Witam!
BPH oraz Pocztowy maja karty bez czipów, czy obie karty jak karta w VW banku
wymusza podpis nawet przy terminalu z pinpadem czy zadna któras z nich czy zadna ?

pozdrawiam

On Jan 27, 2:15 pm, "wspolna-flaszka.pl"
<przemyslaw.roki...@gazeta.pl> wrote:

Witam!
BPH oraz Pocztowy maja karty bez czipów, czy obie karty jak karta w VW banku
wymusza podpis nawet przy terminalu z pinpadem czy zadna któras z nich czy
zadna ?

pozdrawiam

A swoja droga bylo 1001 razy na grupie: kwestia karta z czpiem/karta
bez czpia jest oderwana od kwestii podpis/pin. To sa dwie zupelnie
niezalezne sprawy.

Uzytkownik "BK" <bkapuscinski@gmail.com> napisal w wiadomosci news:2a74a242-7e3e-433b-9c0c-16d724fe70e8k41g2000yqm.googlegroups.com...
On Jan 27, 2:15 pm, "wspolna-flaszka.pl"
<przemyslaw.roki...@gazeta.pl> wrote:

Witam!
BPH oraz Pocztowy maja karty bez czipów, czy obie karty jak karta w VW banku
wymusza podpis nawet przy terminalu z pinpadem czy zadna któras z nich czy
zadna ?

pozdrawiam

A swoja droga bylo 1001 razy na grupie: kwestia karta z czpiem/karta
bez czpia jest oderwana od kwestii podpis/pin. To sa dwie zupelnie
niezalezne sprawy.


tyle ze u nas posiadanie chipa = pin

On Jan 27, 2:32 pm, "wspolna-flaszka.pl"
<przemyslaw.roki...@gazeta.pl> wrote:

Uzytkownik "BK" <bkapuscin...@gmail.com> napisal w wiadomoscinews:2a74a242-7e3e-433b-9c0c-16d724fe70e8k41g2000yqm.googlegroups.com...
On Jan 27, 2:15 pm, "wspolna-flaszka.pl"

<przemyslaw.roki...@gazeta.pl> wrote:
> Witam!
> BPH oraz Pocztowy maja karty bez czipów, czy obie karty jak karta w VW
> banku
> wymusza podpis nawet przy terminalu z pinpadem czy zadna któras z nich czy
> zadna ?

> pozdrawiam

A swoja droga bylo 1001 razy na grupie: kwestia karta z czpiem/karta
bez czpia jest oderwana od kwestii podpis/pin. To sa dwie zupelnie
niezalezne sprawy.

tyle ze u nas posiadanie chipa = pin

Nie, no wlasnie o tym mowie, ze nie, nie i jeszcze raz nie.

Zwiazek miedzy czipem/brakiem czipa, a podpisem i PINem jest zaden.

Inna sprawa, ze proces przechodzenia przez banki na karty czipowe oraz
proces przechodzenia na standardowa autoryzacje pinem tocza sie w
Polsce rownolegle.

Dnia Wed, 27 Jan 2010 06:00:39 -0800, BK napisał(a):

tyle ze u nas posiadanie chipa = pin

Nie, no wlasnie o tym mowie, ze nie, nie i jeszcze raz nie.

Zwiazek miedzy czipem/brakiem czipa, a podpisem i PINem jest zaden.

Może nie mam jakiegoś wielkiego doświadczenia jeśli chodzi o liczbę posiadanych kart, ale do niedawna w zasadzie nie zdarzało mi się, by karta bezczipowa wołała o wklepanie kodu. Dopiero od jakiegoś czasu pinem weryfikuję transakcje dokonywane kartą Polbanku, ale to tylko w konkretnej lokalizacji (gdzie jest samoobsługowa kasa notabene).

I owszem, na Neste nie tankuję.

--
pozdrawiam serdecznie, Olgierd
Lege Artis ==> http://olgierd.bblog.pl <==

On Jan 27, 3:35 pm, Olgierd <no.email.no.s...@no.problem> wrote:

Dnia Wed, 27 Jan 2010 06:00:39 -0800, BK napisał(a):

>> tyle ze u nas posiadanie chipa = pin

> Nie, no wlasnie o tym mowie, ze nie, nie i jeszcze raz nie.

> Zwiazek miedzy czipem/brakiem czipa, a podpisem i PINem jest zaden.

Może nie mam jakiegoś wielkiego doświadczenia jeśli chodzi o liczbę
posiadanych kart, ale do niedawna w zasadzie nie zdarzało mi się, by
karta bezczipowa wołała o wklepanie kodu.

Dopiero od jakiegoś czasu pinem weryfikuję transakcje dokonywane kartą
Polbanku, ale to tylko w konkretnej lokalizacji (gdzie jest samoobsługowa
kasa notabene).

I owszem, na Neste nie tankuję.

--
pozdrawiam serdecznie, Olgierd
Lege Artis ==>http://olgierd.bblog.pl<=

Co dowodzi jednego, ze karta z czpiem moze byc i na podpis, i na pin.
Karta bez czipa takze moze byc na podpis i takze moze byc na PIN.

Kwestia wyposazenia karty w czip nie wplywa wiec na kwestie
autoryzacji pinem lub podpisem.

Karty z paskowych zmienia sie na czipowe bo czpiowe co do zasady sa:
bezpieczniejsze i daja wieksze mozliwosci wykorzystania. Pasek jest
technologia starsza, mniej rozwojowa, posiadajaca mniejsze mozliwosci
i bedaca mniej bezpieczna. Banki zobowiazaly sie wzajemnie wiec do
wymiany kart na czpiowe.

Co sie zas tyczy mechanizmu zmiany autoryzacji z podpisu na pin wynika
on glownie z faktu, ze przy posie, zwlaszcza wobec np. kolejki przy
kasie w markecie kasjer moze nie odebrac podpisu/zignorowac
niezgodnosc podpisu ect. Nie da sie "niepobrac" pinu lub zignorowac
jego bledne wprowadzenie. Kolejna rzecz, ze pin ze wzgledu
bezpieczenstwa mozna zmieniac - podpis juz srednio :) Jedyne "przeciw"
pinom jakie znam to kwestia, ze ktos moze go podpatrzec - ale wrazamy
do punktu wyzej - jak ktos chce moze sobie pin zmieniac i co 24h :)

Wiec powtarzam - wychodzenie z zalozenia, ze czip=pin, pasek=podpis
jest bledne. I nie rozumiem po co chwila to wyjasniac :)

Sam mialem Polbankowa debetowke, ktora bardzo dlugo byla na podpis,
teraz jest na pin, a czipa jak nie bylo tak nie ma. Natomiast np.
Alioroa debetowka z czpiem generalnie jest na PIN, ale na wakacjach w
kraajach balkanskich chodzila na podpis :)

Dnia Wed, 27 Jan 2010 06:52:17 -0800, BK napisał(a):

Co dowodzi jednego, ze karta z czpiem moze byc i na podpis, i na pin.

Przy czym jak idzie na podpis to chyba wiąże się z tym, że terminal jest tak ustawiony.

Karta bez czipa takze moze byc na podpis i takze moze byc na PIN.

I ta druga wersja chyba jest rzadkością, na tyle, że ludzie mają takie wątpliwości właśnie.

--
pozdrawiam serdecznie, Olgierd
Lege Artis ==> http://olgierd.bblog.pl <==

On Jan 27, 4:19 pm, Olgierd <no.email.no.s...@no.problem> wrote:

I ta druga wersja chyba jest rzadkością, na tyle, że ludzie mają takie
wątpliwości właśnie.

Jest bo podpis jest wycofywany "co do zasady" :)

A ja sie "oburzam" bo jak mozna przeczytac w jednym z postow ktos
twierdzi "tyle ze u nas posiadanie chipa = pin", a to jest akurat
oczywista nieprawda :)

Dnia Wed, 27 Jan 2010 15:19:12 +0000 (UTC), Olgierd napisał(a):

Karta bez czipa takze moze byc na podpis i takze moze byc na PIN.

I ta druga wersja chyba jest rzadkością, na tyle, że ludzie mają takie wątpliwości właśnie.

Debetówki Eurobanku są bez czipa a są na pin.

--
Kojer

BK wrote:

Karty z paskowych zmienia sie na czipowe bo czpiowe co do zasady sa:
bezpieczniejsze i daja wieksze mozliwosci wykorzystania. Pasek jest
technologia starsza, mniej rozwojowa, posiadajaca mniejsze mozliwosci
i bedaca mniej bezpieczna. Banki zobowiazaly sie wzajemnie wiec do
wymiany kart na czpiowe.

tylko po co ta wymiana ma hybrydy, ktore i tak trzeba zatrzec
po skimmingu paska? tylko wyrzucaja pieniadze w bloto.

bezpieczenstwa mozna zmieniac - podpis juz srednio :) Jedyne "przeciw"
pinom jakie znam to kwestia, ze ktos moze go podpatrzec - ale wrazamy
do punktu wyzej - jak ktos chce moze sobie pin zmieniac i co 24h :)

oczywiscie banki zalecaja by zmieniac pin jak najczesciej,
tylko prosze zerknac w TOiP. druga i kolejne zmiany pinu,
to z reguly kwoty rzedu kilku zlotych, no bo przeciez bezpiecznie
nie moze byc tanio.

On Jan 27, 4:38 pm, Paweł <r...@127.0.0.1> wrote:

BK wrote:
> Karty z paskowych zmienia sie na czipowe bo czpiowe co do zasady sa:
> bezpieczniejsze i daja wieksze mozliwosci wykorzystania. Pasek jest
> technologia starsza, mniej rozwojowa, posiadajaca mniejsze mozliwosci
> i bedaca mniej bezpieczna. Banki zobowiazaly sie wzajemnie wiec do
> wymiany kart na czpiowe.

tylko po co ta wymiana ma hybrydy, ktore i tak trzeba zatrzec
po skimmingu paska? tylko wyrzucaja pieniadze w bloto.

za duzo urzadzen ma obsluge wylacznie paska ;/

> bezpieczenstwa mozna zmieniac - podpis juz srednio :) Jedyne "przeciw"
> pinom jakie znam to kwestia, ze ktos moze go podpatrzec - ale wrazamy
> do punktu wyzej - jak ktos chce moze sobie pin zmieniac i co 24h :)

oczywiscie banki zalecaja by zmieniac pin jak najczesciej,
tylko prosze zerknac w TOiP. druga i kolejne zmiany pinu,
to z reguly kwoty rzedu kilku zlotych, no bo przeciez bezpiecznie
nie moze byc tanio.

zalezy, w ktorym banku, sa banki ktore pozwalaja zmieniac PIN do woli

Dnia Wed, 27 Jan 2010 07:45:27 -0800, BK napisał(a):

za duzo urzadzen ma obsluge wylacznie paska ;/

No właśnie. Czyli trzeba czekać, aż większość banków, albo taki PKO BP, wypuści kartę tylko z chipem, aby w końcu zaczęto wymieniać urządzenia typu bankomaty, terminale etc. czy jak to ma wyglądać?


--
xbartx

za duzo urzadzen ma obsluge wylacznie paska ;/

No właśnie. Czyli trzeba czekać, aż większość banków, albo taki PKO BP, wypuści kartę tylko z chipem, aby w końcu zaczęto wymieniać urządzenia typu bankomaty, terminale etc. czy jak to ma wyglądać?

interesujace jest to, ze w zestawieniu wydanych kart (NBP) widnieja karty wyposazone TYLKO w chip, tylko nie wiadomo kto je u nas wydaje...

--
pozdrawiam
RobertS

Użytkownik "RobertS" <bob75@xpostx.pl> napisał w wiadomości grup dyskusyjnych:hjpv14$a2l$2@opal.icpnet.pl...

interesujace jest to, ze w zestawieniu wydanych kart (NBP) widnieja karty wyposazone TYLKO w chip, tylko nie wiadomo kto je u nas wydaje...

Było o tym na grupie, to jakieś lokalne banki wydawały.

Dnia Wed, 27 Jan 2010 19:02:28 +0100, MarekZ napisał(a):

interesujace jest to, ze w zestawieniu wydanych kart (NBP) widnieja
karty wyposazone TYLKO w chip, tylko nie wiadomo kto je u nas wydaje...

Było o tym na grupie, to jakieś lokalne banki wydawały

Tamto coś to nie była karta płatnicza.

--
:) Olgierd || http://olgierd.bblog.pl

"RobertS" <news:hjpv14$a2l$2opal.icpnet.pl

interesujace jest to, ze w zestawieniu wydanych kart (NBP) widnieja
karty wyposazone TYLKO w chip, tylko nie wiadomo kto je u nas wydaje...

MoĹźe to z tego sortu?
http://www.finanse.egospodarka.pl/14864,BZ-WBK-wydaje-karte-V-PAY,1,48,1.html

Chociaż czy obecnie wydawane karty mają żywot dłuższy niż 4 lata?
Po za tym czy jest możliwe, że NBP wlicza karty VPAY, którymi dokonuje się
transakcje na terenie kraju? W końcu co jakiś czas da się np. w dużych
centrach handlowych ludzi płacących takimi kartami, a i ja miałem
przyjemność się bawić takim plastikiem w euronecie ;)

Paweł <root@127.0.0.1> writes:

tylko po co ta wymiana ma hybrydy, ktore i tak trzeba zatrzec
po skimmingu paska?

Jak to "trzeba"? Normalnie nie mamy pojecia o skimmingu, wiec nie mozemy
karty zastrzec.

oczywiscie banki zalecaja by zmieniac pin jak najczesciej,
tylko prosze zerknac w TOiP. druga i kolejne zmiany pinu,
to z reguly kwoty rzedu kilku zlotych, no bo przeciez bezpiecznie
nie moze byc tanio.

Teoretycznie PIN mozna zmieniac bez udzialu banku, po prostu wkladajac
karte do odpowiedniego urzadzenia (np. wlasnego peceta z odpowiednim
oprogramowaniem). Nie jest to zrodlem zadnego dodatkowego zagrozenia dla
banku (ani klienta, jesli pecet jest bezpieczny, nie musi to byc zreszta
pecet). Niestety wiele kart wymaga weryfikacji PINu online przez bank,
uzywa wspolnej koncepcji jednego PINu dla sciezki magnetycznej oraz dla
chipa, albo po prostu nie pozwala na zmiane PINu uzytkownikowi "bo tak".
Dodatkowo wymuszanie podawania PINu w przypadku transakcji niechipowych
naraza klienta na skimming sciezki magnetycznej i przechwycenie PINu, a
banki bardzo niechetnie przyjmuja do wiadomosci, ze znajomosc zawartosci
sciezki magnetycznej i PINu przez druga strone niekoniecznie oznacza, ze
transakcja odbyla sie za zgoda i w ogole za wiedza ich klienta.

Niestety musze sie chyba zgodzic z pogladem, ze obecnie
najbezpieczniejszym dla klienta sposobem korzystania z kart jest
posiadanie dwoch (kompletow): jedna karta z chipem + PINem, ze
skasowanym paskiem magnetycznym, druga karta (tez hybryda, zeby w razie
fraudu liczyc na "liability shift") wylacznie podpisywana, nigdy
PINowana (no moze w bankomatach).
--
Krzysztof Halasa

Użytkownik "Krzysztof Halasa" napisał:

Teoretycznie PIN mozna zmieniac bez udzialu banku, po prostu wkladajac
karte do odpowiedniego urzadzenia (np. wlasnego peceta z odpowiednim
oprogramowaniem). Nie jest to zrodlem zadnego dodatkowego zagrozenia dla
banku (ani klienta, jesli pecet jest bezpieczny, nie musi to byc zreszta
pecet).

Tak dosyć mocno teoretycznie pojechałeś...
A skąd weźmiesz klucz do Secure Messaging?

--
MG

"MG" <no@spam.com> writes:

Teoretycznie PIN mozna zmieniac bez udzialu banku, po prostu wkladajac
karte do odpowiedniego urzadzenia (np. wlasnego peceta z odpowiednim
oprogramowaniem). Nie jest to zrodlem zadnego dodatkowego zagrozenia dla
banku (ani klienta, jesli pecet jest bezpieczny, nie musi to byc zreszta
pecet).

Tak dosyć mocno teoretycznie pojechałeś...

Napisalem ze to jest "teorerycznie" :-)

A skąd weźmiesz klucz do Secure Messaging?

Sa karty, ktore pozwalaja na zmiane PINu uzytkownikowi. Wystarczajacym
warunkiem jest znajomosc poprzedniego PINu. Nie ma wtedy typowo zadnego
szyfrowania.

Poza bankami (przy wykorzystaniu dokladnie tej samej technologii) to
jest bardzo czeste (sa takze rozne ciekawsze sposoby PINowania, np.
zmienne PINy). Banki wydaja sie miec jakies specjalne obawy z tym
zwiazane, albo moze chodzi o te podwojne PINy? Tak czy owak sa banki
(niekoniecznie w Europie), ktore taka mozliwosc wydaja sie takze
udostepniac, w kazdym razie spotkalem sie z taka informacja i to juz
ladnych pare lat temu.

To kwestia karty, oczywiscie.
--
Krzysztof Halasa

Użytkownik "Krzysztof Halasa" napisał:

"MG" <no@spam.com> writes:

A skąd weźmiesz klucz do Secure Messaging?

Sa karty, ktore pozwalaja na zmiane PINu uzytkownikowi. Wystarczajacym
warunkiem jest znajomosc poprzedniego PINu. Nie ma wtedy typowo zadnego
szyfrowania.

Jeśli mówisz w ogólności o kartach, to jasne, ale nie EMV.

Poza bankami (przy wykorzystaniu dokladnie tej samej technologii) to
jest bardzo czeste (sa takze rozne ciekawsze sposoby PINowania, np.
zmienne PINy).

Ale o jakiej konkretnie technologii mówisz? Jakiejś konkretnej karcie natywnej, Multos, JavaCard, ...?

Banki wydaja sie miec jakies specjalne obawy z tym
zwiazane, albo moze chodzi o te podwojne PINy? Tak czy owak sa banki
(niekoniecznie w Europie), ktore taka mozliwosc wydaja sie takze
udostepniac, w kazdym razie spotkalem sie z taka informacja i to juz
ladnych pare lat temu.

Znowu, jeśli mówimy o EMV, to Banki w większości przypadków nie są stawiane przed jakimkolwiek wyborem. Karty i profile podlegają certyfikacji i jeśli któryś chce zrobić coś niestandardowo, to wiąże się to z dużymi kosztami, które muszą mieć jakieś uzasadnienie biznesowe. Ale poza Europą może to nie być EMV, bo tam różne wynalazki stosują.

--
MG

"MG" <no@spam.com> writes:

Sa karty, ktore pozwalaja na zmiane PINu uzytkownikowi. Wystarczajacym
warunkiem jest znajomosc poprzedniego PINu. Nie ma wtedy typowo zadnego
szyfrowania.

Jeśli mówisz w ogólności o kartach, to jasne, ale nie EMV.

Obawiam sie ze to byly wlasnie normalne karty EMV.

Znowu, jeśli mówimy o EMV, to Banki w większości przypadków nie są
stawiane przed jakimkolwiek wyborem. Karty i profile podlegają
certyfikacji i jeśli któryś chce zrobić coś niestandardowo, to wiąże
się to z dużymi kosztami, które muszą mieć jakieś uzasadnienie
biznesowe. Ale poza Europą może to nie być EMV, bo tam różne wynalazki
stosują.

Bylbym zdziwiony gdyby to nie bylo EMV. BTW: nie wydaje mi sie by to
bylo cos niestandardowego, zmiana PINu przez usera byla przeciez jednym
z zalozen od poczatku.
Byc moze zmiana PINu jest/byla robiona jakas dodatkowa aplikacja.

Spytajmy googla: np. niejaki I-PIN pozwala na samodzielna zmiane PINu,
z tym ze tu akurat potrzebny jest do tego bank, ze wzgledu na wspomniana
koniecznosc synchronizacji PINu onlinowego (= szyfrowanie itd). Ale tak
jest chyba tylko z dwoch powodow: bo sciezka magnetyczna nie moze miec
PINu offline, oraz dlatego, ze PIN chipowy w banku ma byc nadrzedny
w stosunku do tego na karcie (ale nie wydaje mi sie by to wynikalo
z EMV). No i moze jeszcze z tego, by wszystkie PINy danej karty byly
jednakowe, zeby klient nie zwariowal.
Ale to nie wynika z technologii w zaden sposob.
--
Krzysztof Halasa

Użytkownik "Krzysztof Halasa" napisał:

Obawiam sie ze to byly wlasnie normalne karty EMV.

Po czym poznałeś?

Bylbym zdziwiony gdyby to nie bylo EMV. BTW: nie wydaje mi sie by to
bylo cos niestandardowego, zmiana PINu przez usera byla przeciez jednym
z zalozen od poczatku.
Byc moze zmiana PINu jest/byla robiona jakas dodatkowa aplikacja.

Założeniem od początku była zmiana PINu skryptem wydawcy (spójrz po prostu do intefejsu dla PIN Change/Unblock zdefiniowanego w EMV Book 3).

Spytajmy googla: np. niejaki I-PIN pozwala na samodzielna zmiane PINu,
z tym ze tu akurat potrzebny jest do tego bank, ze wzgledu na wspomniana
koniecznosc synchronizacji PINu onlinowego (= szyfrowanie itd).

Jest to przecież dokładna implementacja transakcji zmiany PIN w zwykłym środowisku online tak, jak w Book 3 naskrobano. Wszystko i tak leci przez HSMa ze znajomością kluczy do Secure Messagingu. Dodam, że HSMy PINu na wejściu też plaintextem nie oczekują. Cały ten system opiera się więc na kilku operacjach, które w rzeczywistości udają zwykłe urządzenie akceptacyjne.

Wcześniej pisałeś, jak rozumiem, o aplikacji, która zrobi to bez udziału wydawcy.

Tak poza tym, to ja wychodzę z założenia, że po tą są certyfikacje PED urządzeń, żeby klientom dawały przynajmniej jakieś względnie złudne bezpieczeństwo, a nie żeby swój PIN na PCecie wprowadzać. Nie mam zaufania do banków, które pozwalają lub wręcz zmuszają klientów do klepania informacji poufnych na stronach internetowych. Krok wstecz...

--
MG

"MG" <no@spam.com> writes:

Założeniem od początku była zmiana PINu skryptem wydawcy (spójrz po
prostu do intefejsu dla PIN Change/Unblock zdefiniowanego w EMV Book
3).

Tak naprawde niczego w tej sprawie nie zmienia: przeciez chodzi o to, ze
user (teoretycznie przynajmniej) moze sobie zmienic haslo sam, z dowolna
czestotliwoscia, bez ciaglego biegania do banku itd.

Z tym ze akurat to, o czym pisalem, bylo pare lat temu, i raczej watpie
by to bank zmienial PIN skryptem, podobnie jak w to, ze taka karta
bylaby niezgodna z EMV, przynajmniej wtedy. Ale nie wiem na pewno, a
poza tym nie ma to zasadniczego znaczenia, wiec nie bede w to wnikal.

Wcześniej pisałeś, jak rozumiem, o aplikacji, która zrobi to bez
udziału wydawcy.

Tak, tzn. bez udzialu wydawcy w czasie zmieniania, bo oczywiscie wydawca
musialby to umozliwic. Ale to, tak naprawde, bez znaczenia, to tylko
szczegol - zastosowanie podobne do tego I-PINu jest lepszym przykladem,
jest zdecydowanie bardziej praktyczne (ze wzgledu na synchronizacje
PINow), byc moze banki juz cos takiego udostepniaja normalnym klientom.
(nie szukalem)

Tak poza tym, to ja wychodzę z założenia, że po tą są certyfikacje PED
urządzeń, żeby klientom dawały przynajmniej jakieś względnie złudne
bezpieczeństwo, a nie żeby swój PIN na PCecie wprowadzać. Nie mam
zaufania do banków, które pozwalają lub wręcz zmuszają klientów do
klepania informacji poufnych na stronach internetowych. Krok wstecz...

PIN to IMHO najmniej poufna informacja, takie tylko dodatkowe
zabezpieczenie przed zlodziejem. Typowo 4 cyfry? Nawet metoda
totolotka da sie trafic.
--
Krzysztof Halasa

Użytkownik "Krzysztof Halasa" napisał:

PIN to IMHO najmniej poufna informacja, takie tylko dodatkowe
zabezpieczenie przed zlodziejem. Typowo 4 cyfry? Nawet metoda
totolotka da sie trafic.

Może i zabezpieczenie nie jest bardzo silne, jako takie, ale pamiętajmy, że ataki wyczerpujące na PIN nie zawsze są w ogóle wykonalne i z reguły nie są łatwe. Poza tym, weryfikacja PINu realizuje jedną część dwuskładnikowego uwierzytelnienia klienta - żeby wykonać transakcję musisz coś mieć (kartę) i coś wiedzieć (PIN). Dlatego o poufność PIN jednak warto chyba zadbać.
PIN może mieć 4-12 cyfr. Szkoda, że wiele instytucji sztucznie ogranicza jego długość. Dlaczego nie klient sam miałby zdecydować, skoro nie ma ograniczeń technicznych?

--
MG

"MG" <no@spam.com> writes:

MoĹźe i zabezpieczenie nie jest bardzo silne, jako takie, ale
pamiętajmy, że ataki wyczerpujące na PIN nie zawsze są w ogóle
wykonalne i z reguły nie są łatwe.

Wystarczy chocby ze pojedynczy atak jest mozliwy z prawdopodobienstwem
1/10000 (+ liczba mozliwych prob). W przypadku skopiowania pojedynczej
karty, jesli mamy ich wiecej, szansa odpowiednio rosnie.

Poza tym, weryfikacja PINu
realizuje jedną część dwuskładnikowego uwierzytelnienia klienta - żeby
wykonać transakcję musisz coś mieć (kartę) i coś wiedzieć (PIN).
Dlatego o poufność PIN jednak warto chyba zadbać.

Warto byloby zadbac, ale niestety klient nie ma na to zadnego wplywu
(tzn. pozytywnego, bo negatywny moze latwo miec). Nie ma zadnej
mozliwosci stwierdzenia przez klienta, ze np. wpisywany wlasnie PIN jest
podsluchiwany (jesli jest to zrobione dobrze).

PIN może mieć 4-12 cyfr. Szkoda, że wiele instytucji sztucznie
ogranicza jego długość.

Praktycznie wszystkie, przynajmniej u nas.

Inna sprawa ze moze wydluzanie PINu nie jest sensowne ze wzgledu na brak
mozliwosci ochrony przed podsluchem - a wiec funkcja PINu jest
zredukowana do tego, ze chroni przed fraudem tylko skopiowaną kartą
(jesli przestepca nie zna PINu, bo np. transakcja w sklepie, w czasie
kopiowania, nie wymagala PINu).

IOW, slabe dodatkowe zabezpieczenie, i banki nie powinny traktowac tego
jako niczego wiecej (a jak staraja sie to traktowac to wszyscy chyba
wiemy).
--
Krzysztof Halasa

Dnia Wed, 27 Jan 2010 06:52:17 -0800 (PST), BK napisał(a):

On Jan 27, 3:35 pm, Olgierd <no.email.no.s...@no.problem> wrote:

Może nie mam jakiegoś wielkiego doświadczenia jeśli chodzi o liczbę
posiadanych kart, ale do niedawna w zasadzie nie zdarzało mi się, by
karta bezczipowa wołała o wklepanie kodu.

Co dowodzi jednego, ze karta z czpiem moze byc i na podpis, i na pin.
Karta bez czipa takze moze byc na podpis i takze moze byc na PIN.

Kwestia wyposazenia karty w czip nie wplywa wiec na kwestie
autoryzacji pinem lub podpisem.

Wpływa zdecydowanie - masz jak byk napisane powyżej. Karta bezchipowa nie
wymaga podania PINu, o ile terminaj nie jest pin-only.

Co sie zas tyczy mechanizmu zmiany autoryzacji z podpisu na pin wynika
on glownie z faktu, ze przy posie, zwlaszcza wobec np. kolejki przy
kasie w markecie kasjer moze nie odebrac podpisu/zignorowac
niezgodnosc podpisu ect. Nie da sie "niepobrac" pinu lub zignorowac
jego bledne wprowadzenie. Kolejna rzecz, ze pin ze wzgledu
bezpieczenstwa mozna zmieniac - podpis juz srednio :) Jedyne "przeciw"
pinom jakie znam to kwestia, ze ktos moze go podpatrzec - ale wrazamy
do punktu wyzej - jak ktos chce moze sobie pin zmieniac i co 24h :)

I mam sobie utrudniać życie tylko po to, by bank mógł się łatwiej wykręcić
od odpowiedzialności? Dziękuję, wolę kartę bez chipa :>
Różnica polega na tym, że o ile w przypadku autoryzacji podpisem bank może
zrzucić odpowiedzialność na sklep stwierdzając niezgodność podpisu - o tyle
jeśli PIN się zgadza to winą można obarczyć tylko klienta... i to właśnie
robią bo nie udowodnisz że nie przekazałeś komuś pinu :-/

Pozdrawiam,
--
Jacek Osiecki joshua@ceti.pl GG:3828944
I don't want something I need. I want something I want.

On 27 Sty, 21:25, Jacek Osiecki <jos...@ceti.pl> wrote:

I mam sobie utrudniać życie tylko po to, by bank mógł się łatwiej wykręcić
od odpowiedzialności? Dziękuję, wolę kartę bez chipa :>
Różnica polega na tym, że o ile w przypadku autoryzacji podpisem bank może
zrzucić odpowiedzialność na sklep stwierdzając niezgodność podpisu - o tyle
jeśli PIN się zgadza to winą można obarczyć tylko klienta... i to właśnie
robią bo nie udowodnisz że nie przekazałeś komuś pinu :-/

Ale to nie Ty masz udowodnic, ze nie przekazales komus pinu. Jesli
ktos chce wykrecic sie od odpowiedzialnosci [bo co do zasady
transakcja oszukancza obciaza bank badz ubezpieczyciela] to ten ktos
musi Ci udowpodnic, ze naruszyles zasady bezpiecznestwa i ujawniles
PIN. I moim zdaniem nikt sobie nie powinien wmowic, ze jest inaczej.

To raz.

A dwa, ze mniejwiecej taki sam jest % klientow uwaza, ze autoryzacja
na PIN to "walek" bankow majacy na celu udreczenie klienta jak %
klientow uwazajacych, ze autoryzacja na podpis to "walek" bankow.
Zawsze znajdzie sie jednakowa grupa niezadowolonych z kazdego z tych
rozwiazan. Jak dla mnie, z praktycznego punktu widzenia, jesli karta
ma byc szybkim i sprawnym srodkiem placenia to w gre wchodzi tylko PIN
i czesty off-line.

Dnia Wed, 27 Jan 2010 13:24:00 -0800, BK napisał(a):

z praktycznego punktu widzenia, jesli karta ma byc szybkim i sprawnym
srodkiem placenia to w gre wchodzi tylko PIN i czesty off-line.

Amen!

--
:) Olgierd || http://olgierd.bblog.pl

Jacek Osiecki <joshua@ceti.pl> writes:

Wpływa zdecydowanie - masz jak byk napisane powyżej. Karta bezchipowa nie
wymaga podania PINu, o ile terminaj nie jest pin-only.

Bez zartow, nigdy nie widziales karty bez chipa, wymagajacej PINu
w terminalu, w ktorym ludzie normalnie placa MC i VC podpisujac kwity?

Róşnica polega na tym, şe o ile w przypadku autoryzacji podpisem bank moşe
zrzucić odpowiedzialność na sklep stwierdzając niezgodność podpisu

Generalnie bank nie ma takiej mozliwosci.
Stad te problemy z reklamacjami, takze na Zachodzie, i stad m.in. to
parcie (sluszne zreszta) na chipy.

- o tyle
jeśli PIN się zgadza to winą można obarczyć tylko klienta... i to właśnie
robią bo nie udowodnisz że nie przekazałeś komuś pinu :-/

Ale dowod nalezy do banku. Z tym ze to jest wredna sprawa, lepiej nie
miec takiego problemu.
--
Krzysztof Halasa

Dnia Wed, 27 Jan 2010 06:00:39 -0800 (PST), BK napisał(a):

On Jan 27, 2:32 pm, "wspolna-flaszka.pl"

Uzytkownik "BK" <bkapuscin...@gmail.com> napisal w wiadomoscinews:2a74a242-7e3e-433b-9c0c-16d724fe70e8k41g2000yqm.googlegroups.com...
On Jan 27, 2:15 pm, "wspolna-flaszka.pl"
> BPH oraz Pocztowy maja karty bez czipów, czy obie karty jak karta w VW
> banku wymusza podpis nawet przy terminalu z pinpadem czy zadna któras z nich czy
> zadna ?
A swoja droga bylo 1001 razy na grupie: kwestia karta z czpiem/karta
bez czpia jest oderwana od kwestii podpis/pin. To sa dwie zupelnie
niezalezne sprawy.
tyle ze u nas posiadanie chipa = pin

Nie, no wlasnie o tym mowie, ze nie, nie i jeszcze raz nie.

Zdecydowanie jak najbardziej tak ;)

Zwiazek miedzy czipem/brakiem czipa, a podpisem i PINem jest zaden.

Związek jest taki, że jeśli terminal dopuszcza autoryzację PINem to przy
karcie chipowej WYMUSI autoryzację PINem a przy klasycznej - nie.
Dlatego posiadając kartę bez tego dziadostwa mogę spokojnie nie znać PINu do
niej, co przy karcie z chipem jest niemożliwe.

Podkreślam: nie mówimy o teorii - bo w tej wszystko jest możliwe - ale o
faktycznej sytuacji w Polsce.

Pozdrawiam,
--
Jacek Osiecki joshua@ceti.pl GG:3828944
I don't want something I need. I want something I want.

Użytkownik "Jacek Osiecki" <joshua@ceti.pl> napisał w wiadomości grup dyskusyjnych:slrnhm14vl.952.joshua@tau.ceti.pl...

Związek jest taki, że jeśli terminal dopuszcza autoryzację PINem to przy
karcie chipowej WYMUSI autoryzację PINem a przy klasycznej - nie.
Dlatego posiadając kartę bez tego dziadostwa mogę spokojnie nie znać PINu do
niej, co przy karcie z chipem jest niemożliwe.

Podkreślam: nie mówimy o teorii - bo w tej wszystko jest możliwe - ale o
faktycznej sytuacji w Polsce.

Znam jedną kartę, która nie spełnia podanego przez Ciebie warunku, jest to MasterCard ING w wersji platynowej. Ma mikroprocesor a autoryzuje się wszędzie gdzie jest to możliwe podpisem. Nie ma zatem mowy o wymuszaniu czegoś przez terminal, sposób autoryzacji zależy od danych zapisanych na karcie.

On Jan 27, 8:46 pm, "MarekZ" <b...@adresu.w.pl> wrote:

Użytkownik "Jacek Osiecki" <jos...@ceti.pl> napisał w wiadomości grup
dyskusyjnych:slrnhm14vl.952.jos...@tau.ceti.pl...

> Związek jest taki, że jeśli terminal dopuszcza autoryzację PINem to przy
> karcie chipowej WYMUSI autoryzację PINem a przy klasycznej - nie.
> Dlatego posiadając kartę bez tego dziadostwa mogę spokojnie nie znać PINu
> do
> niej, co przy karcie z chipem jest niemożliwe.

> Podkreślam: nie mówimy o teorii - bo w tej wszystko jest możliwe - ale o
> faktycznej sytuacji w Polsce.

Znam jedną kartę, która nie spełnia podanego przez Ciebie warunku, jest to
MasterCard ING w wersji platynowej. Ma mikroprocesor a autoryzuje się
wszędzie gdzie jest to możliwe podpisem. Nie ma zatem mowy o wymuszaniu
czegoś przez terminal, sposób autoryzacji zależy od danych zapisanych na
karcie.

Dokladnie to sposob autoryzacji jest pewna wynikowa kerty i terminala.

Dlatego powtarzam, ze sam fakt, ze jest czpi/brak czpia jest bez
znaczenia dla metody autoryzacji. Nawet karta z czipem moze byc z
podpisem czego dowodem jest ING :)

Dlatego powtarzam, ze sam fakt, ze jest czpi/brak czpia jest bez
znaczenia dla metody autoryzacji. Nawet karta z czipem moze byc z
podpisem czego dowodem jest ING :)

albo kk Aliora, w niektorych sklepach zawsze autoryzacja podpisem...sam bylem zdziwiony

--
pozdrawiam
RobertS

Użytkownik "RobertS" <bob75@xpostx.pl> napisał w wiadomości grup dyskusyjnych:hjqf08$s8k$1@opal.icpnet.pl...

albo kk Aliora, w niektorych sklepach zawsze autoryzacja podpisem...sam bylem zdziwiony

A ja znam taki sklep w Pcimiu, gdzie każda karta autoryzuje się podpisem. Przynajmniej każda z tych, które tam testowałem. Stary terminal nie obsługujący mikroprocesora.

"MarekZ" news:hjqf1v$ggt$1srv.cyf-kr.edu.pl

A ja znam taki sklep w Pcimiu, gdzie każda karta autoryzuje się podpisem.
Przynajmniej każda z tych, które tam testowałem. Stary terminal nie
obsługujący mikroprocesora.

Ale z tym (chodzi mi o wiek terminalu) to chyba nie ma reguły. W niektórych
Tesco stały ładnie wyeksponowane terminale Verifone, które w eService łykają
CHIP + PIN, natomiast w Tesco gdzie dominuje "duch Bieleckiego" z ww.
terminalami CHIPa nie łykają i proszą o podpis... :/

Użytkownik "Jacek Osiecki" napisał:

Zwiazek miedzy czipem/brakiem czipa, a podpisem i PINem jest zaden.

Związek jest taki, że jeśli terminal dopuszcza autoryzację PINem to przy
karcie chipowej WYMUSI autoryzację PINem a przy klasycznej - nie.
Dlatego posiadając kartę bez tego dziadostwa mogę spokojnie nie znać PINu do
niej, co przy karcie z chipem jest niemożliwe.

To, co właśnie opisałeś, jest bardzo powszechnym mitem. Terminale dla kart z paskiem magnetycznym korzystają z własnej konfiguracji i z Service Code znajdującego się na ścieżce drugiej paska. W przypadku EMV korzystać muszą z CVM List zawartego w karcie w połączeniu z Terminal Capabilities, jakie zostały przez centrum rozliczeniowe dla danego terminala certyfikowane. W polskich realiach oznacza to, że właściwie wszystkie urządzenia 'attended' obługują PIN online, PIN offline (zarówno szyfrowany, jak i jawnie przekazywany) oraz podpis. Część urządzeń wspiera także, na odpowiedzialność centrum rozliczeniowego, brak uwierzytelniania posiadacza karty. EMV zapewnia, że karta może wspierać kilka metod i wydawca może ustalić reguły, z których wynika, jaka metoda zostanie zastosowana dla transakcji (reguły dotyczą kwot transakcji oraz środowiska i typu transakcji).

Podkreślam: nie mówimy o teorii - bo w tej wszystko jest możliwe - ale o
faktycznej sytuacji w Polsce.

Mówimy o polskich realiach. Musiałeś nie mieć styczności z kartami debetowymi z paskiem, jak Maestro, Visa Electron w wielu bankach (np. PKO BP) oraz kilkoma kredytówkami EMV, które używają podpisu.

--
MG

tyle ze u nas posiadanie chipa = pin

w większości przypadkow, ale nie zawsze

--
pozdrawiam
RobertS

On 2010-01-27 14:32, wspolna-flaszka.pl wrote:

Uzytkownik "BK" <bkapuscinski@gmail.com> napisal w wiadomosci
news:2a74a242-7e3e-433b-9c0c-16d724fe70e8k41g2000yqm.googlegroups.com...
On Jan 27, 2:15 pm, "wspolna-flaszka.pl"
<przemyslaw.roki...@gazeta.pl> wrote:

Witam!
BPH oraz Pocztowy maja karty bez czipĂłw, czy obie karty jak karta w VW
banku
wymusza podpis nawet przy terminalu z pinpadem czy zadna ktĂłras z nich
czy
zadna ?

pozdrawiam

A swoja droga bylo 1001 razy na grupie: kwestia karta z czpiem/karta
bez czpia jest oderwana od kwestii podpis/pin. To sa dwie zupelnie
niezalezne sprawy.


tyle ze u nas posiadanie chipa = pin

Hmm, ja tam nie wiem, ale wyraźnie moja karta Citi, którą dostałem 2 mieiące temu ma chip a w sklepach budowlanych (Castorama, Leroy Merlin) idzie tylko na podpis. Tam gdzie żywność na PIN.

Użytkownik "XYZ" <junk@mail.bin> napisał w wiadomości news:hjpfug$2sk$1news.onet.pl...

On 2010-01-27 14:32, wspolna-flaszka.pl wrote:

Uzytkownik "BK" <bkapuscinski@gmail.com> napisal w wiadomosci
news:2a74a242-7e3e-433b-9c0c-16d724fe70e8k41g2000yqm.googlegroups.com...
On Jan 27, 2:15 pm, "wspolna-flaszka.pl"
<przemyslaw.roki...@gazeta.pl> wrote:

Witam!
BPH oraz Pocztowy maja karty bez czipĂłw, czy obie karty jak karta w VW
banku
wymusza podpis nawet przy terminalu z pinpadem czy zadna ktĂłras z nich
czy
zadna ?

pozdrawiam

A swoja droga bylo 1001 razy na grupie: kwestia karta z czpiem/karta
bez czpia jest oderwana od kwestii podpis/pin. To sa dwie zupelnie
niezalezne sprawy.


tyle ze u nas posiadanie chipa = pin

Hmm, ja tam nie wiem, ale wyraźnie moja karta Citi, którą dostałem 2 mieiące temu ma chip a w sklepach budowlanych (Castorama, Leroy Merlin) idzie tylko na podpis. Tam gdzie żywność na PIN.

debetowa?

On 2010-01-27 14:53, wspolna-flaszka.pl wrote:

Użytkownik "XYZ" <junk@mail.bin> napisał w wiadomości
news:hjpfug$2sk$1news.onet.pl...

On 2010-01-27 14:32, wspolna-flaszka.pl wrote:

Uzytkownik "BK" <bkapuscinski@gmail.com> napisal w wiadomosci
news:2a74a242-7e3e-433b-9c0c-16d724fe70e8k41g2000yqm.googlegroups.com...

On Jan 27, 2:15 pm, "wspolna-flaszka.pl"
<przemyslaw.roki...@gazeta.pl> wrote:

Witam!
BPH oraz Pocztowy maja karty bez czipĂłw, czy obie karty jak karta w VW
banku
wymusza podpis nawet przy terminalu z pinpadem czy zadna ktĂłras z nich
czy
zadna ?

pozdrawiam

A swoja droga bylo 1001 razy na grupie: kwestia karta z czpiem/karta
bez czpia jest oderwana od kwestii podpis/pin. To sa dwie zupelnie
niezalezne sprawy.


tyle ze u nas posiadanie chipa = pin

Hmm, ja tam nie wiem, ale wyraźnie moja karta Citi, którą dostałem 2
mieiące temu ma chip a w sklepach budowlanych (Castorama, Leroy
Merlin) idzie tylko na podpis. Tam gdzie żywność na PIN.

debetowa?

Nie, zwykła Visa.

On 27 Sty, 14:15, "wspolna-flaszka.pl" <przemyslaw.roki...@gazeta.pl>
wrote:

Witam!
BPH oraz Pocztowy maja karty bez czipów, czy obie karty jak karta w VW banku
wymusza podpis nawet przy terminalu z pinpadem czy zadna któras z nich czy
zadna ?

pozdrawiam

Niestety (dla mnie nawet bardziej niż niestety), karty wznawiane
obecnie przez B.Pocztowy, pomimo tego, że chipa nie mają, wymuszają
autoryzację transakcji płatniczej przez wpisanie PINu. Stare karty
były "autoryzowane" podpisem odręcznym.

Użytkownik "wspolna-flaszka.pl" <przemyslaw.rokicki@gazeta.pl> napisał w wiadomości grup dyskusyjnych:hjpe93$jqt$1@inews.gazeta.pl...

Witam!
BPH oraz Pocztowy maja karty bez czipów, czy obie karty jak karta w VW banku
wymusza podpis nawet przy terminalu z pinpadem czy zadna któras z nich czy zadna ?

Nigdy nie potwierdzałem transakcji PINem w przypadku karty BPH, naturalnie poza sytuacjami oczywistymi, typu terminal Neste. Zwróć natomiast uwagę, że te karty nie są już wydawane, zastąpione zostały przez ofertę GE Money.

Użytkownik "MarekZ" <brak@adresu.w.pl> napisał w wiadomości news:hjpecb$f7b$1srv.cyf-kr.edu.pl...

Użytkownik "wspolna-flaszka.pl" <przemyslaw.rokicki@gazeta.pl> napisał w wiadomości grup dyskusyjnych:hjpe93$jqt$1@inews.gazeta.pl...

Witam!
BPH oraz Pocztowy maja karty bez czipów, czy obie karty jak karta w VW banku
wymusza podpis nawet przy terminalu z pinpadem czy zadna któras z nich czy zadna ?

Nigdy nie potwierdzałem transakcji PINem w przypadku karty BPH, naturalnie poza sytuacjami oczywistymi, typu terminal Neste. Zwróć natomiast uwagę, że te karty nie są już wydawane, zastąpione zostały przez ofertę GE Money.

ostatnio zakladalem nowe darmowe konto sezam i dostalem karte visa
bez chipu z noweym logiem bph .

Użytkownik "wspolna-flaszka.pl" <przemyslaw.rokicki@gazeta.pl> napisał w wiadomości grup dyskusyjnych:hjpf9m$nb1$1@inews.gazeta.pl...

ostatnio zakladalem nowe darmowe konto sezam i dostalem karte visa
bez chipu z noweym logiem bph .

Aha, debetową. To co ja pisałem dotyczyło kredytowych. Co do debetowych to nie wiem.

W dniu 2010-01-27 14:15, wspolna-flaszka.pl pisze:

Witam!
BPH oraz Pocztowy maja karty bez czipów, czy obie karty jak karta w VW
banku
wymusza podpis nawet przy terminalu z pinpadem czy zadna któras z nich
czy zadna ?

pozdrawiam

A czy jakiś bank w PL oferuje karty 100% chipowe? A nie hybrydy z paskiem.

SpeX <spex@vp.pl> writes:

A czy jakiś bank w PL oferuje karty 100% chipowe? A nie hybrydy z paskiem.

Latwo taka zrobic samemu. Tylko co z tego, to raczej kwestia terminali
w sklepach.
--
Krzysztof Halasa