nog.

Precies hetzelfde probleem speelt bij relatief korte wachtwoorden, maar ook bij hergebruikte lange semi-random (of echt random) wachtwoorden (omdat die in "dictionaries", gebruikt door o.a. Hashcat en John, terecht kunnen komen).

Bij een voldoende lang random getal (of een voldoende lange random alfanumerieke string, of een voldoende groot blok bytes met elke mogelijke random waarde) dat niet wordt hergebruikt speelt dat probleem niet.

Bij een HMAC heb je twee inputs: de te pseudonimiseren reeks bytes en een "secret". De HMAC functie is een veilige vervanger voor het hashen van twee achter elkaar geplakte inputs: er zijn namelijk cryptografische hashfuncties die "informatie kunnen lekken" als je achter elkaar plakt.

Als je 100% zeker weet dat alle inputs cryptografisch random gegenereerde GUID's zijn (zie https://datatracker.ietf.org/doc/html/rfc9562#name-uuid-version-4, https://peteroupc.github.io/random.html en https://developer.mozilla.org/en-US/docs/Web/API/Crypto/randomUUID), is, in theorie, zelfs MD5 goed genoeg (niet gebruiken, want teveel mensen snappen dit niet, en als later door derden GUID's worden aangeleverd kan het wél fout gaan).

De reden daarvoor is dat MD5 vooral gekraakt is voor de situatie dat een kwaadwillende twee speciaal geprepareerde inputs genereert waarvan zij/hij weet dat deze dezelfde MD5 hashwaarde opleveren, en later de tweede input aanbiedt, bijv. om ergens onderuit te komen. Zie bijv. de plaatjes (met getallen er in) in https://en.wikipedia.org/wiki/MD5#Collision_vulnerabilities).

De volgende ogenschijnlijk sterke wachtwoorden moet niemand meer gebruiken, want ze komen voor in "RockYou2021.txt". Nb. er zijn er veel meer zo, deze had ik uitgezocht speciaal voor een Duitse reactie (schrijven in die taal is niet mijn sterkste punt: https://infosec.exchange/@ErikvanStraten/113923644127405769):

Langer kan ook (ik voeg steeds een lege regel tussen om te voorkómen dat ze, op kleine schermen, in elkaar door lijken te lopen):

Ondanks dat mensen (deels) in herhalingen vervallen, kun je dat niet zomaar zwakke wachtwoorden noemen.

Het lijkt mij zeer onwaarschijnlijk dat bovenstaande plain text wachtwoorden middels brute-force uit hashes (welke functie dan ook) zijn achterhaald. Waarschijnlijk zijn zij, ofwel:

• Ingevoerd op nepwebsites (al dan niet via een gekaapte http-verbinding);

• Was de échte server zelf gehacked (mogelijk door een foute beheerder) en had de aanvaller toegang tot de wachtwoorden vóórdat zij gehashed of versleuteld werden;

• Werden die wachtwoorden op de server "plain text" opgeslagen (ze kunnen ook -plain text- terechtkomen in logbestanden);

• Een Javascript aanleverende meekijkserver was gehackt waardoor aanvallers "in de browser" konden meekijken;

• De browser zelf was gehacked (of voorzien van een foute plug-in);

• Gepubliceerd als voorbeelden van hoe een sterk wachtwoord eruit zou kunnen zien;

• Waren zij opgeslagen in de versleutelde database een wachtwoordmanager waarbij een aanvaller toegang verkreeg tot die database én het master password.

Fix: gebruik een wachtwoordmanager en laat deze per account een zo lang als mogelijk random wachtwoord genereren. Check beslist ook "Veilig Inloggen" in https://security.nl/posting/840236 voor andere eisen die je jezelf moet opleggen.

Ik blijf het bizar vinden dat je jouw persoonsgegevens af moet geven om een publieke dienst af te nemen.
Tot 1994 hoefde je geen ID op zak te hebben en tot voor kort hoefde je geen enkele moeite te doen om anoniem te reizen. En daar zit ook meteen het probleem, je moet nu bewust kiezen om anoniem te reizen ipv dat dit de standaard is.

Heb je dan wat te verbergen Anoniem? Nou, nee maar het gaat anderen simpelweg geen hout aan wat ik doe of waar ik dat doe, dat is namelijk exact wat privacy inhoud, voorkomen dat anderen ongelimiteerd toegang hebben tot jouw handel en wandel.

Maar wat zegt dat eigenlijk?
Dat mensen het zo superfijn vinden om met een betaalpas in te checken?
Dat men liever de niet-anonieme betaalpas gebruikt aangezien die misschien wel ietsje anoniemer is dan een anonieme OV-chipkaart ...?
Dat de huidige woningmarkt (te koop / te huur / te duur) misschien wel een grotere oorzaak is van toename van OV gebruik?
Want wie zegt dat niet-betaalpas check-in's evenredig toegenomen zijn?

Maar... waarom komt dan de Betaalvereniging met de volledige statistieken, incl. die van check-in's van de OV-chipkaart waar ze eigenlijk helemaal geen zicht op hadden ..?


Verder is het een volledig open deur:
als je het introduceert in 2023 zou het wel heel erg vreemd zijn als er in 2025 geen toename was.

Ik heb een OV-chipkaart met een kortingsabonnement erop, en heb toen dit geactiveerd was een paar keer meegemaakt dat ik per ongeluk de verkeerde kaart ervoor hield en dat niet doorhad omdat ik daar opeens ook mee kan inchecken. En je kan het niet uitzetten op je bankpas. Goed, ik heb ervan geleerd dat als ik met het OV reis ik tijdelijk mijn bankpas achterin het houdertje doe in plaats van voorin, en daarmee voorkom ik die vergissing.

Dat het met je bankpas kan heeft als voordeel dat mensen die echt vrijwel nooit met het OV reizen niet door de hoepels hoeven te springen van het aanschaffen van speciale kaarten daarvoor voor die enkele keer dat ze het wel doen, maar voor mensen met een persoonlijke OV-kaart met abonnementen erop vergroot het de kans op vergissingen. Persoonlijk had ik liever gehad dat die lezers domweg niet op mijn bankpas reageerden.

Dit zijn geen bedrijven die, zoals veel grote techbedrijven, hun diensten (ogenschijnlijk) gratis aanbieden met een verdienmodel zonder rechtstreekse inkomsten van de gebruikers. Dat is geen waterdichte garantie, maar het scheelt wel degelijk dat ze gewoon inkomen hebben als ze je gegevens niet ook nog eens gaan exploiteren.

Anonieme OV-chipkaart is er alleen prepaid. Dus wie anoniem wil reizen, kan niet met abo reizen. Dan is verhoging maximum bedrag helemaal geen onzin. Vijftienjaar geleden was 150 euro veel meer treinkilometers waard dan nu.

NS heeft trouwens gekozen om dalurenabo niet toe te staan in combinatie met anonieme OV-chipkaart. Dus wie anoniem wil reizen, kan geen dalurenkorting krijgen. Daar zijn ooit geloof ik nog rechtzaken over gevoerd. Het is wel balen, het voelt als discriminerend dat je alleen dalurenkorting krijgt als je daarvoor betaalt met je data.

Je context was precies "elders doen ze het beter had dat gekopieerd" , en dat is totaal uit je duim gezogen wanneer de realiteit is dat jouw "elders" hetzelfde deed en het voorbeeld was voor de Nederlandse model, toen dat gekozen werd.

Transport for Londen heeft betalen met een debitcard in ca 2012 geintroduceerd.

De OV chip kaart in Nederland is vanaf 2005 ingevoerd.

Try again.



"Kijken naar de UK en SG" is precies wat ze deden bij de OV chipkaart, bij het ontwerp < 2005 .
En dat was in die tijd geen bankpas.

Een bankpas is prima voor incidentele reizigers.

Abonnementen, 60+ korting - met een OV kaart , in London.

Ze zullen hier het idee "betalen met bankpas" ook wel geleerd hebben van buiten . Waarom het vrij lang geduurd heeft om dat idee ook te implementeren , geen idee.
Afschrijving ? Support in de populatie bankpassen, qua "diensten van derden " ?


Wat een kansloze rant als je - zelfs nadat je erop gewezen bent - zo ontzettend ongelijk hebt .

Andersom : In Hong Kong kun je met de OV kaart (Octopus) ook boodschappen e.d. betalen (aka chipknip) . Blijkbaar een niche dat het bank-betalingssysteem daar iets heeft waarom kleine betalingen die je in NL met pin/contactloos doet duur of lastig of niet beschikbaar zijn.

Ik bedoelde andersom. De niet-anonieme OV chipkaart kan je prepaid gebruiken , ook met abonnement. Op rekening reizen _hoeft_ niet.

Dit is de NL agenda.... Van de DG's en top ambtenaren, kaliber Dick Schoof van voordat die premier werd..., door politici van div. Partijen. ( VVD , CDA, SGP en nog een paar grote.)
En wat partijen die het geen moer interesseert zoals BBB, FvD en je hebt een meerderheid.

EU gaat hier helemaal niet over. Graag wel de juiste schuldigen noemen... Nederlandse ambtenaren zijn incompetent genoeg en dat is een voldoende verklaring.

begrijpelijk, hoewel ik denk haast onmogelijk. Het andere nadeel is wanneer je een keer je OV kaart vergeten bent de "reserve optie" van je bankpas dan niet kunt gebruiken.

(twee OV kaarten - zakelijk en privé , heb je hetzelfde probleem)

Duh, als alle andere mogelijkheden steeds verder uitgefaseerd worden is dat niet gek, en het is vooral geen teken dat alle klanten dit zouden willen.

..en/maar de OV-chipkaart kost €7,50 en de bankpas heb je al.

Inderdaad. En de bankpas staat ook (desgewenst) op je telefoon.

Nu is 7.50 over 5 jaar nogal te overzien qua afschrijving, maar voor degenen die "nooit" het OV instappen "want dan moeten ze eerst een keer kopen" is het vast ook een extra drempel.

Het is gewoon een goed model voor de incidentele reiziger.

De nutteloosheid der banken. Het is mooi als ze kunnen faciliteren maar daar hebben ze zelf te weinig verstand van. Dus dan krijg je ook dit soort dingen. En zeer grove privacyschendingen.

Als ik de bus naar Sassenheim neem dan mag iedereen die ik het zelf wil vertellen dat weten.

Maar een bank niet.

Dat zal me niet zo snel overkomen, ze zitten in hetzelfde aluminium kaarthoudertje.