Mastercard stopt met Maestro

Sissors schreef op zondag 12 november 2023 @ 19:26:
[...]

Je moet ook expliciet inschakelen dat je buiten de EU wil pinnen, dat verschuift toch ook niks?

Goed punt, er nog eens over nadenkend, besef ik me echter dat je punt m.b.t. CVC expliciet inschakelen misschien nog niet helemaal duidelijk voor mij is. CVC-code standaard uitschakelen zou in principe beteken: geen enkele online transactie mogelijk. En dan wil je in landen die achterlopen (met wat? Implementatie van 3D-secure?) wel de CVC-code inschakelen om in dat land online (CNP) transacties te verrichten?

In ieder geval zou er een vergelijkbaar systeem toegepast kunnen worden waarbij je met een in EU uitgegeven pas alleen bij online winkels in de EU kunt betalen.

En behalve dat dat business model betaald wordt door hoge fees, die wij ook weer betalen, ben jij daarbij juist de verantwoordelijke. Jij moet je rekening in de gaten houden vanwege de twijfelachtige beveiliging tov wat we nu hebben.

De kosten van fraude zitten uiteraard verwerkt in de tarieven. Tuurlijk kan alles 100% dichtgetimmerd worden om 0,0 risico te lopen, maar dan moet je weer inleveren op andere aspecten zoals betaalgemak, snelheid van transacties, en is er een grote kans dat alle beveiligingsmaatregelen meer kosten dan de fraude die ermee voorkomen wordt.

Je rekening moet je overigens sowieso al regelmatig in de gaten houden, check je voorwaarden van je bank maar eens. Bijvoorbeeld Rabobank gaat uit van elke twee weken voor rekeningen waar je digitaal toegang tot de transacties hebt.

Je kan inderdaad de CVV2 code uitkrassen. Maar je bent natuurlijk op meerdere manieren beschermd, grotendeels door 3D Secure die verplicht aan "merchants" om twee factor authentificatie te doen (via App of SMS) maar ook door bijvoorbeeld een bestedingslimiet, automatische SMS voor hoge bedragen en/of betalingen in het buitenland etc.

Verder is het zoals @Wally2002 zegt: het is een afweging tussen fraude en gemak. VISA en Mastercard (op verzoek van de merchants) zetten in op frictionless betalingen waarbij er alles aan gedaan wordt om zo gemakkelijk mogelijk te betalen. Dat zorgt ervoor dat de e-commerce een hogere conversion rate (de ratio van bezoeker op je website tot overgang naar betalen) haalt.

Wally2002 schreef op zondag 12 november 2023 @ 20:44:
[...]


Goed punt, er nog eens over nadenkend, besef ik me echter dat je punt m.b.t. CVC expliciet inschakelen misschien nog niet helemaal duidelijk voor mij is. CVC-code standaard uitschakelen zou in principe beteken: geen enkele online transactie mogelijk. En dan wil je in landen die achterlopen (met wat? Implementatie van 3D-secure?) wel de CVC-code inschakelen om in dat land online (CNP) transacties te verrichten?

In ieder geval zou er een vergelijkbaar systeem toegepast kunnen worden waarbij je met een in EU uitgegeven pas alleen bij online winkels in de EU kunt betalen.

Wat ik vooral zou willen is de mogelijkheid om een card not present transactie (lees: online) te doen zonder verdere verificatie uit te schakelen. Dus gewoon altijd forceren dat je bijvoorbeeld op je telefoon toestemming moet geven.

[...]


De kosten van fraude zitten uiteraard verwerkt in de tarieven. Tuurlijk kan alles 100% dichtgetimmerd worden om 0,0 risico te lopen, maar dan moet je weer inleveren op andere aspecten zoals betaalgemak, snelheid van transacties, en is er een grote kans dat alle beveiligingsmaatregelen meer kosten dan de fraude die ermee voorkomen wordt.

Je rekening moet je overigens sowieso al regelmatig in de gaten houden, check je voorwaarden van je bank maar eens. Bijvoorbeeld Rabobank gaat uit van elke twee weken voor rekeningen waar je digitaal toegang tot de transacties hebt.

Maar we gaan gewoon een duidelijke stap achteruit doen tov de huidige situatie. En imo is de moeite die het kost een Ideal betaling (oid) goed te keuren, nou niet zo groot.

Ik vind het allemaal wat spijkers op laag water zoeken.
In de afgelopen 25 jaar heb ik ongeveer 0x mijn pinpas uit handen gegeven om ergens te betalen.

Maar als je pinpas gestolen wordt, kan de overvaller er nu mogelijk, afhankelijk van hoe vaak je de code digitaal moet bevestigen, makkelijker misbruik van gaan maken.

Maargoed, de beste negatieve punten zijn altijd degenen die verkapt positief zijn, namelijk het makkelijker online betalen dan met maestro.

Bunq zet de CVC ook niet op je kaart. Kun je in de app inzien, wijzigen of zelfs elke 5 minuten automatisch laten wijzigen.

Zelfs als online misbruik zeldzaam is, is het een kleine moeite om de CVC via de app aan te bieden (of net als initiële pincode bij veel banken in aparte brief op de post) in plaats van zichtbaar op de kaart.

Volgens @segil zet Triodos er blijkbaar een ‘CRC’ code op.
Ik neem aan dat daar CVC bedoeld werd?
Blijkbaar is Triodos dan nog een van de uitzonderingen oid? Als hierboven al blijkt dat Bunq en Knab dat iig niet doen.

Bij Rabo staat de CVC ook op de pas. OpenBank uit mijn hoofd niet, maar dat weet ik niet zeker en pas niet bij de hand.

Dipsausje schreef op zondag 12 november 2023 @ 22:06:
Bunq zet de CVC ook niet op je kaart. Kun je in de app inzien, wijzigen of zelfs elke 5 minuten automatisch laten wijzigen.

Zelfs als online misbruik zeldzaam is, is het een kleine moeite om de CVC via de app aan te bieden (of net als initiële pincode bij veel banken in aparte brief op de post) in plaats van zichtbaar op de kaart.

Ik kende die oplossing niet. Is inderdaad wel handig. Maar dat is zeker geen kleine moeite, je moet een heel systeem opzetten die miljoenen klanten in real-time hun code kan weergeven. Daarnaast, is het natuurlijk ook heel gevoelig, want als het systeem plat ligt, kunnen klanten niet betalen.

YakuzA schreef op zondag 12 november 2023 @ 22:12:
Volgens @segil zet Triodos er blijkbaar een ‘CRC’ code op.
Ik neem aan dat daar CVC bedoeld werd?
Blijkbaar is Triodos dan nog een van de uitzonderingen oid? Als hierboven al blijkt dat Bunq en Knab dat iig niet doen.

Ja, ik bedoelde de security code. Die staat samen met het kaartnr en vervaldatum op de achterkant. In groter lettertype dan mijn eigen rekeningnr.

Ik heb gevonden in de app dat je de limiet op 0 euro kunt zetten. Hopelijk geldt dit niet voor ideal betalingen. Vandaag maar eens bellen met de Triodos bank.

FreeShooter schreef op maandag 13 november 2023 @ 08:33:
[...]


Ik kende die oplossing niet. Is inderdaad wel handig. Maar dat is zeker geen kleine moeite, je moet een heel systeem opzetten die miljoenen klanten in real-time hun code kan weergeven. Daarnaast, is het natuurlijk ook heel gevoelig, want als het systeem plat ligt, kunnen klanten niet betalen.

Die extra's bij bunq dat je kan wijzigen en automatisch rouleren zijn natuurlijk geen kleine moeite. Ik doelde meer op het delen van de info via app/brief in plaats van afsrukken op de kaart.

Zojuist Triodos bank gebeld. De medewerker herkende zich in mijn bezwaren en vond dat het ook niet verstandig was dat die gegevens op de bank afgedrukt staan. Maar meer kon hij niet doen dan het alleen intern doorgeven. Enige verklaring die ik kreeg was dat "De betalingsverwerker Worldline heeft deze pas beoordeeld en geconstateerd dat het voldoet aan de juiste security protocollen". Wat dat ook moge betekenen.

Ik gaf verder als bezwaar aan dat dit wel erg fraudegevoelig werkt, omdat maar 1x een foto van je pas getrokken hoeft te worden, die vervolgens oneindig op internet circuleert met alle gegevens om een betaling te doen. Dan kan je wel de limiet op 0 euro zetten, maar het houdt wel in dat je zelf nooit dit systeem kunt gebruiken, omdat je niet weet of er misbruik van gemaakt wordt.
Ik vroeg wat zou gebeuren als iemand op die manier een betaling doet met mijn pas en of ik automatisch dan mijn geld terug krijg zodra ik dit aankaart. Maar dat is niet het geval, dat zal dan per geval apart bekekenen moeten worden.

Ik vind dit echt zo slecht en onverantwoordelijk van een bank. Temeer ook omdat ze dit helemaal niet gecommuniceerd hebben in hun nieuwsbrieven en mailings. Ik denk dat de meeste klanten geen flauw idee hebben van wat er nu speelt.
Ik voorzie al een aankomende heist, waarbij een foto van een bankpas gemaakt wordt en later online betalingen gedaan worden.
Voor de duidelijkheid, de nieuwe Triodos debit card ziet er zo uit.

Ondanks de bankmedewerker vriendelijk bleef, kwam het hele gesprek op neer dat nu eenmaal hiervoor is gekozen en that's it. Je moet het er maar mee doen.

Ik ga eens kijken of ik die security code weggekrast kan krijgen.

[ Voor 9% gewijzigd door segil op 13-11-2023 10:32 ]

segil schreef op maandag 13 november 2023 @ 10:28:
Voor de duidelijkheid, de nieuwe Triodos debit card ziet er zo uit.

Ondanks de bankmedewerker vriendelijk bleef, kwam het hele gesprek op neer dat nu eenmaal hiervoor is gekozen en that's it. Je moet het er maar mee doen.

Ik ga eens kijken of ik die security code weggekrast kan krijgen.

Dit is wel een hele rare layout inderdaad.

Het is niet voor niks dat op Creditcards altijd het nummer en vervaldatum op de voorkant staan, en de CVC op de achterkant.

[ Voor 18% gewijzigd door YakuzA op 13-11-2023 10:46 ]

YakuzA schreef op maandag 13 november 2023 @ 10:46:
[...]
Het is niet voor niks dat op Creditcards altijd het nummer en vervaldatum op de voorkant staan, en de CVC op de achterkant.

Bij American Express staat de CID (4-cijferige code om betaling te bevestigen) ook op de voorkant. Altijd vreemd gevonden omdat je dus inderdaad aan een snelle foto genoeg hebt

segil schreef op maandag 13 november 2023 @ 10:28:
Zojuist Triodos bank gebeld. De medewerker herkende zich in mijn bezwaren en vond dat het ook niet verstandig was dat die gegevens op de bank afgedrukt staan. Maar meer kon hij niet doen dan het alleen intern doorgeven. Enige verklaring die ik kreeg was dat "De betalingsverwerker Worldline heeft deze pas beoordeeld en geconstateerd dat het voldoet aan de juiste security protocollen". Wat dat ook moge betekenen.

Ik gaf verder als bezwaar aan dat dit wel erg fraudegevoelig werkt, omdat maar 1x een foto van je pas getrokken hoeft te worden, die vervolgens oneindig op internet circuleert met alle gegevens om een betaling te doen. Dan kan je wel de limiet op 0 euro zetten, maar het houdt wel in dat je zelf nooit dit systeem kunt gebruiken, omdat je niet weet of er misbruik van gemaakt wordt.
Ik vroeg wat zou gebeuren als iemand op die manier een betaling doet met mijn pas en of ik automatisch dan mijn geld terug krijg zodra ik dit aankaart. Maar dat is niet het geval, dat zal dan per geval apart bekekenen moeten worden.

Ik vind dit echt zo slecht en onverantwoordelijk van een bank. Temeer ook omdat ze dit helemaal niet gecommuniceerd hebben in hun nieuwsbrieven en mailings. Ik denk dat de meeste klanten geen flauw idee hebben van wat er nu speelt.
Ik voorzie al een aankomende heist, waarbij een foto van een bankpas gemaakt wordt en later online betalingen gedaan worden.
Voor de duidelijkheid, de nieuwe Triodos debit card ziet er zo uit.

Ondanks de bankmedewerker vriendelijk bleef, kwam het hele gesprek op neer dat nu eenmaal hiervoor is gekozen en that's it. Je moet het er maar mee doen.

Ik ga eens kijken of ik die security code weggekrast kan krijgen.

toon volledige bericht

Bijzonder (als in: zou ik niet verwachten), maar is wel geheel volgens het designdocument van Visa voor 'quick read' cards dat ik op internet vind. Dat document is wellicht uit 2019, maar komt wel geheel overeen met de Triodos kaart en die kaart zal goedgekeurd zijn door Visa, voordat ze hem hebben mogen maken.
https://usa.visa.com/dam/...Acq_Merchant_62714_v5.pdf

Ik vraag me ergens wel af, waarom Visa überhaupt dat tweede design toestaat. Buiten dat Triodos natuurlijk ook de veiligere optie had kunnen kiezen.

[ Voor 7% gewijzigd door celshof op 13-11-2023 11:14 ]

Waarom staat dit eigenlijk op de pas? Kun je net zo goed je pincode ernaast schrijven.

Btw hebben we nog een update betreft andere banken als sns en ing?

celshof schreef op maandag 13 november 2023 @ 11:11:
[...]
Bijzonder (als in: zou ik niet verwachten), maar is wel geheel volgens het designdocument van Visa voor 'quick read' cards dat ik op internet vind. Dat document is wellicht uit 2019, maar komt wel geheel overeen met de Triodos kaart en die kaart zal goedgekeurd zijn door Visa, voordat ze hem hebben mogen maken.
https://usa.visa.com/dam/...Acq_Merchant_62714_v5.pdf

Ik vraag me ergens wel af, waarom Visa überhaupt dat tweede design toestaat. Buiten dat Triodos natuurlijk ook de veiligere optie had kunnen kiezen.

Omdat het oude design (met CVV2 op achterkant) een technische beperking was en dit nieuwe design geen noemenswaardige extra fraude oplevert. Bij het grootste deel van de fraude heeft de fraudeur nooit fysiek toegang gehad tot de kaart. Je moet dus in een situatie zijn waarbij de fraudeur en zicht heeft op de kaart maar niet beiden kanten. Dat is gewoon niet hoe fraude gebeurd. Daarnaast, ben je alsnog beschermd door 3D Secure en andere manieren.

Het grootste deel van de wereld heeft al jaren kaarten met de PAN/expiry date en CVC op voor of achterkant. Het is inderdaad "spijkers op laag water zoeken" @segil

Zoals gezegd, alles is dicht te timmeren. Maar de visie van Mastercard en VISA is juist dat betalen zo gemakkelijk mogelijk gemaakt wordt.

[ Voor 5% gewijzigd door FreeShooter op 13-11-2023 11:48 ]

FreeShooter schreef op maandag 13 november 2023 @ 11:45:
[...]


Omdat het oude design (met CVV2 op achterkant) een technische beperking was en dit nieuwe design geen noemenswaardige extra fraude oplevert. Bij het grootste deel van de fraude heeft de fraudeur nooit fysiek toegang gehad tot de kaart. Je moet dus in een situatie zijn waarbij de fraudeur en zicht heeft op de kaart maar niet beiden kanten. Dat is gewoon niet hoe fraude gebeurd. Daarnaast, ben je alsnog beschermd door 3D Secure en andere manieren.

Het grootste deel van de wereld heeft al jaren kaarten met de PAN/expiry date en CVC op voor of achterkant. Het is inderdaad "spijkers op laag water zoeken" @segil

Zoals gezegd, alles is dicht te timmeren. Maar de visie van Mastercard en VISA is juist dat betalen zo gemakkelijk mogelijk gemaakt wordt.

Zet dan maar gelijk ook m'n pincode op de kaart. Banken voerden toch niets voor niets jarenlang reclame om je pincode niet bij je bankpas te stoppen? Op de kaart staan alle gegevens om een online transactie uit te kunnen voeren en de kans op restitutie bij misbruik, is beperkt. Hoezo is dat spijkers op laag water zoeken?
Want dan stel ik voor dat jij ff jouw portemonnee 60 seconden onbeheerd op tafel laat liggen met zo'n Visa debit card. Eens kijken wat er daarna gaat gebeuren
En wat de visie van Mastercard en Visa is, boeit mij geen drol. Ik wil een veilige kaart, die ik ook een keertje uit het oog kan verliezen, zonder dat ik daarna zorgen moet maken dat 'ie gekopieerd is.

[ Voor 7% gewijzigd door segil op 13-11-2023 11:54 ]

segil schreef op maandag 13 november 2023 @ 11:52:
[...]


Zet dan maar gelijk ook m'n pincode op de kaart. Banken voerden toch niets voor niets jarenlang reclame om je pincode niet bij je bankpas te stoppen? Op de kaart staan alle gegevens om een online transactie uit te kunnen voeren en de kans op restitutie bij misbruik, is beperkt. Hoezo is dat spijkers op laag water zoeken?
Want dan stel ik voor dat jij ff jouw portemonnee 60 seconden onbeheerd op tafel laat liggen met zo'n Visa debit card. Eens kijken wat er daarna gaat gebeuren
En wat de visie van Mastercard en Visa is, boeit mij geen drol. Ik wil een veilige kaart, die ik ook een keertje uit het oog kan verliezen, zonder dat ik daarna zorgen moet maken dat 'ie gekopieerd is.

Omdat iemand dus, zoals gezegd, niet zomaar een betaling kan uitvoeren. En als het iemand toch lukt om voor een klein bedrag (want groot bedrag is sowieso standaard dubbele authentificatie) te frauderen, blokkeer je de kaart en krijg je het geld terug en binnen paar dagen heb je een nieuwe kaart van de bank met nieuwe nummers.

De reden dat de bank zegt dat het niet automatisch is, is omdat de bank ook veel gevallen heeft waarbij mensen proberen de bank op te lichten door legitieme aankopen als fraude op te geven.

YakuzA schreef op maandag 13 november 2023 @ 10:46:
[...]

Dit is wel een hele rare layout inderdaad.

Het is niet voor niks dat op Creditcards altijd het nummer en vervaldatum op de voorkant staan, en de CVC op de achterkant.

Bij Rabo hebben ze een tijdje terug al een nieuwe layout ingevoerd waarbij de voorkant blanco is en op de achterkant naam, bankrekeningnummer, pasnummer etc staan. Nu met de Debit kaarten is daar het kaartnummer en CVC bijgekomen. Reden dat ze dit hebben gedaan is i.v.m. "privacy". Alsof enerzijds iemand een pas zo snel kan lezen en anderzijds de pas niet is " uitgeleend " en daardoor beide kanten ingezien kan worden. Als in: bij pinnen kan een verkoper de pas niet (zo snel) lezen en bij "uitlenen" (/meegeven) kan net zo goed beide kanten worden gelezen.

FreeShooter schreef op maandag 13 november 2023 @ 12:17:
[...]


Omdat iemand dus, zoals gezegd, niet zomaar een betaling kan uitvoeren. En als het iemand toch lukt om voor een klein bedrag (want groot bedrag is sowieso standaard dubbele authentificatie) te frauderen, blokkeer je de kaart en krijg je het geld terug en binnen paar dagen heb je een nieuwe kaart van de bank met nieuwe nummers.

De reden dat de bank zegt dat het niet automatisch is, is omdat de bank ook veel gevallen heeft waarbij mensen proberen de bank op te lichten door legitieme aankopen als fraude op te geven.

Dat is een aanname en moet nog blijken. Verder, dit systeem vergroot de kans op diefstal en misbruik. Waar ik als klant weer hinder van ondervindt. En het had allemaal voorkomen kunnen worden door iig die security code niet af te drukken. Ik begin meer het idee te krijgen dat het financiële gewin van Visa/Mastercard belangrijker geacht wordt dan veiligheid van de klanten.

segil schreef op maandag 13 november 2023 @ 13:32:
[...]


Dat is een aanname en moet nog blijken. Verder, dit systeem vergroot de kans op diefstal en misbruik. Waar ik als klant weer hinder van ondervindt. En het had allemaal voorkomen kunnen worden door iig die security code niet af te drukken. Ik begin meer het idee te krijgen dat het financiële gewin van Visa/Mastercard belangrijker geacht wordt dan veiligheid van de klanten.

Dat is geen aanname, dat is mijn werk

Wat betreft je opmerking over financiëel gewin: Visa en Mastercard staat inderdaad onder druk van e-commerce om het zo makkelijk mogelijk te betalen. Hoe hoger de drempel , hoe minder mensen overgaan van rondkijken op Bol.com naar betalen.

Daarnaast, jouw prioriteit ligt bij de veiligheid en dat is begrijpelijk maar grootste deel van de mensen willen gewoon snel en makkelijk betalen zonder gedoe, een CVC code in een app of op papier is lastiger.

FreeShooter schreef op maandag 13 november 2023 @ 13:49:
[...]


Dat is geen aanname, dat is mijn werk

Wat betreft je opmerking over financiëel gewin: Visa en Mastercard staat inderdaad onder druk van e-commerce om het zo makkelijk mogelijk te betalen. Hoe hoger de drempel , hoe minder mensen overgaan van rondkijken op Bol.com naar betalen.

Daarnaast, jouw prioriteit ligt bij de veiligheid en dat is begrijpelijk maar grootste deel van de mensen willen gewoon snel en makkelijk betalen zonder gedoe, een CVC code in een app of op papier is lastiger.

Fijn, dus omdat de meute zich laat verleiden tot makkelijke online aankopen en niet verder denkt dan hun neus lang is, moet ik maar accepteren dat de veiligheid van mijn bankzaken verlaagd wordt.

Aangezien dit jouw werk is, weet je dan zeker te stellen dat bij elke betwiste transactie, de Triodos bank mij zal terugbetalen?
Nouja, ook al is dat zo blijf ik het een ontzettend stom systeem vinden. Jarenlang worden mensen erop gehamerd om hun bankzaken zelf veilig te houden. Scherm je pincode af bij een betaalautomaat, schrijf je pincode niet op een briefje. Controleer altijd dat je verbonden bent met de juiste URL als je inlogt op je bank website. etc, etc, etc.
En vervolgens krijg je dit systeem, dat zo makkelijk riekt naar misbruik.

FreeShooter schreef op maandag 13 november 2023 @ 13:49:
[...]


Dat is geen aanname, dat is mijn werk

Wat betreft je opmerking over financiëel gewin: Visa en Mastercard staat inderdaad onder druk van e-commerce om het zo makkelijk mogelijk te betalen. Hoe hoger de drempel , hoe minder mensen overgaan van rondkijken op Bol.com naar betalen.

Daarnaast, jouw prioriteit ligt bij de veiligheid en dat is begrijpelijk maar grootste deel van de mensen willen gewoon snel en makkelijk betalen zonder gedoe, een CVC code in een app of op papier is lastiger.

Met mijn CC heb ik behoorlijke bedragen kunnen betalen zonder enige verificatie. En andere keren dus €0 reservering op booking.com en moest ik wel tweede verificatie doen. Maar dus ook honderden Euro's met nul verificatie. Dus ja, voor degene die stellen dat toch de kans niet groot is dat iemand het in handen krijgt, dan kan je ook de pincode erop gooien. (En ik zie het gemaks voordeel niet, want zoals je stelt, vaak zat moet je alsnog je verificatie doen, dus je moet dan toch naar je bank app gaan).

Ik snap eigenlijk ook niet waarom een CVC code in de app meer werk is voor betalen. Immers los van roterende codes:
1. Je kent de code uit je hoofd --> Maakt niet uit waar hij staat.
2. Je kent de code niet uit je hoofd --> Ene geval heb je alleen de app nodig, andere geval heb je je pasje nodig en goede kans op ook de app.

En al helemaal als je op je mobiel iets online koopt, dan is het toch altijd minder werk gewoon via de app te doen, dan te kutten met CVC codes?

[ Voor 17% gewijzigd door Sissors op 13-11-2023 14:13 ]

FreeShooter schreef op maandag 13 november 2023 @ 13:49:
Wat betreft je opmerking over financiëel gewin: Visa en Mastercard staat inderdaad onder druk van e-commerce om het zo makkelijk mogelijk te betalen. Hoe hoger de drempel , hoe minder mensen overgaan van rondkijken op Bol.com naar betalen.

Daarnaast, jouw prioriteit ligt bij de veiligheid en dat is begrijpelijk maar grootste deel van de mensen willen gewoon snel en makkelijk betalen zonder gedoe, een CVC code in een app of op papier is lastiger.

Ik betaal dan weer sneller door kaartnummer, vervaldatum en CVC door mijn password manager in te laten vullen dan door eerst mijn bankpas erbij te zoeken. Dus eenmalig de CVC "opzoeken" in de Rabo app is dan niet echt een hindernis. En maakt wel het fysieke gebruik van de pas veiliger. Immers kan ik dan bij wijze van spreken mijn pas meegeven voor een (lage) contactloze betaling zonder dat diegene ook mijn kaartgegevens voor online betalingen kan aflezen.

Dus ik sta zeer zeker ook in kamp "zet de CVC niet op de pas en maak deze opvraagbaar via de app".
Maar eigenlijk vind ik dat hele betalen met MasterCard / Visa sowieso een stuk onvriendelijker dan iDeal. Ten eerste heb ik bii iDeal geen gegevens nodig maar alleen de app (+ pincode) i.p.v. én een lang kaartnummer, én een vervaldatum, én een CVC. Bij 3D secure krijg je vervolgens een (lelijk) iFrame van de bank ingeladen in de website webshop (vs iDeal waar je op een full screen pagina van de bank uit komt die ook op mobiel fatsoenlijk uitziet). En afrekenen op mobiel gaat dan eenvoudig doordat de bankapp direct opent en met de pincode direct betaald wordt. Terwijl bij 3D secure ik, ook als ik betaal vanaf mobiel, eerst de bank app moet openen, inloggen met pin, vervolgens in de app een "popup" opent voor de "aangevraagde" betaling, en ik dan nog een keer met pin moet ondertekenen. De gehele flow van iDeal is dan én minder werk / handelingen vereist; én ziet er beter uit / beter geïntegreerd; én veiliger; én vereist minder gegevens (pincode vs kaartnummer + vervaldatum + CVC en bij 3D secure alsnog de pincode).

segil schreef op maandag 13 november 2023 @ 14:01:
[...]


Fijn, dus omdat de meute zich laat verleiden tot makkelijke online aankopen en niet verder denkt dan hun neus lang is, moet ik maar accepteren dat de veiligheid van mijn bankzaken verlaagd wordt.

Aangezien dit jouw werk is, weet je dan zeker te stellen dat bij elke betwiste transactie, de Triodos bank mij zal terugbetalen?
Nouja, ook al is dat zo blijf ik het een ontzettend stom systeem vinden. Jarenlang worden mensen erop gehamerd om hun bankzaken zelf veilig te houden. Scherm je pincode af bij een betaalautomaat, schrijf je pincode niet op een briefje. Controleer altijd dat je verbonden bent met de juiste URL als je inlogt op je bank website. etc, etc, etc.
En vervolgens krijg je dit systeem, dat zo makkelijk riekt naar misbruik.

Ik ga er niet teveel in detail maar op in maar je moet begrijpen dat een CVC en PIN code niet vergelijkbaar zijn. In een twee factor authentificatie, combineer je iets wat je hebt (possession) met iets wat je weet (knowledge).

Als jij een valide kaartnummer en CVC ingeeft, geeft dat aan dat je in possessie bent van de kaart. Vervolgens, tenzij er een uitzondering is, wordt er dus door middel van 3D Secure een verificatie uitgevoerd met iets wat jij weet: bijvoorbeeld een autorisatie in de bank app (waarbij alléén jij de code weet om in te loggen). Vandaar het verschil hoe de bank jouw informeert over een CVC en pin code.

Wees gerust dat dit een systeem is dat al over de hele wereld gebruikt wordt, gebaseerd op een standaard dat al lang bestaat en Europa zelfs nog veiliger is gemaakt door middel van PSD2.

Sissors schreef op maandag 13 november 2023 @ 14:08:
[...]

Met mijn CC heb ik behoorlijke bedragen kunnen betalen zonder enige verificatie. En andere keren dus €0 reservering op booking.com en moest ik wel tweede verificatie doen. Maar dus ook honderden Euro's met nul verificatie. Dus ja, voor degene die stellen dat toch de kans niet groot is dat iemand het in handen krijgt, dan kan je ook de pincode erop gooien. (En ik zie het gemaks voordeel niet, want zoals je stelt, vaak zat moet je alsnog je verificatie doen, dus je moet dan toch naar je bank app gaan).

Er zijn inderdaad uitzonderingen waarbij 3D Secure niet geactiveerd wordt, dat heet frictionless. Zoals al aangegeven, het is een fijne balans tussen gemak en veiligheid. Gezien dat fraude de bank veel geld kost, zijn daar hele geavanceerde systemen voor. Het bedrag is één van de vele factoren. Die uitzonderingen zijn daarnaast ook alleen voor high-volume en low-fraude e-commerce.

Wat betreft CVC in app, zie volgende reactie.

RobertMe schreef op maandag 13 november 2023 @ 14:30:
[...]

Ik betaal dan weer sneller door kaartnummer, vervaldatum en CVC door mijn password manager in te laten vullen dan door eerst mijn bankpas erbij te zoeken. Dus eenmalig de CVC "opzoeken" in de Rabo app is dan niet echt een hindernis. En maakt wel het fysieke gebruik van de pas veiliger. Immers kan ik dan bij wijze van spreken mijn pas meegeven voor een (lage) contactloze betaling zonder dat diegene ook mijn kaartgegevens voor online betalingen kan aflezen.

Dus ik sta zeer zeker ook in kamp "zet de CVC niet op de pas en maak deze opvraagbaar via de app".

De CVC code dient ervoor dat jij kunt aantonen dat je in possessie bent van de kaart. Dus het is een oplossing voor een probleem dat niet (echt) bestaat: je bent al beschermd door middel van een dubbele authentificatie voor online betalingen. De CVC code alleen beschikbaar maken in een app kost heel veel geld voor 2 redenen: 1) je verliest XX% van je betalingen want het is meer (!) werk om CVC op te zoeken in app en 2) je moet een systeem ervoor opzetten dat enorm kritisch is: als iemand zijn CVC code niet kan opvragen door storing of probleem, kan hij geen online betalingen doen.

Het is allemaal mogelijk maar het lijkt mij veel te duur voor de hoeveelheid fraude die er mee voorkomen wordt.

RobertMe schreef op maandag 13 november 2023 @ 14:30:
[...]
Maar eigenlijk vind ik dat hele betalen met MasterCard / Visa sowieso een stuk onvriendelijker dan iDeal. Ten eerste heb ik bii iDeal geen gegevens nodig maar alleen de app (+ pincode) i.p.v. én een lang kaartnummer, én een vervaldatum, én een CVC. Bij 3D secure krijg je vervolgens een (lelijk) iFrame van de bank ingeladen in de website webshop (vs iDeal waar je op een full screen pagina van de bank uit komt die ook op mobiel fatsoenlijk uitziet). En afrekenen op mobiel gaat dan eenvoudig doordat de bankapp direct opent en met de pincode direct betaald wordt. Terwijl bij 3D secure ik, ook als ik betaal vanaf mobiel, eerst de bank app moet openen, inloggen met pin, vervolgens in de app een "popup" opent voor de "aangevraagde" betaling, en ik dan nog een keer met pin moet ondertekenen. De gehele flow van iDeal is dan én minder werk / handelingen vereist; én ziet er beter uit / beter geïntegreerd; én veiliger; én vereist minder gegevens (pincode vs kaartnummer + vervaldatum + CVC en bij 3D secure alsnog de pincode).

Ik werk niet in Nederland dus daar kan ik niet zoveel over zeggen. Maar iDeal wordt inderdaad gezien als een heel goed systeem met een hele hoge "conversion rate" waarbij mensen snel overgaan tot aankopen. Waarschijnlijk door wat jij aangeeft: het is gemakkelijker.

Daarnaast, blijft het geld in NL/EU in plaats van dat de fees naar the USA (VISA, Mastercard) gaan. Dus zeker via iDeal blijven betalen

[ Voor 15% gewijzigd door FreeShooter op 13-11-2023 15:40 ]

FreeShooter schreef op maandag 13 november 2023 @ 15:25:
[...]


Wees gerust dat dit een systeem is dat al over de hele wereld gebruikt wordt, gebaseerd op een standaard dat al lang bestaat en Europa zelfs nog veiliger is gemaakt door middel van PSD2.

Datzelfde kan je zeggen over betalen met magneetstrip. Dat andere het doen maakt het nog niet veilig.

De CVC code dient ervoor dat jij kunt aantonen dat je in possessie bent van de kaart. Dus het is een oplossing voor een probleem dat niet (echt) bestaat: je bent al beschermd door middel van een dubbele authentificatie voor online betalingen. De CVC code alleen beschikbaar maken in een app kost heel veel geld voor 2 redenen: 1) je verliest XX% van je betalingen want het is meer (!) werk om CVC op te zoeken in app en 2) je moet een systeem ervoor opzetten dat enorm kritisch is: als iemand zijn CVC code niet kan opvragen door storing of probleem, kan hij geen online betalingen doen.

Het is allemaal mogelijk maar het lijkt mij veel te duur voor de hoeveelheid fraude die er mee voorkomen wordt.

Maar waarom is het minder werk om op je pas de code op te zoeken en regelmatig op je telefoon de app handmatig te openen om de transactie goed te keuren, dan dat automatisch op je telefoon de app opent en je altijd goedkeurt? Ik snap het echt niet.

Of je kent de cvc code uit je hoofd en het maakt niet, of je moet hem opzoeken en je telefoon moet je toch hebben, terwijl je pasje anders niet nodig is.

FreeShooter schreef op maandag 13 november 2023 @ 15:25:
[...]


Ik ga er niet teveel in detail maar op in maar je moet begrijpen dat een CVC en PIN code niet vergelijkbaar zijn. In een twee factor authentificatie, combineer je iets wat je hebt (possession) met iets wat je weet (knowledge).

Als jij een valide kaartnummer en CVC ingeeft, geeft dat aan dat je in possessie bent van de kaart. Vervolgens, tenzij er een uitzondering is, wordt er dus door middel van 3D Secure een verificatie uitgevoerd met iets wat jij weet: bijvoorbeeld een autorisatie in de bank app (waarbij alléén jij de code weet om in te loggen). Vandaar het verschil hoe de bank jouw informeert over een CVC en pin code.

Het feit dat ik online kan betalen met toegang tot mijn wachtwoordmanager toont anders aan dat ik absoluut niet in het bezit van de kaart hoef te zijn. Zoals jij stelt dat het kaartnummer en CVC voor bedoeld zijn. Ik kan aan iedereen over de hele wereld die gegevens geven en eenieder kan daarmee (pogen) te betalen zonder toegang tot de kaart.
De huidige manier van 3D secure met bevestigen vanaf een geautomatiseerde bankieren app komt dan veel dichter in de buurt van bezit. Immers kun je de betalen zonder de (geautoriseerde) telefoon.
Dat is hetzelfde als dat 2FA middels een SMS code geen 2FA is bovenop een gebruikersnaam en wachtwoord. Immers gaat het om de kennis van de dan geldige code, niet om het bezit van de telefoon. Als die telefoon via malware wordt uitgelezen is bezit van de telefoon niet nodig, als er phishing in het spel is is de telefoon niet nodig, als iemand zijn credentials uitleent is de telefoon niet nodig. Een login die geautomatiseerd wordt in een (geautoriseerde) app en daarbij gecontroleerd wordt dat het systeem waarmee wordt ingelogd én de telefoon bij elkaar in de buurt zijn valudeert wel bezit van de telefoon (combinatie Chrome op desktop + Android kan dit bij mijn weten), net zoals een fysieke beveiligingssleutel zoals een YubiKey. In beide gevallen is het aantoonbaar en niet "overdraaagbaar" bezit (er is geen code die je alsnog kunt delen.

Wees gerust dat dit een systeem is dat al over de hele wereld gebruikt wordt, gebaseerd op een standaard dat al lang bestaat en Europa zelfs nog veiliger is gemaakt door middel van PSD2.

Dat iets al lang gebruikt wordt en een standaard is maakt het niet veilig in de huidige tijd. MD5 is een standaard hashing method die al decennia geleden is opgesteld. Toch hoop ik dat geen enkel serieus beveiligingsmechanisme hier nog gebruikt van maakt. Omdat het heden ten dagen bewezen onveilig is (door toegenomen CPU kracht etc). En zo wordt 2FA per SMS heden ten dagen ook al lang niet meer als veilig beschouwd en zijn er voldoende voorbeelden te vinden van succesvolle account takeovers ondanks "2FA" (per SMS). O.a. doordat bv bij een provider eenvoudig een vervangende SIM kan worden aangevraagd op iemand anders naam/account en doordat SMS op zichzelf ook bewezen onveilig is (verkeer kan uit de lucht worden geplukt als je met dezelfde mast verbonden bent). En ook het oude systeem van ING met TAN codes op papier leek toentertijd blijkbaar een veilig idee. Maar ook dat wordt gelukkig niet meer toegepast. Behalve soort van door OpenBank die incidenteel er naar vragen als extra identificatie.

Sissors schreef op maandag 13 november 2023 @ 15:40:
[...]

Datzelfde kan je zeggen over betalen met magneetstrip. Dat andere het doen maakt het nog niet veilig.

@RobertMe

Zeker. Maar de tendens hier is nogal negatief en wilde voornamelijk genuanceerd aangeven dat er nogal snel geoordeeld wordt ("is onveilig!!!!") zonder enige kennis van hoe het werkt.

Sissors schreef op maandag 13 november 2023 @ 15:40:
[...]
Maar waarom is het minder werk om op je pas de code op te zoeken en regelmatig op je telefoon de app handmatig te openen om de transactie goed te keuren, dan dat automatisch op je telefoon de app opent en je altijd goedkeurt? Ik snap het echt niet.

Of je kent de cvc code uit je hoofd en het maakt niet, of je moet hem opzoeken en je telefoon moet je toch hebben, terwijl je pasje anders niet nodig is.

Het grootste deel van de mensen betaald door handmatig pasje in te voeren. Dan heb je dus de volgende opties:

Optie 1 CVC op pasje: 1) Je pakte pasje, 2) je vult gegevens in en 3) je autoriseert betaling in app.
Optie 2 CVC in app: 1) Je pakte pasje, 2) je vult gegevens in, 3) je opent je bank app en gaat naar CVC optie en vult deze in op website 4) je autoriseert betaling in app.

En bij optie 2 stap 3 heb je dan de mogelijkheid dat klant betaling niet afrond. Al gaat het maar om 5%, gaat het om heel veel geld.

@FreeShooter bedankt dat je hier uitgebreid uitleg geeft. Maar je moet met me eens zijn dat het plaatsen van alle kaartgegevens ("inloggegevens) op een betaalkaart, een risico is en een aanvaller/dief/frauduleuze persoon makkelijker maakt om die gegevens te bemachtigen, en daarmee een (wellicht goedkopere) aankoop te doen op internet.
Mijn vorige bankpas had dat probleem niet. Het enige dat erop stond was het rekeningnr. Daar kon je als aanvaller nog niets mee en had je ook de pincode nodig. Contactloos pinnen heeft dat wel iets meer mogelijk gemaakt, maar dan gaat het om kleine bedragen. En daarbij ben je nog steeds geen kaartgegevens kwijt. Wat nu wel mogelijk is met deze visa debit kaart. Jouw argument dat je 2FA hebt, geldt alleen voor duurdere transacties, toch? En niet voor kleinere bedragen.

Ik blijf dan ook bij mijn standpunt dat dit systeem minder veilig is dan mijn vorige bankpas. Deze nieuwe pas lokt diefstal eerder uit.

Ik ga dan ook die security code wegkrassen op mijn kaart. Dat maakt het voor mijn gevoel een stuk veiliger.

toevoeging: er wordt hier gezegd: als je kaart gestolen wordt, dan laat je deze toch blokkeren en eventuele transacties storneren/vergoeden. Maar dat is helemaal niet waar mijn zorgen liggen.
Mijn zorgen liggen bij het feit dat jantje of pietje in een onbewaakt moment, mijn portemonnee kunnen pakken, pasje eruit, foto maken, pasje terug, en ik heb niets door. Dat is binnen 30 seconden gebeurd. Of ik nu mijn portemonnee op mijn bureau op werk laat liggen, of in mijn jaszak... dit is altijd mogelijk.
Vervolgens wacht deze persoon een paar dagen en gaat dan enkele kleinere aankopen online doen. Ik moet je zeggen dat ik echt niet elke maand al mijn afschrijvingen ga doorlopen om te zien of dat wel klopt. Dus die persoon kan daar best een tijdje mee doorgaan. En mocht ik dan over 2 maanden ineens iets opvallen, wat niet klopt, vraag ik mij sterk af of de Triodos bank die ene transactie van vorige maand van 22,95 bij www.blijebloemengeven.nl, zomaar gaat vergoeden en mij op m'n blauwe ogen geloofd dat ik dat toch niet was. DAT is nu net mijn bezwaar. Diefstal van je portemonnee laat alle alarmbellen afgaan en zorgt ervoor dat je al je pasjes blokkeert. Maar stiekem een foto maken van je pas, triggert geen waarschuwing.
En ik was altijd blij dat wij in Nederland dat onveilige systeem van creditcards niet gebruiken en ons systeem veel beter beveiligd is. En nu krijg je dit alsnog.

[ Voor 39% gewijzigd door segil op 13-11-2023 16:16 ]

FreeShooter schreef op maandag 13 november 2023 @ 15:59:
[...]

@RobertMe

Zeker. Maar de tendens hier is nogal negatief en wilde voornamelijk genuanceerd aangeven dat er nogal snel geoordeeld wordt ("is onveilig!!!!") zonder enige kennis van hoe het werkt.

Ik denk dat het uiteindelijk gewoon vrij simpel is.
MasterCard / Visa is een oud (vrijwel antiek) systeem dat puur gebruikt kon (en kan) worden op basis van 3 nummertjes die op de kaart staan. 20, 30 jaar geleden was dat wellicht nog wel doable en goed genoeg. Toch voelde de leveranciers zich blijkbaar ook toen al verplicht om te adverteren met chargebacks bij ongeautoriseerd gebruik / "verzekering" tegen ongeautoriseerd gebruik. Daarbij zou je al kunnen stellen "als het systeem veilig is, zou die behoefte er toch niet voor zijn?". En met Maestro / V-Pay, de ouderwetse voorlopers daarvan, iDeal etc is dat er ook nooit zo grootschalig geweest (volgens mij ben je bij de meeste banken ook wel "verzekerd" tegen fraude, maar de verantwoordelijkheid ligt dan altijd bij de klant, waaronder het (tijdig) opmerken van bv diefstal van de pas). Terwijl het bij MasterCard / Visa totaal is ingeburgerd. En daarnaast is vanuit de kaart maatschappijen dan ook nog eens veel later het 3D secure systeem toegevoegd. Een optionele(!) manier van 2FA / autorisatie. Dus ook daarbij: als het oude systeem zo veilig is, waarom is 3D secure dan ingevoerd? Daar zou dan toch helemaal voor geen behoefte voor hoeven te zijn? => Conclusie: het systeem met wat nummertjes op een pas is dus helemaal niet zo veilig. En ook na de invoering van 3D secure (wat dus optioneel is) voelen de kaartmaatschijen zich nog verplicht om een "verzekering" te bieden. Dus ze zijn er nog steeds niet van overtuigd dat het een waterdicht systeem is?!

En kijk vervolgens naar het ongemak van de gebruiker. Voor online betalingen heb je (zogenaamd) de pas nodig, waarvan je 3 nummers moet overtypen (waarvan een nogal lang is en niet gebruikersvriendelijk), en vervolgens heb je potentieel ook nog de telefoon met bank app nodig en moet je daarin de betaling autoriseren. Ergo, wat heb je nodig: de pas en 3 nummers die daar op staan, en optioneel (/waarschijnlijk) telefoon met de bank app, "pincode" van de bank app. En nog wordt dit blijkbaar door MasterCard / Visa niet als veilig gezien kijkende naar de verzekering.

Zetten we vervolgens iDeal ernaast. Wat heb je daarvoor nodig bij het gros van de banken: nog steeds diezelfde telefoon (met geautoriseerde bankieren app), kennis van de "pincode" (van de app) en that's it. En alternatief is de eigen pinpas, kennis van de pincode van de pas, en een "generieke" (/niet klantgebonden) hardware token generator, en het overtypen van de (eneneens lange, vergelijkbaar met kaartnummer) token.
Waarbij banken geen enkele verplichting voelen om te adverteren met een verzekering tegen fraude / diefstal.

Wat ook vrij logisch is, omdat iDeal gewoon super veilig werkt. Zo is de kans op phishing bij iDeal verwaarloosbaar. Bij het ondertekenen met de app veranderd de QR code elke 5 á 10 seconden (bij Rabo), en verdwijnt deze ook onmiddellijk na de succesvolle scan (nog zonder ondertekenen). Oftewel: de bank weet gegarandeerd dat degene die de betaling doet ook met zijn neus voor het scherm zit waarop de betaling gedaan wordt. Immers is het voor een aanvaller/phisher (vrijwel) onmogelijk om de QR zo snel op het scherm van het slachtoffer te toveren (voordat dus weer een nieuwe code gegenereerd is). En daarnaast zou het mij ook niks verbazen als er gekeken wordt naar het IP adres van de PC waarop de betaling gestart is (/QR wordt weergegeven) en van de telefoon waarop de app staat. Dit is dus een echte vorm van 2FA waarbij daadwerkelijk gevalideerd wordt of die gebruiker die de betaling in de app (factor bezit) doet ook zit voor/achter het systeem waarop de aankoop gedaan wordt, gecombineerd met de app pincode (kennis).
Vergelijk dit met MasterCard / Visa waarbij die validatie van "zit de betaler voor/achter het systeem waarop de aankoop gedaan wordt" volledig afwezig is. Ik kan prima mijn kaartnummer + vervaldatum + CVC aan iemand "uitlenen" en op het moment dat hij/zij daarmee een betaling doet indien nodig(!, want 3D secure ia optioneel) op afstand de betaling goedkeuren in de app. Wat dus ook betekent dat een aanvaller via phishing of social engineering mijn kaartgegevens kan verkrijgen, en daarna een betaling kan starten en via social engineering mij de betaling kan laten autoriseren. En dat allemaal terwijl die aanvaller aan de andere kant van de wereld kan zitten. Iets dat bij iDeal onmogelijk is. Zelfs mijn buurman kan niet eens via social engineering mij een betaling laten autoriseren tenzij ik naast hem sta met mijn telefoon in de hand.

FreeShooter schreef op maandag 13 november 2023 @ 15:59:
[...]

@RobertMe

Zeker. Maar de tendens hier is nogal negatief en wilde voornamelijk genuanceerd aangeven dat er nogal snel geoordeeld wordt ("is onveilig!!!!") zonder enige kennis van hoe het werkt.


[...]


Het grootste deel van de mensen betaald door handmatig pasje in te voeren. Dan heb je dus de volgende opties:

Optie 1 CVC op pasje: 1) Je pakte pasje, 2) je vult gegevens in en 3) je autoriseert betaling in app.
Optie 2 CVC in app: 1) Je pakte pasje, 2) je vult gegevens in, 3) je opent je bank app en gaat naar CVC optie en vult deze in op website 4) je autoriseert betaling in app.

En bij optie 2 stap 3 heb je dan de mogelijkheid dat klant betaling niet afrond. Al gaat het maar om 5%, gaat het om heel veel geld.

toon volledige bericht

Gezien je browser na eerste keer iig alles behalve CVC opslaat, kan je stap 1 skippen bij optie 2. In zijn algemeenheid als we het vergelijken met gewoon niet kutten met CVC code en een Ideal achtig iets, dan kan je stap 1 en 2 overslaan, en ben je veiliger. Ik snap echt niet welk probleem wordt opgelost door CVC code en soms app te doen. Ik snap dat het handig is als optie als je iets in het buitenland een keertje koopt waar niks meer wordt ondersteund, maar dat hoeft hier niet als onveiligere en onhandige standaard te worden ingevoerd. En voor die enkele keer dat je het wel gebruikt, overleven de winkels het wel...

RobertMe schreef op maandag 13 november 2023 @ 17:24:
[...]

Ik denk dat het uiteindelijk gewoon vrij simpel is.
MasterCard / Visa is een oud (vrijwel antiek) systeem dat puur gebruikt kon (en kan) worden op basis van 3 nummertjes die op de kaart staan. 20, 30 jaar geleden was dat wellicht nog wel doable en goed genoeg. Toch voelde de leveranciers zich blijkbaar ook toen al verplicht om te adverteren met chargebacks bij ongeautoriseerd gebruik / "verzekering" tegen ongeautoriseerd gebruik. Daarbij zou je al kunnen stellen "als het systeem veilig is, zou die behoefte er toch niet voor zijn?". En met Maestro / V-Pay, de ouderwetse voorlopers daarvan, iDeal etc is dat er ook nooit zo grootschalig geweest (volgens mij ben je bij de meeste banken ook wel "verzekerd" tegen fraude, maar de verantwoordelijkheid ligt dan altijd bij de klant, waaronder het (tijdig) opmerken van bv diefstal van de pas). Terwijl het bij MasterCard / Visa totaal is ingeburgerd. En daarnaast is vanuit de kaart maatschappijen dan ook nog eens veel later het 3D secure systeem toegevoegd. Een optionele(!) manier van 2FA / autorisatie. Dus ook daarbij: als het oude systeem zo veilig is, waarom is 3D secure dan ingevoerd? Daar zou dan toch helemaal voor geen behoefte voor hoeven te zijn? => Conclusie: het systeem met wat nummertjes op een pas is dus helemaal niet zo veilig. En ook na de invoering van 3D secure (wat dus optioneel is) voelen de kaartmaatschijen zich nog verplicht om een "verzekering" te bieden. Dus ze zijn er nog steeds niet van overtuigd dat het een waterdicht systeem is?!

En kijk vervolgens naar het ongemak van de gebruiker. Voor online betalingen heb je (zogenaamd) de pas nodig, waarvan je 3 nummers moet overtypen (waarvan een nogal lang is en niet gebruikersvriendelijk), en vervolgens heb je potentieel ook nog de telefoon met bank app nodig en moet je daarin de betaling autoriseren. Ergo, wat heb je nodig: de pas en 3 nummers die daar op staan, en optioneel (/waarschijnlijk) telefoon met de bank app, "pincode" van de bank app. En nog wordt dit blijkbaar door MasterCard / Visa niet als veilig gezien kijkende naar de verzekering.

Zetten we vervolgens iDeal ernaast. Wat heb je daarvoor nodig bij het gros van de banken: nog steeds diezelfde telefoon (met geautoriseerde bankieren app), kennis van de "pincode" (van de app) en that's it. En alternatief is de eigen pinpas, kennis van de pincode van de pas, en een "generieke" (/niet klantgebonden) hardware token generator, en het overtypen van de (eneneens lange, vergelijkbaar met kaartnummer) token.
Waarbij banken geen enkele verplichting voelen om te adverteren met een verzekering tegen fraude / diefstal.

Wat ook vrij logisch is, omdat iDeal gewoon super veilig werkt. Zo is de kans op phishing bij iDeal verwaarloosbaar. Bij het ondertekenen met de app veranderd de QR code elke 5 á 10 seconden (bij Rabo), en verdwijnt deze ook onmiddellijk na de succesvolle scan (nog zonder ondertekenen). Oftewel: de bank weet gegarandeerd dat degene die de betaling doet ook met zijn neus voor het scherm zit waarop de betaling gedaan wordt. Immers is het voor een aanvaller/phisher (vrijwel) onmogelijk om de QR zo snel op het scherm van het slachtoffer te toveren (voordat dus weer een nieuwe code gegenereerd is). En daarnaast zou het mij ook niks verbazen als er gekeken wordt naar het IP adres van de PC waarop de betaling gestart is (/QR wordt weergegeven) en van de telefoon waarop de app staat. Dit is dus een echte vorm van 2FA waarbij daadwerkelijk gevalideerd wordt of die gebruiker die de betaling in de app (factor bezit) doet ook zit voor/achter het systeem waarop de aankoop gedaan wordt, gecombineerd met de app pincode (kennis).
Vergelijk dit met MasterCard / Visa waarbij die validatie van "zit de betaler voor/achter het systeem waarop de aankoop gedaan wordt" volledig afwezig is. Ik kan prima mijn kaartnummer + vervaldatum + CVC aan iemand "uitlenen" en op het moment dat hij/zij daarmee een betaling doet indien nodig(!, want 3D secure ia optioneel) op afstand de betaling goedkeuren in de app. Wat dus ook betekent dat een aanvaller via phishing of social engineering mijn kaartgegevens kan verkrijgen, en daarna een betaling kan starten en via social engineering mij de betaling kan laten autoriseren. En dat allemaal terwijl die aanvaller aan de andere kant van de wereld kan zitten. Iets dat bij iDeal onmogelijk is. Zelfs mijn buurman kan niet eens via social engineering mij een betaling laten autoriseren tenzij ik naast hem sta met mijn telefoon in de hand.

toon volledige bericht

Amen.

Ik denk dat er twee opties zijn.

1. Accepteren
2. Overstappen naar een partij als Bunq

Maar er mist denk ik veel kennis van dit systeem om er echt iets van te vinden.

De CVC code staat momenteel bij de maestro passen al in de rabobank app, dus ik heb de verwachting dat dat ook gaat gelden voor de nieuwe passen. Ik zal denk ik ook de CVC code wegkrassen op mijn pas zodra ik de nieuwe pas krijg. Creditcards voelen al onveilig en ik ben nogal gehecht aan mijn banknummer. Dus als ik iedere keer een nieuw banknummer krijg als er fraude geconstateerd wordt zou ik gillend gek worden.
Online betalen met Mastercard/visa debit zal ik dan ook zeker niet gaan doen mijn mijn hoofdbankrekening.

Goede discussie hier over online betalingen en de veiligheid ervan.
En altijd goed om daar kritisch naar te kijken, of zelfs de bank daarover te benaderen @segil (alhoewel je van een eerstelijns klantenservice dan niet direct heel inhoudelijke en specifieke antwoorden hoeft te verwachten).

Zoals @RobertMe aangeeft hebben we hier te maken met betaalnetwerken die al een tijdje bestaan.
Maar waar ook gewoon doorontwikkeld is om het veilig genoeg te houden.

Kaarten met alleen embossing kwamen uit de tijd dat er geen computerverbinding was. Eventueel kon gebeld worden (bij bv hogere transactiewaarden) om bij de bank te verifiëren. De handtekening kon gebruikt worden ter verificatie dat de kaarthouder ook de persoon is die de betaling doet.
Overigens, voorlopers van credit cards (charge cards) werden in de USA zelfs al eind 19e eeuw gebruikt, maar dan had je een specifieke kaart van een winkel.

Later kwam er de magstripe en POS-apparatuur en kon ook geverifieerd worden dat er een geldige kaart met voldoende saldo of krediet werd aangeboden.
Omdat kaarten makkelijk gekopieerd/geskimmed konden worden (de embossing en de magstripe) is men later ook met een pincode gekomen en de chip (EMV-standaard).

Voor CNP-transacties werd de CVC bedacht, en later de 3D-secure omdat alleen CVC inderdaad niet veilig genoeg is.

@RobertMe Voor de duidelijkheid: SCA is geen optie maar een verplichting volgens PSD2. Voor de betaalkaartschema's is dit ingevuld met 3D-secure. Wel is er enige ruimte binnen het schema om in bepaalde gevallen geen tweede factor te vragen. Dat is er mede op aandringen van de kaartschema's gekomen, vanwege de eerder genoemde punt dat er teveel potentiele kopers zouden afhaken in een aankoopproces (conversie). In hoeverre dat nu echt zo is, is wellicht onderzocht, ik heb er zelf in ieder geval niet zo'n moeite mee om iets in een app goed te keuren of een code uit een sms of e-mail over te nemen. Feit is in ieder geval dat er wat ruimte is in de wetgeving en men blijkbaar het risico vindt opwegen tegenover betaalgemak en een hogere conversie bij online winkels.

De vergelijking met iDeal is begrijpelijk.
Achter de schermen is dat niets meer dan het uitvoeren van een bankoverschrijving via de vertrouwde omgeving van je bank. De betaling is niet terug te draaien. De webshop heeft direct zijn geld, en de klant kan het in zijn vertrouwde omgeving regelen zonder allerlei informatie handmatig te moeten invullen.
De veiligheid zit idd op een hoog niveau, met altijd een tweede factor.
Logisch dat iDeal-betalingen dus relatief goedkoop voor de winkel uitgevoerd kunnen worden.
Voor ons als koper is het helaas iets minder veilig, omdat je niet beschermd bent als een shop niet levert.
En dan heb ik het verder niet over nagebouwde iDeal inlog/betaalpagina's via frauduleuze linkjes.

Twazerty schreef op maandag 13 november 2023 @ 18:49:
De CVC code staat momenteel bij de maestro passen al in de rabobank app, dus ik heb de verwachting dat dat ook gaat gelden voor de nieuwe passen. Ik zal denk ik ook de CVC code wegkrassen op mijn pas zodra ik de nieuwe pas krijg. Creditcards voelen al onveilig en ik ben nogal gehecht aan mijn banknummer. Dus als ik iedere keer een nieuw banknummer krijg als er fraude geconstateerd wordt zou ik gillend gek worden.
Online betalen met Mastercard/visa debit zal ik dan ook zeker niet gaan doen mijn mijn hoofdbankrekening.

De CVC-code staat bij Rabobank op de pas.

Wally2002 schreef op maandag 13 november 2023 @ 19:03:
@RobertMe Voor de duidelijkheid: SCA is geen optie maar een verplichting volgens PSD2. Voor de betaalkaartschema's is dit ingevuld met 3D-secure. Wel is er enige ruimte binnen het schema om in bepaalde gevallen geen tweede factor te vragen.

Voor de duidelijkheid, met optionele 3D secure doelde ik dus op dat laatste. Je hoeft het niet altijd te doen. Het zal zeker verplicht zijn als aanbieder (MasterCard / Visa) om dit te hebben, en voor de verkoper om het te ondersteunen. Maar je hoeft dus niet elke transactie verplicht te bevestigen.

De vergelijking met iDeal is begrijpelijk.
Achter de schermen is dat niets meer dan het uitvoeren van een bankoverschrijving via de vertrouwde omgeving van je bank. De betaling is niet terug te draaien. De webshop heeft direct zijn geld, en de klant kan het in zijn vertrouwde omgeving regelen zonder allerlei informatie handmatig te moeten invullen.
De veiligheid zit idd op een hoog niveau, met altijd een tweede factor.
Logisch dat iDeal-betalingen dus relatief goedkoop voor de winkel uitgevoerd kunnen worden.
Voor ons als koper is het helaas iets minder veilig, omdat je niet beschermd bent als een shop niet levert.
En dan heb ik het verder niet over nagebouwde iDeal inlog/betaalpagina's via frauduleuze linkjes.

Voor mij als koper is het gewoon simpel. Ik kan super makkelijk en snel betalen. Kopen doe ik natuurlijk alleen bij shops die ik vertrouw . Maar levergarantie heb je uiteraard niet. Maar bij mijn weten biedt het merendeel van de Nederlandse banken ook geen levergarantie aan bij de Debit passen, dus daar zit dan geen verschil in.
En de iDeal omgeving vind ik gewoon veel veiliger over komen. Zoals ik in mijn vorige post al schreef is het bij iDeal naar mijn idee uberhaupt onmogelijk om op afstand een transactie te autoriseren (enerzijds omdat er altijd 2FA is wat bij MasterCard / Visa nket altijd wordt toegepast, anderzijds omdat je QR code moet acannen met telefoon of bij Rabo de scanner) en naar mijn idee het systeem met scannen van de QR code ook redelijk waterdicht is. In de zin dat een aanvaller niet even een fake pagina kan bouwen met een werkende QR code of een QR code kan overnemen (aanvaller die transactie start en de QR die hij krijgt laat zien aan het slachtoffer). O.a. dus ook doordat timing cruciaal is met de code die elke X seconden update etc en de oude QR code dus per direct ongeldig is (ook door de onmiddellijke terugkoppeling tussen app en browser. Zou zelfs mogelijk moeten zijn dat de scan in de app binnen een aantal milliseconden een nieuwe tweede QR laat zien die door de app binnen een fractie van seconde gescand moet worden).

Daarbij is er natuurlijk geen fundamentele reden dat je niet iets als Ideal kan maken met de bescherming van CCs voor consumenten (behalve dat de kosten een stuk hoger gaan zijn, afhankelijk van welke opties er precies bij worden gestopt).

segil schreef op maandag 13 november 2023 @ 10:28:
Zojuist Triodos bank gebeld. De medewerker herkende zich in mijn bezwaren en vond dat het ook niet verstandig was dat die gegevens op de bank afgedrukt staan. Maar meer kon hij niet doen dan het alleen intern doorgeven. Enige verklaring die ik kreeg was dat "De betalingsverwerker Worldline heeft deze pas beoordeeld en geconstateerd dat het voldoet aan de juiste security protocollen". Wat dat ook moge betekenen.

Ik gaf verder als bezwaar aan dat dit wel erg fraudegevoelig werkt, omdat maar 1x een foto van je pas getrokken hoeft te worden, die vervolgens oneindig op internet circuleert met alle gegevens om een betaling te doen. Dan kan je wel de limiet op 0 euro zetten, maar het houdt wel in dat je zelf nooit dit systeem kunt gebruiken, omdat je niet weet of er misbruik van gemaakt wordt.
Ik vroeg wat zou gebeuren als iemand op die manier een betaling doet met mijn pas en of ik automatisch dan mijn geld terug krijg zodra ik dit aankaart. Maar dat is niet het geval, dat zal dan per geval apart bekekenen moeten worden.

Ik vind dit echt zo slecht en onverantwoordelijk van een bank. Temeer ook omdat ze dit helemaal niet gecommuniceerd hebben in hun nieuwsbrieven en mailings. Ik denk dat de meeste klanten geen flauw idee hebben van wat er nu speelt.
Ik voorzie al een aankomende heist, waarbij een foto van een bankpas gemaakt wordt en later online betalingen gedaan worden.
Voor de duidelijkheid, de nieuwe Triodos debit card ziet er zo uit.

Ondanks de bankmedewerker vriendelijk bleef, kwam het hele gesprek op neer dat nu eenmaal hiervoor is gekozen en that's it. Je moet het er maar mee doen.

Ik ga eens kijken of ik die security code weggekrast kan krijgen.

toon volledige bericht

In heel Europa en daar buiten zijn er Debit passen van VISA en MasterCard in gebruik. Je bent gewoon verzekerd tegen fraude en als er wel een transactie doorkomt online (zonder 3D Secure) krijg je ook gewoon je geld terug. Je maakt je onnodig druk om niks. Net als die heisa met contactloos betalen met je betaalpas. NUL fraude gevallen omdat het totaal niet interessant is voor fraudeurs. Storm in een glas water.

nielsiejjj92 schreef op maandag 13 november 2023 @ 20:05:
[...]


In heel Europa en daar buiten zijn er Debit passen van VISA en MasterCard in gebruik. Je bent gewoon verzekerd tegen fraude en als er wel een transactie doorkomt online (zonder 3D Secure) krijg je ook gewoon je geld terug. Je maakt je onnodig druk om niks. Net als die heisa met contactloos betalen met je betaalpas. NUL fraude gevallen omdat het totaal niet interessant is voor fraudeurs. Storm in een glas water.

Er is bij mij 1x een pas gestolen en daarna iets van 30 euro afgeschreven zonder dat ik het was met contactless betalen, maar dat maakte de bank gewoon weer terug over zonder enige vragen nadat ik de pas als vermist opgegeven had. Geen enkel probleem.

nielsiejjj92 schreef op maandag 13 november 2023 @ 20:05:
[...]


In heel Europa en daar buiten zijn er Debit passen van VISA en MasterCard in gebruik. Je bent gewoon verzekerd tegen fraude en als er wel een transactie doorkomt online (zonder 3D Secure) krijg je ook gewoon je geld terug. Je maakt je onnodig druk om niks. Net als die heisa met contactloos betalen met je betaalpas. NUL fraude gevallen omdat het totaal niet interessant is voor fraudeurs. Storm in een glas water.

Contactloos betalen is echt onvergelijkbaar hiermee. Dat is gewoon veilig, waarbij het beetje wat ze worst case kunnen betalen ermee lastig is, want de dader moet daarvoor een pinautomaat hebben die aan hun rekening is gekoppeld (of de complete pas jatten). Om te frauderen met CCs, heb je niks nodig behalve de CC gegevens. (En nu dus debit card).

En ja, dat wordt vergoed als je het in de gaten hebt, maar is het niet beter om het niet in de eerste plaats gestolen te krijgen? En CC fraude is gewoon een ding (itt contactloos betalen fraude).

[ Voor 6% gewijzigd door Sissors op 13-11-2023 20:48 ]

RobertMe schreef op maandag 13 november 2023 @ 19:24:

Voor de duidelijkheid, met optionele 3D secure doelde ik dus op dat laatste. Je hoeft het niet altijd te doen. Het zal zeker verplicht zijn als aanbieder (MasterCard / Visa) om dit te hebben, en voor de verkoper om het te ondersteunen. Maar je hoeft dus niet elke transactie verplicht te bevestigen.

Ok, dan bedoel je inderdaad hetzelfde. Het leek alsof je bedoelde dat partijen ervoor zouden kunnen kiezen om 3D secure helemaal niet te implementeren maar dat is inderdaad niet het geval. Het enige optionele is dat in sommige gevallen de 2e factor bevestiging niet vereist is.

Zojuist was het bij het lokale gemeentehuis niet mogelijk om met Mastercard debit of Visa debit te betalen.
De baliemedewerkers snappen het niet helemaal, die bleven volhouden dat je alleen met pinpas kan betalen en niet met creditcard.
Toch maar eens een brief aan wagen, een nieuw paspoort is uiteindelijk toch noodzakelijk.

Deurwaarder schreef op dinsdag 14 november 2023 @ 13:04:
Zojuist was het bij het lokale gemeentehuis niet mogelijk om met Mastercard debit of Visa debit te betalen.
De baliemedewerkers snappen het niet helemaal, die bleven volhouden dat je alleen met pinpas kan betalen en niet met creditcard.
Toch maar eens een brief aan wagen, een nieuw paspoort is uiteindelijk toch noodzakelijk.

Dergelijke discussies heb ik ook al gehad. Dan laat ik mijn MasterCard Credit, MasterCard Debit en Maestro Debit zien en wijs ik er op dat debit aangeeft dat het geen creditcard is, want daar staat al i.p.v. credit het woord debit.

Meestal gaat er wel een lampje branden.

Pyronick schreef op dinsdag 14 november 2023 @ 13:10:
[...]
Dergelijke discussies heb ik ook al gehad. Dan laat ik mijn MasterCard Credit, MasterCard Debit en Maestro Debit zien en wijs ik er op dat debit aangeeft dat het geen creditcard is, want daar staat al i.p.v. credit het woord debit.

Meestal gaat er wel een lampje branden.

En dan hopen dat degene aan de balie aan een ander relevant persoon kan melden en uitleggen ?

iDeal is helaas NL only en zal voorlopig ook zo blijven. Zal met dit tempo nog zeker 5 jaar duren voordat Wero eu breed geïmplanteerd is.

Weet iemand hoe groot de voorraad maestro bij ing is? Zou fijn zijn als zij i.i.g. aan klanten de keuze geven, early adaptors of nog een oude maestro.

Deurwaarder schreef op dinsdag 14 november 2023 @ 13:04:
Zojuist was het bij het lokale gemeentehuis niet mogelijk om met Mastercard debit of Visa debit te betalen.
De baliemedewerkers snappen het niet helemaal, die bleven volhouden dat je alleen met pinpas kan betalen en niet met creditcard.
Toch maar eens een brief aan wagen, een nieuw paspoort is uiteindelijk toch noodzakelijk.

Technisch niet mogelijk? Of wat bedoel je?

YakuzA schreef op dinsdag 14 november 2023 @ 13:26:
[...]

En dan hopen dat degene aan de balie aan een ander relevant persoon kan melden en uitleggen ?

Dat is wel de insteek.

Deurwaarder schreef op dinsdag 14 november 2023 @ 13:04:
Zojuist was het bij het lokale gemeentehuis niet mogelijk om met Mastercard debit of Visa debit te betalen.
De baliemedewerkers snappen het niet helemaal, die bleven volhouden dat je alleen met pinpas kan betalen en niet met creditcard.
Toch maar eens een brief aan wagen, een nieuw paspoort is uiteindelijk toch noodzakelijk.

Heb je het mogen proberen, of vertelden ze dit alleen? En in welke gemeente?
Zeker in dat tweede geval zegt het niet zoveel. Jaren geleden in Duitsland contactloos betaald, ondanks dat de cassiere aangaf dat ik toch echt mijn pas moest dippen. Ogen zo groot als schoteltjes toen de kassa opeens bliep deed vanwege een succesvolle betaling.

edit: en in het geval van het eerste: heb je wel een EU/EEA pas?

[ Voor 5% gewijzigd door celshof op 14-11-2023 13:36 ]

celshof schreef op dinsdag 14 november 2023 @ 13:35:
[...]

Heb je het mogen proberen, of vertelden ze dit alleen? En in welke gemeente?
Zeker in dat tweede geval zegt het niet zoveel. Jaren geleden in Duitsland contactloos betaald, ondanks dat de cassiere aangaf dat ik toch echt mijn pas moest dippen. Ogen zo groot als schoteltjes toen de kassa opeens bliep deed vanwege een succesvolle betaling.

edit: en in het geval van het eerste: heb je wel een EU/EEA pas?

Uitgeprobeerd
Het is inderdaad wel vaker dat men denkt dat het niet kan, en ik het toch wilde proberen. Bij AH retourpinnen van de koopzegels bijvoorbeeld werkt het gewoon met Revolut.

Zowel Revolut als Curve (fysiek en via Google Pay) werden door het apparaat geweigerd.

Het kan wel zijn dat ze beide passen weigeren omdat het buitenlandse zijn, ipv omdat het debit cards zijn.
Mag volgens mij ook niet, maar ja. Ik ga het navragen via een contactformulier.

Deurwaarder schreef op dinsdag 14 november 2023 @ 13:56:
[...]
Het kan wel zijn dat ze beide passen weigeren omdat het buitenlandse zijn, ipv omdat het debit cards zijn.

Dat zal niet het geval zijn. Wat hoogstens mogelijk is, is dat de kaarten zich niet identificeren als Europese debitkaarten en dat ze daarom niet geaccepteerd worden. Maar daarvoor zou je moeten weten hoe de terminals exact zijn geconfigureerd. Maar mocht dat geval zijn, is het profiel op de (virtuele) kaart niet op orde, want ontbreekt de verplichte EMV tag, of is de automaat zo oud, dat die al jaren terug vervangen had moeten worden.
Welke gemeente is het? Wellicht hebben ze foto's van hun balie op internet en kunnen we zo achterhalen wat er staat

edit: er landt toevallig net een Revolut Visa kaart op mijn mat. Die heb ik uitgelezen met de Credit Card Reader app. Tag 9F0A heeft als waarde 08 00 01 05 01 00 00 00 00:
08 Lengte
00 01 EU/EEA kaart
05 Lengte
01 Debit kaart
00 00 00 00 niet gebruikt

Profiel van Revolut ziet er goed uit (had niet anders verwacht) en ik zou ook verwachten dat deze overal normaal werkt.
Wat wellicht ook nog zou kunnen, is iets dat de ING een paar jaar geleden had. Hun passen hadden een nieuwe versie van de chip gekregen, waar nog niet elke terminal goed tegen kon.

[ Voor 26% gewijzigd door celshof op 14-11-2023 16:25 ]

DaveFlash schreef op dinsdag 14 november 2023 @ 16:33:
[...]

ook incorrect, mijn Meastro passen van zowel N26 als Revolut hebben de kaartnummers, vervaldatum + cvv/cvc gewoon afgedrukt / ingestandst in/op de pas staan.

Dit is op mijn oude Engelse Maestro passen ook zo. Daar stond altijd gewoon een ingestanst Maestro kaartnummer op, werkte ook in webwinkels als je m invulde.

celshof schreef op dinsdag 14 november 2023 @ 15:31:
[...]
edit: er landt toevallig net een Revolut Visa kaart op mijn mat. Die heb ik uitgelezen met de Credit Card Reader app. Tag 9F0A heeft als waarde 08 00 01 05 01 00 00 00 00:
08 Lengte
00 01 EU/EEA kaart
05 Lengte
01 Debit kaart
00 00 00 00 niet gebruikt

Profiel van Revolut ziet er goed uit (had niet anders verwacht) en ik zou ook verwachten dat deze overal normaal werkt.
Wat wellicht ook nog zou kunnen, is iets dat de ING een paar jaar geleden had. Hun passen hadden een nieuwe versie van de chip gekregen, waar nog niet elke terminal goed tegen kon.

Welke credit card reader app gebruik je hiervoor?

Soundwork schreef op dinsdag 14 november 2023 @ 20:19:
[...]

Welke credit card reader app gebruik je hiervoor?

Deze: NFC Credit Card Reader NFC (EMV)

Zijn er nog wel meer, als je zoekt op EMV Reader. En wellicht ook wel betere, maar dit was de eerste die ik vond.

DaveFlash schreef op woensdag 15 november 2023 @ 00:48:
[...]

In mijn ervaring is dit ook incorrect, ik heb een test betaling gedaan met m'n nieuwe debit mastercard van de rabo, een permanent marker voor minder dan 2 euro bij bol.com, maar ik kreeg gewoon een pushbericht met het verzoek die kaarttransactie te accorderen via de SCA prompt in de Rabobank app, terwijl 2 minuten later een duurdere bestelling van aliexpress gewoon werd afgeboekt zonder een SCA prompt. (Of zoals jij het noemt 2FA, maar dat is een foutief gebruik van die terminologie.)

segil schreef op maandag 13 november 2023 @ 16:06:
@FreeShooter Jouw argument dat je 2FA hebt, geldt alleen voor duurdere transacties, toch? En niet voor kleinere bedragen. (...)

Toevallig heb ik ook net nieuw visa debit Triodos en ik deed ook betaling aanpassing bij loterij luxemburg en ten eerste was alleen 0 euro in resevering betaling zonder Visa Secure.

Pas erna ging ik ook lot kopen iets 10 euro totaal en er was wel check Visa secure met app bevestigen met disclaimer waarschuwing ken je dit iemand verkoper of anders jou overhaalt stopt dan anders transactie en belt meteen naar helpdesk.

Daarna gewoon bevestigen zonder probleem met app Triodos...
met anders woorden ook is een controle op kleinere bedragen zowel grote hoor.

Waarom ik koop alleen non-fysiek een goederen met Triodos visa kaart dus geen enkel probleem voor mij.

[ Voor 3% gewijzigd door Ultrafast op 15-11-2023 01:00 ]

Ultrafast schreef op woensdag 15 november 2023 @ 00:56: (...) met disclaimer waarschuwing ken je dit iemand verkoper of anders jou overhaalt stopt dan anders transactie en belt naar meteen helpdesk. (...)

Hmm, zo'n disclaimer is nieuw voor mij, rabo doet dat niet dacht ik, maar misschien idd wel aan te raden voor alle banken om altijd zo'n disclaimer in de SCA prompt in de bankapp te plaatsen, om bijv. snelle babbeltruc/social engineering achtige oplichters er uit te filteren, vooral bij de boomer generatie zou dit van pas komen en al veel schelen...

DaveFlash schreef op woensdag 15 november 2023 @ 01:02:
[...]

Hmm, zo'n disclaimer is nieuw voor mij, rabo doet dat niet dacht ik, maar misschien idd wel aan te raden voor alle banken om altijd zo'n disclaimer in de SCA prompt in de bankapp te plaatsen, om bijv. snelle babbeltruc/social engineering achtige oplichters er uit te filteren, vooral bij de boomer generatie zou dit van pas komen en al veel schelen...

Ja is ook nieuw voor mij ik zit ook pas bij 2 weken Triodos bank. Maar goed dat ze ermee stevig waarschuwt voor debit kaarten met klanten...

@Deurwaarder Laatste vraag over je betaling die niet lukte, heb je zowel contactrijk als contactloos geprobeerd? Ik heb met mijn nieuwe Triodos-pas nu meegemaakt dat contactloos niet werkt, terwijl dippen gewoon goed ging.

celshof schreef op maandag 13 november 2023 @ 11:11:
(...)
Ik vraag me ergens wel af, waarom Visa überhaupt dat tweede design toestaat. Buiten dat Triodos natuurlijk ook de veiligere optie had kunnen kiezen.

dat design uit die PDF is nieuw voor mij, heb ik idd ook nog nooit gezien, alle gegevens voorop de pas, incl. de CVC code Vaag, maar blijkbaar mag dat gewoon van Visa...

celshof schreef op donderdag 16 november 2023 @ 14:27:
@Deurwaarder Laatste vraag over je betaling die niet lukte, heb je zowel contactrijk als contactloos geprobeerd? Ik heb met mijn nieuwe Triodos-pas nu meegemaakt dat contactloos niet werkt, terwijl dippen gewoon goed ging.

Nee, alleen contactloos.
Eerst met telefoon (GPay/Curve). Daarna Curve fysieke pas. En daarna Revolut.
Volgende keer zal ik proberen met de chip zelf.

Ik heb via email een vraag gesteld of het klopt dat debitcards niet mogen.
En mocht het inderdaad niet kunnen, wanneer het dan wel kan.

Want het kan natuurlijk een vergissing zijn van de medewerker.

DaveFlash schreef op donderdag 16 november 2023 @ 14:46:
[...]

dat design uit die PDF is nieuw voor mij, heb ik idd ook nog nooit gezien, alle gegevens voorop de pas, incl. de CVC code Vaag, maar blijkbaar mag dat gewoon van Visa...

Mijn Revolut kaart heeft trouwens hetzelfde design.

DaveFlash schreef op donderdag 16 november 2023 @ 15:07:
[...]

wait, jij hebt de cvc voorop staan? is dat dan een nieuw ontwerp weer? Want bij al mijn revolut passen staat het netjes achterop.

Nee, achterop, maar dat is bij Triodos ook het geval (als ik aanneem dat het logo en de chip op de voorkant staan)

celshof schreef op donderdag 16 november 2023 @ 15:08:
[...]
Nee, achterop, maar dat is bij Triodos ook het geval (als ik aanneem dat het logo en de chip op de voorkant staan)

Bij de Triodos Visa Debit passen die ik gezien heb staat er alleen een plaatje van de natuur voorop, het VISA Debit en Triodos logo, en op de achterkant het kaartnr en CVC zoals Visa in hun document aangeeft.

Plofkotje schreef op donderdag 16 november 2023 @ 15:10:
[...]


Bij de Triodos Visa Debit passen die ik gezien heb staat er alleen een plaatje van de natuur voorop, het VISA Debit en Triodos logo, en op de achterkant het kaartnr en CVC zoals Visa in hun document aangeeft.

maar het mag blijkbaar van Visa ook allemaal voorop, aldus dit document van eind 2019.



In hoeverre de info in deze pdf, zie link, vandaag nog leidend is voor nieuw uitgegeven Visa Cards, is moeilijk te zeggen,
maar dit is het meest recente document wat een andere tweaker eerder in dit topic boven water heeft weten te krijgen.
Voor de volledigheid heb ik er opnieuw naar gelinkt en even het plaatje op de laatste pagina uitgesneden, hierboven.

Plofkotje schreef op donderdag 16 november 2023 @ 15:10:
[...]
Bij de Triodos Visa Debit passen die ik gezien heb staat er alleen een plaatje van de natuur voorop, het VISA Debit en Triodos logo, en op de achterkant het kaartnr en CVC zoals Visa in hun document aangeeft.

Achterkant staat ook mijn naam en rekeningnummer. In vergelijking met Revolut, staat op die pas mijn naam op de voorkant en nergens mijn rekeningnummer.

Net enquete mail gehad van Rabobank over de nieuwe Mastercard passen pilot. Iemand anders ook ? Waarschijnlijk wel, verwacht niet dat ik de enige ben

DaveFlash schreef op donderdag 16 november 2023 @ 15:20:
[...]

maar het mag blijkbaar van Visa ook allemaal voorop, aldus dit document van eind 2019.

[Afbeelding]

In hoeverre de info in deze pdf, zie link, vandaag nog leidend is voor nieuw uitgegeven Visa Cards, is moeilijk te zeggen,
maar dit is het meest recente document wat een andere tweaker eerder in dit topic boven water heeft weten te krijgen.
Voor de volledigheid heb ik er opnieuw naar gelinkt en even het plaatje op de laatste pagina uitgesneden, hierboven.

Ah wist ik niet dat voorkant bestaat maar persoonlijk vind ik mooiste een horziontaal pas ipv verticaal

Er bestaat ook nieuwste een horziontaal zonder informatie op visa pas.

Hoopt dat ook ING dit aanbiedt een visa debit kaart met zonder informatie dat zou top ... maar ik ben bang als ik kijkt naar omliggende landen zoals belgie en duitsland vrees ik ook voor embossed visa debit kaart van ING dezelfde...

Voor Abn amro ik verwacht gewoon een unembossed debit kaart mastercard.

[ Voor 9% gewijzigd door Ultrafast op 16-11-2023 21:08 ]

DaveFlash schreef op donderdag 16 november 2023 @ 20:49:
tip/verzoek aan iedereen: vul bij deze stelling "Stelling: Ik wil zelf de keuze maken of ik een betaalpas met een Mastercard- of Visa logo krijg." allemaal ja in, want wellicht gaan ze dan alsnog een keuze mogelijkheid geven op termijn, ik zou bijv graag naar visa debit willen ipv mastercard

Zal ik doen. Maar waarom zou je deze keuze willen?

Komt op mij over als een keuze tussen een BMW of een Audi.

Allebei prima auto’s.

La1974 schreef op donderdag 16 november 2023 @ 21:20:
(...) Maar waarom zou je deze keuze willen? (...)

kijk, ik heb het al eerder in de thread ook al gezegd, maar ik wil het best herhalen: ik ben een beetje klaar met het monopolie/dominantie van het bedrijf Mastercard in Nederland en wil nu ook wel eens Visa een kansje gunnen om de pas van keuze te zijn.

[ Voor 12% gewijzigd door DaveFlash op 16-11-2023 21:27 ]

Ik zou ook graag kiezen, dan kan ik zorgen voor een Visa en een Mastercard variant.
Recent was ik in Maleisië, daar waren een aantal shops die Mastercard helemaal niet accepteerden.
Dan is het toch fijn om ook een Visa te hebben

Ik heb gisteren met mijn Visa Debitkaart betaald bij een vx570/vx820 terminal! Ik dacht dat die terminals niet zouden werken met de nieuwe kaarten?

markcoenradie schreef op maandag 13 november 2023 @ 10:54:
[...]

Bij American Express staat de CID (4-cijferige code om betaling te bevestigen) ook op de voorkant. Altijd vreemd gevonden omdat je dus inderdaad aan een snelle foto genoeg hebt

Toevallig deze week een nieuwe amex kaart ontvangen. CVC staat voorop, maar het creditcard nummer achteop. Op mijn oude stond het idd naast elkaar

Wellicht goed dat er wat meer aandacht in de media komt voor de nieuwe betaalpassen. Zie website RTL nieuws vanochtend.

https://www.rtlnieuws.nl/...-betaalautomaat-betaalpas

Naast Triodos geven ook Knab en Van Lanschot de nieuwe betaalpassen al uit. Grootbanken als ING en ABN Amro beginnen hier pas in de loop van volgend jaar mee. Oude betaalpassen blijven overigens ook gewoon geldig.

Bron: https://www.rtlnieuws.nl/...-betaalautomaat-betaalpas

[ Voor 19% gewijzigd door U123456 op 17-11-2023 08:17 ]

Net een nieuw pas van ING gekregen, gewoon nog V-PAY. De voorraad zal wel op moeten.

Hier ook deze week een nieuwe ING pas op de mat gevallen. Maestro.

ING doet nog steeds random V-PAY vs. Maestro. En je kunt nog steeds via de klantenservice omwisselen (heb ik paar maanden geleden nog gedaan).

yuunj schreef op vrijdag 17 november 2023 @ 08:10:
Wellicht goed dat er wat meer aandacht in de media komt voor de nieuwe betaalpassen. Zie website RTL nieuws vanochtend.

https://www.rtlnieuws.nl/...-betaalautomaat-betaalpas

Alleen jammer dat ze de verkeerde insteek hebben in het artikel. De titel begint met "Nieuwe bankpas komt te vroeg", in plaats van "Winkels te laat".

EdwinG schreef op vrijdag 17 november 2023 @ 16:12:
[...]

Alleen jammer dat ze de verkeerde insteek hebben in het artikel. De titel begint met "Nieuwe bankpas komt te vroeg", in plaats van "Winkels te laat".

En zie hier waarom de grootbanken er nog niet aan beginnen. Als zelfs een kleinere bank als Triodos het nieuws al haalt en het probleem bij de bank wordt neergelegd kun je je wel indenken hoe dat gaat bij ING / ABN / Rabo. Die worden compleet gelyncht in dat geval.

RobertMe schreef op vrijdag 17 november 2023 @ 16:36:
[...]

En zie hier waarom de grootbanken er nog niet aan beginnen. Als zelfs een kleinere bank als Triodos het nieuws al haalt en het probleem bij de bank wordt neergelegd kun je je wel indenken hoe dat gaat bij ING / ABN / Rabo. Die worden compleet gelyncht in dat geval.

Goed punt, laten we vooral RTL op hun verkeerde berichtgeving wijzen, het is beter als de beeldvorming wordt omgedraaid.

EdwinG schreef op vrijdag 17 november 2023 @ 17:21:
[...]

Goed punt, laten we vooral RTL op hun verkeerde berichtgeving wijzen, het is beter als de beeldvorming wordt omgedraaid.

De titel van het artikel geeft inderdaad een verkeerd beeld.
Iin het artikel zelf wordt dan weer wel duidelijk gesteld dat winkeliers te laat zijn met hun apparatuur.

EdwinG schreef op vrijdag 17 november 2023 @ 16:12:
[...]

Alleen jammer dat ze de verkeerde insteek hebben in het artikel. De titel begint met "Nieuwe bankpas komt te vroeg", in plaats van "Winkels te laat".

Nou, volgens mij klopt het ook helemaal niet. Er lijkt verwezen te worden naar updates voor automaten, zodat debit geaccepteerd kan gaan worden. Maar dat is niet het probleem dat ik en anderen nu ervaren, want debit wordt prima geaccepteerd, alleen niet contactloos! Dat lijkt mij meer op een configuratie issue.

Nieknikey schreef op vrijdag 17 november 2023 @ 07:16:
Ik heb gisteren met mijn Visa Debitkaart betaald bij een vx570/vx820 terminal! Ik dacht dat die terminals niet zouden werken met de nieuwe kaarten?

Het werkt niet als een normale “pin” transactie met de Maestro/Mastercard Debit/V-pay/Visa Debit transactiekosten (6,6 cent voor de ontvanger) en als Creditcard betalingen uit zijn geschakeld op de terminal, dan kan je daar idd niet betalen met een nieuwe debit pas.

In jouw geval, gaat het hoogstwaarschijnlijk om een terminal die wel Creditcards accepteert, dus de ondernemer draagt ongeveer 1,6% over het totaalbedrag af ipv 6,6 cent. Als hij langer mee wacht, gaat hij het wellicht ooit aan zijn rekening merken.

Maar idd, bij vx570/vx820 terminals die creditcards accepteren blijven gewoon werken, maar tegen Creditcard transactie kosten ipv pin transactiekosten.

celshof schreef op zaterdag 18 november 2023 @ 16:56:
[...]
Nou, volgens mij klopt het ook helemaal niet. Er lijkt verwezen te worden naar updates voor automaten, zodat debit geaccepteerd kan gaan worden. Maar dat is niet het probleem dat ik en anderen nu ervaren, want debit wordt prima geaccepteerd, alleen niet contactloos! Dat lijkt mij meer op een configuratie issue.

Ah, je wordt genoemd in het artikel?

"We hebben een beperkt aantal klachten van klanten hierover gekregen", zegt woordvoerder Koen Jonker. "Een deel van deze klachten hing samen met het feit dat klanten hun betaalpas nog niet geactiveerd hadden met pincode."

Het gaat dan om klanten die contactloos willen betalen, wat pas werkt met een nieuwe pas als je eerst een keer mét pincode hebt gepind of betaald.

Dit is overigens hetzelfde als met een Maestro pas dacht ik.

YakuzA schreef op zaterdag 18 november 2023 @ 17:09:
[...]

Ah, je wordt genoemd in het artikel?

[...]

Dit is overigens hetzelfde als met een Maestro pas dacht ik.

Klopt. Paar maanden terug nog een Maestro van Rabo ontvangen en moest eerst ouderwets worden gepind incl. code. Maestro en MasterCard Debit van OpenBank die ik begin dit jaar heb ontvangen idem dito. Eerst ouderwets pinnen met code.
Staat bij Rabo overigens ook duidelijk vermeld in de brief die bij de Visa pas zat. En die brief zal vast en zeker identiek zijn aan die je krijgt als je gewoon een nieuwe pas krijgt.

Twijfel alleen of Rabo niet ook vermelding maakte van activeren via de Rabo Scanner. Maar dat weet ik niet 100% zeker en of die dan dus ook meteen contactloos werkt. Waarschijnlijk dat aan de Rabo kant dan een vlaggetje staat dat de pas geactiveerd is wat ze zowel om zetten na een pin transactie als bij inloggen op internetbankieren met dat pasnummer? En dat een pin betaling altijd via Rabo verloopt en ze dan direct controleren of contactloos aan staat + de pas geactiveerd is / via die weg contactloos ook mag.

[ Voor 43% gewijzigd door RobertMe op 18-11-2023 18:03 ]