Data: 2010-04-30 22:54:18 | |
Autor: MarcinF | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
http://www.mbank.pl/blog/artykul,100,hybrydowa-ryba-co-to-za-stwor.html wg tej informacji proba uzycia karty hybrydowej w terminalu obslugujacym chipy konczy sie prosba o uzycie chipa, czyli informacja o chipie powinna byc zapisana na pasku magnetycznym jesli tak jest rzeczywiscie to jak zachowuje sie taki terminal jesli chip jest uszkodzony ? czy w takim przypadku nie da sie dokonac transakcji ? |
|
Data: 2010-05-01 00:15:39 | |
Autor: Krzysztof Halasa | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
MarcinF <marfi@interia.pl> writes:
wg tej informacji proba uzycia karty hybrydowej w terminalu obslugujacym I prawie zawsze jest. jesli tak jest rzeczywiscie to jak zachowuje sie taki terminal jesli Zalezy od terminala, moze byc opcja dokonania transakcji przy uzyciu paska i/lub poprzez wpisanie danych karty. Z tym, ze bank moze nie dac autoryzacji (jesli terminal zasygnalizuje wydawcy, ze chip zostal pominiety, bo normalne transakcje "paskowe" w terminalu bezchipowym to inna bajka). -- Krzysztof Halasa |
|
Data: 2010-05-01 00:57:50 | |
Autor: MarcinF | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
Krzysztof Halasa wrote:
Zalezy od terminala, moze byc opcja dokonania transakcji przy uzyciu zastanawialem sie czy da sie jakos wymusic potwierdzanie transakcji podpisem, ale to przeciez tez bardziej zalezy od terminala i nawet gdyby transakcja z paska przeszla to pewnie potwierdzenie w terminalu chipowym zawsze jest pinem w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie jej na chipowa :) |
|
Data: 2010-05-01 09:42:00 | |
Autor: Valdek | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
"MarcinF" news:4bdb6073$0$17089$65785112news.neostrada.pl
zastanawialem sie czy da sie jakos wymusic potwierdzanie transakcjipodpisem, ale to przeciez tez bardziej zalezy od terminala i nawet gdyby transakcjapinem Nie zawsze - dobitnie o tym swiadcza delfinki z zablokowanym chipem, którymy jakis czas temu dokonywalem kilkunastu transakcji na terenie UK. Transakcja przechodzila z chipa, ale... ku zdziwieniu mojemu jak i samej obslugi nie podawalem zadnego pinu, natomiast musialem sie podpisac na swistku. w takim razie chyba jedynym sposobem na bezpieczna hybryde jestprzerobienie jej na chipowa :) Niby tak, ale co np. zrobisz z taka karta w Realu gdzie kasjerki nagminnie mimo, ze widza chip na karcie przesuwaja ja przez terminal najpierw paskiem by potem wpakowac ja w odpowiednia szczelinke pinpada... Jezeli skasujesz pasek to rozumiem, ze transakcja ww. przypadku nie dojdzie do skutku. Dobrze rozumiem? |
|
Data: 2010-05-01 12:45:16 | |
Autor: MarcinF | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
Valdek wrote:
Niby tak, ale co np. zrobisz z taka karta w Realu gdzie kasjerki nagminnie o to bym sie akurat nie martwil, nie powinno byc chyba problemu z tym zeby chip trafil do wlasciwego czytnika, gorzej z miejcami gdzie nie ma terminali chipowych i bankomatami |
|
Data: 2010-05-01 12:27:53 | |
Autor: pawbrok | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
Uzytkownik "MarcinF" <marfi@interia.pl> napisal w wiadomosci news:4bdb6073$0$17089$65785112news.neostrada.pl...
Raczej na niebezpieczna. Poczytaj o atakach "man in the middle" i o ominieciu PINu w kartach chipowych. http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf -- pozdrawiam pawbrok |
|
Data: 2010-05-01 13:07:40 | |
Autor: MarcinF | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
pawbrok wrote:
w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie ok, w takim razie skasowanie paska nie jest sposobem na uczynienie z niej bezpiecznej karty, ale przynajmiej bezpieczniejszej :) ryzyko wynikajace z takiego ataku nie jest az takie straszne bo wymaga po pierwsze posiadania karty, a po drugie niewiedzy prawowitego posiadacza o kradziezy (zablokowanie karty), wiec nie spodziewalbym sie masowego wykorzystania, zwlaszcza ze ataku nie mozna wykorzystac w bankomacie |
|
Data: 2010-05-01 13:22:52 | |
Autor: kashmiri | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
MarcinF <marfi@interia.pl> dared to write:
Krzysztof Halasa wrote: Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa i z PIN-em, ale podpisac sie i tak trzeba. Czyli: uwierzytelnianie tak jak chce bank, a dla bezpieczenstwa klienta jeszcze podpis na swistku. Nie mozna tego wprowadzic w PL? Sa jakies przepisy/wytyczne? k. |
|
Data: 2010-05-01 12:03:08 | |
Autor: Maciej Loret | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
Witam.
Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa i z PIN-em, ale podpisac sie i tak trzeba. W Rumunii identycznie - zawsze i PIN i podpis. -- Pozdrawiam, Maciej Loret www.maciejloret.neostrada.pl |
|
Data: 2010-05-01 12:47:27 | |
Autor: MarcinF | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
kashmiri wrote:
Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa i z PIN-em, ale podpisac sie i tak trzeba. Czyli: uwierzytelnianie tak jak chce bank, a dla bezpieczenstwa klienta jeszcze podpis na swistku. to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania paska magnetycznego i uzycie kopii chocby w bankomacie |
|
Data: 2010-05-01 13:54:35 | |
Autor: Krzysztof Halasa | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
MarcinF <marfi@interia.pl> writes:
to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania Tyle ze to wtedy, przynajmniej teoretycznie, problem wlasciciela bankomatu. Niech sobie zamontuje czytniki chipow, albo niech placi za fraudy. -- Krzysztof Halasa |
|
Data: 2010-05-01 14:30:12 | |
Autor: MarcinF | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
Krzysztof Halasa wrote:
Tyle ze to wtedy, przynajmniej teoretycznie, problem wlasciciela tzn. ze w przypadku kiedy fraudu dokonano w bankomacie nie posiadajacym czytnika do chipow to bank poinformuje o tym klienta, odda mu pieniadze, a nastepnie bedzie probowal odzyskac je od wlasciciela bankomatu ? faktycznie, teoretycznie swietne dla klienta rozwiazanie, tylko skoro informacje i decyzja sa po stronie banku to nie wroze zastosowania w praktyce, zwlaszcza ze zasada liability shift nie jest chyba obowiazujacym prawem |
|
Data: 2010-05-01 14:48:28 | |
Autor: Krzysztof Halasa | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
MarcinF <marfi@interia.pl> writes:
tzn. ze w przypadku kiedy fraudu dokonano w bankomacie nie posiadajacym No nie, nie az tak. Ale jesli klient zlozy reklamacje, bank powinien ja uwzglednic i powinien obciazyc wlasciciela bankomatu. To nie jest tak, ze on musi "probowac" (pomijajac jakies tam interregionalne transakcje, przy ktorych nalezaloby sprawdzic daty) - po prostu robi chargeback i wlasciciel bankomatu nie ma praktycznie zadnej mozliwosci "obrony", bo karte z procesorem obciazyl z wlasnej winy przez wykorzystanie sciezki magnetycznej. faktycznie, teoretycznie swietne dla klienta rozwiazanie, tylko skoro Takim panstwowym? Bez znaczenia, jesli wszystkie strony sa zmuszone do jej akceptacji. -- Krzysztof Halasa |
|
Data: 2010-05-01 16:16:45 | |
Autor: MarcinF | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
Krzysztof Halasa wrote:
Takim panstwowym? Bez znaczenia, jesli wszystkie strony sa zmuszone do z tego co przeczytalem o liability shift to bank ma mozliwosc obciazenia wlasciciela bankomatu nie wyposazonego w czytnik kart chipowych, tyle ze mam watpliwosci czy ta mozliwosc stanowi jakakolwiek gwarancje dla klienta, a bankowi prosciej przeciez obciazyc klienta bo uzyty byl pin (co zwykle okresla umowa z klientem), zwalszcza ze klient moze nie miec dostepu do informacji ze bankomat byl starego typu |
|
Data: 2010-05-01 21:23:43 | |
Autor: witrak() | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
On 2010-05-01 16:16, MarcinF wrote:
Krzysztof Halasa wrote: I Twoje wątpliwości są słuszne. Tylko niepoprawni apologeci "bankowych zasad bezpieczeństwa klienta" wierzą, że bank *nie wykorzysta* wszystkich możliwości ściągnięcia kasy z najsłabszego uczestnika fraudowej transakcji kartowej... witrak() PS. Oczywiście zdarzają się takie przypadki (mnie Citi zadzwoniło - dla pewności, że nie jestem w Grecji - że spróbowano zdjąć mi 3k a potem 1 k euro), ale trudne uwierzyć, że w ciągu najbliższych kilku(nastu) lat banki (u nas) staną się mniej pazerne i uczciwsze. |
|
Data: 2010-05-01 23:44:22 | |
Autor: Krzysztof Halasa | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
MarcinF <marfi@interia.pl> writes:
z tego co przeczytalem o liability shift to bank ma mozliwosc obciazenia Jasne ze nie. a bankowi prosciej przeciez obciazyc klienta bo uzyty byl pin (co zwykle Nie, bankowi latwiej jest zrobic chargeback. Chargeback (w takiej sytuacji) gwarantuje koniec sprawy, natomiast proba obciazania klienta moze powodowac rozmaite problemy, np. sÄ dy albo inne artykuĹy w gazatach, ich wynik jest nieprzewidywalny. Zdazaja sie odmienne sytuacje, moim zdaniem wynikajace z niewiedzy pracownikow banku, ale to raczej wyjatki niz regula. Przeciez dokladnie taka sama sytuacja jak w przypadku liability shift i sciezki magnetycznej jest z fraudami bez obecnosci karty. Mimo ze czasem slyszymy o sytuacji, w ktorej bank taka reklamacje odrzuca (np. nieslawny przypadek Raiffeisena), to jednak chyba nie jest to norma. Gdyby taka byla, nikt by sie nie bawil w skimming, ani nikt o zdrowych zmyslach by nie uzywal kart. Troche to inaczej wyglada gdy np. bank sam jest wlascicielem danego bankomatu, dlatego moze trzeba wybierac banki, ktorych bankomaty obsluguja karty chipowe :-) Z innego punktu widzenia, typowego dla nieco wczesniejszych czasow, poza niektorymi wyjatkami (np. USA, gdzie jest i bylo troche inaczej): z karta chipowa glownym zagrozeniem jest kradziez karty i poznanie przez zlodzieja PINu (w przeciwnym przypadku mozemy miec przynajmniej nadzieje na liability shift - nie placi bank, to i nie placi klient). Z karta bez chipa fraud skopiowana karta automatycznie oznacza odpowiedzialnosc banku - ktory bank lekka reka wpisze to we wlasne koszty zamiast obciazyc klienta? Skimming byl coraz wiekszym problemem od dluzszego czasu, myslisz ze co (z)robia skimmerzy, gdy np. 90% bankow bedzie wydawac karty chipowe, i gdy praktycznie 100% sklepow przynajmniej na kontynencie bedzie takie akceptowac (w obawie o liability shift wlasnie)? PIN to jest jedna z mniej istotnych spraw w tym rownaniu. -- Krzysztof Halasa |
|
Data: 2010-05-01 15:47:34 | |
Autor: kashmiri | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
MarcinF <marfi@interia.pl> dared to write:
kashmiri wrote: Tylko za granica - na terenie Gruzji wszystkie bankomaty sa EMV-compliant. Biorac pod uwage ze szybciej sie zglasza utrate karty niz dolatuje/dojezdza do bankomatu za granica, to nie sadze, zeby Gruzja byla krajem "przyjaznym skimmerom". k. |
|
Data: 2010-05-01 14:08:37 | |
Autor: MarcinF | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
kashmiri wrote:
to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania wyplat kopianmi zeskimowanych kart dokonuje sie zwykle wlasnie za granica, skimming to nie kradziez wiec posiadacz nie moze zglosic czegos o czym nie ma pojecia, i wreszcie nie ma potrzeby wozenia czegokolwiek bo dane odczytane z paska mozna przeslac gdziekolwiek |
|
Data: 2010-05-01 14:17:36 | |
Autor: Krzysztof Halasa | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
"kashmiri" <nie.ma@nigdzie.com> writes:
Tylko za granica - na terenie Gruzji wszystkie bankomaty sa Kazdy kraj jest chyba jednakowo przyjazny skimmerom. No moze poza takimi, gdzie typowo karty nie podaje sie kasjerowi, tylko samemu wklada sie ja do czytnika (chipowego oczywiscie). Tak powinno byc - o ile w przypadku transakcji z paskiem zabezpieczenia fizyczne karty sa istotne (logo, 4 cyfry na plastiku, embosowany numer itd), o tyle przy transakcji chipowej zabezpieczeniem jest kryptografia. Natomiast zupelnie inna sprawa jest sytuacja zlodziei wyplacajacych z bankomatow (przy uzyciu skopiowanych kart). Z tym, ze dane karty mozna przeslac, nie trzeba ich wozic osobiscie. -- Krzysztof Halasa |
|
Data: 2010-05-01 13:53:43 | |
Autor: Krzysztof Halasa | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
"kashmiri" <nie.ma@nigdzie.com> writes:
Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa A co tu niby jest "dla bezpieczenstwa klienta"? Bo dla bezpieczenstwa sklepu - jasne: chip & PIN zeby zabezpieczyc sie przed ew. chargebackiem, i podpis jako widoczny slad na papierze. Byc moze ich przepisy tego wymagaja (np. bardziej niz nasze), nie wiem. -- Krzysztof Halasa |
|
Data: 2010-05-01 13:50:41 | |
Autor: Krzysztof Halasa | |
karty hybrydowe (chip + pasek magn) i zachowanie terminali | |
MarcinF <marfi@interia.pl> writes:
zastanawialem sie czy da sie jakos wymusic potwierdzanie transakcji podpisem, Nie zawsze, np. karty "chip & signature", terminale chipowe bez PINpadow (nie jest to norma ale sa takie). w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie Przynajmniej teoretycznie najwazniejszym mechanizmem zwiazanym z takim bezpieczenstwem jest liability shift. -- Krzysztof Halasa |