"MG" <n...@s...com> writes:

> Założeniem od początku była zmiana PINu skryptem wydawcy (spójrz po
> prostu do intefejsu dla PIN Change/Unblock zdefiniowanego w EMV Book
> 3).

Tak naprawde niczego w tej sprawie nie zmienia: przeciez chodzi o to, ze
user (teoretycznie przynajmniej) moze sobie zmienic haslo sam, z dowolna
czestotliwoscia, bez ciaglego biegania do banku itd.

Z tym ze akurat to, o czym pisalem, bylo pare lat temu, i raczej watpie
by to bank zmienial PIN skryptem, podobnie jak w to, ze taka karta
bylaby niezgodna z EMV, przynajmniej wtedy. Ale nie wiem na pewno, a
poza tym nie ma to zasadniczego znaczenia, wiec nie bede w to wnikal.

> Wcześniej pisałeś, jak rozumiem, o aplikacji, która zrobi to bez
> udziału wydawcy.

Tak, tzn. bez udzialu wydawcy w czasie zmieniania, bo oczywiscie wydawca
musialby to umozliwic. Ale to, tak naprawde, bez znaczenia, to tylko
szczegol - zastosowanie podobne do tego I-PINu jest lepszym przykladem,
jest zdecydowanie bardziej praktyczne (ze wzgledu na synchronizacje
PINow), byc moze banki juz cos takiego udostepniaja normalnym klientom.
(nie szukalem)

> Tak poza tym, to ja wychodzę z założenia, że po tą są certyfikacje PED
> urządzeń, żeby klientom dawały przynajmniej jakieś względnie złudne
> bezpieczeństwo, a nie żeby swój PIN na PCecie wprowadzać. Nie mam
> zaufania do banków, które pozwalają lub wręcz zmuszają klientów do
> klepania informacji poufnych na stronach internetowych. Krok wstecz...

PIN to IMHO najmniej poufna informacja, takie tylko dodatkowe
zabezpieczenie przed zlodziejem. Typowo 4 cyfry? Nawet metoda
totolotka da sie trafic.
--
Krzysztof Halasa