Skusiłem się na zakupy uSD 8G Toshiby po 6,99 i pendrive'ów 32G GoodRama
po 19,99. Przy kasie się dowiedziałem, że niedoczytałem drobnego druku w
gazetce reklamowej i można tylko po jednym z danego asortymentu za
jednym odstaniem kolejki do kasy, a była na 20 minut. W ten sposób
spowodowali nieplanowany test płatności zbliżeniowych kwot poniżej 50zł.
Zapłaciłem 3 razy kartą T-mobile. Zdziwiłem się, że nie chciało ode mnie
PINu. Zawsze byłem przekonany, ze co trzecia transakcja, lub co trzecia
tego samego dnia będzie wymagała.
Korzystając z takiej rozbiegówki kontynuowałem test i gdzie indziej
zapłaciłem jeszcze dwa razy tą kartą i nic.

Ktoś wie do ilu razy sztuka?
P.G.

do góry

W każdym banku ustawiają to inaczej - i w większości, nie wiadomo, po co, robią z
tego straszną tajemnicę - aż do absurdu, np. deutsche bank twierdzi, że jest to
"losowe" (na serio mają tak w regulaminie debetówek). Jakieś wyjaśnienia widziałem
bodajże w milki i eurobanku jedynie.

Jak masz slipy, to sprawdź jeszcze, czy te transakcje poszły offline czy on-line - to
się mogło np. zmienić po trzeciej danego dnia.

Z tym to w ogóle jest śmiesznie - mi ostatnio KK z db przestała chodzić offline przy
pikaczu na mniej niż 50zł w sklepach, gdzie zawsze offline chodziła - jak przyjdzie
na nią sezon używania, to sprawdzę, co trzeba zrobić, by to zresetować (czy starczy
włożyć do bankomatu i wpisać PIN, czy trzeba spróbować wypłacić - oczywiście ponad
limit - czy może konieczna będzie zapłata w terminalu - a może już tak na stałe
będzie ?).

A z innej ciekawostki to mnie naklejka do KK citi zaskoczyła pytaniem o PIN przy
(oczywiście) pikaczu na mniej niż 50zł po miesiącu nieużywania (wczasy) - bo po
2-tygodniowych przerwach nie pyta.

do góry

Użytkownik "Dawid Rutkowski" napisał w wiadomości
>W każdym banku ustawiają to inaczej - i w większości, nie wiadomo, po
>co, robią z tego straszną tajemnicę - aż do absurdu, np. deutsche
>bank twierdzi, że jest to "losowe" (na serio mają tak w regulaminie
>debetówek). Jakieś wyjaśnienia widziałem bodajże w milki i eurobanku
>jedynie.

We wroclawskich biletomatach przestaly dzialac karty BZ WBK
zblizeniowo.
Tzn moja jedna przestala, moze wyjatek :-)

>Z tym to w ogóle jest śmiesznie - mi ostatnio KK z db przestała
>chodzić offline przy pikaczu na mniej niż 50zł w sklepach, gdzie
>zawsze offline chodziła

A z kolei debetowka inteligo czasem zmusza mnie do podpisania
papierka.
Ki czort ?

J>

do góry

W dniu 17-11-2016 o 14:34, Dawid Rutkowski pisze:
> W każdym banku ustawiają to inaczej - i w większości, nie wiadomo, po co, robią z
tego straszną tajemnicę - aż do absurdu, np. deutsche bank twierdzi, że jest to
"losowe" (na serio mają tak w regulaminie debetówek). Jakieś wyjaśnienia widziałem
bodajże w milki i eurobanku jedynie.
Napisałem do T-mobila co jest grane, i czy mam rozumieć, że dla mojego
bezpieczeństwa karta do odstrzału. Jak nie zapomnę to zajrzę co
odpisali. Pisząc to znalazłem nie przeczytaną odpowiedź na jakieś moje
pytanie sprzed pół roku - napisali, że problemy, które sygnalizowałem
już rozwiązali.
>
> Jak masz slipy, to sprawdź jeszcze, czy te transakcje poszły offline czy on-line -
to się mogło np. zmienić po trzeciej danego dnia.
Mam te kwitki w domu. Nigdy się nie wczytywałem do poziomu ustalenia,
czy online, czy offline, ale może dojdę gdzie to jest napisane i jak.

Według mnie jest online, bo terminal długo myśli zanim napisze, że
zaakceptowane.
Ale to tylko oznacza, że ewentualny "znalazca" mojej karty nie
przekroczy kwoty na koncie, a to mnie nie zadowala.

>
> Z tym to w ogóle jest śmiesznie - mi ostatnio KK z db przestała chodzić offline
przy pikaczu na mniej niż 50zł w sklepach, gdzie zawsze offline chodziła - jak
przyjdzie na nią sezon używania, to sprawdzę, co trzeba zrobić, by to zresetować (czy
starczy włożyć do bankomatu i wpisać PIN, czy trzeba spróbować wypłacić - oczywiście
ponad limit - czy może konieczna będzie zapłata w terminalu - a może już tak na stałe
będzie ?).
>
Jak się zorientowałem, że transakcje zbliżeniowe chodzą on-line to
przyjąłem, że bank (banki) jednak wycofały się z umożliwienia robienia
debetu bez wiedzy posiadacza karty.
P.G.

do góry

Cóż, z kartą płatniczą jak z nożem - ułatwia, ale i krzywdę można zrobić.

Co do tego, czy transakcja online, czy offline - trzeba poszukać czegoś, co wygląda
jak "kod autoryzacji" - i tam będzie numerek 1 albo 3 + jedna literka, a obok, jeśli
to online, może być jeszcze 6-cyfrowy kod.
Te kombinacje numerek+ew. literka odczytuje się tak:
- 1 - autoryzacja online
- 1N - autoryzacja online bez PINu
- 1F - autoryzacja onlie z PINem offline (jak dla mnie bez sensu, ale jest taka
możliwość, oczywiście tylko stykowo)
- 1K - autoryzacja online z pinem online
- 3 - autoryzacja offline
- 3N - autoryzacja offline bez PINu
- 3F - autoryzacja offline z PINem offline (to oczywiście tylko stykowo)

> Według mnie jest online, bo terminal długo myśli zanim napisze, że
> zaakceptowane.
> Ale to tylko oznacza, że ewentualny "znalazca" mojej karty nie
> przekroczy kwoty na koncie, a to mnie nie zadowala.

Jeszcze jest jedna mała zaleta, że jak się zorientujesz, że kartę zgubiłeś, i zaraz
zastrzeżesz, to już następnych transakcji "znalazca" nie zrobi.
Dla klienta to mała różnica, bo klient odpowiada tylko do 50 euro (chyba że zgubi
kartę z zapisanym na niej PINem ;) - większa dla banku, który nie będzie musiał
akceptantom ze swojej kasy oddawać - więc nic dziwnego, że banki z tego korzystają,
bo zmniejsza im to ryzyko - choć dla klienta jest to mniej wygodne, bo terminal
dłużej myśli.

Debet - na zakupach nie przeszkodzi, bo zwykle do jednego konta ma się jedną
debetówkę (kilka banków pozwala na więcej niż jedną), chyba że współwłaściciel ma
drugą. No tak - a na pewno może przeszkodzić np. w zapłaceniu rachunków, zanim się
sprawa wyjaśni.
Ale z tego jest wniosek, że do płacenia tylko kredytówki - szczególnie, że są na
rynku całkowicie darmowe - choć z drugiej strony to jest łatwe do dostania tylko dla
etatowców, DG muszą się nabiegać.
Wg mnie jednak warto - bo zanim trzeba będzie spłacić fraud, to już reklamacja
powinna być rozwiązana.

> Jak się zorientowałem, że transakcje zbliżeniowe chodzą on-line to
> przyjąłem, że bank (banki) jednak wycofały się z umożliwienia robienia
> debetu bez wiedzy posiadacza karty.

To też jest bez sensu - pikaczu miało być po to, by szybciutko realizować
mikropłatności - a online w tym mocno przeszkadza.
Cóż, nie do końca to przemyśleli - przykładem np. moja naklejka do KK citi - coś, co
ma z definicji do mikropłatności służyć - chodzi wyłącznie online, bo nie ma chipa,
który można przeprogramować.
A nikt w banku nie pomyślał, że możnaby taką naklejkę odbierać w oddziale i nie
byłoby ryzyka, że ktoś na poczcie ukradnie.

Ale i tak pikaczu jest wynalazkiem na miarę paska magnetycznego - dobrze, że nie
przyjął się model, który początkowo kupiła od mc visa - czyli pikacz tylko do 50zł, a
wyżej tylko chip - dzięki temu np. mogłem zapłacić naklejką kilka tysięcy za wczasy
(choć dwa lata wcześniej nie chcieli mi za meble dwa razy mniejszej sumy przyjąć
zbliżeniowo, dobrze, że miałem przy sobie na wszelki wypadek też "dużą" kartę).

Oczywiście pikacz na plastiku w formacie ID1 to dość jest kiszkowate, takie coś
"uniwersalne" - fajne są naklejki, breloczki, zegarki itp. - żeby nie trzeba było
szukać po kieszeniach.

do góry

W dniu 17-11-2016 o 14:34, Dawid Rutkowski pisze:
> W każdym banku ustawiają to inaczej - i w większości, nie wiadomo, po co, robią z
tego straszną tajemnicę - aż do absurdu, np. deutsche bank twierdzi, że jest to
"losowe" (na serio mają tak w regulaminie debetówek). Jakieś wyjaśnienia widziałem
bodajże w milki i eurobanku jedynie.
>
Odpowiedzialne napisanie, że coś jest losowe wymaga znajomości
parametrów generatora losowości.
Nie wyposażyli chyba ekspedientów w kostki do gry i nie każą im rzucać
jak ktoś z ich kartą :)
P.G.

do góry

W dniu 17-11-2016 o 15:08, Dawid Rutkowski pisze:
> Cóż, z kartą płatniczą jak z nożem - ułatwia, ale i krzywdę można zrobić.
>
> Co do tego, czy transakcja online, czy offline - trzeba poszukać czegoś, co wygląda
jak "kod autoryzacji" - i tam będzie numerek 1 albo 3 + jedna literka, a obok, jeśli
to online, może być jeszcze 6-cyfrowy kod.
> Te kombinacje numerek+ew. literka odczytuje się tak:
> - 1 - autoryzacja online
> - 1N - autoryzacja online bez PINu
> - 1F - autoryzacja onlie z PINem offline (jak dla mnie bez sensu, ale jest taka
możliwość, oczywiście tylko stykowo)
> - 1K - autoryzacja online z pinem online
> - 3 - autoryzacja offline
> - 3N - autoryzacja offline bez PINu
> - 3F - autoryzacja offline z PINem offline (to oczywiście tylko stykowo)
>
Nie rozumiem, czy Twoje "oczywiście tylko stykowo" to ironia czy
twierdzenie.
Podejrzewam ironię, bo dla mnie to nie jest oczywiste.
Rozumiem, PIN offline oznacza, że karta potrafi sama zweryfikować PIN.
P.G.

do góry

Dnia Thu, 17 Nov 2016 14:13:52 +0100, Piotr Gałka napisał(a):


> Ktoś wie do ilu razy sztuka?

Podejrzewam że każdy bank sam sobie to ustala i jest to jedna z
najpilniej strzeżonych informacji ;-> (w domyśle: brak ograniczeń i wolą
się tym nie chwalić).

Dla KK Citi dzienny limit liczby transakcji Nośnikiem zbliżeniowym to 20
(załącznik nr 1 do regulaminu KK).

Tak, tak, też pamiętam uspokajania przy wprowadzaniu bezstykowości, że
co któraś (trzecia? piąta?) operacja wymaga PIN-u...

--
Imka

do góry

Dla paranoików (no, może nie w 100%, buractwem ze strony większości banków jest
ukrywanie tych informacji albo pitolenie o "losowości") KNF wymógł możliwość
wyłączania pikacza.
Ogólnie dziwi mnie, że - ze znanych mi - jedynie popierdółka VW potrafi z tego
sensownie skorzystać i wysyła karty z wyłączoną możliwością odczytu nie tylko
jednorazowego kodu CVV, ale również numeru i daty ważności karty.
Tak powinna być skonfigurowana każda nowo wysyłana karta - uniemożliwia to odczyt
numeru i daty ważności bez otwierania koperty.
A np. mBąk i citek wysyłają w zwykłych kopertach karty, które podają bezstykowo numer
i datę ważności (a to podobno jest tajemnica).
Oczywiście zapłacić się nimi nie da - pierwsza transakcja musi być stykowa - ale
numer i datę ważności wykraść można używając telefonu z NFC.

Nawet się nieco ośmieszyłem, pisząc do VW, dlaczego wysyłają karty, z których można
odczytać numer ;> Potem chyba napisałem sprostowanie z pochwałą.
A do citka i mBąka nie napisałem o tym, hmmm...

Także jak widać "wyłączać" pikaczu można na wiele sposobów.
Ten z VW też nie jest idealny, bo moduł nie jest wyłączony całkowicie i po
przyłożeniu karty do terminala jakaś komunikacja jest - terminal wyrzuca błąd. Jest
to o tyle uciążliwe, że jak się ma dwie+ karty w portfelu to takie "wyłączenie",
nawet w tej "lepszej" wersji VW, nie rozwiązuje sprawy wzajemnego zakłócania się kart
- a nawet, jak się nie zakłócą, to terminal i tak każe przyłożyć jedną kartę.

A czytałem też, że są banki, które wyłączają właśnie tak, że jedynie zapłacić się nie
da, ale numer i datę ważności karty wciąż można odczytać - np. można pikaczowo
załatwić zwrot na kartę.

No i są jeszcze różne ciekawe skutki uboczne - podobno w mBąku wyłączenie pikacza
wyłącza jednocześnie możliwość stykowych transakcji offline.
Paranoikom na pewno się to spodoba, oczywiście do czasu, gdy będą chcieli zapłacić
kartą w terminalu offline-only (np. pokład samolotu).
W citku o to pytałem - twierdzą, że jak się u nich pikacza wyłączy, to offline
stykowe dalej będzie działać, więc albo citek kłamie albo mBąk ma jakąś dziwną
fanaberię z tym skutkiem ubocznym.

Jest jeszcze oczywiście sposób z nożem ;>

do góry

Użytkownik "Dawid Rutkowski" napisał w wiadomości grup
dyskusyjnych:96aec300-f226-4682-ad67-8db14b3a6b08@go
oglegroups.com...
>Ogólnie dziwi mnie, że - ze znanych mi - jedynie popierdółka VW
>potrafi z tego sensownie skorzystać i wysyła karty z wyłączoną
>możliwością odczytu nie >tylko jednorazowego kodu CVV, ale również
>numeru i daty ważności karty.
>Tak powinna być skonfigurowana każda nowo wysyłana karta -
>uniemożliwia to odczyt numeru i daty ważności bez otwierania koperty.
>A np. mBąk i citek wysyłają w zwykłych kopertach karty, które podają
>bezstykowo numer i datę ważności (a to podobno jest tajemnica).

Cos w tym jest, ale w sytuacji, gdy te dane mozna pozniej wykrasc nie
wyjmujac karty z kieszeni wlasciciela, to martwic sie, ze zrobi to
akurat listonosz, jest troche paranoiczne :-)

Czy zle rozumiem, i zabezpieczenie dziala i pozniej ?

A swoja droga - czy tu nie ma paranoji od drugiej strony - Visy/bankow
?
Z jednej strony larum graja jak ktos gdzies wykradnie liste numerow
kart, a z drugiej - sami puszczaja te numery "w eter" ..

J.

do góry