"MG" <n...@s...com> writes:

>> Sa karty, ktore pozwalaja na zmiane PINu uzytkownikowi. Wystarczajacym
>> warunkiem jest znajomosc poprzedniego PINu. Nie ma wtedy typowo zadnego
>> szyfrowania.
>
> Jeśli mówisz w ogólności o kartach, to jasne, ale nie EMV.

Obawiam sie ze to byly wlasnie normalne karty EMV.

> Znowu, jeśli mówimy o EMV, to Banki w większości przypadków nie są
> stawiane przed jakimkolwiek wyborem. Karty i profile podlegają
> certyfikacji i jeśli któryś chce zrobić coś niestandardowo, to wiąże
> się to z dużymi kosztami, które muszą mieć jakieś uzasadnienie
> biznesowe. Ale poza Europą może to nie być EMV, bo tam różne wynalazki
> stosują.

Bylbym zdziwiony gdyby to nie bylo EMV. BTW: nie wydaje mi sie by to
bylo cos niestandardowego, zmiana PINu przez usera byla przeciez jednym
z zalozen od poczatku.
Byc moze zmiana PINu jest/byla robiona jakas dodatkowa aplikacja.

Spytajmy googla: np. niejaki I-PIN pozwala na samodzielna zmiane PINu,
z tym ze tu akurat potrzebny jest do tego bank, ze wzgledu na wspomniana
koniecznosc synchronizacji PINu onlinowego (= szyfrowanie itd). Ale tak
jest chyba tylko z dwoch powodow: bo sciezka magnetyczna nie moze miec
PINu offline, oraz dlatego, ze PIN chipowy w banku ma byc nadrzedny
w stosunku do tego na karcie (ale nie wydaje mi sie by to wynikalo
z EMV). No i moze jeszcze z tego, by wszystkie PINy danej karty byly
jednakowe, zeby klient nie zwariowal.
Ale to nie wynika z technologii w zaden sposob.
--
Krzysztof Halasa

do góry

Użytkownik "Krzysztof Halasa" napisał:
>
> Obawiam sie ze to byly wlasnie normalne karty EMV.

Po czym poznałeś?

> Bylbym zdziwiony gdyby to nie bylo EMV. BTW: nie wydaje mi sie by to
> bylo cos niestandardowego, zmiana PINu przez usera byla przeciez jednym
> z zalozen od poczatku.
> Byc moze zmiana PINu jest/byla robiona jakas dodatkowa aplikacja.

Założeniem od początku była zmiana PINu skryptem wydawcy (spójrz po prostu
do intefejsu dla PIN Change/Unblock zdefiniowanego w EMV Book 3).

> Spytajmy googla: np. niejaki I-PIN pozwala na samodzielna zmiane PINu,
> z tym ze tu akurat potrzebny jest do tego bank, ze wzgledu na wspomniana
> koniecznosc synchronizacji PINu onlinowego (= szyfrowanie itd).

Jest to przecież dokładna implementacja transakcji zmiany PIN w zwykłym
środowisku online tak, jak w Book 3 naskrobano. Wszystko i tak leci przez
HSMa ze znajomością kluczy do Secure Messagingu. Dodam, że HSMy PINu na
wejściu też plaintextem nie oczekują. Cały ten system opiera się więc na
kilku operacjach, które w rzeczywistości udają zwykłe urządzenie
akceptacyjne.

Wcześniej pisałeś, jak rozumiem, o aplikacji, która zrobi to bez udziału
wydawcy.

Tak poza tym, to ja wychodzę z założenia, że po tą są certyfikacje PED
urządzeń, żeby klientom dawały przynajmniej jakieś względnie złudne
bezpieczeństwo, a nie żeby swój PIN na PCecie wprowadzać. Nie mam zaufania
do banków, które pozwalają lub wręcz zmuszają klientów do klepania
informacji poufnych na stronach internetowych. Krok wstecz...

--
MG

do góry

"MG" <n...@s...com> writes:

> Założeniem od początku była zmiana PINu skryptem wydawcy (spójrz po
> prostu do intefejsu dla PIN Change/Unblock zdefiniowanego w EMV Book
> 3).

Tak naprawde niczego w tej sprawie nie zmienia: przeciez chodzi o to, ze
user (teoretycznie przynajmniej) moze sobie zmienic haslo sam, z dowolna
czestotliwoscia, bez ciaglego biegania do banku itd.

Z tym ze akurat to, o czym pisalem, bylo pare lat temu, i raczej watpie
by to bank zmienial PIN skryptem, podobnie jak w to, ze taka karta
bylaby niezgodna z EMV, przynajmniej wtedy. Ale nie wiem na pewno, a
poza tym nie ma to zasadniczego znaczenia, wiec nie bede w to wnikal.

> Wcześniej pisałeś, jak rozumiem, o aplikacji, która zrobi to bez
> udziału wydawcy.

Tak, tzn. bez udzialu wydawcy w czasie zmieniania, bo oczywiscie wydawca
musialby to umozliwic. Ale to, tak naprawde, bez znaczenia, to tylko
szczegol - zastosowanie podobne do tego I-PINu jest lepszym przykladem,
jest zdecydowanie bardziej praktyczne (ze wzgledu na synchronizacje
PINow), byc moze banki juz cos takiego udostepniaja normalnym klientom.
(nie szukalem)

> Tak poza tym, to ja wychodzę z założenia, że po tą są certyfikacje PED
> urządzeń, żeby klientom dawały przynajmniej jakieś względnie złudne
> bezpieczeństwo, a nie żeby swój PIN na PCecie wprowadzać. Nie mam
> zaufania do banków, które pozwalają lub wręcz zmuszają klientów do
> klepania informacji poufnych na stronach internetowych. Krok wstecz...

PIN to IMHO najmniej poufna informacja, takie tylko dodatkowe
zabezpieczenie przed zlodziejem. Typowo 4 cyfry? Nawet metoda
totolotka da sie trafic.
--
Krzysztof Halasa

do góry

Użytkownik "Krzysztof Halasa" napisał:
> PIN to IMHO najmniej poufna informacja, takie tylko dodatkowe
> zabezpieczenie przed zlodziejem. Typowo 4 cyfry? Nawet metoda
> totolotka da sie trafic.

Może i zabezpieczenie nie jest bardzo silne, jako takie, ale pamiętajmy, że
ataki wyczerpujące na PIN nie zawsze są w ogóle wykonalne i z reguły nie są
łatwe. Poza tym, weryfikacja PINu realizuje jedną część dwuskładnikowego
uwierzytelnienia klienta - żeby wykonać transakcję musisz coś mieć (kartę) i
coś wiedzieć (PIN). Dlatego o poufność PIN jednak warto chyba zadbać.
PIN może mieć 4-12 cyfr. Szkoda, że wiele instytucji sztucznie ogranicza
jego długość. Dlaczego nie klient sam miałby zdecydować, skoro nie ma
ograniczeń technicznych?

--
MG

do góry

"MG" <n...@s...com> writes:

> Może i zabezpieczenie nie jest bardzo silne, jako takie, ale
> pamiętajmy, że ataki wyczerpujące na PIN nie zawsze są w ogóle
> wykonalne i z reguły nie są łatwe.

Wystarczy chocby ze pojedynczy atak jest mozliwy z prawdopodobienstwem
1/10000 (+ liczba mozliwych prob). W przypadku skopiowania pojedynczej
karty, jesli mamy ich wiecej, szansa odpowiednio rosnie.

> Poza tym, weryfikacja PINu
> realizuje jedną część dwuskładnikowego uwierzytelnienia klienta - żeby
> wykonać transakcję musisz coś mieć (kartę) i coś wiedzieć (PIN).
> Dlatego o poufność PIN jednak warto chyba zadbać.

Warto byloby zadbac, ale niestety klient nie ma na to zadnego wplywu
(tzn. pozytywnego, bo negatywny moze latwo miec). Nie ma zadnej
mozliwosci stwierdzenia przez klienta, ze np. wpisywany wlasnie PIN jest
podsluchiwany (jesli jest to zrobione dobrze).

> PIN może mieć 4-12 cyfr. Szkoda, że wiele instytucji sztucznie
> ogranicza jego długość.

Praktycznie wszystkie, przynajmniej u nas.

Inna sprawa ze moze wydluzanie PINu nie jest sensowne ze wzgledu na brak
mozliwosci ochrony przed podsluchem - a wiec funkcja PINu jest
zredukowana do tego, ze chroni przed fraudem tylko skopiowaną kartą
(jesli przestepca nie zna PINu, bo np. transakcja w sklepie, w czasie
kopiowania, nie wymagala PINu).

IOW, slabe dodatkowe zabezpieczenie, i banki nie powinny traktowac tego
jako niczego wiecej (a jak staraja sie to traktowac to wszyscy chyba
wiemy).
--
Krzysztof Halasa

do góry