Jacek Osiecki <j...@c...pl> writes:

>> Tylko jest pewna drobna różnica: scalak w karcie bardzo mocno podnosi
>> bezpieczeństwo. PIN + scalak - jeszcze bardziej.
>
> Podnosi bezpieczeństwo, ale BANKU. Bezpieczeństwo klienta OBNIŻA.
> Zwłaszcza w takim Citi, gdzie nie da się zablokować transakcji gotówkowych
> i wystarczy że złodziej ukradnie kartę po tym jak podglądnie PIN, by zostać
> wyruchanym na wartość limitu kredytowego w pierwszym lepszym
> bankomacie...

Jest pewien drobny problem w tym rozumowaniu. Problem wielokrotnie
potwierdzony w praktyce. Mianowicie bezpieczeństwo klienta jest
w praktyce równe bezpieczeństwu banku (w takim sensie, że to strona
banku, a nie strona sprzedawcy płaci za fraud). Owszem, są pewne
modyfikatory tej zależności (np. w USA "zero liability", które ma
zastosowanie w pewnych okolicznościach), ale co do zasady jest tak jak
napisałem.

>> Natomiast bezstykowość podobnie mocno to bezpieczeństwo obniża.
>
> Niespecjalnie obniża, jeśli się ją stosuje prawidłowo (czyli nie tak jak
> mBank) - po 3 transakcjach kolejna jest online i weryfikowana PINem.

A po co online? Zwłaszcza jeśli z PINem.

Problem w tym, że transakcje bezstykowe powodują, że bezpieczeństwo
klienta przestaje być pod jego kontrolą. Innymi słowy, klient zaczyna
odpowiadać za zdażenia, na które nie miał żadnego wpływu, ani nawet nie
mógł mieć o nich żadnej wiedzy. Jest to zaprzeczenie podstawowej zasady
odpowiedzialności.

Zauważ, że w taki sposób można też (np. paypassem) dokonać transakcji na
większą kwotę (także pojedynczej, znając PIN, a więc informację
pozostającą poza kontrolą klienta).

W skrócie - PIN jest bardzo słabym zabezpieczeniem, które jednak
znakomicie zmniejsza szanse fraudu w połączeniem z innymi
zabezpieczeniami (np. silniejszymi, typu "fizyczne posiadanie stykowej
karty kryptograficznej"). PIN nie może być więc traktowany jako
obciążający klienta (bo niczego nie dowodzi), ale może być ostatnią
deską ratunku, gdy podstawowe zabezpieczenie przestanie działać.

W przypadku kart bezstykowych nie ma tego podstawowego zabezpieczenia,
wszystko od razu opiera się na tej ostatniej desce ratunku i na
szacowaniu statystycznych strat.

> Rzekłbym, że w przypadku karty Citi bezpieczeństwo jest wyższe - mniejsza
> szansa że ktoś zobaczy wpisywany PIN :)

Fraudy polegające na podpatrzeniu (itp) PINu _i_ kradzieży karty prawie
nie istnieją, w porównaniu do "zwykłych" kradzieży karty lub do
"zwykłych" podpatrzeń PINu (które jednak w przypadku kart tylko
stykowych nie są nigdy związane z fraudami).
--
Krzysztof Halasa