Re: citi WTF? - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › citi WTF? › Re: citi WTF?

Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.cyf-kr.edu.pl!news.nask
.pl!news.nask.org.pl!not-for-mail
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: citi WTF?
Date: Sat, 02 Jan 2016 14:43:51 +0100
Organization: NASK - www.nask.pl
Lines: 53
Message-ID: <m...@p...waw.pl>
References: <X...@2...75.96.126>
<p...@4...com>
<6...@g...com>
<n62n1j$lgd$1@node1.news.atman.pl>
<5...@g...com>
<n62tb4$s42$1@node1.news.atman.pl>
<1p0i4d0hvlmpb$.15jxh9hspb3qp.dlg@40tude.net>
<n635e4$4tp$1@node1.news.atman.pl> <m...@p...waw.pl>
<n65k8c$k7e$1@node1.news.atman.pl> <m...@p...waw.pl>
<n686pd$ier$1@node2.news.atman.pl>
NNTP-Posting-Host: nat.piap.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
X-Trace: pippin.nask.net.pl 1451742234 17914 195.187.100.13 (2 Jan 2016 13:43:54 GMT)
X-Complaints-To: abuse ATSIGN nask.pl
NNTP-Posting-Date: Sat, 2 Jan 2016 13:43:54 +0000 (UTC)
Cancel-Lock: sha1:JmpJPC0KTYBB6zJZKpoqAneQcnU=
Xref: news-archive.icm.edu.pl pl.biznes.banki:619377
[ ukryj nagłówki ]
Szymon <a...@w...pl> writes:

> To może tak... Czy masz jakieś konkretne dane ile terminali w PL czyta
> tylko pasek?

Widzisz, są ludzie, którzy od czasu do czasu opuszczają teren PL.
Dotyczy to nawet znacznej części klientów banków. Dlatego usunięcie
paska to nie jest żadne rozwiązanie.
Aczkolwiek przyznaję, że instrukcje usuwania zapisu z paska można dość
łatwo znaleźć, powinien wystarczyć względnie silny magnes.

>> Możliwe że w niektórych bankach da się tak ustawić limity autoryzacyjne,
>> by to osiągnąć. Dla wszystkich klientów takie rozwiązanie jest jednak
>> niedobre.
>
> Zatem twierdzisz, że skopiowanie paska i chipa jest tak samo proste?

Nie wiem skąd ten wniosek, czy on miałby jakoś logicznie wynikać z tego,
co napisałem?

> Ostatnio wyczytałem, iż Mastercard podał, że ponad połowa transakcji
> jest zbliżeniowa. I tu nie trzeba paska. Wkrótce może się okazać, iż z
> paska - do kopiowania - korzystają już tylko złodzieje.

Nie jestem prorokiem, nie wiem co będzie "wkrótce". Obecnie nie jest
tak, że z paska korzystają tylko złodzieje. Tak jak napisałem, gdy
wszystkie terminale będą czytać karty EMV, pasek będzie zbędny. Co nie
znaczy, że będzie problemem - jeśli wszystkie terminale będą czytać EMV,
to gdzie złodziej miałby zapłacić "paskiem"?
(Tak, wiem że w niektórych przypadkach da się wymusić odczyt paska, ale
jaki sprzedawca o zdrowych zmysłach pozwoli na to, zwłaszcza w przypadku
karty, która ewidentnie jest podrobiona?)

BTW z tymi transakcjami zbliżeniowymi nie jest różowo - w wielu
przypadkach te transakcje są bardziej niebezpieczne od "paskowych", bo
"skimmingu" można dokonać z pewnej odległości, bez udziału sprzedawcy.
Dodatkowo, zawsze istnieje zagrożenie atakiem "proxy". Jedynie niski
limit (bezpinowy) ratuje sytuację - ale to jest kwestia organizacyjna,
nie techniczna związana z różnicą pasek - mikroprocesor.
Generalnie obecnie jedyny względnie bezpieczny (potencjalnie, karta musi
spełnić wiele warunków) sposób przeprowadzania transakcji to transakcje
stykowe EMV.

> Zatem otwarte
> pozostaje pytanie po co ten pasek koniecznie na karcie musi być?

Pytanie (retoryczne) jest inne - czy terminale bez EMV koniecznie muszą
być?
Tak jak napisałem, dane potrzebne do przeprowadzenia transakcji są
umieszczone na karcie w formie czytelnej dla oczu, nie trzeba odczytywać
żadnych pasków.
--
Krzysztof Hałasa