Vanwege de groeiende acceptatie van e-handel en de problemen met hackers wordt het tijd om meer aandacht aan beveiliging te schenken. Bedrijven doen dat vaak ook, maar particulieren, vooral degenen met pc’s en draagbare apparaten, verwaarlozen het. Het is tijd dat we het ‘smartcard’-tijdperk serieus betreden.
Wie kredietkaarten gebruikt, is bekend met de magneetstrip op de achterkant. Iedereen die recentelijk nieuwe kaarten heeft gekregen, heeft wellicht ook aan de voorkant links een set van acht zilver- of goudkleurige elektrische contacten opgemerkt, met een oppervlakte van circa een vierkante centimeter Een kredietkaart met deze contacten is een typisch voorbeeld van een smartcard. De contacten voorzien in een mechanisme om een voeding en een communicatiekanaal te verbinden met een microprocessor en een geheugen dat in de plastic kaart is ingebed.
Smartcards zijn aanzienlijk duurder dan de magnetische stripkaarten, maar ze hebben een aantal voordelen ten opzichte van de magneetkaart. Ze kunnen de persoonlijke informatie beter beschermen, en zijn te gebruiken om de rechtmatige eigenaar te identificeren via de pincode die hij krijgt bij ontvangst van de kaart. Ze reduceren ook de mogelijkheid tot fraude door ‘afwijzing’. Zo kun je beweren: ‘deze handtekening is niet van mij, dus geef ik geen toestemming voor deze transactie’. Maar als er een pincode is ingetoetst op het moment van autorisatie, is dat moeilijk vol te houden, omdat je de enige persoon bent die de pincode kent.
Onlangs is een proefproject gestart in Northampton (Groot-Brittannië) betreffende een nieuwe manier van transacties met behulp van smartcards. Bij bepaalde winkels is apparatuur geïnstalleerd voor elektronische verkooppunten (epos) die werken met een smartcard. Klanten met zo’n kaart zal niet langer gevraagd worden de transactiebon te tekenen, maar moeten een pincode van vier cijfers intoetsen als autorisatie. De kaart en de epos-eenheid zullen de transactie slechts autoriseren wanneer de juiste pincode is ingevoerd. De smartcard zal geen relevante informatie uit zijn beveiligde geheugen vrijgeven de code niet juist is.
De ‘pin en chip’-methode wordt ook wel ’tweevoudige authenticatie’ genoemd. Twee fysiek gescheiden items zijn immers nodig om de persoon te identificeren als de werkelijke rekeninghouder. Hij moet fysiek in het bezit zijn van de kredietkaart én hij moet de pincode kennen. Het bezitten of kopiëren van de kredietkaart zonder de pincode te weten is niet voldoende om een transactie met de kaart te authenticeren. Bij magnetische stripkaarten is dat wel mogelijk.
Het is cruciaal dat het systeem en de eigenaar van de kaart de pincode beschermen. In de winkels heeft de kassier daartoe een klein ‘pinpad’, dat veel lijkt op een kleine ‘handheld’, met als voornaamste verschil dat het apparaat hoge wanden heeft om nieuwsgierige ogen het zicht te ontnemen. Het apparaat is via een flexibele kabel verbonden met de epos-eenheid en heeft waarschijnlijk een smartcardlezer met gleuf
Op het lcd-scherm van de pinpad kan het epos-systeem het bedrag tonen dat de klant moet betalen, en dat de klant als correct kan bestempelen.< BR>
(Met dank aan Peter Farrar van Technology Concepts voor advies betreffende bovenstaande details)
Martin Healey, pionier ontwikkeling van op Intel gebaseerde computers en c/s-architectuur. Directeur van een aantal it-bedrijven en professor aan de Universiteit van Wales.