Het pinnen begint normaal gesproken bij de pin actie in de winkel. De pincode welke jij moet invoeren staat opgeslagen in de chip in de bankkaart en bovendien in de database van de bank. De pincode wordt gebruikt als een soort wachtwoord om de transactie te voltooien. De pincode wordt dan ook gebruikt voor verschillende doeleinden van de pas, namelijk betalen in een winkel, geld opnemen uit een automaat en internetbankieren.

Wanneer je jou pas gebruikt zal de chip zelf eerst controleren of de pincode juist is. Hiervoor is er dus ook nog geen verbinding nodig bij het pinnen via deze manier. Wanneer de chip dan zegt dat de pincode fout is zal de pas opnieuw naar de pincode vragen, maar als de persoon dit drie keer fout doet zal de chip ervoor zorgen dat er niemand meer bij kan door de pas helemaal te blokkeren.

Er is ook nog een andere manier van pinnen, namelijk de manier met de magneetstrip. Hierbij is er namelijk een verbinding met de database van de bank nodig. De gegevens worden hierbij naar de bank gestuurd en hier geverifieerd. Hierbij stopt de bank met het accepteren van je pas na drie pogingen. Door dit systeem zal het geen zin hebben de magneetstrip te kopiëren om het vaker te kunnen proberen want het wordt toch extern gecontroleerd.

Nadat de bank de pincode heeft geverifieerd zal het bedrag worden overgemaakt naar de desbetreffende persoon of winkel, waardoor er op het schermpje van het automaat komt te staan dat het pinnen is gelukt.

Nu is er bij een onderzoek van de Universiteit van Camebridge naar deze nieuwe technologie gebleken dat deze pas zware tekortkomingen heeft. De chip welke in de pinpas verwerkt is heeft namelijk een optie. Deze houdt in of je de pincode via internet laat verifiëren of niet. Het laatste kost meer moeite voor bedrijven en banken, maar is wel veiliger. Vandaar dat veel mensen dit niet doen, en hier gaan ze de fout in.

De passen zijn namelijk niet bestand tegen het “Britse” kraken. Dit houdt in dat de pas wordt gekraakt via de authenticatie procedure van de pincode. Wanneer een pinpas wordt gestolen (of gevonden) kan deze door deze methode gekraakt worden zonder enige gebruik van een pincode.

De aanval onderbreekt namelijk de authenticatie van de pincode. In een normaal geval zal de pinpas kijken of de pincode goed is en zal hierna een berichtje terug sturen, welke maar twee reacties kan opbrengen, namelijk goed of fout. Deze reacties gaan natuurlijk alleen over de pincode, namelijk of deze goed is of niet. Maar er wordt met de nieuwe EMV chip jammer genoeg niet altijd gecontroleerd of dit antwoord wel van de pas zelf komt.

En dit is het punt waar de Universiteit van Camebridge handig gebruik van heeft gemaakt. Ze hebben een computer aangesloten op hun eigen betaalsysteem en hebben deze de pincode authenticatie laten onderbreken, zodat de computer zelf een antwoord terug kan sturen naar het pinautomaat. Hierdoor heb je dus geen pincode meer nodig om bij iemands geld te komen.

Er zit alleen één gebrek aan deze methode. Je hebt namelijk altijd een pincode nodig om de transactie te verifiëren. Nu is het geval dat in landen zoals in Engeland een pinpas ook gebruikt kan worden als handtekening, waarbij er geen pincode nodig is. Waardoor de banken ook nooit een probleem zullen ontdekken in pincode-loze transacties.

Wat er tegen te doen is, is nog niet duidelijk. De optie om de pinpas via het internet te laten verifiëren is nog lang niet goed ingeburgerd. Om deze optie namelijk aan te zetten moet de eigenaar van de pinautomaat en van de pinpas verschillende aanpassingen doen, welke ook nog eens veel gaan kosten. Vandaar dat dit nog niet in veel landen gebeurd.

In Nederland hebben wij tot nu toe nog geen last van het “Britse” kraken, want in Nederland is er bij elk gebruik van deze chip een internet verificatie nodig. Daarom heeft deze manier van kraken in Nederland nu nog geen zin. Gelukkig hebben de banken hier niet op de centjes gelet, en de internet verificatie gewoon aangezet.

De hele pagina is in de zelfde stijl als de ING website maar is het absoluut niet! Sterker nog, ik kan niet eens een bericht hebben van ING want ik heb daar geen rekening!