Data: 2018-07-05 12:47:33 | |
Autor: Dawid Rutkowski | |
Czy zbliĹźeniĂłwki sÄ juĹź bezpieczne? ;) | |
Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.
Z drugiej strony KNF zmusił banki do umożliwienia wyłączenia tej funkcjonalności bez uszkadzania karty. Poziom strachu każdy ma inny, więc sam oceń. |
|
Data: 2018-07-05 13:08:14 | |
Autor: Lisciasty | |
Czy zbliĹźeniĂłwki sÄ juĹź bezpieczne? ;) | |
W dniu czwartek, 5 lipca 2018 21:47:34 UTC+2 użytkownik Dawid Rutkowski napisał:
Poziom strachu każdy ma inny, więc sam oceń. Ja w zasadzie trzymam toto w grubym portfelu gdzie tkwi cała masa różnego badziewia, więc pewnie te NFC miałoby problem się przez to przebić :> Ale tak pytam czy słyszy się o jakiś aferach z tym związanych czy raczej nie. Ostatnio mi się obiła o uszy sprawa z wrocławskimi biletami MPK które miały być kupowane dotykowo i takoż sprawdzane, ktoś posiał panikę że nastąpi wysyp pseudokanarów z czytnikami do okradania kart. Ale jakoś wątek padł i nie wiem czy ów wysyp nastąpił ;) L. |
|
Data: 2018-07-06 09:56:06 | |
Autor: Piotr Gałka | |
W dniu 2018-07-05 o 22:08, Lisciasty pisze:
W dniu czwartek, 5 lipca 2018 21:47:34 UTC+2 użytkownik Dawid Rutkowski napisał: Poz tymi, co czasem (ale dawniej) widywałem w linkach wskazanych tutaj na grupie osobiście rozmawiałem ze sprzedawczynią w kwiaciarni, która twierdziła, że jak jej wcisnęli kartę zbliżeniową to kiedyś nagle pojawiło jej się na karcie kilka transakcji do 50zł, których na pewno nie robiła. Jej walka z bankiem była bezskuteczna. W związku z tym zrezygnowała z karty i już nigdy nie ma zamiaru używać zbliżeniowych. Ale to też się działo kilka lat temu i jest to zasłyszane od nieznanej osoby. P.G. |
|
Data: 2018-07-05 23:51:04 | |
Autor: MarcinF | |
W dniu 2018-07-05 o 21:47, Dawid Rutkowski pisze:
Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji. Dokonanie jakiej transakcji masz na myśli? |
|
Data: 2018-07-06 01:44:01 | |
Autor: Dawid Rutkowski | |
Czy zbliĹźeniĂłwki sÄ juĹź bezpieczne? ;) | |
W dniu czwartek, 5 lipca 2018 23:48:05 UTC+2 użytkownik MarcinF napisał:
W dniu 2018-07-05 o 21:47, Dawid Rutkowski pisze: Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty. Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej transakcji dla danej karty. Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane (stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny zestaw danych. |
|
Data: 2018-07-06 11:13:37 | |
Autor: Piotr Gałka | |
W dniu 2018-07-06 o 10:44, Dawid Rutkowski pisze:
Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty. Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według Ciebie polega tu to ograniczenie do jednej transakcji. Jeśli zestaw danych z karty wystarcza do potwierdzenia transakcji to można tego zestawu użyć kolejno w wielu terminalach dopóki one nie są online. P.G. |
|
Data: 2018-07-06 05:04:51 | |
Autor: Dawid Rutkowski | |
Czy zbliĹźeniĂłwki sÄ juĹź bezpieczne? ;) | |
W dniu piątek, 6 lipca 2018 11:13:33 UTC+2 użytkownik Piotr Gałka napisał:
Nie wiem czy masz rację, czy nie, ale wytłumacz proszę na czym według Ciebie polega tu to ograniczenie do jednej transakcji. Dobra uwaga, ale z innego puntu widzenia. Złodziej rzeczywiście może zrobić więcej transakcji tymi danymi w terminalach offline, ale z punktu widzenia ew. strat klienta, bank może się upierać, że "prawidłowo autoryzowana" jest tylko jedna z nich. A nawet taka sytuacja jest dla klienta korzystniejsza, bo karta nie ma prawa się tak zachowywać - pomijając oczywiście ew. uszkodzenie, co jednak można zweryfikować, bo klient karty nie stracił i można ją sprawdzić. Inna sprawa że offline to coraz większa rzadkość - stykowe jeszcze bardziej, ale i pikaczowe. Z kart, które używam, pikaczowo chodzi KK visa platinum citka, choć ma chyba jakieś ograniczenie, po którym zaczyna wymuszać on-line do czasu transakcji z chipa. Zaś żabowa KK world nigdy jeszcze nie poszła mi offline - a niby "prime". I myślę, że tutaj jest główne zabezpieczenie - poza takimi kuriozami jak te nieszczęsne biletomaty we Wrocławiu. Bo pomysły były różne - MC od początku szedł na oślep, i ta strategia wygrała, choć visa, jako kupujący technologię, na początku wybrała sobie wg mnie rozsądny podzbiór - czyli pikaczu jedynie bezpinowe do 50zł, a do tego z ograniczeniem do 3 transakcji pod rząd, potem wymuszenie chipu. Klientów to jednak wkurzało - i musieli dokupić pełnię możliwości. A od połowy przyszłego roku pikaczu bezpinowe będzie do 100zł :) Dla mnie pikaczu to ważniejszy wynalazek od samej karty płatniczej - miałem swego czasu porównanie, bo dostałem z eurobanku visę classic bezpikaczową, której trochę używałem, bo trzeba było zrobić 35 transakcji rocznie dla bezpłatności - i wygoda w porównaniu z pikaczową nieporównywalna. Może to dlatego, że te czytniki czipów takie nieżyciowe - bo z paskiem porównania nie mam (jak miałem pierwszą i być może drugą debetówkę paskową z mBąka to kartą ciężko było jeszcze płacić - bodajże w markecie budowlanym tylko płaciłem, a reszta użyć to bankomat), ale wydaje mi się, że swipe to była fajna rzecz. Choć to też potrafili niektórzy schrzanić - dla mnie naturalny jest swipe w kierunku do siebie, a np. w pekao dawali takie karty id klienta i przy kasach mieli czytniki - i tak był swipe od siebie, dziki taki. A tacy Amerykanie przeskoczyli z paska na pikacza - widać, że to mądry naród ;> |
|
Data: 2018-07-06 16:06:00 | |
Autor: Piotr Gałka | |
W dniu 2018-07-06 o 14:04, Dawid Rutkowski pisze:
W dniu piątek, 6 lipca 2018 11:13:33 UTC+2 użytkownik Piotr Gałka napisał: W latach 90-tych robiliśmy system kontroli dostępu na karty paskowe. Do głowy by nam nie przyszło zrobić czytnik który nie odczyta karty jak się ją przesunie w drugą stronę. W jednym naszym urządzeniu czytnik był umieszczony poziomo (nad nim wyświetlacz z czasem). Koncepcja była taka, że jedno urządzenie bez żadnych guzików pozwala rejestrować i wejścia i wyjścia. A w którą stronę we a w którą wy, aby się ludziom nie myliło? To proste jak urządzenie powieszone na ścianie to kartę należy przesunąć w tę stronę w którą się idzie. P.G. |
|
Data: 2018-07-07 00:32:15 | |
Autor: MarcinF | |
W dniu 2018-07-06 o 10:44, Dawid Rutkowski pisze:
Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty. Po tym co napisałeś poprzednio wystraszyłem się, że "połowa ludzi" może okradać posiadaczy kart zbliżeniowych, i bardzo zastanowiło mnie czemu tak się nie dzieje :) Teoretyczny atak o którym teraz piszesz jest znany od dawna, ale czy możesz przytoczyć jakikolwiek potwierdzony przykład? |
|
Data: 2018-07-06 16:16:51 | |
Autor: Wojciech Bancer | |
Czy zbliżeniówki są już bezpieczne? ;) | |
On 2018-07-05, Dawid Rutkowski <drutkow1@wp.pl> wrote:
Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji. A ktoś policzył prawdopodobnieństwo tej możliwości? Bo na początku tyle się słyszało o tych skanach kart, pokazywano raporty jakie to łatwe (oczywiście w warunkach laboratoryjnych i... cisza). Ale spoko, pewnie są i ludzie którzy mają schrony wybudowane na wypadek jakby jednak jakiś meteor pierdalnął w planetę i trzeba by było przeżyć resztę życia pod ziemią. W końcu szansa na to że meteor nas walnie też jest niezerowa. PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci smartfonem z biometryką i problem z głowy. :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
Data: 2018-07-06 07:28:55 | |
Autor: Dawid Rutkowski | |
Czy zbliĹźeniĂłwki sÄ juĹź bezpieczne? ;) | |
W dniu piątek, 6 lipca 2018 16:16:55 UTC+2 użytkownik Wojciech Bancer napisał:
On 2018-07-05, Dawid Rutkowski wrote: Oczywiście, sytuację ratuje to, że karty pikaczowe mają naprawdę mikry zasięg, i tak naprawdę trzeba by kogoś "obszukać" telefonem, jak tym ręcznym wykrywaczem metalu na lotnisku, żeby kartę odczytać. Może w jakimś naprawdę tłoku w autobusie czy japońskim pociągu. I do takich kart jak płatnicze to chyba nie wystarczy czytnik z mocniejszym polem, bo one chyba naprawdę radiowo nadają, a nie tylko, jak te breloczki unique, więcej albo mniej generowanego pola zjadają. PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci smartfonem z biometryką i problem z głowy. :) O, z tym uważaj, już Zajdej w "Limes inferior" opisał, jak to pomysłowi ludzie biometrię potrafią obejść. Tam oczywiście była ta najniebezpieczniejsza biometria, czyli odcisk palca - ale weź tu edukuj bandytów, że biometria z układu naczyń krwionośnych w palcu działa tylko wtedy, gdy palec jest przytwierdzony do właściciela... |
|
Data: 2018-07-06 16:45:27 | |
Autor: J.F. | |
Czy zbliżeniówki są już bezpieczne? ;) | |
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrnpjuuek.273l.wojciech.bancer@pl-test.org...
On 2018-07-05, Dawid Rutkowski <drutkow1@wp.pl> wrote: Teraz jest gorzej - ponad połowa ludzi ma telefon z NFC, którym może odczytać z Twojej karty dane umożliwiające dokonanie transakcji.A ktoś policzył prawdopodobnieństwo tej możliwości? Ale w jakim sensie pr-stwo ? Jesli 1000 studentow w kraju kupuje dziennie po 5 butelek wodki, to istotnie szansa ze padnie na mnie jest znikoma. PS. Jak ktoś się boi, że mu karty zeskanują, to niech sobie płaci I to moze byc dobra rada. Albo foliowa wkladka do portfela J. |