Lidl indfører kontaktløse betalinger

Fra i dag er det muligt at betale med kontaktløse kort i dagligvarekæden Lidl.

Fra i dag er det muligt at betale med kontaktløse betalingskort i dagligvarekæden Lidl, fortæller DR. Det vil sige, at kunderne kan føre deres komptatible kort op til terminalen ved køb op til 200 kroner, hvorefter betalingen relativt hurtigt går igennem uden brug af pinkode.

Samme teknologi blev tidligere på året også lanceret i Joe & the Juice, som blandt andet Version2 kunne fortælle.

Læs også: Danske Bank lancerer kontaktløst betalingskort på juicebar

Danske Bank har tidligere oplyst til Version2, at kunden i bankens implementering stikprøvevis blive bedt om at indtaste pinkode - hvilket skulle ske ca. hver femte gang af sikkerhedsmæssige årsager. Og derudover vil der kun kunne trækkes 800 kroner i løbet af en dag, kontaktløst, før en pinkode skal indtastes.

Den kontaktløse betalingsform forudsætter, at kortet er udstyret med en chip, der understøtter det. Og sådan et kort har foreløbigt 100.000 danskere ifølge DR.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christoffer El

Det kan da godt være det lyder 'enormt' smart, at man ikke længere behøver skrive sin pinkode.. Men der er vel en grund til at have en pinkode, nemlig sikkerhed.. Det kan godt være du maksimalt kan miste 800 kroner på en dag, men er det virkelig det værd? Det tager ikke mere end 2 sekunder at indtaste en 4-cifret pinkode..

Det er da den bedste julegave til tyvene :-)....

  • 3
  • 1
Peter Makholm Blogger

I min morgenradio havde de en tekniker og sikkerhedsekspert igennem og hele vinklen var at hvis man fik stjålet sit kort svarede det til at man fik stjålet en pung med kontanter og at det selvfølgelig ændrede ved sikkerheden af kort fra for traditionelle kortbetalinger med pinkode.

Min bekymring går mere på om man kan stjæle fra kortet uden nogen form for kontakt og uden jeg har nogle fysiske tegn på at jeg er blevet bestjålet. Det vil sige: fra hvilken afstand kan en fjendtlig automat med en successrate på over 10% gennemføre en betaling?

Her taler vi altså ikke om producentens lovprisninger af at man kan foretage betalingen på 10 cm afstand (og stadigvæk få en god brugeroplevelse) men om hvad den absolutte grænse for at kommunikere med kortet er (eventuelt hvis man bryder lidt med standarden i læseren).

Jeg ser absolut en use-case for kontaktløs og pinkodeløs betaling, men at jeg kan lave en betaling uden på nogen måde at skulel acceptere den bekymre mig noget. Lad mig i det mindste skulle trykke ok på kortet, om så bare til at det foretager en uspecificeret betaling.

  • 11
  • 0
Thomas Jensen

Det er vel banken der dækker tab i tilfælde af misbrug? I hvert fald for private. Man skal da handle groft uansvarligt for at man selv kan komme til at stå med en selvrisiko. Som forbruger kan man bare sige "den transaktion vil jeg ikke kendes ved" og så skal banken tilbageføre pengene, og så er det deres ansvar at finde ud af hvad der er foregået. Jeg tror faktisk risikoen er større for butikkerne der benytter denne mulighed...

  • 2
  • 1
Niels Christensen

I dag er der jo allerede steder, hvor man ikke bruger PIN-kode, når man anvender sit kort. F.eks. Storebælt. Bør man derfor undgå broen ?

Hvordan ved de 100.000 danskere, der allerede har er kontaktløst kort, at de faktisk har et ? Kan man se det på kortet ? Og hvis de har et uden selv at have valgt det, hvordan undgår man så butikker, der bruger denne teknologi, hvis man er utryg ved den ?

Vi har faktisk lige modtage et kort fra GF Forsikring, som er beregnet til at beskytte vores kontaktløse kort. Det er jo interessant, at for hvert kontaktløse kort, skal man have et ekstra kort til at beskytte det.

  • 0
  • 0
Anders Majland

På en nylig tur til USA oplevede jeg også at der ikke skulle pinkode eller underskrift til ved køb med almindelige kreditkort ved mindre beløb.

Det er jo et kompromis mellem tidsforbruget og sikkerheden og ved småindkøb af få varer giver det sikkert en betydelig tidsbesparelse at skære et par sekunder af hver transaktion.

Men man kunne jo også bare tillade at kunden gjorde klar til betaling (kort +kode) mens ekspedienten førte varene for stregkodelæserne således at kunden til sidst blot skulle trykke 'godkend" til totalbeløbet.

  • 1
  • 0
Peter Makholm Blogger

Som forbruger kan man bare sige "den transaktion vil jeg ikke kendes ved" og så skal banken tilbageføre pengene, og så er det deres ansvar at finde ud af hvad der er foregået.


Det forudsætter jo først at man opdager et misbrug, hvilket kræver at man gennemgår sine betalinger minutiøst. Jeg skal i hvert fald gerne tilstå at jeg nok ikke ville opdage enkelte overførelser på mellem 100 og 200 kroner hvis modtagerteksten så nogenlunde fornuftig ud.

Derefter er der også en forskel på teori og praksis. I teorien skal man bare gøre indsigelse mod en betaling, men i praksis tager det noget tid og er altid forbundet med en vis mistænkeliggørelse ("er du virkelig sikker på at du ikke har foretaget den transaktion") og bureaukrati ("Så skal du lige underskrive denne tro og love-erklæring og faxe den ind"). Man risikerer også at ens kort bliver for misbrug og så pludselig uden varsel bliver lukket af et eller andet overvågningssystem (for kundens egen sikkerhed, selvfølgelig. Men man kan ikke få oplyst hvad der triggede denne sikkerhedforanstaltning).

Så jo, med jura-brillerne på kan bankerne og branchens sikkerhedseksperter udtale at brugeren er stillet godt sikkerhedsmæssigt. Med det sker på en baggrund om at kunden handler efter alle foreskrifter og at kundens tid er gratis.

  • 7
  • 0
Morten Borg

Men man kunne jo også bare tillade at kunden gjorde klar til betaling (kort +kode) mens ekspedienten førte varene for stregkodelæserne således at kunden til sidst blot skulle trykke 'godkend" til totalbeløbet.

... sådan fungerer det altså allerede, jeg gør det altid på den måde, det sparer både min og ekspedientens tid :)

Jeg har nogle meget sjældne gange oplevet at det ikke er tilladt af terminalen, men det er bestemt ikke ofte.

  • 3
  • 1
Rasmus Iversen

Min bekymring går mere på om man kan stjæle fra kortet uden nogen form for kontakt og uden jeg har nogle fysiske tegn på at jeg er blevet bestjålet.

Den spekulerer jeg også over - men jeg tænker at der må være noget sporbarhed bagved - fx at kontaktløse overførsler kan føres tilbage til en specifik, evt. decideret godkendt, virksomhed, der kan kontaktes i tilfælde af uregelmæssigheder. Det beskytter ikke korthaver umiddelbart, men er dog en eller anden form for præventivt tiltag. Der er sikkert andre, der har tænkt mere over det.

  • 1
  • 0
Joe Sørensen

Hvordan ved de 100.000 danskere, der allerede har er kontaktløst kort, at de faktisk har et ? Kan man se det på kortet ? Og hvis de har et uden selv at have valgt det, hvordan undgår man så butikker, der bruger denne teknologi, hvis man er utryg ved den ?

Hvis du har et MasterCard Direct og din bank er Danske Bank, så har du fået at vide om den kan åbnes for kontaktløs betaling. Så har du ikke fået det at vide da du modtog dit MasterCard Direct, så har du ikke sådan et kort. Og har du ikke læst det, så har du sikkert heller ikke åbnet for det.

  • 0
  • 0
Gert Madsen

skal være i et lukket kredsløb, hvor der er et begrænset endeligt beløb.

Jeg vil sgu da ikke være pålagt at kontrollere min konto dagligt for at tjekke om nogen skulle have klonet mit kort-id.

Hvis man vil den vej, så må man genindføre Danmønt-kortet. Så slipper man også for det urimelige sladrekællinge-spor, hvor 10% af befolkningen kan se hvor mange øl jeg har købt, og hvor.

  • 1
  • 0
Brian Jakobsen

Hvis jeg nu kunne aflæse dit kort mens du befandt dig et andet sted, vha. f.eks. en hacket NFC telefon i din lomme, som emululerede den betalingsstander jeg står ved i LIDL med min NFC telefon, så ville jeg på dit kort kunne købe for 200 kr. Bevares, det er en beskeden sum, men mon ikke der også låses op for større overførsler med tiden.

  • 1
  • 0
Daniel Rasmussen

... sådan fungerer det altså allerede, jeg gør det altid på den måde, det sparer både min og ekspedientens tid :)

Jeg har nogle meget sjældne gange oplevet at det ikke er tilladt af terminalen, men det er bestemt ikke ofte.


Ja sådan fungerer det allerede med et (Visa/)Dankort, men jeg har altså endnu ikke set terminaler hvor det var tilfældet med debit kort ala MasterCard Direct eller Visa Electron, hvilket er lidt finurligt.

Pinkode eller ej kunne man måske ønske sig kontaktløs betaling fremfor chip betaling som fejler pga. en beskidt terminal. Jeg savner ihvertfald stadig magnetstribens hastighed og stabilitet.
Chip betaling er iøvrigt med de fleste terminaler stadig langsommere end med magnetstriben, for some reason.

  • 0
  • 0
Brian Jakobsen

Jeg vil tro og håber at systemet er lavet mere intelligent end at man kan kopiere kortet blot ved at gå forbi.
Jeg tror det fungerer ved at terminalen sender kortet en Challenge som den processerer og svarer rigtigt på. På den måde kan jeg ikke blot replay en tidligere interaktion med dit kort, da jeg ikke kender svar til terminalers nye Challenge.

  • 0
  • 0
Peter Makholm Blogger

Bevares, det er en beskeden sum, men mon ikke der også låses op for større overførsler med tiden.

Med systemhatten på er det netop tyveri af beskedne beløb der bekymrer mig. Jo større beløb der er tale om jo større er sandsynligheden for at hændelsen bliver undersøgt ordentligt, men ved småbeløb kan en lang serie af småtyverier gå ubemærket hen i lang tid.

Den perfekte forbrydelse er den som ingen opdager.

  • 2
  • 0
Michael Thomsen

Jeg vil sgu da ikke være pålagt at kontrollere min konto dagligt for at tjekke om nogen skulle have klonet mit kort-id.


Der er pt. ingen, som kan klone dit danske chipkort (nogle banker i udlandet bruger mindre sikre (og billigere) løsninger).

Jeg synes ikke det fremgår af artiklen, men kunne man i teorien ikke bare "høste" kort ved at gå tæt nok forbi, og efterfølgende bare bruge løs af dem?

Det kan man ikke, da du ikke kender terminalens spørgsmål til kortet (challenge).

Du kan formentlig lave et MITM angreb; men spørgsmålet om der ikke er for meget radiostøj og for mange kort til, at det er praktisk muligt.

Personligt var jeg også lidt betænkelig ved at miste PIN-koden ved småbetalinger; men gevinsten ved at slippe for kommunikationsfejl fordi butikken ikke gider rense chiplæseren er større. Der skal iøvrigt gives PIN ved alle beløb over fx. 200 kr og hver gang der er akkumuleret PIN-løse køb for 800 kr skal der ligeledes tastes PIN. Uanset om købet er foretaget på en dag eller over en måned.

Jeg synes dog bankerne skulle lade det være op til kunderne om de ønsker PIN altid, eller kun ved større (og akkumulerede) beløb.

Alle med rejsekort har også et par hundrede kr liggende på det uden PIN, og mange har ovenikøbet forbundet det med deres bankkonto.

  • 0
  • 0
Kasper Olsen

chippen på kortet er krypteret på samme måde som de almindelige kort, så du skal ikke være bange for at få kortet kopieret.

Men du skulle snarere bekymre dig for at nogle spontant krammer dig i bussen. De kunne have en kortlæser på sig som så snupper 200,- fra dig. Men på den anden side så er det blot at kontakte banken og dit tab bliver erstattet.

  • 0
  • 0
Peter Makholm Blogger

I dag er der jo allerede steder, hvor man ikke bruger PIN-kode, når man anvender sit kort. F.eks. Storebælt. Bør man derfor undgå broen ?

Efter min mening er det ikke fraværet af PIN-kode der er bekymrende, men at brugeren slet ikek aktivt skal acceptere en transaktion. Denne accept behøves ikke at have form af en hemmelig PIN-kode, men kunen bare være en ihændehaver accept der sikre at den der har fysiske kontrol over kortet ønsker at gøre brug af det. Det er denne egenskab der gør at skjult angreb på systemet muligt.

Det er korrekt at Brobizz og rejsekortet allerede er eksempler på betalingssystemer der ikke kræver en aktiv accept for hver transaktion. Derfor er det selvfølgelig korrekt at overveje om de udgør et tilsvarende problem.

I Lidls tilfælde kan jeg som angriber opnå egen vinding ved at overføre penge til en konto jeg har kontrol over. Derefter skal pengene hvidvaskes så jeg ikke bliver fanget. Hvordan jeg opnår egen vinding ved at foretage et tilsvarende angreb mod brobizz eller rejsekortet er mere tvivlsomt. Med brobizz kan jeg måske i bedste fald lave et real time MitM-angreb og få en gratis rejse, med rejsekortet er det meget lettere bare at stige på toget uden billet med samme resultat.

Det dækker dog kun tyveri hvor angrebet sker med egen vinding for øje. Alle tre systemer kan muligvis udsættes fro skjult hærværk eller misbruges til overvågning.

  • 2
  • 0
Log ind eller Opret konto for at kommentere