For udstederne af kreditkort, dvs. Visa/MasterCard, Nets og bankerne, handler det om at tjene penge.

Hvis en tilføjelse af en given sikkerhedsfeature ville koste mere end den udgift til svindel den kunne afværge for udstederne, bliver den ikke tilføjet, det er simpel forretningslogik.

Den gyldne regel i sikkerhed er at den der bestemmer hvor meget sikkerhed der skal være også betaler når der ikke var nok sikkerhed.

Denne regel stritter kortudbyderne naturligvis imod med alle midler og derfor prøver de konsekvent at vælte skylden og ansvaret overpå kortholderne, selvom disse ingen indflydelse har på hvor sikkert kortene og systemet skal være.

Skolebogseksemplet er at billedet af kortholderen på bagsiden af dankortet blev fjernet, fordi en bank tabte en svindelsag i byretten og måtte erstatte kundens tab.

Ross Anderssons forskningsgruppe på Cambridge Universtitet er en af de få uafhængige parter der følger dette emne tæt og deres blog er bestemt værd at følge:

https://www.lightbluetouchpaper.org/

Det er altså webbutikkens ansvar, at betalinger bliver håndteret på en korrekt og sikker måde.

Det er helt absurd! Hvorfor har webbutikken noget som helst med betalingsoplysningerne at gøre? En moderne service som Paypal ville aldrig acceptere noget så bagvendt.

Men bankerne er ligeglade, for de kan enten tørre tabet af på kunden eller på butikken. Det er ALDRIG bankens skyld, det står i betingelserne. På trods af at hverken kunden eller butikken har nogen som helst chance for at forhindre snyden, mens banken har alt det som skal til.

de konsekvent at vælte skylden og ansvaret overpå kortholderne, selvom disse ingen indflydelse har på hvor sikkert kortene og systemet skal være.

Kortholderne og butikkerne. Ved onlinesalg er det typisk butikken der står med hele ansvaret, også selvom al sikkerheden er udliciteret til en betalingsgateway (der så skal være PCI-godkendt). Når man er butik, har man om muligt endnu mindre indflydelse på kortene og systemet - hvis man ikke vil tage mod en bestemt betalingsmulighed, ja, så handler folk bare ved konkurrenten.

Angående 3D Secure så kom det til Danmark for mange år siden med en adgangskode-løsning (altså den helt indlysende løsning at man vælger en adgangskode og så skal så taste den ind, i stedet for at adgangskoden/CVV står trykt på kortet - ja, man kunne vel også have brugt pin-koden, men det var jo nok for indlysende?), men Nets fuckede fuldstændig op i implementeringen. Så i stedet for at alle danskerne fik at vide at de skulle vælge en adgangskode inde i deres bank, så blev man omdirigeret ved første betaling til en phishing-lignende side.

Jeg kontaktede dengang Nets, og fik svaret at det havde de ikke nogen indflydelse på (?!) men de vil gerne tage sagen op på et internt møde. Mere skete der ikke i det, ud over at det gik op for mig, som PHK skriver ovenfor, at der egentlig ikke er et særligt stort incitament for Nets til at havne på en brugervenlig løsning. De har ikke nogen større konkurrence.

Og Dankort ER faktisk utroligt billigt i sammenligning med VISA/Mastercard.

Nu er det så åbenbart ved at blive et krav at man skal have en mobiltelefon for kunne handle på nettet. Smart. What could possibly go wrong?

Jeg har kryptologisk analyseret Dankortbetaling på nettet, og læst lov om betalinger. Dankortet er ikke sikkert, og ifølge min analyse er det er utvetydigt ulovligt. Jeg fremlagde en kort version af dette på Bornhack.

Jeg har kontaktet Nets omkring dette for flere måneder siden, men har ikke fået noget ordentligt svar. Så en artikel er på vej.

Det har hidtil været frivilligt for webshops at tilkøbe sig muligheden for at bruge 3D Secure, men det har især været populært for de butikker, der ofte oplever misbrug, da det i sidste ende er butikkerne, der står med tabet, hvis der bliver handlet med stjålne kortoplysninger i deres butik.

Bemærk at der faktisk er lovkrav om 2-faktor autentifikation når man bruger Dankort online fra sin PC, ifølge lov om betalinger § 128 3) stk 2. Så hvad Søren Vinge glemmer at nævne her, er at deres dankortløsning i butikker ,som ikke har indført dette endnu (jeg har ikke mødt det), er ulovlig. Nets siger selv at 2-faktor ikke behøver på transaktioner under 450kr, men det kan jeg ikke læse ud af loven.

Desuden er den "2-faktor autentifikation" som Nets siger de vil indføre slet ikke autentifikation, så det vil stadig være ulovligt derefter... Dette har jeg også fortalt Nets, men de har ikke gidet svare.

Bemærk at jeg har skrevet https://www.version2.dk/blog/nemid-er-ikke... , hvilket jeg selv havde troet ville være nok til at blive taget seriøst, især med kommentaren fra professor Lars Ramkilde Knudsen. Men Nets har ikke engang ville tale med mig om NemID (som jeg også meger er klart ulovlig, som jeg fremlagde en teknisk/juridisk analyse af til Bornhack).

Bankerne og Nets bliver i nærmeste fremtid nok så trængte af andre spillere med meget større ressourcer, at de nok ser deres overlevelseschancer i at komme butikker og brugere i møde, men spørgsmålet er jo om de når det!

Enig. Kortoplysningerne burde ikke ud i webbutikkerne. I stedet burde de kun få en betalings-token fra bank/betalingstjenesten. Denne token indeholder en signeret kontrakt der angiver at butikken har ret til at modtage et beløb én gang (eller 1 gang pr. måned,etc.). Oplysninger om kortholder kunne være anonymiseret eller helt udelades. Butikken modtager derfor i princippet ikke nogen hemmelige oplysninger. Og kan ikke stilles til ansvar for misbrug. Hvis kortoplysninger bliver lækket vil det være bankens egen skyld (eller kortholderens).

Jeg elsker kontanter, og denne tråd har bekræftet min kærlighed. Politikere, politi og efterretningstjenester hader kontanter, for så har de ikke "styr på verden". Betalingstjenesterne er mere eller mindre ligeglade, i hvert fald i Europa.

Bevares, det begrænser mine netindkøb lidt, men en direkte overførsel laver jeg hellere end en kreditkortbetaling. Netbutikker der ikke accepterer direkte betaling styrer jeg udenom. Således er mit liv nemmere og uden bekymringer...

Ville det ikke være smartere hvis CVV nummret opdatered sig selv ved faste intervaller (på 1 min?) Der ved har en hacker kun 1 min til at misbruge kortet hvis han formå at opsnappe net transaktionen...

men det kræver jo osse de kan holde algorytmen hemlig.

Når der kommer en krypto udgave af danske kroner, og andre valutaer, burde det så ikke udradere kreditkort på nettet. Man kan gå ind i sin netbank og fylde penge på sin kryptowallet, og så er det kun disse penge som er i risikozonen på nettet.

Bitcoin har jo vist sit værd, problemet med dem er blot p.t. at der er for store transaktionsomkostninger på erhverve dem.

Det kan godt ske butikkerne er PCI godkendte, men jeg kan ikke se forskel på visa-verified og en phishing side... Og det er jo ikke fordi phishing siderne er PCI godkendte :)

Det samme problem gælder NemID, jeg kan ikke se om en side er legitim eller scam.

Jeg håber snart vi kan få U2F, support er vist lige landet i Firefox nightly :)

ved at blive et krav at man skal have en mobiltelefon for kunne handle på nettet. Smart. What could possibly go wrong?

Ud fra antagelsen, at det er ment som en joke, så vil jeg lige nævne det mest indlysende eksempel.

Hvis jeg tager min mobiltelefon og shopper med den, og på samme mobiltelefon bliver udsat for en two-factor, så er der i mine øjne for lidt two-factor i det. Hvis min mobiltelefon er kompromitteret, så er alt hvad jeg kan lave med den, potentielt kompromitteret.

For at two-factor skal være noget hver, skal det være forskellige enheder. Fx pap-kort (der ikke er fotograferet ind på den første factor), RSA-key eller en Authentication app. Lad vær med at lave two-factor om til one-factor!

Sikkerheden på Mastercard Direct er meget høj. Dels, kan der ikke trækkes penge på kortet, hvis der ikke er penge på kontoen. Og det er muligt, at både bestemme hvilke lande kortet må kunne anvendes, om det må kunne anvendes på Internet mv. Kortet kan ikke overtrækkes, og det tjekkes for dækningen når det bruges.

Jeg bruger altid mit Mastercard Direct til nethandel - og har spæret den til alle andre formål. Samtidigt, så har jeg kun et meget lille beløb på kontoen (10 - 100 kr.) så risikoen hvis oplysningerne misbruges er meget lille. Køber jeg noget på nettet, sætter jeg beløbet ind på kontoen via homebanking umiddelbart før købet, og bagefter er der et beløb fra 10-100 kr.

Jeg så gerne, at man tilsvarende kunne spærre sit Dankort til brug i udlandet og til nethandel, på samme måde som man kan ved mastercard. Kortet vil så kun kunne bruges med chip. Det vil også være fint, hvis man kunne spærre RFID delen. Har man brug for det, f.eks. fordi man skal en tur til udlandet, kan man så tilmelde det for det land man besøger, f.eks. via homebanking.

Mastercard er sikkerhedsmæssigt foran dankortet - jeg hat fået at vide i banken at man arbejder på større sikkerhed i Dankortet, men at der er nogle tekniske problemer, så det ikke er muligt at tilbyde så høj sikkerhed, som på udenlandske betalingskort.

Sandheden er nok - som andre antyder - at det er for at tjene flere penge.

I Jyske bank er det muligt via en app at vælge fysisk brug og pengeautomater i udlandet og hvilke lande det må bruges i samt nethandel. Der er måske andre banker der tilbyder tilsvarende https://www.jyskebank.dk/produkter/kort/mi...

Desvaerre kan systemet kun acceptere et Dansk mobilnummer til 2-faktor bekraeftelse, saa hvad med os, der bor i udlandet, har en dansk bank, men som ikke kan faa en dansk mobiltelefon? Det virker ellers anske udmaerket for udenlandske banker og kort!

Jeg ville som mange andre her ønske at RFID kunne spærres I netbank. Mit forsøg på at sikre den er at jeg ikke burger den mulighed overhovedet. Hvis der er betalt via RFID på mit eller konens kort, kan jeg sandsynliggøre at det er fusk I og med det er de eneste betalinger af sin slags.

Hold kortet op mod lyset og fint chippen, tag et tynd bor og bor igennem så er det spæret permanent.

RFID Jeg ville som mange andre her ønske at RFID kunne spærres I netbank.

Gør som Jesper Jepsen foreslår, eller lidt lettere: lav et lille snit nogle mm ind fra kanten længst væk fra chippen. Så skærer du RFID antennen over, og RFID er stendødt på dit kort.

Er det overhovedet nødvendigt at sandsynliggøre at det ikke er jer selv, der har brugt den?

Jeg mener da at banken hæfter for alle udgifter på kortet, når der ikke er anvendt pinkode. Er det ikke en tro og love erklæring man skal udfylde i tilfælde af snyd?

Smartphones er i kraft af deres sensorer og processorkraft den perfekte platform for sikker betaling. Ansigtsgenkendelse, irisscanner, hjertelyd, fingeraftryk, stemme. Nok liiiige lidt mere sikkert end tre cifre på BAGSIDEN af et fysisk kort.

En moderne service som Paypal ville aldrig acceptere noget så bagvendt.

Jeg synes nu heller ikke, at Paypal er helt rosenrødt. Hvis jeg handler i en netbutik, der tager Paypal, kommer jeg undervejs i transaktionen ind på en Paypal-side, hvor jeg skal taste mit Paypal-password.

Det fungerer fint, når det er en ærlig butik, som faktisk sender mig til en rigtig Paypal-side. Men det kunne jo lige så vel være en uærlig butik, som blot viser mig deres egen kopi af en Paypal-side for at opsnappe mit Paypal-password.

I sidste tilfælde er jeg 100% afhængig af min browsers evne til at give mig information, der sætter mig i stand til at skelne mellem en ægte og en uægte Paypal-side. (Hvilket i øvrigt er nøjagtigt det samme problem, som andetsted i tråden er påpeget for de oprindelige versioner af Verified by Visa og 3D Secure).

Hvis man vil have noget, der er mere sikkert, skal transaktionen "brækkes over", så der er et step, hvor kunden manuelt går ind på Paypals hjemmeside og igangsætter betalingen, hvorefter butikken modtager information fra Paypal om, at betalingen er gennemført, Altså ikke noget med, at pakke betalingsformidlerens betalingsside ind i butikkens kæde af sider, som kunden skal igennem.

En moderne service som Paypal ville aldrig acceptere noget så bagvendt.

Jeg kender faktisk ikke i detaljer PayPals betingelser på området.

Men jeg må - som netbutik ejer - blot konstatere at man på ingen måde ønsker PayPal i Danmark. Deres betingelser kan muligvis være bedre, men de tager sig så også helt urimeligt godt betalt.

Da jeg for mange år siden benyttede dem kostede det 3,5% i gebyr (3,5%!), og jeg antager det er nogenlunde samme niveau nu. Dette skal holdes op imod Dankortets kr. 1,39 uanset beløb.

Så måske har Dankortet haltet lidt på sikkerhedsfronten indtil nu, men et alternativ som PayPal er rædselsvækkende. Godt for dansk erhvervsliv - og derved kunderne - at vi er forskånet for de internationale gebyrgribbe.

Det er vel ikke kunden der kommer til at hæfte for tredie persons svindel. Butikken ja. Kun hvis man har handlet groft uagtsomt eller uhæderligt komme rman selv til at hæfte.

Her er det relevante i pgf 128:

En udbyder af betalingstjenester skal anvende stærk kundeautentifikation

Det er så op til højesteret endeligt at afgøre om du har ret. Jeg tvivler, men er du sikker så anlæg et anerkendelsessøgsmål om Pinkode er godt nok.

Det er vel ikke kunden der kommer til at hæfte for tredie persons svindel. Butikken ja. Kun hvis man har handlet groft uagtsomt eller uhæderligt komme rman selv til at hæfte.

Det er ikke muligt at se, hvem du svarer, eller hvad du svarer på.

Så måske har Dankortet haltet lidt på sikkerhedsfronten indtil nu, men et alternativ som PayPal er rædselsvækkende. Godt for dansk erhvervsliv - og derved kunderne - at vi er forskånet for de internationale gebyrgribbe.

Enig, selv dansk udstedte mastercard og visa er for dyre. Det som jeg tror gør Dankortet så billigt, er at på trods af den lavere sikkerhed, så er kortet beskyttet af geografien. Det er stortset kun danskere der bruger Dankortet, og primært danske netbutikker som tager imod. Der er altså en høj markedsandel, og kun få udlændinge så man lettere kan holde øje med misbruget.

Det er meget muligt det ikke er mig der står med bevisbyrden rent lovmæssigt, men jeg mener selv jeg har et forspring på den made. -Derudover er det lettere at finde de"forkerte" betalinger hvis det er en type som vi ikke normalt anvender. -Jeg tror jeg vil gøre hakket med at fjerne RFID antennen på mit kort. Lyder interessant.

-Derudover er det lettere at finde de"forkerte" betalinger hvis det er en type som vi ikke normalt anvender.

Kan du se det på din kontoudskrift, det tror jeg ikke! NETS kan sikkert, men de er nok ligeglade.

Smartphones er i kraft af deres sensorer og processorkraft den perfekte platform for sikker betaling. Ansigtsgenkendelse, irisscanner, hjertelyd, fingeraftryk, stemme. Nok liiiige lidt mere sikkert end tre cifre på BAGSIDEN af et fysisk kort.

Ikke nødvendigvis. Jeg har læst at det også skal kunne omgås.

*

Enig. Kortoplysningerne burde ikke ud i webbutikkerne. I stedet burde de kun få en betalings-token fra bank/betalingstjenesten. Denne token indeholder en signeret kontrak påt der angiver at butikken har ret til at modtage et beløb én gang (eller 1 gang pr. måned,etc.). Oplysninger om kortholder kunne være anonymiseret eller helt udelades.

Jeg kan bekræfte at det er således.

Fra udbyderen får kun oplysninger om korttype og de sidste 4 cifre fra kortet. Og en token, der giver ret til at hæve op til det aftalte beløb.

Nogle kan ikke lide RFID, ser jeg. Det der taler for RFID sikkerhedsmæssigt er, at der oftest ikke bliver brugt pinkode, så skurken, der stjæler dit kort, kan ikke tømme din konto hurtigere end 200kr ad gangen, indtil systemet bliver mistænksomt og kræver pinkode.

Man behøver ikke engang tage kortet op af pungen.

Jeg kontaktede dengang Nets, og fik svaret at det havde de ikke nogen indflydelse på (?!) men de vil gerne tage sagen op på et internt møde. Mere skete der ikke i det, ud over at det gik op for mig, som PHK skriver ovenfor, at der egentlig ikke er et særligt stort incitament for Nets til at havne på en brugervenlig løsning. De har ikke nogen større konkurrence.

Hvorfor tror du ? http://finans.borsen.dk/artikel/1/351520/n...

Læs i øvrigt også denne: http://borsen.dk/opinion/blogs/view/17/481...

Er dette ikke sikkerhed nok? J https://www.youtube.com/watch?v=jw_4uaRNsB...

eller kan kortet stadig misbruges? Her kan kortet ikke aktiveres/benyttes uden du godkender via dit fingeraftryk. Energien til sensor høstes via kommunikationen.. intet batteri.

Man behøver ikke engang tage kortet op af pungen

Nej, og hvis der tilsluttes en ordentlig antenne på kort-læseren behøver man heller ikke at tage pungen op af lommen. Eftersom svindleren/tyven ikke behøver direkte at få fingre i kortet, så er et lille beløb ikke vigtigt. Man skal bare have mange af dem. Problemet er, at det kræver en meget diciplineret tilgang til sine kontoudtog, at identificere at en udbetaling på kr. 178,50 ikke er korrekt. Man har ikke altid en kvittering, dels pga. automater, som er løbet tør for kvitteringspapir, og dels visse ekspedienters uvane, med at dumpe kvitteringen ned i posen med varer. Når man sidder med et kontoudtog 1½ måned senere, så, tjah . . .

Man behøver ikke engang tage kortet op af pungen

Heller ikke hvis man har to kort, og selv vil vælge på hvilket beløbet trækkes?

Desvaerre kan systemet kun acceptere et Dansk mobilnummer til 2-faktor bekraeftelse, saa hvad med os, der bor i udlandet, har en dansk bank, men som ikke kan faa en dansk mobiltelefon? Det virker ellers anske udmaerket for udenlandske banker og kort!

Kan alle ikke få en dansk mobiltelefon i udlandet?

Jeg købte for nogle år siden en engelsk sim kort (taletid), og den blev sendt til Danmark. Det var ikke et problem. Den fungerer også fint i Danmark, men det er meget dyrt at ringe til danske telefonnumre. Den er derimod billigt at ringe til via IP telefoni, der går via engelsk IP telefoni udbydere.

Prøv at kontakte nogle af de danske udbydere af mobiltelefoni - f.eks. CBB eller oister. De sender nok gerne et SIM kort til udlandet. De fleste steder kan du betale regningerne via visa eller mastercard på nettet.

Man skal bare have mange af dem.

Ja, men det er ikke muligt. Det kontaktløse del af et kort tæller det samlede antal gange og/eller det akkumulerede beløb siden kortet sidst blev brugt med kontakter. Når en grænse nås vil kortet kræve 'at komme ind i sprækken' og at der foretages en PIN transaktion.

hvis man har to kort,

Hvis man har to kontaktløse betalingskort i tegnebogen vil der normalt komme en fejlbesked. Det vil normalt også ske hvis man har et betalingskort og et rejsekort liggende sammen.

Ja, men det er ikke muligt.

Hvorfor er det at du går ud fra at det er mange gange på det samme kort ? Man behøver netop ikke at have kortet i sin besiddelse for at hæve fra det. En læser med en solid antenne, og så ellers hæve et lille beløb fra alle kort, som passerer.

En læser med en solid antenne, og så ellers hæve et lille beløb fra alle kort, som passerer.

De skulle have lavet RFID kortene med en fotocelle, så data føres til kortet via lys i stedet. Det er meget nemt at integrere en fotocelle på halvlederen, og den kan modtage data hurtigere. Samtidigt, havde vi ikke haft alle de sikkerhedsproblemer, når den ligger i pungen.

fra alle kort, som passerer.

Korrekt, men du skal meget tæt på da "antennen" også skal levere strøm til chip'en i dit kort. Læg evt en tynd metalfolie (aluminiumsfolie) i tegnebogen bag kortet, så kortsluttes feltet

data føres til kortet via lys i stedet

Det er ikke nok med data. Der skal også energi over til kortet. Det får du ikke over med lys. Desuden er den vigtigste overførsel ikke til kortet, men fra kortet og her virker en fotocelle ikke.

men du skal meget tæt på da "antennen" også skal levere strøm til chip'en i dit kort.

Det er alt sammen et spørgsmål om sendestyrke og antenne. Pointen er netop at den korte afstand kun handler om, hvordan Nets, eller hvem der nu leverer, har valgt at dimensionere deres sender og antenne. Selvfølgeligt kan man skærme kortet, men dette begyndte egentligt som en kommentar til det "smarte" ved at kunne bruge det uden at tage det ud af pungen :-)