NXP bouwt pinterminal in smartcard

Reading time: 2 minutes

Author:

NXP komt met contactloze smartcards die voorzien zijn van aanraaksensoren waarmee gebruikers een pincode of een authenticatiepatroon direct op de kaart kunnen invoeren. Dat moet de NFC-kaarten bestand maken tegen spionagesoftware op de kaartlezers. Met name nu pc’s of smartphones van eindgebruikers onderdeel maken van de authenticatieketen, neemt het risico daarop toe.

Bij veel internettoepassingen neemt de roep toe om het traditionele wachtwoord aan te vullen met een tweede factor om een gebruiker toegang te verschaffen. Deze twee-factorauthenticatie is idealiter een combinatie van iets dat de gebruiker weet (het wachtwoord) met iets dat hij bezit, zoals telefoon waar per sms een code naar verstuurd wordt. Een smartcard kan ook gebruikt worden als tweede factor. Met name overheden kijken hiernaar, omdat gebruikers zich dan via hun officiële id-kaart online kunnen identificeren.

Een probleem hierbij is echter dat het bijbehorende wachtwoord via een keylogger achterhaald kan worden wanneer deze wordt ingevoerd op een pc of smartphone. Dit soort consumentenapparatuur is veel gevoeliger voor malware dan betaalterminals dan traditionele NFC-kaartlzers zoals betaalterminals.

Dat beveiliginsgat denkt NXP te kunnen dichten met zijn Smarttouch-technologie. In 2012 toonde de chipmaker al een prototype van de kaarten op de Consumer Electronics Show. Klaarblijkelijk acht de chipmaker de tijd nu rijp om er serieus werk van te maken. De kaarten hebben dezelfde afmetingen als normale smartcards en halen net als andere NFC-kaarten hun energie volledig uit het rf-veld van de lezer, maar ze zijn voorzien van een oppervlak dat vingeraanrakingen registreert en de positie als x- en y-coordinaat doorspeelt naar een microcontroller. Pas wanneer die zijn goedkeuring geeft, wordt het secure element ontgrendeld en wordt er gecommuniceerd met het consumentenapparaat.

Een simpele toepassing van de aanraaksensor is om deze in te zetten als numeriek toetsenbord. De microcontroller heeft echter genoeg rekenkracht om gebaren of het handschrift van de gebruiker te herkennen. De kaart zou dus dubbel beveiligd kunnen worden door de gebruiker een pincode te laten schrijven; niet alleen moet hij de code hebben, het handschrift moet ook nog eens overeenkomen.