"Mithos" frjp0r$qh3$...@n...onet.pl

> > Ale jakoś trzeba przejść z pasków na chipy.

> Czemu nie. Mozna np. zostawic autoryzacje podpisem ?

Można. Mnie chodziło o hybrydę -- pasek z chipem.

--
.`'.-. ._. .-.
.'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....

do góry

"Krzysztof Halasa" m...@m...localdomain

> > Czytnik czyta i decyduje o tym, czy PIN jest poprawny, ale
> > sam tego PINu nie poznaje!!!

> Jak moze go nie poznawac, jesli musi go pobrac od klienta.

Wiem, ale nie powiem. :)
Kiedyś nawet w googlach można było znaleźć prymitywne algorytmy
kryjące się pod tą nazwą -- 'wiem, ale nie powiem'. :) Teraz
pewnie jest tego więcej.

> > -- klient nie ma prawa do podania PINu tak długo, jak
> > długo karta mu nie powie, że zbadała sklepowy czytnik
> > kart; czasami karta nie zezowali na podanie PINu, choć
> > dogada się z czytnikiem kart -- jeśli klient PIN poda
> > (o czym karta dowie się od sprawnego czytnika kart,
> > z którym jest w jawnej zmowie) mimo braku zgody karty,
> > to karta się zamknie :) przed sfinalizowaniem transakcji
> > i poprosi klienta o wizytę w banku, gdzie ów klient
> > zostanie (odpłatnie) poinformowany o tym, że nie wolno
> > mu podawać PINu bez zgody jego karty

> Nierealne. Lepiej dorobic do karty klawiature i wyswietlacz,

A po co ten wyświetlacz? :) Wystarczy sama klawiatura. :)

> i tam wpisywac PIN. Tak sie czasem robi, ale w innych zastosowaniach, w
> przypadku kart bankowych takie karty bylyby (chwilowo?) zbyt drogie.

Łatwiej dodać czytnik linii papilarnych. :)
Dodać do karty lub dodać do czytnika? ;)

> > Jeśli w tej sytuacji czytnik kart i czytnik PINu będą ZAWSZE w tej
> > samej obudowie (otworzenie której skutkować będzie zniszczeniem
> > elektroniki lub innym dezaktywowaniem czytnika kart/PINów) to
> > wykradanie PINów będzie utrudnione, ale nadal możliwe będzie
> > instalowanie ukrytych kamer, których zapisy pokażą wstukiwane PINy.

> Nope. Wystarczy "wystukiwac" PIN np. elektromagnesami,
> a styki do karty nieco "przedluzyc".

Styki oczywiście podłączyć należy do penisa -- gdy penis stanie
(a stanie po tak zwanych nieskromnych myślach) -- elektromagnes zaskoczy. ;)
Ale co z kobietami i impotentami? :) Niestety to nie koniec kłopotów...
Są jeszcze nadpotenci. ;)

> To nie zadziała, dokładnie tak samo jak nie da się skutecznie
> zaszyfrowac DVD.

Można szyfrować bardzo skutecznie, ale problem leży w innym miejscu...
Człowiek musi jakoś szyfrować, a 99% ludzi nie chce tego szyfrowania. :)
Już podawanie PINu dla wielu jest utrudnieniem na tyle poważnym, że
rezygnują z kart.

-=-

DVD szyfrować nie można!!! Zawsze można zbudować taki monitor
(nawet bez monitora) który odczyta przesyłane do niego sygnały.
Monitor ,,zasilamy'' analogowo? Niby tak, ale dostatecznie dokładnie. :)

Poza tym są i inne monitory, a przede wszystkim zanim film
trafi do analogowego monitora, jest stale w cyfrowej postaci.

-=-

Z DVD była inna bajka. :) Klucz do dekodowania filmu znajduje się
w konkretnym miejscu DVD. I to miejsce jest tylko na DVD minus,
a nagrywarki komputerowe są tylko DVD plus... Nie tylko plus?

Ano nie tylko... I tutaj mamy kres szyfrowanym filmom DVD. :)
Na DVD plus nie nagrasz zaszyfrowanego filmu DVD w prosty sposób.
Możesz nagrać zaszyfrowany a klucz zapisać na innej płycie lub
nawet na tej samej, ale w innym miejscu. Problem w tym, że tego
żaden dekoder DVD nie odczyta. Możesz jednak ten film przegrać na
DVD minus i umieścić tam (w stosowny miejscu) klucz...


Jeśli się mylę -- poproszę o korektę. Jeśli korekta ma być
wyczerpująca -- może tutaj tylko kilka słów, a resztę w inne,
stosowniejsze miejsce. :)

> > I na te kamery nie ma prostych sposobów: jeśli czytnik kart/PINów
> > nie prosi o podanie całego PINu, ale kolejno o którąś z jego cyfr,
> > to nie tylko klient wie, o które cyfry chodzi, ale i kamera czy
> > raczej kamerzysta...

Chyba, że podłączać klienta do elktrowstrząsowego komunikatora, ;)
który będzie mu mówił po cichu (wstrząsami) o tym, którą cyfrę PINu
podać. I tu znowu ten sam problem -- komunikator może też być podrobiony...

> A dodatkowo, aby zachowac wzglednie mala szanse "trafienia" (i tak
> stosunkowa duza przy 4 cyfrach), caly PIN musi byc dluzszy.

> I 80% klientow bedzie podawac caly PIN sprzedawcy, bo to bedzie dla
> nich zbyt skomplikowane.

Już teraz masa ludzi zapisuje PINu w notatnikach. :)
Niektórzy jakoś te PINu szyfrują, inni nie...

-=-

Wyjściem jest cwana karta płatnicza -- z czytnikiem linii papilarnych,
lub z klawiaturą... Zwykła karta chipowa niewiele kosztuje (w zasadzie
tyle, ile plastik, z którego jest wykonana, albo niewiele więcej) zaś
taka cwana byłaby znacznie droższa. Co gorsza -- raz skradzionego kodu
linii papilarnych nie można zmienić, :) więc pozostaje klawiatura...
Oczywiście klawiatura taka będzie miała wypracowane cyferki PINu i po
zabraniu karty trzeba będzie poznać jedynie kolejność tych cyfr. To
jednak nie jest problemem -- PIN może być dłuższy ;) lub może być
podawany wielokrotnie -- za każdym razem z przesunięciem o jedynką :)
lub jakoś podobnie... ;) Może też być klawiatura ,,pływająca''. ;)

Już teraz zaczynajcie zapominać o bezpłatnych kartach kredytowych. :)

A może nie? :) Każdy ma swoją kartę (jak dziś komórkę) i zachodzi z nią
do banku, a ten (po pozytywnym rozpatrzeniu wniosku) jakoś ją uzbraja... ;)
Może nawet nie trzeba przychodzić do banku... Może bank potrafi uzbroić kartę
zdalnie? :) Kończy się umowa -- bank rozbraja komórkę... Znaczy -- kartę
rozbraja... ;) I karta może służyć nadal. Co więcej -- taka karta może
mieć w sobie zaklęcia różnych banków. :)

Tyle tylko, że taka karta nazywa się komórką właśnie. :)
Ma własną klawiaturę i wyświetlacz oraz sama potrafi
łączyć się ze światem za pomocą GSMów, WiFi itp...

I taka karta ;) nie kosztuje pięć centów, lecz jest znacznie droższa...
Może już mieć czytniki linii papilarnych, czytniki PINów, może otrzymywać
kody kaleczące PINy... I może unicestwiać się po otworzeniu. :)

Może być w ogóle inna, bo zanim się narodzi, narodzą się inni ludzie.
Ludzie, którzy docenią te karty/komórki i pogodzą się z tym, że coś
musza szyfrować samodzielnie,że musza pamiętać jakieś PINy,że musza
strzec komórki itd...

-=-

Niby podobne dowody osobiste mają już wejść w życie za parę lat
(może nawet za rok) ale na razie nie będzie konieczności uzbrajania
się w nie i zapewne każdy chętny zostanie poinformowany o zagrożeniu
związanym ze zgubieniem swoich danych biometrycznych...

--
.`'.-. ._. .-.
.'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....

do góry

"Eneuel Leszek Ciszewski" frkemi$ni4$...@i...gazeta.pl

> > Jak moze go nie poznawac, jesli musi go pobrac od klienta.

> Wiem, ale nie powiem. :)
> Kiedyś nawet w googlach można było znaleźć prymitywne algorytmy
> kryjące się pod tą nazwą -- 'wiem, ale nie powiem'. :) Teraz
> pewnie jest tego więcej.

Daleko nie szukając http://www.pckurier.pl/archiwum/art0.asp?ID=4841
i nie ulegając głupawym linkom,które znalazły google.

--
.`'.-. ._. .-.
.'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....

do góry

Krzysztof Halasa <k...@p...waw.pl> wrote:

> > Dlatego piszę, że używanie chipa
> > jest znacznie bezpieczniejsze niż paska.

> W przypadku karty procesorowej odpowiedzialnosc za fraudy bez uzycia
> procesora ponosi ten, kto nie uzyl procesora, wiec klienta to nie
> powinno w ogole interesowac.

OK, bo ja mam tak:

1. terminal jest bez stykow, wiec wczytuja karte paskiem, a potem autoryzuja na
podpis

2. terminal jest ze stykami, ale robia jak wyzej

3. Terminal jest ze stykami, wiec wkladaja karte w slot, a potem tez autoryzuja
podpisem.

4. Terminal jest ze stykami, ale wczytuja karte paskiem. Wowczas
terminal protestuje i wyswietla napis, ze ta karte trzeba jednak wetknac.
Wtedy wtykaja i dalej na podpis

I teraz Twoim zdaniem, MOJE bezpieczenstwo polega na tym, ze JEDYNIE w
punktach 3 i 4 pozostawilem slad, ze uzyto prawdziwej karty, a w 1 i 2
nie, zatem jesli to byly fraudy, to problem banku, a w dalszej linii sprzedawcy?!

No, to by nawet mialo sens pewien :)
Zastanawiam sie gdzie te teorie mozna potwierdzic.

Fr.

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3fxuq8fp9.fsf@maximus.localdomain...
> "kashmiri" <k...@i...pl> writes:
>
>> Dalej uważam jednak, że fałszywy czytnik *musi* działać i autoryzować
>> karty - podstawianie atrapy urządzenia byłoby zbyt ryzykowne.
>
> Raczej zupelnie niepraktyczne.
>
> Jak by to mialo wygladac? Wszyscy po kolei mieliby wadliwe karty,
> ktore magicznie zaczynalyby dzialac w drugim czytniku? I tak
> codziennie, tydzien w tydzien i rok w rok? :-)

Dlatego pomysł Eneuela z atrapą jest do bani.
I dlatego musi to być autentyczny czytnik, z którego "podbiera się" dane
autoryzacyjne karty.


>> Ryzyko, że sprzedawca będzie oszustem, jest wg mnie mało realne:
>> raczej czytniki będą podrabiane, a dane odczytywane zdalnie.
>
> Samo odczytanie danych wiele nikomu nie da, one nie sa tajne - tak jak
> dane o nadawcy i odbiorcy przelewu nie sa tajne.

Znajomość tych danych - wśród których jest PIN - wystarczy do wyprodukowania
fałszywej karty (z paskiem) i wyczyszczenia konta w bankomacie.

do góry

Użytkownik "Eneuel Leszek" <p...@c...fontem.lucida.console9> napisał w
wiadomości news:frk9bt$9qs$1@news2.task.gda.pl...
>
> "Krzysztof Halasa" m...@m...localdomain

[ciach]
> Przypominam jednak, że problem pozyskania PINu jest nadal znacznie bliżej.
> Na nic jakakolwiek elektronika śledząca otwieranie puszek. Wkładamy po
> prostu do obudowy czytnika PINu to, co my chcemy; na przykład kalkulator
> lub telefon -- koszt niewielki a elektronika dostatecznie rozbudowana
> do tego, aby odczytać wciskane cyferki PINu i zapamiętać je...
[ciach]

Nie wyobrażam sobie takiego ryzykanta sprzedawcy, już pisałem wielokrotnie.
Jako sprzedawca nigdy nie wiesz, kim jest klient przed tobą i czy wylądujesz
w pudle.

Cały czas próbujesz pokazać, jak sprytnie możesz podkraść PIN. Nie
zauważasz, że znajomość samego PINu nie wystarcza? Żeby stworzyć działający
duplikat karty, musisz mieć wszystkie dane - nazwisko, kod CVV2 i wszystko
to co karta zawiera na pasku. Tego nie ma na paragonie.

do góry

Użytkownik <f...@s...poczta.onet.pl> napisał w wiadomości
news:1205732641.440982@host.unknown...
> Krzysztof Halasa <k...@p...waw.pl> wrote:
>
>> > Dlatego piszę, że używanie chipa
>> > jest znacznie bezpieczniejsze niż paska.
>
>> W przypadku karty procesorowej odpowiedzialnosc za fraudy bez uzycia
>> procesora ponosi ten, kto nie uzyl procesora, wiec klienta to nie
>> powinno w ogole interesowac.
>
> OK, bo ja mam tak:
>
> 1. terminal jest bez stykow, wiec wczytuja karte paskiem, a potem
> autoryzuja na podpis
>
> 2. terminal jest ze stykami, ale robia jak wyzej
>
> 3. Terminal jest ze stykami, wiec wkladaja karte w slot, a potem tez
> autoryzuja podpisem.
>
> 4. Terminal jest ze stykami, ale wczytuja karte paskiem. Wowczas
> terminal protestuje i wyswietla napis, ze ta karte trzeba jednak
> wetknac.
> Wtedy wtykaja i dalej na podpis
>
> I teraz Twoim zdaniem, MOJE bezpieczenstwo polega na tym, ze JEDYNIE w
> punktach 3 i 4 pozostawilem slad, ze uzyto prawdziwej karty, a w 1 i 2
> nie, zatem jesli to byly fraudy, to problem banku, a w dalszej linii
> sprzedawcy?!
>
> No, to by nawet mialo sens pewien :)
> Zastanawiam sie gdzie te teorie mozna potwierdzic.

Punkt 3 jak dla mnie niemożliwy. Chip => PIN.
Za to zdarzyło mi się: karta w slot + autoryzacja niewymagana (zakup na małą
kwotę).


Ale ogólnie racja. Dopiero chip gwarantuje (jak długo jeszcze???), że użyto
prawdziwej karty. Dlatego Europa przechodzi na chip - w ciągu kilku lat mają
zniknąć karty i terminale tylko "na pasek". W USA króluje pasek, ale powoli
też zaczynają przechodzić - na karty zbliżeniowe.

do góry

f...@s...poczta.onet.pl pisze:
> Witam,
>
> Od jakiegos czasu mam karte ze stykami, co podobno
> sprawia, ze jest ona bardzo bezpieczna. Tak mowia :-)
>
> Temat bezpieczenstwa w czasie, kiedy ow procesor jest uzywany
> jest dla mnie jasny, ale nijak nie potrafie znalezc
> prawdziwego uzasadnienia dla calej karty.
>
> Karta ma pasek, jak kazda "zwykla" karta. Pasek ten mozna tak
> samo skopiowac, tak samo mozna zlapac PIN - i wtedy co?

Jak to co kaplica ale moze doczekamy sie kiedys czasow ze pasek
magnetyczny pojdzie do lamusa. Na dzis karta chipowa z paskiem i PINem
to fatalne zestawienie



--
Portal edukacyjny - http://madre.inwestowanie.org.pl/

do góry

Eneuel Leszek Ciszewski pisze:
> "kashmiri" friviu$td9$...@n...interia.pl
>
>> Karty z mikroprocesorem nie podajesz sprzedawcy, tylko sam wkładasz do
>> czytnika i wbijasz PIN. Więc największe ryzyko odpada.
>
> Jeszcze ani razu sam nie wkładałem do czytnika.
> Jaka różnica, kto wkłada?

Pewnie taka ze ciezko skopiowac pasek gdy karte trzymasz w reku i nie
wkladasz jej do zadnego urzadzeni dalej niz chip

>

--
Portal edukacyjny - http://madre.inwestowanie.org.pl/

do góry

kashmiri pisze:
>
>
> Użytkownik "Eneuel Leszek Ciszewski"
> <p...@c...fontem.lucida.console> napisał w wiadomości
> news:frj89a$ktu$1@flis.man.torun.pl...
>
>
>> Ale po co go podrabiać? Wkładasz tam kawałek kalkulatora (lub
>> telefonu) i ósz. :)
>
> To by było mniej więcej tak ryzykowne, jak wydawanie reszty fałszywymi
> banknotami. Nie każdy jest głupi albo niespotrzegawczy - skąd wiadomo,
> co klient wie i gdzie pracuje?
>
> Nie wyobrażam sobie przyzwoitego sklepu wystawiającego taką fałszywkę.
> Może w taksówce, ale nie w supermarkecie.

W supermarkecie pani przeciaga karte przez "dziwne urzadzenie" a PIN pad
jest na kabelku i ni wuja nie wiesz gdzie sie kabelek konczy


--
Portal edukacyjny - http://madre.inwestowanie.org.pl/

do góry