'Bedrijven met Mifare-deurpasjes lopen nu groot risico'

Zie je wel, gewoon doorgaan, kosten maken voor opsporing, kosten voor berechting, kosten voor uitvoering van de straffen. De overtreders zijn waarschijnlijk weer zielig met een slechte opvoeding/achtergrond/jeugd en wie betaald het gelag? (retorisch)
Het kostenpotje aan bijkomende kosten is dus niet alleen voelbaar in het OV potje, hoewel daar de bal is gaan rollen, er zullen nog héél wat kegels omgaan, maar de verantwoordelijken hebben hun salaris al meerdere malen gestort gekregen en zullen er weinig tot niets van voelen.

"Dat blijft een economische afweging. De hoeveelheid fraude zou nog wel eens acceptabel kunnen zijn", betoogt Schneier. "Ik weet ook niet of dit veel zal gaan gebeuren. Het is net als mensen die wel eens over poortjes heen springen."

Het is niet vergelijkbaar met over poortjes heen springen en het is niet alleen economisch. Het is ook een vertrouwenskwestie. Als reizigers tegoed verliezen door gekloonde kaartjes dan moet dat worden vergoed. Dat kost veel handelingen aan de kant van de reiziger en aan de kant van de OV Chipkaart organisatie. De economische schade is dus veel groter dan de gemiste inkomsten.

Belangrijker is nog dat het vertrouwen kost. Het hoeft niet heel vaak voor te komen. Maar als 0,1 procent van de reizigers met fraude te maken krijgt gaat het al om duizenden zaken. Genoeg om hele afleveringen van Kassa! en Radar te vullen.

Voor hem maakt het nu duidelijk dat bedrijven gevaar lopen als ze de techniek gebruiken voor hun toegang. "Zij moeten nu echt naar iets anders overstappen. Dit is een groot risico."

Het ligt ook aan de toepassing van die pasjes. Voor zaken waar je echt geen vreemde mensen binnen wilt hebben is een eenvoudig badge-systeem sowieso niet voldoende. Het is nl. vaak een eitje om binnen te komen bij gebouwen of afdelingen waar alleen dit soort systemen aanwezig zijn:

- "Collega's" die de deur al voor je open houden
- Het pasje van een kennis/collega lenen
- De "achterdeur" nemen, ik ken genoeg locaties waar de "voordeur" op slot zit met badge readers terwijl de poort elders wagenwijd open staat.

Dus voor serieuze "access control" dien je toch altijd nog een extra controle mechanismes in te bouwen (zoals een bewaker, een irisscan, etc.). Je kunt nu natuurlijk als een kip zonder kop gaan rondrennen, maar misschien is het verstandig om eerst eens goed te informeren welke systemen echt veilig zijn, voordat je investeert in een upgrade die over enkele maanden ook weer wordt gekraakt.

Voor zover ik mij kan herinneren is 1 van de belangrijkste reden voor het invoeren van de ov-chipkaart het voorkomen van illegaal reizen. Het illegaal maken of kopieren van een pas is nu net zo simpel als een illegale kopie van een software cd maken (bij wijze van spreken).

De schade die gemaakt zal worden zal dus niet te overzien zijn. Wanneer dit systeem in gebruik wordt genomen zal men snel tot de ontdekking komen dat er teveel gefraudeert wordt.

"Het is goed dat het nu in het openbaar is. Het wordt maar weer eens duidelijk: je kunt geen geheim bewaren als basis voor de technologie."

Hij bedoelde dat niet hij bedoelde "Security by obscurity"
http://nl.wikipedia.org/wiki/Security_through_obscurity

Dus de zin moet zijn "De basis van een beveiliging kan niet het geheimhouden van de werking zijn"

"Hier kun je misschien nog veel schade beperken door zeer intensief op misbruik te gaan letten en ook daadwerkelijk fraudeurs op te pakken", aldus Schneier.
Let op: Hij heeft het op geen enkele manieren gehad over het blokkeren van officiele kaarten. Hij heeft het over oppakken (en terecht).
Dat is iets heel anders dan wat translink wil doen. Translink wil namelijk de legale reiziger duperen.
Vandaar ook de opmerking dat het de vraag is of het financieel interessant is, omdat je zoveel mensen nodig hebt om de controle (a la strippenkaart) uit te voeren.