Archief - Geldautomaat... klopt dit ?
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
devilface
Legacy Member
Tha_nOn zei:ik heb niet gezegd dat gij dat zegt
der zijn een hoop die zeggen dat dat pas opgehaald wordt in een centrale databank, dus vandaar mijn vraag (niet persé naar u gericht, BCS mag mij dat antwoord ook geven
Er is een verschil tussen de code van uw kaart en de code van dat machientje he. Misschien dat die 2 codes bij dexia hetzelfde zijn, wat redelijk onveilig is aangezien uw code dan wel in dat machien staat, maar uw bankkaartcode staat no way op uw bankkaart zelf op. Das zoals bij de digipass van fortis vermoed ik. Ge kunt dat instellen dat dat ook uw pincode is, maar evengoed kunt ge daar een compleet andere code voor gebruiken.
cG`
Legacy Member
Blijkbaar bestaat er zoiets als "Offline PIN" wat inhoudt dat de pincode ergens geencrypteerd staat op uw bankkaart en dat deze dus geverifieerd kan worden zonder verbinding te maken met een database.
Het is dus waarschijnlijk zoiets waar gebruik van gemaakt wordt om uw code te kunnen verifieren in een kaartlezer (niet in een winkel ofzo he, das normaal wel via een database).
Het is dus waarschijnlijk zoiets waar gebruik van gemaakt wordt om uw code te kunnen verifieren in een kaartlezer (niet in een winkel ofzo he, das normaal wel via een database).
Tha_nOn
Legacy Member
mjah ge had voor en tegenstanders, ik dacht int begin al dat uw code op een of andere manier op uw kaart moest staan (tuurlijk gecodeerd, ge gaat da er nu niet gewoon opschrijven 
)
maar tkon natuurlijk ook enkel in de centrala databank zitten \o/ komt ervan als mensen elkaar posts niet deftig lezen enal \o/
fora <o/
)maar tkon natuurlijk ook enkel in de centrala databank zitten \o/ komt ervan als mensen elkaar posts niet deftig lezen enal \o/
fora <o/
BloodSeaker
Legacy Member
no_way2go zei:Dacht het wel
We hebben hier nog zo een klein chiplezertje van fortis thuis liggen dat ze ooit eens weggaven, steek u bankkaart erin en het zegt hoeveel geld er nog opstaat
Werkt wel niet voor alle bankkaarten...
Yeah, Dream on. Dat is enkel het Proton bedrag, dat ge als he ware oplaadt op die chip in uw bankkaart.
En wat betreft ide kaartlezers van KBC: op geen een manier weet die uw pin code. Want voor elke bewerking (behalve het opvragen van proton saldo) moet ge eerst de challenge code ingeven (die ge via kbc online krijgt bvb), dan uw pincode, en dan geeft die u een response code. Dus alles wat da machientje nodig heeft is:
1) een algoritme ingebakken voor de berekening
2) de sleutels zijnde: uw pincode, de challenge code (en mss erges de kaart ID die hij van de chip leest)
De rest wordt volledig door bvb de kbc website afgehandeld.
Uw pincode op uw kaart is nie logisch owv verschillende redenen
- veiligheid
- als ge uw pincode wijzigt en dat wordt uitsluitend op uw kaart bewaard, dan is het onmogelijk om een nieuwe bankkaart aan te vragen die meteen uw code bevat
Trouwes, die digipass is niet uitsluitend op 1 bankkaart te gebruiken. Hier thuis hebben we 2 digipassen: mijn ouders 1 en ik 1. Ik kan perfect die van mijn ouders gebruiken om in te loggen op mijn account en vice versa. Als die dus op basis van de pincode opgeslagen op uw bankkaart zou gaan vergelijken en ook zo geconfigureerd is om te werken met uw kaart, zou zoiets niet mogelijk zijn
EBX
Legacy Member
Eindelijk een paar mensen die het door beginnen krijgen
Die lezerkes van KBC, dexia en tegenwoordig ook Vdk zijn allemaal dezelfde !
Ge kunt die door elkaar gebruiken ! (tenzij ander typenummer)
Op uw bankkaart staat WEL uw code ! Aleen in een zogenaamde 'one-way ge-encrypteerde' vorm, bekijk het en beetje als een md5 hash.
Met deze sleutel kan je dus technisch gezien nooit je code terughalen, je kan enkel controleren of een code dezelfde sleutel oplevert !
Diezelfde 'sleutel' staat ook in de database van je bank. Dubbel systeem dus !Je bank kan nooit je code opvragen, enkel wijzigen ! Een nieuwe kaart die dezelfde heeft, bevat dezelfde gekopieerde sleutel uit de database !
Je kan je code ook nooit wijzigen op een systeem dat geen verbinding heeft met de centrale database ! Als je je bankkaart ergens gebruikt is er dan ook dubbele controle ! Eerst op de kaart -> dan in de database ! (om fraude tegen te gaan)
Er zit ook geen klok / tijdsmechanisme in die befaamde lezerkes (sommigen beweren van wel) Alles wordt server side getimed !
Voorbeeld: om 14.00h logt kaart A in op de site, er wordt een sessie aangemaakt voor 5-minuten voor willekeurige challenge '123'
De server rekent uit dat voor kaart A, met pin-sleutel (versleutelde code) X en opgegeven challenge '123' het reultaat '555' zou moeten bekomen !
Als je gebruiker voor 14.06h het kaart A +antwoord '555' opstuurt naar de server, is het een geldige log-in.
Om 14.06 wordt de sessie gewist, was je te traag, moet je vernieuwen -> krijg je een sessie + nieuwe challenge -> dus ook een nieuw antwoord !
Het bakje doet niks meer dan exact hetzelfde de server ! Het leest het kaartnummer + PIN-sleutel + de challenge, en levert het berekende resultaat ! (indien je pincode, of beter gezegd het resultaat van je pincode ok is)
Nergens is er verbinding tussen computer/database en het bakje !
Het enige wat ik niet echt zeker weet, is of de PIN-sleutel ook effectief verwerkt zit in de berekening van uw 'antwoord' nummer. Veiligst lijkt me van wel, alhoewel ik dat niet zeker ben !
Zowieso moet ofwel uw kaartnummer/pin sleutel er in verwerkt zitten, anders zoude met een geldige kaart, gelijk wie zijn rekening kunnen openen !
Die lezerkes van KBC, dexia en tegenwoordig ook Vdk zijn allemaal dezelfde !
Ge kunt die door elkaar gebruiken ! (tenzij ander typenummer)
Op uw bankkaart staat WEL uw code ! Aleen in een zogenaamde 'one-way ge-encrypteerde' vorm, bekijk het en beetje als een md5 hash.
Met deze sleutel kan je dus technisch gezien nooit je code terughalen, je kan enkel controleren of een code dezelfde sleutel oplevert !
Diezelfde 'sleutel' staat ook in de database van je bank. Dubbel systeem dus !Je bank kan nooit je code opvragen, enkel wijzigen ! Een nieuwe kaart die dezelfde heeft, bevat dezelfde gekopieerde sleutel uit de database !
Je kan je code ook nooit wijzigen op een systeem dat geen verbinding heeft met de centrale database ! Als je je bankkaart ergens gebruikt is er dan ook dubbele controle ! Eerst op de kaart -> dan in de database ! (om fraude tegen te gaan)
Er zit ook geen klok / tijdsmechanisme in die befaamde lezerkes (sommigen beweren van wel) Alles wordt server side getimed !
Voorbeeld: om 14.00h logt kaart A in op de site, er wordt een sessie aangemaakt voor 5-minuten voor willekeurige challenge '123'
De server rekent uit dat voor kaart A, met pin-sleutel (versleutelde code) X en opgegeven challenge '123' het reultaat '555' zou moeten bekomen !
Als je gebruiker voor 14.06h het kaart A +antwoord '555' opstuurt naar de server, is het een geldige log-in.
Om 14.06 wordt de sessie gewist, was je te traag, moet je vernieuwen -> krijg je een sessie + nieuwe challenge -> dus ook een nieuw antwoord !
Het bakje doet niks meer dan exact hetzelfde de server ! Het leest het kaartnummer + PIN-sleutel + de challenge, en levert het berekende resultaat ! (indien je pincode, of beter gezegd het resultaat van je pincode ok is)
Nergens is er verbinding tussen computer/database en het bakje !
Het enige wat ik niet echt zeker weet, is of de PIN-sleutel ook effectief verwerkt zit in de berekening van uw 'antwoord' nummer. Veiligst lijkt me van wel, alhoewel ik dat niet zeker ben !
Zowieso moet ofwel uw kaartnummer/pin sleutel er in verwerkt zitten, anders zoude met een geldige kaart, gelijk wie zijn rekening kunnen openen !
cG`
Legacy Member
BloodSeaker zei:
Lees toch eens heel de thread vooralleer te posten, als ge zelf zo'n kaartlezer hebt: druk op de knop rechtsboven (normaal "M2" bij die van Dexia toch) en dan vraagt dat toestel normaal direct uw pincode zonder challenge of whatever, geef een foute in en die meldt da dus moet uw code wel op de een of andere manier in uw kaart zitten.
En ik zeg nergens dat die code enkel op uw bankkaart zit, die zit eveneens in een database waar gebruik van gemaakt wordt bij bankautomaten, die toestellen in winkels etc..
BloodSeaker zei:
En waarom zou dat niet mogelijk zijn? Dat is juist heel het punt dat die toestellen niet kaartafhankelijk zijn en daarom dus gebruik maken van de pincode, uw pincode zit niet in dat toestel ofzo he, je geeft die op een bepaald moment in en dat toestel gaat de ingegeven code dan vergelijken met de opgeslagen code.
Dit van de veronderstelling uitgaande dat het systeem van KBC gelijk(aardig) is met dat van Dexia zoals hierboven gezegd wordt.
sneax
Legacy Member
Ja kijk het is simpel eh, uw pin staat zowiezo NIET op uw bankkaart dat zou dom zijn en is eenvoudigweg niet nodig omdat er andere mogelijkheden zijn. Ivm met wat ik diagonaal gelezen heb van de antwoorden in de thread:
- Voor verificatie met Dexia maakt uw machientje WEL verbinding met de bank, nl. via uw manuele ingave in de computer van de code die u machientje u geeft. Trouwens uw pin staat ook NIET opgeslaan in de bank zelf.
- Het machientje kan wss autonoom checken of uw pincode juist is omdat er op uw bankkaart een hash staat van uw pincode (dit is niet gelijk aan een codering, en bevat de eigenlijke pincode niet).
Ik weet niet hoe het precies zit en tot iemand komt met feiten zullen we het nooit weten maar in elk geval ik ben er zeker van dat uw PIN nergens taat opgeslaan zelfs niet in gecodeerde vorm.
En Timmos: ik herriner mij dat van die bankrekening verificatie ook (met de controle nummers) maar ik herriner mij wel degelijk ook dat er werd uitgelegd hoe er geauthenticeerd werd als ge geld ging afhalen (allé het hele systeem van een bankkaart met een PIN). Het kan ook geweest zijn in da vak met euhm waar het over determinanten, stelsels en vectoren gaat (ben naam vergeten). Natuurlijk was dat als een 'side note', dus tkan zijn dattem dat dit jaar niet uitlegde.
- Voor verificatie met Dexia maakt uw machientje WEL verbinding met de bank, nl. via uw manuele ingave in de computer van de code die u machientje u geeft. Trouwens uw pin staat ook NIET opgeslaan in de bank zelf.
- Het machientje kan wss autonoom checken of uw pincode juist is omdat er op uw bankkaart een hash staat van uw pincode (dit is niet gelijk aan een codering, en bevat de eigenlijke pincode niet).
Ik weet niet hoe het precies zit en tot iemand komt met feiten zullen we het nooit weten maar in elk geval ik ben er zeker van dat uw PIN nergens taat opgeslaan zelfs niet in gecodeerde vorm.
En Timmos: ik herriner mij dat van die bankrekening verificatie ook (met de controle nummers) maar ik herriner mij wel degelijk ook dat er werd uitgelegd hoe er geauthenticeerd werd als ge geld ging afhalen (allé het hele systeem van een bankkaart met een PIN). Het kan ook geweest zijn in da vak met euhm waar het over determinanten, stelsels en vectoren gaat (ben naam vergeten). Natuurlijk was dat als een 'side note', dus tkan zijn dattem dat dit jaar niet uitlegde.
Elvis P
Legacy Member
qft... lezen geblazen voor de mensen die hardnekking iets anders blijven volhouden!EBX zei:Eindelijk een paar mensen die het door beginnen krijgen
Die lezerkes van KBC, dexia en tegenwoordig ook Vdk zijn allemaal dezelfde !
Ge kunt die door elkaar gebruiken ! (tenzij ander typenummer)
Op uw bankkaart staat WEL uw code ! Aleen in een zogenaamde 'one-way ge-encrypteerde' vorm, bekijk het en beetje als een md5 hash.
Met deze sleutel kan je dus technisch gezien nooit je code terughalen, je kan enkel controleren of een code dezelfde sleutel oplevert !
Diezelfde 'sleutel' staat ook in de database van je bank. Dubbel systeem dus !Je bank kan nooit je code opvragen, enkel wijzigen ! Een nieuwe kaart die dezelfde heeft, bevat dezelfde gekopieerde sleutel uit de database !
Je kan je code ook nooit wijzigen op een systeem dat geen verbinding heeft met de centrale database ! Als je je bankkaart ergens gebruikt is er dan ook dubbele controle ! Eerst op de kaart -> dan in de database ! (om fraude tegen te gaan)
Er zit ook geen klok / tijdsmechanisme in die befaamde lezerkes (sommigen beweren van wel) Alles wordt server side getimed !
Voorbeeld: om 14.00h logt kaart A in op de site, er wordt een sessie aangemaakt voor 5-minuten voor willekeurige challenge '123'
De server rekent uit dat voor kaart A, met pin-sleutel (versleutelde code) X en opgegeven challenge '123' het reultaat '555' zou moeten bekomen !
Als je gebruiker voor 14.06h het kaart A +antwoord '555' opstuurt naar de server, is het een geldige log-in.
Om 14.06 wordt de sessie gewist, was je te traag, moet je vernieuwen -> krijg je een sessie + nieuwe challenge -> dus ook een nieuw antwoord !
Het bakje doet niks meer dan exact hetzelfde de server ! Het leest het kaartnummer + PIN-sleutel + de challenge, en levert het berekende resultaat ! (indien je pincode, of beter gezegd het resultaat van je pincode ok is)
Nergens is er verbinding tussen computer/database en het bakje !
Het enige wat ik niet echt zeker weet, is of de PIN-sleutel ook effectief verwerkt zit in de berekening van uw 'antwoord' nummer. Veiligst lijkt me van wel, alhoewel ik dat niet zeker ben !
Zowieso moet ofwel uw kaartnummer/pin sleutel er in verwerkt zitten, anders zoude met een geldige kaart, gelijk wie zijn rekening kunnen openen !
Siskos
Legacy Member
Ps zie de site eens van banksys (die manne die het netwerk onderhoude van da bankautomaten enzo )
Ook kunde hier zien hoe een bankautomaat werkt *basic*
http://www.banksys.be/bkscomwt/app/flash/transaction/nl/bksys_flash.html
)Ook kunde hier zien hoe een bankautomaat werkt *basic*
http://www.banksys.be/bkscomwt/app/flash/transaction/nl/bksys_flash.html
=(X)=RaVen=
Legacy Member
Bwa, aan de hand van de kaart kan da machien zien of de code ok is, maar ik denk ni da die de code gewoon stockeert. wrsch slaat de bank nen hash op ofzo. Dus die kan ook nooit zien wat de code omgekeerd is tenzij em ook den hash van de omgekeerde pincode opgeslagen heeft. Maar daar moeten ze dan weeral lang mee bezig zijn, omda ik mijn pincode al 11 jaar ni gewijzigd heb bijvoorbeeld (en ik zal ni den enige zijn)
En als uw code nu 7117 is ofzo, dan kan da ook al ni werken he
dan staan de flikken der altijd
(en ik zal ni den enige zijn)En als uw code nu 7117 is ofzo, dan kan da ook al ni werken he
dan staan de flikken der altijd
Elvis P
Legacy Member
Gij zij nen rappen eh gij.=(X)=RaVen= zei:Bwa, aan de hand van de kaart kan da machien zien of de code ok is, maar ik denk ni da die de code gewoon stockeert. wrsch slaat de bank nen hash op ofzo. Dus die kan ook nooit zien wat de code omgekeerd is tenzij em ook den hash van de omgekeerde pincode opgeslagen heeft. Maar daar moeten ze dan weeral lang mee bezig zijn, omda ik mijn pincode al 11 jaar ni gewijzigd heb bijvoorbeeld
En als uw code nu 7117 is ofzo, dan kan da ook al ni werken he
dan staan de flikken der altijd
PaJaMa
Legacy Member
ik herinner me nog een aflevering op 1 vroeger van dieven in een restaurant die via een speciaal lezertje de code van je bankkaart konden lezen en zo je geld plunderen
was ook al laaang geleden, kon ook over kredietkaarten gaan ik weet er niet veel meer van
was zo een restaurant waar de klanten hun kaart zo gaven aan de kelner daar
srry dat ik het zo gebrekkig zeg maar dat is wat ik er nog van weet...
was ook al laaang geleden, kon ook over kredietkaarten gaan ik weet er niet veel meer van
was zo een restaurant waar de klanten hun kaart zo gaven aan de kelner daar
srry dat ik het zo gebrekkig zeg maar dat is wat ik er nog van weet...
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.