SPRINT 3 The Bank
----------------------------------------------------------------------- Maarten Vermeulen | Peter Smaal | Jelle van Hengel
Table of Contents Sprint Planning .................................................................................................................. 3 User Stories: ............................................................................................................................... 3 Eisen: ......................................................................................................................................... 3 Overige taken: ............................................................................................................................ 3 Sprint Backlog: ........................................................................................................................... 3 Burndown Chart ................................................................................................................ 4 Retrospective .................................................................................................................... 5 Tips, Tops & Puntenverdeling: .................................................................................................... 5 Jelle van Hengel: ............................................................................................................................ 5 Peter Smaal: ................................................................................................................................... 5 Maarten Vermeulen: ..................................................................................................................... 5 Algemene reflectie Sprint 3: ....................................................................................................... 6 Onderzoeken: .................................................................................................................... 7 De Veiligheid en gebruiksvriendelijkheid van de pincode: .......................................................... 7 Pincodes veranderen ..................................................................................................................... 7 Aantal pogingen beperken ............................................................................................................ 7 Conclusie. ...................................................................................................................................... 8 Veiligheid contactloos betalen ................................................................................................... 9 Bronnen: ........................................................................................................................................ 9
Sprint 1 The Bank Page. 2
Sprint Planning User Stories: Deze sprint gaat The Bank de volgende User Stories uitvoeren: - GUI: o Er wordt een Grafische gebruikersinterface ontworpen en gemaakt die helemaal voldoet aan de eisen van de opdrachtgever. Het is dus erg belangrijk dat er tijdens deze planning goed met de PO wordt besproken welke eisen er allemaal aan de GUI zitten.
Eisen: Na onderzoek en besprekingen met de Opdrachtgever zijn er de volgende eisen aan de GUI gesteld: - Welkomscherm, Hier wordt de klant verwelkomt en er wordt gevraagd naar de pas van de klant. - Pincodescherm, in dit scherm is een invoerbalk voor de pincode. De code die wordt ingetoetst wordt verborgen onder sterretjes. Indien de pincode onjuist is verschijnt er een counter die het aantal mislukte pogingen bijhoudt. - Bedragkeuzescherm, hier worden een aantal opties voor vastgestelde bedragen gegeven en er is een invoerbalk waar zelf een bedrag gekozen kan worden. - BiljetKeuzeScherm, Hier kan de klant tussen de verschillende biljetten kiezen. Tevens zal er bij het ontwerpen van de GUI rekening gehouden worden met de volgende dingen: - Het design zal strak en modern zijn. - Er wordt gebruik gemaakt van rustige kleuren. - De GUI is ook goed te gebruiken voor blinden en slechtzienden.
Overige taken: Verder zal er deze sprint aan de volgende taken gewerkt worden: - Er wordt onderzoek gedaan naar de veiligheid/gebruiksvriendelijkheid van de pincode. - Er wordt gekeken hoe de kaartlezer beter beveiligd kan worden. - Er wordt onderzoek gedaan naar de veiligheid van contactloos betalen. - Er worden tabellen in de database opgezet.
Sprint Backlog:
Sprint 1 The Bank Page. 3
Burndown Chart
Sprint 1 The Bank Page. 4
Retrospective
Tips, Tops & Puntenverdeling: Jelle van Hengel: Peter Smaal: (2 Punten) Tip: Slechts een kleine tip, Probeer wat eerder met je taken te beginnen, zo heb je de laatste paar dagen wat meer rust, en tijd om alles te controleren en netter te maken. Top: Goed gewerkt en veel motivatie getoond, blijf zo doorgaan. Maarten Vermeulen: (1 Punt) Tip: Probeer iets eerder aan je taken te beginnen, en probeer de groep op de hoogte te houden van waar je mee bezig bent of waar je op vast loopt, dan kunnen we je meer helpen waar nodig. Top: Goed gewerkt, en je taken netjes volbracht. Peter Smaal: Jelle van Hengel: (2 Punten) Tip: Ik heb geen tip voor Jelle. Top: Netjes gecommuniceerd over het ontwerp van de GUI en gezorgd dat iedereen dezelfde kleuren etc gebruikten. Maarten Vermeulen: (1 Punt) Tip: Netjes gewerkt en een goed eindresultaat neergezet. Top: Beter communiceren, tijdens het hoorcollege was hij ziek en heft dit wat laat gemeld. Maarten Vermeulen: Jelle van Hengel: (2 Punten) Tip: Ik heb geen tip voor Jelle, want volgens mij is alles goed gegaan bij hem. Top: Jelle heeft tijdens deze sprint goed gewerkt. Hij heeft een mooie Gui gemaakt voor het kiezen welke biljetten je wilt. Daarnaast heeft hij ook nog een onderzoek gedaan naar de gebruiksvriendelijkheid van de pincode. Peter Smaal: (2 Punten) Tip: Ik heb geen tip voor Peter, want volgens mij is alles goed gegaan bij hem. Top: Peter heeft tijdens deze sprint goed gewerkt. Hij heeft een mooie Gui gemaakt voor de pincode en ook voor gezorgd dat je na een aantal pogingen niet nog een keer kan invoeren. Daarnaast heeft hij ook goed de tabellen voor de database opgezet.
Sprint 1 The Bank Page. 5
Algemene reflectie Sprint 3: Naar onze mening was deze sprint erg succesvol, er is hard gewerkt en veel volbracht. Ook ging de voorbereiding van deze sprint erg goed. Doordat tijdens de planning met de PO we een aantal goede vragen hebben kunnen stellen en erg goede feedback hebben gehad kwamen we erg gemotiveerd uit dit gesprek en zijn we vol verse energie aan het werk begonnen. Natuurlijk was er tijdens het weekend een klein dipje te zien in het werk wat gedaan werd, maar dit is vrij normaal. Alle taken zijn netjes volbracht en we kunnen eigenlijk geen verbeterpunten bedenken.
Sprint 1 The Bank Page. 6
Onderzoeken:
De Veiligheid en gebruiksvriendelijkheid van de pincode: De algemene pincode bestaat uit 4 tot 12 cijfers variërend van 0 tot 9, een aantal voorbeelden hiervan zijn “3940” of “19286304”. Dit allemaal volgens de algemene ISO 9564-1 standaard1. Maar Door de technologie van tegenwoordig zijn dit soort cijferreeksen binnen luttele minuten te kraken. Dit gebeurd met een methodiek die “Brute Forcing” wordt genoemd. The Bank heeft een tweetal manieren onderzocht om uit te vinden of er iets tegen dit fenomeen gedaan kan worden zonder dat dit ten koste gaat van de gebruiksvriendelijkheid. Pincodes veranderen Hoe langer de pincode, hoe meer mogelijkheden er zijn, zo zijn er bij 4-cijferige pincodes 10^4 = 10.000 mogelijkheden, het toevoegen van 1 cijfer zal zorgen voor 90.000 extra mogelijkheden, Echter vordert de evolutie van de computers zo snel dat zelfs 12-cijferige binnen enkele minuten kunnen worden gekraakt door middel van brute forcing. Bij brute Forcing is wordt er gebruik gemaakt van een programma dat elke mogelijkheid probeert Wat er gedaan zou kunnen worden om brute forcing tegen te gaan is het toevoegen van extra tekens aan de pincode. Zo zou er gebruik gemaakt kunnen worden van het alfabet, of speciale tegens zoals “#” of “@”. Dit zou het aantal mogelijke combinaties zo groot maken dat het brute forcen van de code veel langer duurt. Hoewel het toevoegen van extra tekens aan de pincode de veiligheid zeker stimuleert zal de gebruiksvriendelijk hierdoor erg dalen. Niet alleen zal het nodig zijn om een volledig toetsenbord op een pinautomaat te monteren, maar ook zal het onthouden van de pincode een stuk lastiger worden. Het is dus aan te raden om de pincode volgens de ISO 9564-1 standaard1 te houden. En geen extra aanpassingen aan de vorm van de code te doen. Aantal pogingen beperken Zoals al eerder besproken is is het erg makkelijk om codes te “Brute forcen”. In bovenstaand hoofdstuk is besproken dat brute forcing erg moeilijk is om tegen te gaan door middel van de pincodes aan te passen. Een andere manier is het aantal pinmogelijkheden te beperken. Door een gebruiker maar 3 mogelijkheden te geven wordt de veiligheid erg verhoogd, en de gebruiksvriendelijkheid zal vrijwel hetzelfde blijven. Als er staat ingesteld dat er maar 3 pogingen gedaan mogen worden voordat de pas geblokkeerd wordt, is de kans op het correct raden/brute forcen van de pincode binnen deze pogingen slechts 0,03%2. 1 2
http://www.iso.org/iso/catalogue_detail?csnumber=54083 https://en.wikipedia.org/wiki/Personal_identification_number#PIN_length
Sprint 1 The Bank Page. 7
Dit systeem zal de gebruiksvriendelijkheid niet tot weinig aantasten. Omdat de pincode slechts 4 cijfers is, deze is dus makkelijk te onthouden, en mocht desondanks de pas van de klant toch geblokkeerd worden, dan kan deze natuurlijk altijd naar het kantoor van de bank om hem te laten deblokkeren. De conclusie hiervan is dus om de gebruiker slechts een beperkt aantal mogelijkheden te geven om de pincode in te voeren, Dit zorgt voor een nog even gebruiksvriendelijk, maar bovenal veel veiliger systeem. Conclusie. Zoals in voorgaande hoofdstukken uitgelegd is de grens tussen gebruiksvriendelijk en veilig erg moeilijk, en hangt deze erg veel van de twee factoren af. Om het pinsysteem zo veilig, en gebruiksvriendelijk te maken ligt de ideale grens op het limiteren van het aantal invoermogelijkheden. The Bank raad dus aan om gebruik te maken van een pincode te kiezen die binnen de ISO 9564-1 standaard valt, en het aantal invoerpogingen te beperken tot 3.
Sprint 1 The Bank Page. 8
Veiligheid contactloos betalen Bij contactloos betalen kan je nooit meer dan 25 euro in 1 keer afrekenen zonder je pincode. In totaal kan je 50 euro achtereenvolgens betalen zonder gebruik te maken van je pincode. Als die 50 euro is bereikt moet er voor de volgende betaling weer gebruik worden gemaakt van je pincode. Wanneer je tussendoor een keer betaalt met je pincode dan is het weer terug op 0 euro. Als je pas of mobiele telefoon gestolen is kan er voor maximaal 50 euro zonder pincode worden betaald. Je moet de diefstal wel zo snel mogelijk melden bij de bank. En als die dan als gestolen is gemeld kan de pas dus ook niet meer gebruikt worden voor het contactloos betalen. Als je geen gebruik maakt van het contactloos betalen kan je het ook uitschakelen. Je kan ook de NFC-chip blokkeren door middel van een metaal, een speciaal hoesje zou dit al kunnen doen. En je zou ook nog het dag limiet kunnen veranderen, als je het lager maakt dat er dus in principe minder van je kan worden gestolen. Bronnen: http://www.consumentenbond.nl/betaalrekening/Extra/mobiel-en-contactloosbetalen/ http://financieel.infonu.nl/geld/150812-is-contactloos-betalen-veilig-welke-risicos-zijner.html
Sprint 1 The Bank Page. 9
