Belangrijkste tips
- Apple Pay en Google Pay gebruiken tokenisatie om te voorkomen dat uw creditcardnummer wordt gestolen tijdens transacties.
- Beide services hebben sterke beveiligingsmaatregelen. Ze versleutelen uw gegevens en gebruiken een toegangscode of biometrische authenticatie om fraude te voorkomen.
Virtuele portemonnees zoals Apple Pay en Google Pay zijn enorm handig, maar zijn ze veilig? Hoe beschermen ze uw gegevens tegen mensen die deze zouden proberen te stelen? Dit is wat u moet weten.
Hoe werken Apple Pay en Google Pay?
Met Apple Pay en Google Pay kunt u uw telefoon gebruiken om te tikken om te betalen, net zoals u dat met een creditcard zou doen. Maar hoe werken ze onder de motorkap?
Wanneer u voor het eerst een kaart aan een van beide diensten toevoegt, wordt het kaartnummer verzonden naar een tussenpersoon die een Token Service Provider (TSP) wordt genoemd. Tokenserviceproviders nemen uw creditcardnummer, ook wel uw Primary Account Number (PAN) genoemd, en wijzen u een tweede nummer toe, een zogenaamde token, of Digital Primary Account Number (DPAN).
We noemden het een getal, maar tokens zijn eigenlijk alfanumerieke tekenreeksen.
Zodra u een token heeft gekregen, verzendt uw telefoon elke keer dat u uw telefoon gebruikt om iets te betalen, het token via NFC in plaats van uw daadwerkelijke creditcardnummer. Degene die u betaalt, verzendt vervolgens uw token naar de TSP, en de TSP is degene die uw token terugkoppelt aan uw gewone rekeningnummer. Die informatie wordt vervolgens doorgestuurd naar uw bank (of andere financiële instelling) en uw betaling wordt verwerkt.
Deze extra laag is er om te voorkomen dat uw echte primaire rekeningnummer wordt gestolen of anderszins wordt misbruikt. Een handelaar kan niets doen met uw token alleen; hij heeft de TSP nodig om de verbinding tussen hemzelf en uw bank tot stand te brengen.
Hoe veilig zijn Apple Pay en Google Pay?
Google Pay en Apple Pay zijn zeer veilig en op het moment van schrijven is er met geen van beide een grootschalige inbreuk gepleegd. Er zijn vier grote kenmerken die hieraan bijdragen:
- Apple Pay slaat niet uw volledige creditcardnummer op, dus zelfs als Apple wordt gecompromitteerd en de codering de gegevens niet beschermt (wat onwaarschijnlijk is), kan uw kaartnummer niet worden gestolen.
- Google Pay codeert alle kaartgegevens die op hun servers zijn opgeslagen. Als de gegevens ooit worden gestolen, is het onwaarschijnlijk dat iemand in de nabije toekomst de codering kan breken.
- Apple en Google Pay gebruiken tokenisatie voor transacties. Net als bij creditcards betekent dit dat degene die u betaalt, uw creditcardnummer niet kan stelen en later voor frauduleuze transacties kan gebruiken.
- Met geen van beide diensten kunt u de betaalmethoden die aan uw account zijn gekoppeld, bekijken of wijzigen, tenzij u dit bevestigt met uw telefoon (of een ander geautoriseerd apparaat).
Zelfs als uw Google- of Apple-account zou worden gehackt, kunt u met geen van beide services uw betaalmethoden gebruiken, wijzigen of bekijken zonder dat u uw telefoon (of ander apparaat) gebruikt om dit te bevestigen dat jij het bent. Dit zorgt ervoor dat een hacker niet met uw kaarten geld kan uitgeven.
Wat maakt ze kwetsbaar?
Het grootste (bekende) beveiligingsprobleem van zowel Apple Pay als Google Pay is het apparaat dat u gebruikt om transacties te verifiëren. Meestal is dit uw telefoon, maar het kan ook een smartwatch zijn, of bijvoorbeeld uw Mac.
Het meest voorkomende probleem is uw pincode. Iedereen die het kent (of wiens biometrie aan uw telefoon is toegevoegd) kan het gebruiken om een betaling uit te voeren.
Bovendien is het mogelijk dat bugs aanvalsmogelijkheden voor hackers kunnen openen. Dit soort dingen zijn zeldzaam, maar ze gebeuren wel. Google Wallet had in 2023 een bug die gebruikers aan het licht had kunnen brengen. kaartnummers naar een kwaadaardig NFC-apparaat, en Pixel-apparaten hadden ooit een bug waardoor iemand het vergrendelingsscherm kon omzeilen met een extra simkaart. Apple Pay had een probleem met de Express Transit-modus waardoor een betaling kon plaatsvinden zonder toestemming van de gebruiker.
Gelukkig worden dit soort problemen meestal vrij snel opgelost. Dit soort beveiligingsoplossingen zijn de reden waarom het belangrijk is om uw apparaten up-to-date te houden.
Zijn Apple en Google Pay veiliger dan creditcards?
Over het algemeen wel. Moderne creditcards maken ook gebruik van tokenisatie als je tap-to-pay gebruikt of de chip in de kaartlezer steekt, wat een enorme verbetering is ten opzichte van de oude magneetstrips, maar ze lijden aan een enorme veiligheidsfout: je creditcardnummer wordt letterlijk afgedrukt op de kaart zelf.
Bij creditcards wordt u doorgaans ook niet gevraagd een pincode te gebruiken voor een transactie. Als u uw kaart laat vallen, kan iedereen deze oppakken en gebruiken. In de Verenigde Staten bent u maximaal aansprakelijk als uw creditcard wordt gestolen en op frauduleuze wijze wordt gebruikt, namelijk 50 dollar. Dat is echter een gedoe dat u volledig kunt vermijden.
Aan de andere kant kunnen Apple Pay en Google Pay zo worden geconfigureerd dat elke transactie – ongeacht de waarde – een pincode, toegangscode of biometrische authenticatie vereist. Dit is de standaardinstelling in de Verenigde Staten, hoewel dit in andere landen anders kan zijn. Normaal gesproken kunt u nergens meer dan ongeveer 50 USD in rekening brengen zonder authenticatie.
Zoals we eerder vermeldden, is het altijd mogelijk dat de beveiliging van je telefoon kan worden omzeild, maar het is belangrijk om te benadrukken hoe buitengewoon zeldzaam dergelijke exploits zijn in het grote geheel van dingen. De kans is veel groter dat u per ongeluk een kaart kwijtraakt dan dat de beveiliging van uw telefoon wordt omzeild.