Szymon <...@w...pl> writes:

> Wydaje mi się jednak, iż zdecydowanie szybciej można wyczyścić solidne
> konto w bankomacie transakcją stykową niż bezstykową.

Niezależnie od tego transakcje stykowe (i karty bez PP/PW) są
najbezpieczniejsze:
- nie można ich podsłuchać (w sensie radiowym)
- nie można dobrać się do takiej karty zdalnie
- karty przynajmniej obu organizacji pozwalają - w czasie "sesji
stykowej" - na stosowanie kryptografii asymetrycznej, co m.in. pozwala
na stwierdzenie, że karta jest autentyczna oraz daje możliwość
weryfikacji PINu przez kartę.

>> Przede wszystkim, za fraudy paskowe płaci druga strona. To rozwiązuje
>> problem paska, a nie to, czy przed wyjazdem przypomnisz sobie
>> o rekonfiguracji limitów czy też nie.
>
> Nadal pozostaje pytanie dlaczego to tak nie działa w praktyce.

A nie działa?

> Żaden problem.
> Proszę - świeży z weekendu, czyli właściwie w trakcie toczącej się tu
> dyskusji:
> https://nt.interia.pl/news-kradziez-danych-kont-i-ka
rt-bankowych-rosnie,nId,3113899

Pomijając tytuł, artykuł nie traktuje o kartach. W dalszym ciągu, konkrety.

> A ja się z kolei zastanawiam jak można przeżyć tydzień bez natknięcia
> się na medialne informacje dot. fraudów.

Nie pisałem o fraudach, tylko o konkretnym typie fraudów.

> Ja także wolę token sprzętowy. Rzeczy w tym, że banki się z
> bezpiecznych rozwiązań wycofują.

"Tokeny sprzętowe" są podobnie niebezpieczne co papierowe listy kodów.

> "skompromitowanego terminala" - cóż to za nowomowa? ;-)

A znasz lepsze określenie? BTW z takim określeniem osobiście spotykam
się od ubiegłego wieku, a podobno jest ono starsze.

> Zastanawiam się np. nad sensem wielopoziomowych haseł, w których
> jednym z elementów jest PESEL. Tak jest w Millenium. Wydaje mi się, iż
> hasło powinien znać jedynie klient. Tymczasem liczba osób znających
> PESEL jest olbrzymia. Ot - pozoranctwo. ;-)

Ale PESEL nie jest zamiast hasła. W tym przypadku PESEL może być
dodatkowym problemem dla "włamywacza". Nikt nie będzie płakał na
słabością tego dodatkowego zabezpieczenia, jeśli nie pozwoli ono na
skuteczny atak.

To tak jak z PINem. Nawet tylko teoretycznie (a tym bardziej
praktycznie) 4-cyfrowy PIN to bardzo słabe zabezpieczenie. Z jakiegoś
powodu nikt poważnie nie proponuje jednak likwidacji PINów.

>> Podejrzewam że dla typowego Kowalskiego zwykły notes z hasłami doskonale
>> rozwiązuje ten problem.
>
> I musiałby go nosić przy sobie (praca/dom).

Jasne że nie. Przelewy w pracy - zagrożenie bezpieczeństwa.
"Skompromitowany terminal" :-)

> OK, więc cały system prawny oparty na identyfikacji przestępców po
> odciskach palców do śmieci? ;-) Dość odważna teza.

Odpowiedź była poniżej...

>> W kryminalistyce analizę odcisków robi się zupełnie innymi metodami,
>
> Owszem, ale też często identyfikacja odbywa się na podstawie fragmentu
> (!) odcisku.

Ale nie jest to identyfikacja kategoryczna, no i co to ma do rzeczy,
jeśli metody są zupełnie inne.
--
Krzysztof Hałasa