Szymon <...@w...pl> writes:

>> Aha. No cóż, wystarczy silny magnes chyba (neodymowy)?
>
> Wolałbym jednak odpowiednią jakość obsługi niż takie eksperymenty.

Ale odpowiednią jakość obsługi definiujesz jako brak paska?

>> Transakcje bezstykowe wcale nie są najbezpieczniejsze.
>
> Nie w tym rzecz. Bezstykowe nie wymagają paska.

Ale chodziło o bezpieczeństwo. No chyba że nie chodzi o bezpieczeństwo,
ale o sam tylko pasek?
Najbezpieczniejsze są transakcje stykowe.

> Zdarza się, że ograniczone do UE. Wydaje mi się, że są banki oferujące
> limit wydatków - można ustawić na 0 dla krajów spoza UE. To jakoś tam
> rozwiązuje problem paska.

Przede wszystkim, za fraudy paskowe płaci druga strona. To rozwiązuje
problem paska, a nie to, czy przed wyjazdem przypomnisz sobie
o rekonfiguracji limitów czy też nie.

>>> Ogrom fraudów wskazuje, że jest to bardzo proste.
>>
>> A konkretnie? Skąd masz te "dane" i w ogóle jakie to są dane?
>
> To nie dane. Żartujesz, że bank będzie się takimi danymi chwalił. ;-)
> Natomiast nie jest problemem znaleźć informacje dziennikarskie w sieci
> na ten temat.

Poproszę o konkrety. Może być URL.

>> Pomijając prawo, które czegoś takiego nie dopuszcza, chętnie zobaczyłbym
>> jakieś "twarde" informacje, a nie tylko wyobrażenia.
>
> No to jesteś na przegranej pozycji, bo nie znajdziesz banku, który
> poinformuje Cię ilu przestępcom wypłacił pieniądze obciążając klienta.

Przeciwnie, na przegranej pozycji stoją osoby, które nie potrafią nawet
uprawdopodobnić swoich kategorycznych twierdzeń.

> Ze statystyk policji wynika, że w 2018 roku stwierdzono 7,4 tys.
> przestępstw o charakterze bankowym, z czego 3,6 tys. dotyczyło
> phishingu i e-bankowości. Dla porównania rok wcześniej liczby te
> wynosiły odpowiednio 6 tys. i 1,8 tys., a w 2014 r. 2,5 tys. i 585.
> Policja podała nam, że w ubiegłym roku stwierdzono także 743 przypadki
> skimmingu. Rok wcześniej było ich 433.

No ale w ciągu roku na zawał zmarło ok. 180 tys. Polaków. Zresztą, ok.
3000 zginęło w wypadkach samochodowych. Prawie nikt nie zgłasza fraudów
policji? Nie żebym się dziwił - jeśli bank nie wymaga.

No i to nie jest liczba przypadków skimmingu (zgłoszonych lub nie).

> Żaden. Żaden też nie został pobity, nie stosuje narkotyków oraz nie
> głosuje na PiS. Jednak jeśli sugerujesz, że wniosek z tego taki, iż
> skimming nie jest problemem, pobić nie ma, narkotyki nie istnieją, a
> PiS nie rządzi - wniosek byłby błędny.

Nie twierdzę że nie ma w ogóle - ale nie jest to praktycznym problemem.
Akurat wiem także dlaczego, i wiem także dlaczego w pewnym czasie był to
w niektórych miejscach problem. Ale to przeszłość.

> Warto zauważyć, iż część banków intensywnie promuje aplikacje mobilne.
> Zwracają uwagę na możliwość zabezpieczenia telefonu właśnie odciskiem
> palca.

Takie coś da się obejść. Specjalista pewnie zrobi to łatwo, chociaż
podpinanie klipsów do rozebranego "w locie" telefonu jest pewnym
wyzwaniem (po wyłączeniu można mieć problem z zaszyfrowanym systemem
plików).

Problem w tym, że telefony są dziurawe, i używanie jednego narzędzia do
wszystkiego (do wykonywania operacji i do potwierdzania tożsamości) jest
zaprzeczeniem bezpieczeństwa. Ale przypuszczalnie obecnie stosowane
metody mogą być jeszcze gorsze (np. statyczne hasła, albo papierowe kody
w sytuacji skompromitowanego terminala).

> Zwróć uwagę, że dziś Kowalski musi zapamiętać kilka/kilkanaście haseł.
> Karty, e-bankowość, ale też np. logowanie do komputera w pracy, do
> telefonu itd. Część z tych systemów wymusza zmiany hasła co miesiąc.
> Zatem liczba się zwielokrotnia. W efekcie Kowalski upraszcza sobie
> życie ograniczając liczbę haseł (np. ustawiając ten sam PIN to
> wszystkich kart+do telefonu+do tabletu). W ten sposób poznając PIN np.
> do iPada poznaję PIN do karty. Zazwyczaj ten pierwszy jest mniej
> chroniony. Jak rozwiązać ten problem?

Podejrzewam że dla typowego Kowalskiego zwykły notes z hasłami doskonale
rozwiązuje ten problem.

> Łopatologicznie: obie strony (Klient/Bank) powinny być zainteresowane
> poprawną identyfikacją siebie nawzajem. Skoro na podstawie odcisków
> palców można odpowiadać za najpoważniejsze przestępstwa, bo uznaje
> się, iż taka identyfikacja jest wystarczająca, to dziwne, iż banki nie
> wpadły na to, że przydałoby się to np. w bankomatach. Szczególnie, iż
> czytniki nie stanowią istotnego kosztu.
> Idąc dalej - dodatkowa identyfikacja na odcisk np. w placówce
> wyeliminowałaby część fraudów na fałszywe dowody chociażby.

Problem w tym, że to nie jest pewna identyfikacja. Głupi 4-cyfrowy PIN
jest przypuszczalnie pewniejszy. Tyle że można go podejrzeć.

W kryminalistyce analizę odcisków robi się zupełnie innymi metodami,
i też mam wrażenie, że ze skazaniem na podstawie jednego odcisku może
być problem (może nie). Przypomnę, że do skazania wcale nie jest
potrzebne takie duże prawdopodobieństwo, że ktoś jest sprawcą (od
pewnego czasu trąbią o tym nawet środki masowego rażenia przekazem).

> Czyli - jak twierdzisz - dokładając opcję bezstykową do bankomatu,
> Banki obniżają poziom bezpieczeństwa. No cóż...

Oczywiście że tak jest, z wielu powodów. Np. połowa kart nie potrafi
zrobić kryptografii asymetrycznej (bezstykowo). Terminale muszą
każdorazowo autoryzować takie transakcje, bo bez tego klonem karty
dałoby się dokonywać transakcji równolegle z oryginalną kartą (a nie
tylko w czasie między sklonowaniem karty i następną transakcją
bezstykową oryginalną kartą).
To jest jakieś tam zagrożenie - a nie pasek, którego i tak nic nie chce,
a jeśli nawet uda się przeprowadzić taką transakcję, to przynajmniej
teoretycznie powinno dać się ją łatwo zareklamować.
--
Krzysztof Hałasa