http://www.mbank.pl/blog/artykul,100,hybrydowa-ryba-co-to-za-stwor.html

wg tej informacji proba uzycia karty hybrydowej w terminalu obslugujacym
chipy konczy sie prosba o uzycie chipa, czyli informacja o chipie powinna
byc zapisana na pasku magnetycznym

jesli tak jest rzeczywiscie to jak zachowuje sie taki terminal jesli
chip jest uszkodzony ? czy w takim przypadku nie da sie dokonac transakcji ?

MarcinF <marfi@interia.pl> writes:

wg tej informacji proba uzycia karty hybrydowej w terminalu obslugujacym
chipy konczy sie prosba o uzycie chipa, czyli informacja o chipie powinna
byc zapisana na pasku magnetycznym

I prawie zawsze jest.

jesli tak jest rzeczywiscie to jak zachowuje sie taki terminal jesli
chip jest uszkodzony ? czy w takim przypadku nie da sie dokonac transakcji ?

Zalezy od terminala, moze byc opcja dokonania transakcji przy uzyciu
paska i/lub poprzez wpisanie danych karty. Z tym, ze bank moze nie dac
autoryzacji (jesli terminal zasygnalizuje wydawcy, ze chip zostal
pominiety, bo normalne transakcje "paskowe" w terminalu bezchipowym to
inna bajka).
--
Krzysztof Halasa

Krzysztof Halasa wrote:

Zalezy od terminala, moze byc opcja dokonania transakcji przy uzyciu
paska i/lub poprzez wpisanie danych karty

zastanawialem sie czy da sie jakos wymusic potwierdzanie transakcji podpisem,
ale to przeciez tez bardziej zalezy od terminala i nawet gdyby transakcja
z paska przeszla to pewnie potwierdzenie w terminalu chipowym zawsze jest pinem

w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie
jej na chipowa :)

"MarcinF" news:4bdb6073$0$17089$65785112news.neostrada.pl

zastanawialem sie czy da sie jakos wymusic potwierdzanie transakcji

podpisem,

ale to przeciez tez bardziej zalezy od terminala i nawet gdyby transakcja
z paska przeszla to pewnie potwierdzenie w terminalu chipowym zawsze jest

pinem

Nie zawsze - dobitnie o tym swiadcza delfinki z zablokowanym chipem, którymy
jakis czas temu dokonywalem kilkunastu transakcji na terenie UK.
Transakcja przechodzila z chipa, ale... ku zdziwieniu mojemu jak i samej
obslugi nie podawalem zadnego pinu, natomiast musialem sie podpisac na
swistku.

w takim razie chyba jedynym sposobem na bezpieczna hybryde jest

przerobienie

jej na chipowa :)

Niby tak, ale co np. zrobisz z taka karta w Realu gdzie kasjerki nagminnie
mimo, ze widza chip na karcie przesuwaja ja przez terminal najpierw paskiem
by potem wpakowac ja w odpowiednia szczelinke pinpada... Jezeli skasujesz
pasek to rozumiem, ze transakcja ww. przypadku nie dojdzie do skutku. Dobrze
rozumiem?

Valdek wrote:

Niby tak, ale co np. zrobisz z taka karta w Realu gdzie kasjerki nagminnie
mimo, ze widza chip na karcie przesuwaja ja przez terminal najpierw paskiem
by potem wpakowac ja w odpowiednia szczelinke pinpada... Jezeli skasujesz
pasek to rozumiem, ze transakcja ww. przypadku nie dojdzie do skutku. Dobrze
rozumiem?

o to bym sie akurat nie martwil, nie powinno byc chyba problemu z tym
zeby chip trafil do wlasciwego czytnika, gorzej z miejcami gdzie
nie ma terminali chipowych i bankomatami

Uzytkownik "MarcinF" <marfi@interia.pl> napisal w wiadomosci news:4bdb6073$0$17089$65785112news.neostrada.pl...

w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie
jej na chipowa :)

Raczej na niebezpieczna. Poczytaj o atakach "man in the middle" i o ominieciu PINu w kartach chipowych.
http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf

--
pozdrawiam pawbrok

pawbrok wrote:

w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie
jej na chipowa :)

Raczej na niebezpieczna. Poczytaj o atakach "man in the middle" i o ominieciu PINu w kartach chipowych.
http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf

ok, w takim razie skasowanie paska nie jest sposobem na uczynienie z niej
bezpiecznej karty, ale przynajmiej bezpieczniejszej :)

ryzyko wynikajace z takiego ataku nie jest az takie straszne bo wymaga
po pierwsze posiadania karty, a po drugie niewiedzy prawowitego posiadacza
o kradziezy (zablokowanie karty), wiec nie spodziewalbym sie
masowego wykorzystania, zwlaszcza ze ataku nie mozna wykorzystac
w bankomacie

MarcinF <marfi@interia.pl> dared to write:

Krzysztof Halasa wrote:

Zalezy od terminala, moze byc opcja dokonania transakcji przy uzyciu
paska i/lub poprzez wpisanie danych karty

zastanawialem sie czy da sie jakos wymusic potwierdzanie transakcji
podpisem, ale to przeciez tez bardziej zalezy od terminala i nawet gdyby
transakcja z paska przeszla to pewnie potwierdzenie w terminalu chipowym
zawsze jest pinem

w takim razie chyba jedynym sposobem na bezpieczna hybryde jest
przerobienie jej na chipowa :)

Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa i z PIN-em, ale podpisac sie i tak trzeba. Czyli: uwierzytelnianie tak jak chce bank, a dla bezpieczenstwa klienta jeszcze podpis na swistku.

Nie mozna tego wprowadzic w PL? Sa jakies przepisy/wytyczne?

k.

Witam.

Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa i z PIN-em, ale podpisac sie i tak trzeba.

W Rumunii identycznie - zawsze i PIN i podpis.

--
Pozdrawiam,
Maciej Loret
www.maciejloret.neostrada.pl

kashmiri wrote:

Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa i z PIN-em, ale podpisac sie i tak trzeba. Czyli: uwierzytelnianie tak jak chce bank, a dla bezpieczenstwa klienta jeszcze podpis na swistku.

to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania paska magnetycznego i uzycie kopii chocby w bankomacie

MarcinF <marfi@interia.pl> writes:

to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania
paska magnetycznego i uzycie kopii chocby w bankomacie

Tyle ze to wtedy, przynajmniej teoretycznie, problem wlasciciela
bankomatu. Niech sobie zamontuje czytniki chipow, albo niech placi za
fraudy.
--
Krzysztof Halasa

Krzysztof Halasa wrote:

Tyle ze to wtedy, przynajmniej teoretycznie, problem wlasciciela
bankomatu. Niech sobie zamontuje czytniki chipow, albo niech placi za
fraudy.

tzn. ze w przypadku kiedy fraudu dokonano w bankomacie nie posiadajacym
czytnika do chipow to bank poinformuje o tym klienta, odda mu pieniadze,
a nastepnie bedzie probowal odzyskac je od wlasciciela bankomatu ?

faktycznie, teoretycznie swietne dla klienta rozwiazanie, tylko skoro
informacje i decyzja sa po stronie banku to nie wroze zastosowania
w praktyce, zwlaszcza ze zasada liability shift nie jest chyba
obowiazujacym prawem

MarcinF <marfi@interia.pl> writes:

tzn. ze w przypadku kiedy fraudu dokonano w bankomacie nie posiadajacym
czytnika do chipow to bank poinformuje o tym klienta, odda mu pieniadze,
a nastepnie bedzie probowal odzyskac je od wlasciciela bankomatu ?

No nie, nie az tak.
Ale jesli klient zlozy reklamacje, bank powinien ja uwzglednic
i powinien obciazyc wlasciciela bankomatu. To nie jest tak, ze on musi
"probowac" (pomijajac jakies tam interregionalne transakcje, przy
ktorych nalezaloby sprawdzic daty) - po prostu robi chargeback
i wlasciciel bankomatu nie ma praktycznie zadnej mozliwosci "obrony", bo
karte z procesorem obciazyl z wlasnej winy przez wykorzystanie sciezki
magnetycznej.

faktycznie, teoretycznie swietne dla klienta rozwiazanie, tylko skoro
informacje i decyzja sa po stronie banku to nie wroze zastosowania
w praktyce, zwlaszcza ze zasada liability shift nie jest chyba
obowiazujacym prawem

Takim panstwowym? Bez znaczenia, jesli wszystkie strony sa zmuszone do
jej akceptacji.
--
Krzysztof Halasa

Krzysztof Halasa wrote:

Takim panstwowym? Bez znaczenia, jesli wszystkie strony sa zmuszone do
jej akceptacji.

z tego co przeczytalem o liability shift to bank ma mozliwosc obciazenia
wlasciciela bankomatu nie wyposazonego w czytnik kart chipowych, tyle ze
mam watpliwosci czy ta mozliwosc stanowi jakakolwiek gwarancje dla klienta,
a  bankowi prosciej przeciez obciazyc klienta bo uzyty byl pin (co zwykle
okresla umowa z klientem), zwalszcza ze klient moze nie miec dostepu
do informacji ze bankomat byl starego typu

On 2010-05-01 16:16, MarcinF wrote:

Krzysztof Halasa wrote:

Takim panstwowym? Bez znaczenia, jesli wszystkie strony sa zmuszone do
jej akceptacji.

z tego co przeczytalem o liability shift to bank ma mozliwosc obciazenia
wlasciciela bankomatu nie wyposazonego w czytnik kart chipowych, tyle ze
mam watpliwosci czy ta mozliwosc stanowi jakakolwiek gwarancje dla klienta,
a  bankowi prosciej przeciez obciazyc klienta bo uzyty byl pin (co zwykle
okresla umowa z klientem), zwalszcza ze klient moze nie miec dostepu
do informacji ze bankomat byl starego typu

I Twoje wątpliwości są słuszne. Tylko niepoprawni apologeci "bankowych zasad bezpieczeństwa klienta" wierzą, że bank *nie wykorzysta* wszystkich możliwości ściągnięcia kasy z najsłabszego uczestnika fraudowej transakcji kartowej...

witrak()

PS. Oczywiście zdarzają się takie przypadki (mnie Citi zadzwoniło - dla pewności, że nie jestem w Grecji - że spróbowano zdjąć mi 3k a potem 1 k euro), ale trudne uwierzyć, że w ciągu najbliższych kilku(nastu) lat banki (u nas) staną się mniej pazerne i uczciwsze.

MarcinF <marfi@interia.pl> writes:

z tego co przeczytalem o liability shift to bank ma mozliwosc obciazenia
wlasciciela bankomatu nie wyposazonego w czytnik kart chipowych, tyle ze
mam watpliwosci czy ta mozliwosc stanowi jakakolwiek gwarancje dla
klienta,

Jasne ze nie.

a  bankowi prosciej przeciez obciazyc klienta bo uzyty byl pin (co zwykle
okresla umowa z klientem), zwalszcza ze klient moze nie miec dostepu
do informacji ze bankomat byl starego typu

Nie, bankowi latwiej jest zrobic chargeback. Chargeback (w takiej
sytuacji) gwarantuje koniec sprawy, natomiast proba obciazania klienta
moze powodowac rozmaite problemy, np. sądy albo inne artykuły
w gazatach, ich wynik jest nieprzewidywalny.
Zdazaja sie odmienne sytuacje, moim zdaniem wynikajace z niewiedzy
pracownikow banku, ale to raczej wyjatki niz regula.

Przeciez dokladnie taka sama sytuacja jak w przypadku liability shift
i sciezki magnetycznej jest z fraudami bez obecnosci karty. Mimo ze
czasem slyszymy o sytuacji, w ktorej bank taka reklamacje odrzuca (np.
nieslawny przypadek Raiffeisena), to jednak chyba nie jest to norma.
Gdyby taka byla, nikt by sie nie bawil w skimming, ani nikt o zdrowych
zmyslach by nie uzywal kart.

Troche to inaczej wyglada gdy np. bank sam jest wlascicielem danego
bankomatu, dlatego moze trzeba wybierac banki, ktorych bankomaty
obsluguja karty chipowe :-)

Z innego punktu widzenia, typowego dla nieco wczesniejszych czasow, poza
niektorymi wyjatkami (np. USA, gdzie jest i bylo troche inaczej):
z karta chipowa glownym zagrozeniem jest kradziez karty i poznanie przez
zlodzieja PINu (w przeciwnym przypadku mozemy miec przynajmniej nadzieje
na liability shift - nie placi bank, to i nie placi klient). Z karta bez
chipa fraud skopiowana karta automatycznie oznacza odpowiedzialnosc
banku - ktory bank lekka reka wpisze to we wlasne koszty zamiast
obciazyc klienta?

Skimming byl coraz wiekszym problemem od dluzszego czasu, myslisz ze co
(z)robia skimmerzy, gdy np. 90% bankow bedzie wydawac karty chipowe, i
gdy praktycznie 100% sklepow przynajmniej na kontynencie bedzie takie
akceptowac (w obawie o liability shift wlasnie)?
PIN to jest jedna z mniej istotnych spraw w tym rownaniu.
--
Krzysztof Halasa

MarcinF <marfi@interia.pl> dared to write:

kashmiri wrote:

Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa
i z PIN-em, ale podpisac sie i tak trzeba. Czyli: uwierzytelnianie tak
jak chce bank, a dla bezpieczenstwa klienta jeszcze podpis na swistku.

to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania
paska magnetycznego i uzycie  kopii chocby w bankomacie

Tylko za granica - na terenie Gruzji wszystkie bankomaty sa EMV-compliant. Biorac pod uwage ze szybciej sie zglasza utrate karty niz dolatuje/dojezdza do bankomatu za granica, to nie sadze, zeby Gruzja byla krajem "przyjaznym skimmerom".

k.

kashmiri wrote:

to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania
paska magnetycznego i uzycie  kopii chocby w bankomacie

Tylko za granica - na terenie Gruzji wszystkie bankomaty sa EMV-compliant. Biorac pod uwage ze szybciej sie zglasza utrate karty niz dolatuje/dojezdza do bankomatu za granica, to nie sadze, zeby Gruzja byla krajem "przyjaznym skimmerom".

wyplat kopianmi zeskimowanych kart dokonuje sie zwykle wlasnie za granica, skimming to nie kradziez
wiec posiadacz nie moze zglosic czegos o czym nie ma pojecia, i wreszcie nie ma potrzeby wozenia
czegokolwiek bo dane odczytane z paska mozna przeslac gdziekolwiek

"kashmiri" <nie.ma@nigdzie.com> writes:

Tylko za granica - na terenie Gruzji wszystkie bankomaty sa
EMV-compliant. Biorac pod uwage ze szybciej sie zglasza utrate karty
niz dolatuje/dojezdza do bankomatu za granica, to nie sadze, zeby
Gruzja byla krajem "przyjaznym skimmerom".

Kazdy kraj jest chyba jednakowo przyjazny skimmerom. No moze poza
takimi, gdzie typowo karty nie podaje sie kasjerowi, tylko samemu wklada
sie ja do czytnika (chipowego oczywiscie). Tak powinno byc - o ile
w przypadku transakcji z paskiem zabezpieczenia fizyczne karty sa
istotne (logo, 4 cyfry na plastiku, embosowany numer itd), o tyle przy
transakcji chipowej zabezpieczeniem jest kryptografia.

Natomiast zupelnie inna sprawa jest sytuacja zlodziei wyplacajacych
z bankomatow (przy uzyciu skopiowanych kart). Z tym, ze dane karty mozna
przeslac, nie trzeba ich wozic osobiscie.
--
Krzysztof Halasa

"kashmiri" <nie.ma@nigdzie.com> writes:

Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa
i z PIN-em, ale podpisac sie i tak trzeba. Czyli: uwierzytelnianie tak
jak chce bank, a dla bezpieczenstwa klienta jeszcze podpis na swistku.

A co tu niby jest "dla bezpieczenstwa klienta"?
Bo dla bezpieczenstwa sklepu - jasne: chip & PIN zeby zabezpieczyc sie
przed ew. chargebackiem, i podpis jako widoczny slad na papierze.
Byc moze ich przepisy tego wymagaja (np. bardziej niz nasze), nie wiem.
--
Krzysztof Halasa

MarcinF <marfi@interia.pl> writes:

zastanawialem sie czy da sie jakos wymusic potwierdzanie transakcji podpisem,
ale to przeciez tez bardziej zalezy od terminala i nawet gdyby transakcja
z paska przeszla to pewnie potwierdzenie w terminalu chipowym zawsze jest pinem

Nie zawsze, np. karty "chip & signature", terminale chipowe bez PINpadow
(nie jest to norma ale sa takie).

w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie
jej na chipowa :)

Przynajmniej teoretycznie najwazniejszym mechanizmem zwiazanym z takim
bezpieczenstwem jest liability shift.
--
Krzysztof Halasa