"RobertS" <news:hjpv14$a2l$2@opal.icpnet.pl

> interesujace jest to, ze w zestawieniu wydanych kart (NBP) widnieja
> karty wyposazone TYLKO w chip, tylko nie wiadomo kto je u nas wydaje...

Może to z tego sortu?
http://www.finanse.egospodarka.pl/14864,BZ-WBK-wydaj
e-karte-V-PAY,1,48,1.html

Chociaż czy obecnie wydawane karty mają żywot dłuższy niż 4 lata?
Po za tym czy jest możliwe, że NBP wlicza karty VPAY, którymi dokonuje się
transakcje na terenie kraju? W końcu co jakiś czas da się np. w dużych
centrach handlowych ludzi płacących takimi kartami, a i ja miałem
przyjemność się bawić takim plastikiem w euronecie ;)

do góry

Dnia Wed, 27 Jan 2010 06:52:17 -0800 (PST), BK napisał(a):
> On Jan 27, 3:35 pm, Olgierd <n...@n...problem> wrote:
>> Może nie mam jakiegoś wielkiego doświadczenia jeśli chodzi o liczbę
>> posiadanych kart, ale do niedawna w zasadzie nie zdarzało mi się, by
>> karta bezczipowa wołała o wklepanie kodu.

> Co dowodzi jednego, ze karta z czpiem moze byc i na podpis, i na pin.
> Karta bez czipa takze moze byc na podpis i takze moze byc na PIN.
>
> Kwestia wyposazenia karty w czip nie wplywa wiec na kwestie
> autoryzacji pinem lub podpisem.

Wpływa zdecydowanie - masz jak byk napisane powyżej. Karta bezchipowa nie
wymaga podania PINu, o ile terminaj nie jest pin-only.

> Co sie zas tyczy mechanizmu zmiany autoryzacji z podpisu na pin wynika
> on glownie z faktu, ze przy posie, zwlaszcza wobec np. kolejki przy
> kasie w markecie kasjer moze nie odebrac podpisu/zignorowac
> niezgodnosc podpisu ect. Nie da sie "niepobrac" pinu lub zignorowac
> jego bledne wprowadzenie. Kolejna rzecz, ze pin ze wzgledu
> bezpieczenstwa mozna zmieniac - podpis juz srednio :) Jedyne "przeciw"
> pinom jakie znam to kwestia, ze ktos moze go podpatrzec - ale wrazamy
> do punktu wyzej - jak ktos chce moze sobie pin zmieniac i co 24h :)

I mam sobie utrudniać życie tylko po to, by bank mógł się łatwiej wykręcić
od odpowiedzialności? Dziękuję, wolę kartę bez chipa :>
Różnica polega na tym, że o ile w przypadku autoryzacji podpisem bank może
zrzucić odpowiedzialność na sklep stwierdzając niezgodność podpisu - o tyle
jeśli PIN się zgadza to winą można obarczyć tylko klienta... i to właśnie
robią bo nie udowodnisz że nie przekazałeś komuś pinu :-/

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
I don't want something I need. I want something I want.

do góry

Dnia Wed, 27 Jan 2010 19:02:28 +0100, MarekZ napisał(a):

>> interesujace jest to, ze w zestawieniu wydanych kart (NBP) widnieja
>> karty wyposazone TYLKO w chip, tylko nie wiadomo kto je u nas wydaje...
>
> Było o tym na grupie, to jakieś lokalne banki wydawały

Tamto coś to nie była karta płatnicza.

--
:) Olgierd || http://olgierd.bblog.pl

do góry

On 27 Sty, 21:25, Jacek Osiecki <j...@c...pl> wrote:

> I mam sobie utrudniać życie tylko po to, by bank mógł się łatwiej wykręcić
> od odpowiedzialności? Dziękuję, wolę kartę bez chipa :>
> Różnica polega na tym, że o ile w przypadku autoryzacji podpisem bank może
> zrzucić odpowiedzialność na sklep stwierdzając niezgodność podpisu - o tyle
> jeśli PIN się zgadza to winą można obarczyć tylko klienta... i to właśnie
> robią bo nie udowodnisz że nie przekazałeś komuś pinu :-/

Ale to nie Ty masz udowodnic, ze nie przekazales komus pinu. Jesli
ktos chce wykrecic sie od odpowiedzialnosci [bo co do zasady
transakcja oszukancza obciaza bank badz ubezpieczyciela] to ten ktos
musi Ci udowpodnic, ze naruszyles zasady bezpiecznestwa i ujawniles
PIN. I moim zdaniem nikt sobie nie powinien wmowic, ze jest inaczej.

To raz.

A dwa, ze mniejwiecej taki sam jest % klientow uwaza, ze autoryzacja
na PIN to "walek" bankow majacy na celu udreczenie klienta jak %
klientow uwazajacych, ze autoryzacja na podpis to "walek" bankow.
Zawsze znajdzie sie jednakowa grupa niezadowolonych z kazdego z tych
rozwiazan. Jak dla mnie, z praktycznego punktu widzenia, jesli karta
ma byc szybkim i sprawnym srodkiem placenia to w gre wchodzi tylko PIN
i czesty off-line.

do góry

Dnia Wed, 27 Jan 2010 13:24:00 -0800, BK napisał(a):

> z praktycznego punktu widzenia, jesli karta ma byc szybkim i sprawnym
> srodkiem placenia to w gre wchodzi tylko PIN i czesty off-line.

Amen!

--
:) Olgierd || http://olgierd.bblog.pl

do góry

Paweł <r...@1...0.0.1> writes:

> tylko po co ta wymiana ma hybrydy, ktore i tak trzeba zatrzec
> po skimmingu paska?

Jak to "trzeba"? Normalnie nie mamy pojecia o skimmingu, wiec nie mozemy
karty zastrzec.

> oczywiscie banki zalecaja by zmieniac pin jak najczesciej,
> tylko prosze zerknac w TOiP. druga i kolejne zmiany pinu,
> to z reguly kwoty rzedu kilku zlotych, no bo przeciez bezpiecznie
> nie moze byc tanio.

Teoretycznie PIN mozna zmieniac bez udzialu banku, po prostu wkladajac
karte do odpowiedniego urzadzenia (np. wlasnego peceta z odpowiednim
oprogramowaniem). Nie jest to zrodlem zadnego dodatkowego zagrozenia dla
banku (ani klienta, jesli pecet jest bezpieczny, nie musi to byc zreszta
pecet). Niestety wiele kart wymaga weryfikacji PINu online przez bank,
uzywa wspolnej koncepcji jednego PINu dla sciezki magnetycznej oraz dla
chipa, albo po prostu nie pozwala na zmiane PINu uzytkownikowi "bo tak".
Dodatkowo wymuszanie podawania PINu w przypadku transakcji niechipowych
naraza klienta na skimming sciezki magnetycznej i przechwycenie PINu, a
banki bardzo niechetnie przyjmuja do wiadomosci, ze znajomosc zawartosci
sciezki magnetycznej i PINu przez druga strone niekoniecznie oznacza, ze
transakcja odbyla sie za zgoda i w ogole za wiedza ich klienta.

Niestety musze sie chyba zgodzic z pogladem, ze obecnie
najbezpieczniejszym dla klienta sposobem korzystania z kart jest
posiadanie dwoch (kompletow): jedna karta z chipem + PINem, ze
skasowanym paskiem magnetycznym, druga karta (tez hybryda, zeby w razie
fraudu liczyc na "liability shift") wylacznie podpisywana, nigdy
PINowana (no moze w bankomatach).
--
Krzysztof Halasa

do góry

Jacek Osiecki <j...@c...pl> writes:

> Wpływa zdecydowanie - masz jak byk napisane powyżej. Karta bezchipowa nie
> wymaga podania PINu, o ile terminaj nie jest pin-only.

Bez zartow, nigdy nie widziales karty bez chipa, wymagajacej PINu
w terminalu, w ktorym ludzie normalnie placa MC i VC podpisujac kwity?

> Różnica polega na tym, że o ile w przypadku autoryzacji podpisem bank może
> zrzucić odpowiedzialność na sklep stwierdzając niezgodność podpisu

Generalnie bank nie ma takiej mozliwosci.
Stad te problemy z reklamacjami, takze na Zachodzie, i stad m.in. to
parcie (sluszne zreszta) na chipy.

> - o tyle
> jeśli PIN się zgadza to winą można obarczyć tylko klienta... i to właśnie
> robią bo nie udowodnisz że nie przekazałeś komuś pinu :-/

Ale dowod nalezy do banku. Z tym ze to jest wredna sprawa, lepiej nie
miec takiego problemu.
--
Krzysztof Halasa

do góry

Użytkownik "Krzysztof Halasa" napisał:
> Teoretycznie PIN mozna zmieniac bez udzialu banku, po prostu wkladajac
> karte do odpowiedniego urzadzenia (np. wlasnego peceta z odpowiednim
> oprogramowaniem). Nie jest to zrodlem zadnego dodatkowego zagrozenia dla
> banku (ani klienta, jesli pecet jest bezpieczny, nie musi to byc zreszta
> pecet).

Tak dosyć mocno teoretycznie pojechałeś...
A skąd weźmiesz klucz do Secure Messaging?

--
MG

do góry

"MG" <n...@s...com> writes:

>> Teoretycznie PIN mozna zmieniac bez udzialu banku, po prostu wkladajac
>> karte do odpowiedniego urzadzenia (np. wlasnego peceta z odpowiednim
>> oprogramowaniem). Nie jest to zrodlem zadnego dodatkowego zagrozenia dla
>> banku (ani klienta, jesli pecet jest bezpieczny, nie musi to byc zreszta
>> pecet).
>
> Tak dosyć mocno teoretycznie pojechałeś...

Napisalem ze to jest "teorerycznie" :-)

> A skąd weźmiesz klucz do Secure Messaging?

Sa karty, ktore pozwalaja na zmiane PINu uzytkownikowi. Wystarczajacym
warunkiem jest znajomosc poprzedniego PINu. Nie ma wtedy typowo zadnego
szyfrowania.

Poza bankami (przy wykorzystaniu dokladnie tej samej technologii) to
jest bardzo czeste (sa takze rozne ciekawsze sposoby PINowania, np.
zmienne PINy). Banki wydaja sie miec jakies specjalne obawy z tym
zwiazane, albo moze chodzi o te podwojne PINy? Tak czy owak sa banki
(niekoniecznie w Europie), ktore taka mozliwosc wydaja sie takze
udostepniac, w kazdym razie spotkalem sie z taka informacja i to juz
ladnych pare lat temu.

To kwestia karty, oczywiscie.
--
Krzysztof Halasa

do góry

Użytkownik "Krzysztof Halasa" napisał:
> "MG" <n...@s...com> writes:
>
>> A skąd weźmiesz klucz do Secure Messaging?
>
> Sa karty, ktore pozwalaja na zmiane PINu uzytkownikowi. Wystarczajacym
> warunkiem jest znajomosc poprzedniego PINu. Nie ma wtedy typowo zadnego
> szyfrowania.

Jeśli mówisz w ogólności o kartach, to jasne, ale nie EMV.

> Poza bankami (przy wykorzystaniu dokladnie tej samej technologii) to
> jest bardzo czeste (sa takze rozne ciekawsze sposoby PINowania, np.
> zmienne PINy).

Ale o jakiej konkretnie technologii mówisz? Jakiejś konkretnej karcie
natywnej, Multos, JavaCard, ...?

> Banki wydaja sie miec jakies specjalne obawy z tym
> zwiazane, albo moze chodzi o te podwojne PINy? Tak czy owak sa banki
> (niekoniecznie w Europie), ktore taka mozliwosc wydaja sie takze
> udostepniac, w kazdym razie spotkalem sie z taka informacja i to juz
> ladnych pare lat temu.

Znowu, jeśli mówimy o EMV, to Banki w większości przypadków nie są stawiane
przed jakimkolwiek wyborem. Karty i profile podlegają certyfikacji i jeśli
któryś chce zrobić coś niestandardowo, to wiąże się to z dużymi kosztami,
które muszą mieć jakieś uzasadnienie biznesowe. Ale poza Europą może to nie
być EMV, bo tam różne wynalazki stosują.

--
MG

do góry