-
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!news.supermedia.pl!plix.pl!newsfeed2.plix.pl!news.nask.pl!news.nask.or
g.pl!not-for-mail
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: Debetówka bez pay pass - gdzie?
Date: Sun, 12 May 2013 21:13:09 +0200
Organization: NASK - www.nask.pl
Lines: 57
Message-ID: <m...@i...localdomain>
References: <iythceork3gx$.1uzlhv0kpgoiq$.dlg@40tude.net>
<0...@g...com>
<s...@t...ceti.pl> <m...@i...localdomain>
<kmleh7$hoq$1@somewhere.invalid>
NNTP-Posting-Host: nat.piap.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
X-Trace: pippin.nask.net.pl 1368385989 2743 195.187.100.13 (12 May 2013 19:13:09 GMT)
X-Complaints-To: abuse ATSIGN nask.pl
NNTP-Posting-Date: Sun, 12 May 2013 19:13:09 +0000 (UTC)
Cancel-Lock: sha1:CR7Pk7IJa5PFfGm/rnqWfzHXuv8=
Xref: news-archive.icm.edu.pl pl.biznes.banki:591042
[ ukryj nagłówki ]Piotr Gałka <p...@c...pl> writes:
> Mam inne zdanie. Bezstykowy interface karty sam w sobie nie jest zły.
Fajnie by było gdyby tak było. Ale nie jest.
> Styki się nie wycierają. Nie grozi mu uwalenie przez wyładowanie
> elektrostatyczne. Karty powinny być trwalsze.
Karty są trwałe. Koszt karty jest minimalny, a plastik wystarcza na
lata. Jeśli ktoś wykonuje 500 transakcji miesięcznie to może nie, ale
wtedy koszt karty procentowo także nie ma znaczenia.
> Problemem jest to że bez PINu.
To jest tylko niewielka modyfikacja problemu. Sam PIN jest, jak chyba
wiemy (?) bardzo słabym zabezpieczeniem i sam w sobie niewiele daje.
> Gdyby offline bezstykowo z PINem było stosowane to w bezpieczeństwie
> prawie by się nie różniło od offline stykowo z PINem.
Bardzo śmieszne.
Niestety nawet jeśli karta wymaga PINu do każdej transakcji bezstykowej,
to wciąż bez podawania PINu (ani w ogóle praktycznie niczego) można ją
odpytać o takie szczegóły jak imię i nazwisko posiadacza oraz numer,
datę ważności itd. Nie zostaje po tym żaden ślad. Może to zrobić zarówno
dowolna agencja rządowa (np. instalując dodatkowy soft w bramkach np.
w metrze, autobusach czy gdzie tam ich interesuje) jak i dowolna osoba,
która ma odpowiednią motywację i podstawowe umiejętności.
Bez kart bezstykowych można było zbierać dane o poruszaniu się
samochodów (tablice rejestracyjne), ale śledzenie dowolnych ludzi (dużej
i to tej "istotnej" części populacji) nie było możliwe (rozwiązania
bazujące na rozpoznawaniu twarzy chyba słabo się sprawdzają nawet
teraz). Śledzenie ludzi posiadających karty bezstykowe jest trywialne
i praktycznie niewykrywalne (ew. zauważone skanowanie można łatwo
wytłumaczyć bez wzbudzania podejrzeń np. koniecznością wykrywania
wejścia np. własnych pracowników).
BTW to się da łatwo zrobić bezpiecznie, a przynajmniej dużo
bezpieczniej. Szanse na to, że takie organizacje jak VISA i MC o tym nie
wiedziały każdy może sobie sam ocenić, podobnie jak ich (np. częściową)
motywację do wybrania akurat takiego rozwiązania.
> Możliwość podsłuchania komunikacji RFID (prawdopodobnie z odległości
> rzędu 1m) niewiele wnosi bo jest ona (chyba) dobrze kodowana.
"Chyba" to takie niedobre słowo w dziedzinie bezpieczeństwa.
Możliwość pasywnego podsłuchania jest z odległości przynajmniej wielu
metrów (w każdym razie odległość nie jest tu problemem).
Z odległości typu 1 metra to można z kartą normalnie się porozumiewać
(w szczególności, dostarczyć jej zasilanie - być może wymagałoby to
przekroczenia jakichś norm, ale jest technicznie możliwe).
--
Krzysztof Halasa
Następne wpisy z tego wątku
- 12.05.13 22:10 Imka
- 13.05.13 10:51 Piotr Gałka
- 14.05.13 18:37 Krzysztof Halasa
- 14.05.13 18:48 Krzysztof Halasa
- 14.05.13 19:51 Piotr Gałka
- 14.05.13 20:22 Krzysztof Halasa
- 15.05.13 09:42 Piotr Gałka
- 18.05.13 13:25 Krzysztof Halasa
- 20.05.13 10:39 Piotr Gałka
- 20.05.13 19:34 Krzysztof Halasa
- 20.05.13 20:57 Piotr Gałka
- 21.05.13 21:38 Krzysztof Halasa
- 22.05.13 09:30 Piotr Gałka
- 23.05.13 00:22 m...@g...com
- 24.05.13 17:07 Jacek Osiecki
Najnowsze wątki z tej grupy
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- zloto
- Velo częściowo ugiął się...
- że co?
- I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- Jak to kupić?
- Re: Obronią nas doskonale czołgi...
- Re: Obronią nas doskonale czołgi...
- Zabawny epizod z Santander Consumerem
Najnowsze wątki
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-03 zloto
- 2024-09-23 Velo częściowo ugiął się...
- 2024-09-22 że co?
- 2024-09-22 I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- 2024-09-20 Jak to kupić?
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-12 Zabawny epizod z Santander Consumerem