PENTAX@PL Strona Główna » Gdzie... » Hyde Park » Złamanie PINu do kart z chipem (bankowych, e-podpis?)
 
LDevil  Dołączył: 30 Maj 2007
Wychodzi na to, że nie ma się czego bać: http://www.cartes-bancair..._instrument.pdf

[ Dodano: 2010-02-14, 13:07 ]
A co do większego bezpieczeństwa podpisu ręcznego w stosunku do kodu pin, to nie zawsze się to sprawdza. Może się tak zdarzyć, że specjalista stwierdzi iż próbka pisma jest zbyt mała, żeby jednoznacznie stwierdzić czy też wykluczyć oszustwo.
 

plwk  Dołączył: 21 Kwi 2006
opiszon napisał/a:
jedyne miejsce gdzie spotkałem się z respektowaniem zgodności podpisów, to w moim banku gdy robię transakcje w kasie

U siebie w banku musiałem kiedyś trzy razy podpisywać zanim zaakceptowali.
szczypiorrr napisał/a:
Dopiero przy kasie zorientowałem się, że to nie moja karta

Mojej żonie w sklepie koło domu odmówili zrealizowania płatności (terminal na pin) gdy sprzedawca zauważył, że karta jest na mnie.
 
LDevil  Dołączył: 30 Maj 2007
I jeszcze jedno: http://www.finextra.com/c...og.aspx?ID=3795

Generalnie chip nadal pozostaje dużo bardziej bezpieczniejszy od paska magnetycznego.
Brak karty bankomatowej zauważy 99% użytkowników, natomiast taki sam procent ludzi raczej nie zauważy, że ktoś im sklonował pasek.
 

emigrant  Dołączył: 20 Wrz 2006
LDevil, linki, które podałeś dowodzą, że problem bezpieczeństwa kart bankowych jest tylko przejściowy i cała sprawa jest bodźcem do usprawnienia metody autoryzacji transakcji. Wystarczy, że wszystkie autoryzacje będą przeprowadzane na serwerze banku (sprawdzenie PINu on line).

Natomiast ciągle pozostaje otwarte moje pytanie o karty, które są stosowane do autentykacji różnych działań (podpis elektroniczny itp.) i tu sprawdzenie PINu odbywa się chyba zawsze w chipie karty (off line).
 
pepek  Dołączył: 19 Lip 2006
A co z kartami zbliżeniowymi?

 

emigrant  Dołączył: 20 Wrz 2006
pepek, przy transakcjach zbliżeniowych nie wymagany jest PIN.
 
LDevil  Dołączył: 30 Maj 2007
emigrant napisał/a:
Natomiast ciągle pozostaje otwarte moje pytanie o karty, które są stosowane do autentykacji różnych działań (podpis elektroniczny itp.) i tu sprawdzenie PINu odbywa się chyba zawsze w chipie karty (off line).
A to nie jest tak, że przy podpisie elektronicznym, do karty wysyła się skrót wiadomości oraz kod pin i jeżeli kod jest w porządku to karta podpisze ten skrót, a w przeciwnym wypadku odmówi. Jakoś nie widzę możliwości złamania tego.
emigrant napisał/a:
pepek, przy transakcjach zbliżeniowych nie wymagany jest PIN.
Jeszcze mi się nie zdarzyło autoryzować takiej transakcji, ale z tego co czytałem, to jest to teoretycznie możliwe (pewnie gdybyś kilkukrotnie pod rząd próbował kupić coś za kwotę zbliżoną do maksimum to mogłoby to spowodować konieczność podania pinu)
 
pepek  Dołączył: 19 Lip 2006
emigrant napisał/a:
pepek, przy transakcjach zbliżeniowych nie wymagany jest PIN.

To wiem, ale chodzi mi o bezpieczeństwo transakcji. Z jakiej odległości karta-czytnik jest realizowane potwierdzenie i czy istnieje możliwość użycia odpowiedniego skanera będącego swoistą bramką, podobną do tych na lotniskach. Teoretycznie tego typu transakcje są najbezpieczniejsze, ale czy aby napewno?
 
LDevil  Dołączył: 30 Maj 2007
pepek napisał/a:
To wiem, ale chodzi mi o bezpieczeństwo transakcji. Z jakiej odległości karta-czytnik jest realizowane potwierdzenie
Z kilku mm, właściwie za każdym razem musiałem przyłożyć kartę do czytnika
pepek napisał/a:
i czy istnieje możliwość użycia odpowiedniego skanera będącego swoistą bramką, podobną do tych na lotniskach.
Teoretycznie sprawa jest prosta: zwiększamy pole elektro-magnetyczne odpowiedzialne za pobudzenie karty i liczymy, że uda się nam okraść każdego przechodzącego klienta.
Ale w praktyce karty mogą się automatycznie niszczyć przy znalezieniu się w zbyt silnym polu em, dodatkowo karta może wymagać w miarę stałego pola em, przez jakiś fragment czasu (a więc odpada skanowanie poruszających się osób). No i największy problem: trzeba posiadać działający terminal zbliżeniowy oraz potrafić go podłączyć do samodzielnie wybudowanej "anteny".
Nie będzie to takie proste, ponieważ terminale są dość dobrze zabezpieczone przed ingerencją osób niepowołanych.
Biorąc pod uwagę te wszystkie okoliczności wydaje mi się, że raczej nie grozi nam skanowanie kart zbliżeniowych.
 

emigrant  Dołączył: 20 Wrz 2006
LDevil napisał/a:
raczej nie grozi nam skanowanie kart zbliżeniowych
Zdalne.

Zgubione lub skradzione tak samo można podłączyć do komputera (kontaktowo lub bez - są czytniki) lub po prostu płacić nimi do 50zł. Z tym, że chyba raz na kilka (3?) płatności następuje autoryzacja on-line.
 

romeoad  Dołączył: 02 Lis 2009
emigrant napisał/a:
Trik polegał na tym, że oryginalne karty były wkładane do przejściówki składającej się z typowego czytnika kart chipowych, laptopa z Linuksem oraz podłączonej do niego imitacji karty, którą wsuwało się do oryginalnego terminala kartowego.


Fachowo to się nazywa atakiem typu man-in-tha-middle. Ponieważ do takiego nadużycia wymagany jest osprzęt i karta ofiary jest to nieco zbyt kłopotliwe żeby posłużyć się nią w dowolnym sklepie. Wyobrażasz sobie złodzieja podającego kartę z kablem do netbooka w celu dokonania transakcji?
 

emigrant  Dołączył: 20 Wrz 2006
romeoad, Wiem, że indywidualnemu oszustowi to na wiele się nie zda, ale wyobraź sobie gang korzystający z "zaprzyjaźnionego" lub swojego sklepu z drogimi zabawkami.

[ Dodano: 2010-02-15, 17:11 ]
No i jeśli na moje pytanie końcowe odpowiedź brzmiałaby, że jest podobnie - to sprawy by się miały o wiele groźniej. Podpis elektroniczny jest traktowany tak samo, jak odręczny, a nawet poważniej - bo np. mamy pewność kiedy został złożony.
 

Arti  Dołączył: 20 Kwi 2006
Bezpieczenstwo.. bezpieczenstwo...
Jakiś czas temu (dość dawno to było) miałem okazję zagościć u naszego Wielkiego Brata z Wielką Wodą. Za hotel płaciliśmy służbową kartą kredytową. Pani w recepcji w czasie meldowania przeleciała kartą przez czytnik i oddała z uśmiechem. Przy wymeldowywaniu oddaliśmy klucze, dostaliśmy rachunki, zero karty, akceptacji, skanowania siatkówki, PINa, odcisku palca, podpisu. Oczywiście karty zostały obciążone. Ale żeby było śmieszniej z winy LOTu do hotelu przybyliśmy dobę później niż była rezerwacja i hotel mógł nas obciążyć za tę noc, mimo że nas nie było. Sprawdziliśmy na rachunki, nie ma, luzik... Ale hotel po tygodniu od naszego wylotu uznał, że jednak za to też doliczy i obciążył kartę. I weź tu rozlicz wydatki jak nawet tego na rachunku nie było ;-) .
Co więcej podczas tankowania wkłada się kartę do terminala, wyjmuje, bez PINu, podpisu, czegokolwiek i tankuje. I też obciążyli tyle ile trzeba...

Kurde, jak oni to robią!? Jak to z tym bezpieczenstwem?
 

opiszon  Dołączył: 29 Sty 2008
Arti napisał/a:
Kurde, jak oni to robią!? Jak to z tym bezpieczenstwem?

to ja ci powiem

Visa jest podzielona na 3 oddziały

Visa America, Visa Asia, Visa EMEA

wszelkie standardy które są wyznaczane dla Asia i dla EMEA, nie są tak ostro przestrzegane w Visa America (typu - zabezpieczenia PIN, bezpieczne transakcje internetowe, itp, itd - z tego np powodu PayPal nie obsługuje Verified By Visa)

po prostu nasz Wielki Brat ma w nosie bezpieczeństwo, jak zwykle
 

Arti  Dołączył: 20 Kwi 2006
Tak się domyśliwam, ale weź tu zgub kartę kredytową... :roll:
 

opiszon  Dołączył: 29 Sty 2008
Arti, no cóż zrobić

nie mogą zmusić USA do podpisania traktatu z Kioto, a ty wierzysz, że Visa wprowadzi tam takie standardy jak reszcie świata :?:

:-P

//dobra, kończę ten temat, bo zaraz podpadnie pod politykowanie ;-)
 

emigrant  Dołączył: 20 Wrz 2006
Znalazłem artykuł z austriackiego Zentrum für sichere Informationstechnologie, który tłumaczy kwestie bezpieczeństwa związane ze sprzętem i softwarem do podpisu elektronicznego.
Niestety artykuł jest po niemiecku i nie zabardzo rozumiem wszystkie niuanse.

Czy może ktoś biegły w tym języku mógłby wyjaśnić, co ww. artykuł mówi o kwestii manipulacji PINem i danymi pomiędzy kartą, a aplikacją korzystającą z podpisu elektronicznego?

http://www.a-sit.at/pdfs/...ignatur_S_S.pdf
 

opiszon  Dołączył: 29 Sty 2008
emigrant, może to pomoże :?:
http://translate.google.c...ignatur_S_S.pdf
 

emigrant  Dołączył: 20 Wrz 2006
opiszon napisał/a:
może to pomoże
we wpadnięciu w schizofrenię?
Wybacz, ale więcej zrozumiałem, czytając tekst niemiecki, niż "polski".
 

opiszon  Dołączył: 29 Sty 2008
emigrant, cóż, taki lajf
to ze swoją znajomością "piwnego niemieckiego" niewiele więcej mogę pomóc :-/
nie znam nikogo ze znajomością technicznego niemieckiego (przynajmniej nie z tej dziedziny nauki)

Odpowiedz
[X]
Wyświetl posty z ostatnich:
Skocz do:
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Dodaj temat do Ulubionych
Wersja do druku

Powered by phpBB modified by Przemo © 2003 phpBB Group
Theme created by opiszon, powered with Bootstrap and VanillaJS.
Strona używa plików cookie. Jeśli nie zgadzasz się na to, zablokuj możliwość korzystania z cookie w swojej przeglądarce.
my.pentax.org.pl