W dniu 2013-07-08 18:20, m pisze:
> A jednak przykłady obronienia karty zupełnie offline się zdarzały i
> limit 3 transakcji bez PINu okazał się być nie zasadą działania systemu
> a "zasadniczo tak być powinno ale nie zawsze".


Mieli zapisać limity ale miejsca na karcie brakło, bo musieli
zarezerwować na listę ostatnich transakcji ;) Fakt, że na karcie jest
też lista ostatnich X transakcji to takie moje wczorajsze odkrycie przy
zabawie z kartami EMV. Trochę dziwi, że karty chętnie dzielą się z
każdym zainteresowanym różnymi danymi dot. użytkownika - oczywiście dane
te są jawne i można je odczytać każdym czytnikiem kart chipowych. Wszak
zapisanie szczegółów ostatnich 10 (i więcej) transakcji czemuś służy
(ktoś wie czemu?). A co do limitów ilościowych to bywa że są ustawione 3
szt. dla terminali online, ale jak terminal jest offline to 5 sztuk
karta chętnie obsłuży bez marudzenia.

Zgłębiam jeszcze tajniki negocjacji sposobu autoryzacji transakcji i
wnioski też nie są zbyt optymistyczne: mimo, że można wymusić aby PIN
między terminalem i kartą był szyfrowany to banki z jakiegoś powodu
'proponują' terminalowi przesłanie go w sposób jawny, nawet jeśli
obsługuję on metodę szyfrowaną. A fakt, że taką transmisję można
stosunkowo łatwo podsłuchać... no ale przecież to użytkownik odpowiada
za transakcje z użyciem PINu.

No ale to na razie początek mojej analizy danych z kart emv więc na
razie nie będę siał (większej) paniki ;)