"Piotr Kubiak" frjkpb$8ca$...@i...gazeta.pl

> Czy uszkodzenie paska zwiększa bezpieczeństwo?

Chip jest jak niezdobyta twierdza, podczas gdy paska nic nie uchroni
przed odczytaniem, ale kartą nadal możesz zapłacić przez telefon czy
internet, jeśli zapiszesz sobie numery i datę ważności karty. :) Bez
paska karta nadal może służyć, lecz bez numerków czy daty jest nieco
trudniej, choć CVV możesz chyba wydrapać. :)

--
.`'.-. ._. .-.
.'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....

do góry

Eneuel Leszek Ciszewski napisał(a):
> Ale jakoś trzeba przejść z pasków na chipy.

Czemu nie. Mozna np. zostawic autoryzacje podpisem ?


--
Mithos

do góry

"Eneuel Leszek Ciszewski" frjlpg$23i$...@f...man.torun.pl

> "Piotr Kubiak" frjkpb$8ca$...@i...gazeta.pl

> > Czy uszkodzenie paska zwiększa bezpieczeństwo?

> Chip jest jak niezdobyta twierdza, podczas gdy paska nic nie uchroni
> przed odczytaniem, ale kartą nadal możesz zapłacić przez telefon czy
> internet, jeśli zapiszesz sobie numery i datę ważności karty. :) Bez
> paska karta nadal może służyć, lecz bez numerków czy daty jest nieco
> trudniej, choć CVV możesz chyba wydrapać. Niestety CVV niekoniecznie
jest coś warte:

http://www.money.pl/gospodarka/ngospodarka/ebiznes/a
rtykul/kody;cvv;nie;zabezpieczaja;kart;kredytowych,3
6,0,296996.html

--
.`'.-. ._. .-.
.'O`-' ., ; o.' leszekc@@alpha.net.pl '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;, .;. . .;\|/....

do góry

On 16 Mar, 18:31, "Eneuel Leszek Ciszewski"
<p...@c...fontem.lucida.console> wrote:
> "Piotr Kubiak" frjkpb$8...@i...gazeta.pl
>
> > Czy uszkodzenie paska zwiększa bezpieczeństwo?
>
> Chip jest jak niezdobyta twierdza,

Taaa...A Titanic byl niezatapialnym statkiem.

do góry

Użytkownik "Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console>
napisał w wiadomości news:frjgjo$iki$1@flis.man.torun.pl...
>
> "kashmiri" frj8pn$b8g$...@n...interia.pl
>
>> To by było mniej więcej tak ryzykowne, jak wydawanie reszty fałszywymi
>> banknotami. Nie każdy jest głupi albo niespotrzegawczy - skąd wiadomo, co
>> klient wie i gdzie pracuje?
>
>> Nie wyobrażam sobie przyzwoitego sklepu wystawiającego taką fałszywkę.
>> Może
>> w taksówce, ale nie w supermarkecie.
>
> A ja nie wyobrażam sobie człowieka, który zna absolutnie wszystkie typy
> klawiatur PINowych. :) No... I szczerze wątpię w to, że elektronika ich
> ulega nieodwracalnemu zniszczeniu w wypadku otwarcia obudowy czytnika.

To warunek dopuszczenia urzadzenia do sprzedazy.

[reszta ciach]

O problemie i mozliwosciach przechwytywania PIN-u w czytnikach poczytaj o
takim eksperemencie:

Streszczenie:
http://www.cl.cam.ac.uk/research/security/banking/pe
d/
Pelen raport:
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-711.p
df

Pisza tam nie tylko o wadach czytnikow, ale też o zabezpieczeniach używanych
obecnie - zarowno w urzadzeniach, jak i na poziomie komunikacji miedzy karta
a czytnikiem. Np (na co nie wpadles) komunikacja miedzy karta a czytnikiem
moze byc szyfrowana (troche tak jak SSL w przegladarce), jezeli karta
obsluguje DDA (Dynamic Data Authentication).

Pozdr.
k

do góry

Użytkownik "Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console>
napisał w wiadomości news:frjh42$l50$1@flis.man.torun.pl...

[ciach]

rzeczywiscie za szybko odpisalem :)
k.

do góry

"Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console>
writes:

> A sam nie możesz przeciągnąć po lewym czytniku?
> Wchodzisz do sklepu, robisz zakupy, przeciągasz kartą nie po czytniku
> bankowym, ale po lewym, który czyta dane z paska i gdzieś je zapisuje.
>
> Sprzedawca przeprasza Cię za niesprawność czytnika

Teoretycznie mozna przeniesc sygnal z glowicy "podstawionego" czytnika
na glowice prawdziwego.

> Widziałem takie przeciągowe (ręczne) zapisywarki kart magnetycznych
> na własne oczy. :) (na wystawach komputerowych) Być może dzisiejsze
> bankowe (itp.) karty magnetyczne trzeba zapisywać na gorąco, ale na
> pewno czytać je można na oczach klienta, który je stale trzyma. :)

Sa czytniki zapisujace "karty bankowe" przy recznym przeciagnieciu,
aczkolwiek to nie jest specjalnie przydatne fraudsterom - a) bo i po,
b) slady latwo prowadzilyby do ich sklepu.
--
Krzysztof Halasa

do góry

"kashmiri" <k...@i...pl> writes:

> "Magstripes come in two main varieties: high-coercivity (HiC) at 4000
> Oe and low-coercivity (LoC) at 300 Oe. [...]. High coercivity stripes
> are resistant to damage from most magnets likely to be owned by
> consumers.

Tylko jesli chodzi o przypadkowe skasowanie. Zwykly magnes neodymowy
(czy cos w tym stylu, akurat siedzacy w "nozkach" desktopowego switcha
Ethernet) kasuje karty praktycznie natychmiast, o czym sie przekonalem
osobiscie.

Z tym, ze oczywiscie takie rzeczy najlepiej kasuje sie elektromagnesem
zasilanym pradem przemiennym. Sa nawet gotowe urzadzenia do kasowania
(niekoniecznie kart, glownie kaset, ale na karty zadziala to dokladnie
tak samo) dostepne w sklepach w rodzaju MM za ~ 10e.
--
Krzysztof Halasa

do góry

"Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console>
writes:

> W najgorszym przypadku po prostu odetnij :) kawałek karty -- wówczas na
> pewno zapis na pasku zostanie odcięty, :) a przeca chip pozostanie cały. :)
> Tak kiedyś odcinano kawałki kart chipowych, aby uzyskać karty chipowe dziś
> powszechnie stosowane w telefonach komórkowych. Widziałem i karty płatnicze
> (czy raczej ich propozycje) znacznie mniejsze od dzisiejszych kart chipowych
> czy magnetycznych.

Przeciez sa karty chipowe (nawet z paskiem magnetycznym) mniejsze niz
normalne. Tylko do bankomatow itp. nie mozna ich wkladac.
--
Krzysztof Halasa

do góry

Mithos <f...@a...pl> writes:

> Wobec powyzszego, praktycznie kazdy sprzedawca moze nam zrobic "fraud"
> obojetnie czy mamy pasek, chip, autoryzacja podpisem czy pinem.
>
> I ja bym sie obawial raczej tego :)

Problemy "w nowoczesnym swiecie" sa zupelnie innego rodzaju:
a) jesli bank wydaje karte bez chipa, obojetnie czy z PINem czy z
podpisem, to ma motywacje do obciazania klienta fraudami,
b) jesli bank wydaje karty hybrydowe (bo z samym procesorem nikt kart
nie wydaje), to nie ma motywacji do obciazania klienta za fraudy,
wiec bylby cokolwiek dziwny gdyby chcial to robic.

Aczkolwiek ad b) w Polsce mozna sie spodziewac roznych rzeczy.
--
Krzysztof Halasa

do góry