Dnia Sat, 11 May 2013 13:29:27 +0200, Krzysztof Halasa napisał(a):
> Jacek Osiecki <j...@c...pl> writes:
>>> Tylko jest pewna drobna różnica: scalak w karcie bardzo mocno podnosi
>>> bezpieczeństwo. PIN + scalak - jeszcze bardziej.
>> Podnosi bezpieczeństwo, ale BANKU. Bezpieczeństwo klienta OBNIŻA.
>> Zwłaszcza w takim Citi, gdzie nie da się zablokować transakcji gotówkowych
>> i wystarczy że złodziej ukradnie kartę po tym jak podglądnie PIN, by zostać
> Jest pewien drobny problem w tym rozumowaniu. Problem wielokrotnie
> potwierdzony w praktyce. Mianowicie bezpieczeństwo klienta jest
> w praktyce równe bezpieczeństwu banku (w takim sensie, że to strona
> banku, a nie strona sprzedawcy płaci za fraud). Owszem, są pewne

Ale ponownie - konieczność użycia PINu to zwiększone ryzyko ujawnienia PINu,
a tym samym prosta droga do bankructwa lub przynajmniej poważnych kłopotów
(banki chętnie teraz dają spoore limity na KK).

>>> Natomiast bezstykowość podobnie mocno to bezpieczeństwo obniża.
>> Niespecjalnie obniża, jeśli się ją stosuje prawidłowo (czyli nie tak jak
>> mBank) - po 3 transakcjach kolejna jest online i weryfikowana PINem.
> A po co online? Zwłaszcza jeśli z PINem.

Choćby po to, by zsynchronizowały się limity i ewentualnie zastosowane
zostały takie "pierdoły" jak np. zmieniony PIN :)

> Problem w tym, że transakcje bezstykowe powodują, że bezpieczeństwo
> klienta przestaje być pod jego kontrolą. Innymi słowy, klient zaczyna
> odpowiadać za zdażenia, na które nie miał żadnego wpływu, ani nawet nie
> mógł mieć o nich żadnej wiedzy. Jest to zaprzeczenie podstawowej zasady
> odpowiedzialności.

Jest to okupione drobnym - przynajmniej według założeń - ryzykiem, czyli
3x50zł. Niestety jak wiadomo nie zawsze jest to prawda :( Smuci zwłaszcza
to, że mBank nadal na chama daje te swoje paypass/paywave pozbawione limitów
ilościowych :-/

> Zauważ, że w taki sposób można też (np. paypassem) dokonać transakcji na
> większą kwotę (także pojedynczej, znając PIN, a więc informację
> pozostającą poza kontrolą klienta).

Zgoda, choć akurat znajomość PINu umożliwia i tak dowolną niemal kradzież.
Natomiast faktem jest, że "bezstykówki" powinny mieć jakiś mechaniczny
przełącznik którego wciśnięcie jest niezbędne dla uaktywnienia "zdalności".

> W skrócie - PIN jest bardzo słabym zabezpieczeniem, które jednak
> znakomicie zmniejsza szanse fraudu w połączeniem z innymi
> zabezpieczeniami (np. silniejszymi, typu "fizyczne posiadanie stykowej
> karty kryptograficznej"). PIN nie może być więc traktowany jako
> obciążający klienta (bo niczego nie dowodzi), ale może być ostatnią
> deską ratunku, gdy podstawowe zabezpieczenie przestanie działać.

Zgadza się, jest ostatnią deską ratunku. Tylko w niektórych przypadkach
(ujawnienie PINu i wykorzystanie bankomatu) to ta deska staje się brzytwą ;)

> W przypadku kart bezstykowych nie ma tego podstawowego zabezpieczenia,
> wszystko od razu opiera się na tej ostatniej desce ratunku i na
> szacowaniu statystycznych strat.

>> Rzekłbym, że w przypadku karty Citi bezpieczeństwo jest wyższe - mniejsza
>> szansa że ktoś zobaczy wpisywany PIN :)
> Fraudy polegające na podpatrzeniu (itp) PINu _i_ kradzieży karty prawie
> nie istnieją, w porównaniu do "zwykłych" kradzieży karty lub do
> "zwykłych" podpatrzeń PINu (które jednak w przypadku kart tylko
> stykowych nie są nigdy związane z fraudami).

Nie zmienia to faktu, że z racji wymagania teraz PINu praktycznie wszędzie,
złodzieje mogą się starać właśnie kraść kartę do której pin się udało
zdobyć. A wtedy już przechlapane...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
I don't want something I need. I want something I want.