MarcinF <m...@i...pl> dared to write:
> kashmiri wrote:
>
>> Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa
>> i z PIN-em, ale podpisac sie i tak trzeba. Czyli: uwierzytelnianie tak
>> jak chce bank, a dla bezpieczenstwa klienta jeszcze podpis na swistku.
>
> to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania
> paska magnetycznego i uzycie kopii chocby w bankomacie

Tylko za granica - na terenie Gruzji wszystkie bankomaty sa EMV-compliant. Biorac pod
uwage ze szybciej sie zglasza utrate karty niz dolatuje/dojezdza do bankomatu za
granica, to nie sadze, zeby Gruzja byla krajem "przyjaznym skimmerom".

k.

do góry

MarcinF <m...@i...pl> writes:

> zastanawialem sie czy da sie jakos wymusic potwierdzanie transakcji podpisem,
> ale to przeciez tez bardziej zalezy od terminala i nawet gdyby transakcja
> z paska przeszla to pewnie potwierdzenie w terminalu chipowym zawsze jest pinem

Nie zawsze, np. karty "chip & signature", terminale chipowe bez PINpadow
(nie jest to norma ale sa takie).

> w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie
> jej na chipowa :)

Przynajmniej teoretycznie najwazniejszym mechanizmem zwiazanym z takim
bezpieczenstwem jest liability shift.
--
Krzysztof Halasa

do góry

"kashmiri" <n...@n...com> writes:

> Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa
> i z PIN-em, ale podpisac sie i tak trzeba. Czyli: uwierzytelnianie tak
> jak chce bank, a dla bezpieczenstwa klienta jeszcze podpis na swistku.

A co tu niby jest "dla bezpieczenstwa klienta"?
Bo dla bezpieczenstwa sklepu - jasne: chip & PIN zeby zabezpieczyc sie
przed ew. chargebackiem, i podpis jako widoczny slad na papierze.
Byc moze ich przepisy tego wymagaja (np. bardziej niz nasze), nie wiem.
--
Krzysztof Halasa

do góry

MarcinF <m...@i...pl> writes:

> to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania
> paska magnetycznego i uzycie kopii chocby w bankomacie

Tyle ze to wtedy, przynajmniej teoretycznie, problem wlasciciela
bankomatu. Niech sobie zamontuje czytniki chipow, albo niech placi za
fraudy.
--
Krzysztof Halasa

do góry

kashmiri wrote:

>> to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania
>> paska magnetycznego i uzycie kopii chocby w bankomacie
>
> Tylko za granica - na terenie Gruzji wszystkie bankomaty sa EMV-compliant. Biorac
pod uwage ze szybciej sie zglasza utrate karty niz dolatuje/dojezdza do bankomatu za
granica, to nie sadze, zeby Gruzja byla krajem "przyjaznym skimmerom".

wyplat kopianmi zeskimowanych kart dokonuje sie zwykle wlasnie za granica, skimming
to nie kradziez
wiec posiadacz nie moze zglosic czegos o czym nie ma pojecia, i wreszcie nie ma
potrzeby wozenia
czegokolwiek bo dane odczytane z paska mozna przeslac gdziekolwiek

do góry

"kashmiri" <n...@n...com> writes:

> Tylko za granica - na terenie Gruzji wszystkie bankomaty sa
> EMV-compliant. Biorac pod uwage ze szybciej sie zglasza utrate karty
> niz dolatuje/dojezdza do bankomatu za granica, to nie sadze, zeby
> Gruzja byla krajem "przyjaznym skimmerom".

Kazdy kraj jest chyba jednakowo przyjazny skimmerom. No moze poza
takimi, gdzie typowo karty nie podaje sie kasjerowi, tylko samemu wklada
sie ja do czytnika (chipowego oczywiscie). Tak powinno byc - o ile
w przypadku transakcji z paskiem zabezpieczenia fizyczne karty sa
istotne (logo, 4 cyfry na plastiku, embosowany numer itd), o tyle przy
transakcji chipowej zabezpieczeniem jest kryptografia.

Natomiast zupelnie inna sprawa jest sytuacja zlodziei wyplacajacych
z bankomatow (przy uzyciu skopiowanych kart). Z tym, ze dane karty mozna
przeslac, nie trzeba ich wozic osobiscie.
--
Krzysztof Halasa

do góry

Krzysztof Halasa wrote:

> Tyle ze to wtedy, przynajmniej teoretycznie, problem wlasciciela
> bankomatu. Niech sobie zamontuje czytniki chipow, albo niech placi za
> fraudy.

tzn. ze w przypadku kiedy fraudu dokonano w bankomacie nie posiadajacym
czytnika do chipow to bank poinformuje o tym klienta, odda mu pieniadze,
a nastepnie bedzie probowal odzyskac je od wlasciciela bankomatu ?

faktycznie, teoretycznie swietne dla klienta rozwiazanie, tylko skoro
informacje i decyzja sa po stronie banku to nie wroze zastosowania
w praktyce, zwlaszcza ze zasada liability shift nie jest chyba
obowiazujacym prawem

do góry

MarcinF <m...@i...pl> writes:

> tzn. ze w przypadku kiedy fraudu dokonano w bankomacie nie posiadajacym
> czytnika do chipow to bank poinformuje o tym klienta, odda mu pieniadze,
> a nastepnie bedzie probowal odzyskac je od wlasciciela bankomatu ?

No nie, nie az tak.
Ale jesli klient zlozy reklamacje, bank powinien ja uwzglednic
i powinien obciazyc wlasciciela bankomatu. To nie jest tak, ze on musi
"probowac" (pomijajac jakies tam interregionalne transakcje, przy
ktorych nalezaloby sprawdzic daty) - po prostu robi chargeback
i wlasciciel bankomatu nie ma praktycznie zadnej mozliwosci "obrony", bo
karte z procesorem obciazyl z wlasnej winy przez wykorzystanie sciezki
magnetycznej.

> faktycznie, teoretycznie swietne dla klienta rozwiazanie, tylko skoro
> informacje i decyzja sa po stronie banku to nie wroze zastosowania
> w praktyce, zwlaszcza ze zasada liability shift nie jest chyba
> obowiazujacym prawem

Takim panstwowym? Bez znaczenia, jesli wszystkie strony sa zmuszone do
jej akceptacji.
--
Krzysztof Halasa

do góry

Krzysztof Halasa wrote:

> Takim panstwowym? Bez znaczenia, jesli wszystkie strony sa zmuszone do
> jej akceptacji.

z tego co przeczytalem o liability shift to bank ma mozliwosc obciazenia
wlasciciela bankomatu nie wyposazonego w czytnik kart chipowych, tyle ze
mam watpliwosci czy ta mozliwosc stanowi jakakolwiek gwarancje dla klienta,
a bankowi prosciej przeciez obciazyc klienta bo uzyty byl pin (co zwykle
okresla umowa z klientem), zwalszcza ze klient moze nie miec dostepu
do informacji ze bankomat byl starego typu

do góry

On 2010-05-01 16:16, MarcinF wrote:
> Krzysztof Halasa wrote:
>
>> Takim panstwowym? Bez znaczenia, jesli wszystkie strony sa zmuszone do
>> jej akceptacji.
>
> z tego co przeczytalem o liability shift to bank ma mozliwosc obciazenia
> wlasciciela bankomatu nie wyposazonego w czytnik kart chipowych, tyle ze
> mam watpliwosci czy ta mozliwosc stanowi jakakolwiek gwarancje dla klienta,
> a bankowi prosciej przeciez obciazyc klienta bo uzyty byl pin (co zwykle
> okresla umowa z klientem), zwalszcza ze klient moze nie miec dostepu
> do informacji ze bankomat byl starego typu

I Twoje wątpliwości są słuszne. Tylko niepoprawni apologeci
"bankowych zasad bezpieczeństwa klienta" wierzą, że bank *nie
wykorzysta* wszystkich możliwości ściągnięcia kasy z najsłabszego
uczestnika fraudowej transakcji kartowej...

witrak()

PS. Oczywiście zdarzają się takie przypadki (mnie Citi zadzwoniło -
dla pewności, że nie jestem w Grecji - że spróbowano zdjąć mi 3k a
potem 1 k euro), ale trudne uwierzyć, że w ciągu najbliższych
kilku(nastu) lat banki (u nas) staną się mniej pazerne i uczciwsze.

do góry