Twijfel aan veiligheid Nederlandse PIN-pas



De Britse kraak van PIN-passen is waarschijnlijk wel van toepassing op Nederlandse passen, alleen niet in Nederland zelf. De krakers onderzoeken dit nu.

De Britse wetenschappers van de Cambridge-universiteit breiden hun onderzoek naar de PIN-pas uit. Zij gaan nu passen van verschillende landen testen, vertelt professor Ross Anderson aan Webwereld. Hij erkent dat Nederlandse passen mogelijk veilig zijn door het in Nederland gebruikte systeem van online authenticatie. Dat betekent echter niet dat de passen bestand zijn tegen de Britse kraakmethode.

In het buitenland
De online authenticatie gebeurt namelijk lang niet altijd in andere landen. Zo is het in Frankrijk bijvoorbeeld mogelijk om een PIN-betaling te doen zonder de PIN-code in te voeren. Een handtekening volstaat dan. Er vindt geen controle van de PIN-code plaats.

De Britse kraakmethode bestaat uit het onderscheppen van de PIN-controle tussen de betaalautomaat en de PIN-pas. Op de pas staat namelijk de code opgeslagen. De door de wetenschappers gemaakte kraakinstallatie, bestaande uit standaardelektronica en een Python-script draaiend op een laptop, liegt de betaalautomaat voor dat de ingevoerde, willekeurige PIN-code de correcte is.

'Nederland veilig'
Vorige week heeft de woordvoerster van het Nederlandse EMV-projectbureau al aan Webwereld verklaard dat Nederlandse passen niet kwetsbaar zijn voor de Britse kraakmethode. In Nederland wordt er namelijk online gecontroleerd bij betalingen en geldopnames, stelt zij.

Professor Anderson reageert dat dit best mogelijk is. "Als de Nederlandse banken geen enkele offline PIN-verificatie doen, dan gebruik je een pas alleen bij pin-machines en betaalautomaten die in staat zijn de PIN-code te encrypten voor online-verificatie." Dat geldt dus voor gebruik in Nederland.

'Grote puinhoop'
Volgens de Britse PIN-pasonderzoeker kan dat het gebruik van handtekeningen voor sommige betalingen in Frankrijk verklaren. "Daar doen ze aan offline controle. Maar als je Nederlandse PIN-passen en codes kunt gebruiken bij betaalautomaten in Britse winkels dan vermoed ik dat onze aanvalsmethode wel werkt."

Hij stelt dat het stuk voor stuk testen van de passen van verschillende banken de enige manier is om echt te achterhalen welke passen kwetsbaar zijn. Ook voor de banken zelf. "De hele situatie is een grote puinhoop."