"MAriusz_H" <z...@c...pl> wrote in message
news:f9im44$ce3$1@inews.gazeta.pl...
> Wszędzie dookoła słyszę tylko że płacenie kartą jest coraz bardziej
> bezpiecznie .. a wychodzi na to że jest odwrotnie ...
gdzie słyszył? od kogo słyszysz? od banku?
Aaa. No to mają rację. Jest coraz bardziej bezpieczna dla nich, bo jak ci
obrobią pin, to się bank na ciebie wypnie.



> Wprowadzają kartę chipową na rynek reklamując iż jest bezpieczniejsza ..

banki oczywiście reklamują.


> niestety ten przypadek pokazuje iż między kartami zwykłym a chipowymi nie
> ma żadnej różnicy jeśli chodzi o bezpieczeństwo ...

to zależy co masz na myśli.

rozróżnij karty z chipem i karty magnetyczne od
kart potwierdzanych podpisem i kart potwierdzanych pinem.

karty z chipem są bezpieczniejsze, bo wykonanie ich kopii nie jest takie
proste.
karty potwierdzane pinem, są największą pułapką jaką bank wymyślił na
klienta.

kartę z chipem tak, ale bez pinu.




>
> Czyli jak ja mam się czuć bezpiecznie ... jednyne co mogę zrobić to wybrać
> karte z ubezpieczeniem i sprawdzać historie rachunku codziennie...

przede wszystkim wybrac bank, który ma najniższy odsetek nieuznanych
reklamacji klientów.

do góry

Dnia Fri, 10 Aug 2007 23:42:18 +0200, MAriusz_H napisał(a):


> Ale nie oto mi chodzi ... nie do tego zmierzam ... Wszędzie dookoła
> słyszę tylko że płacenie kartą jest coraz bardziej bezpiecznie ..

Bo jest, tylko gdzie indziej leży to bezpieczeństwo.

Płacenie kartą jest bezpieczne, bo jeżeli uznasz że jakaś transakcja na
wyciągu nie jest twoja, reklamujesz ją, ta kwota jest zabierana
podmiotowi gdzie było nią płacone. I w tym momencie tenże sklep/zarząd
mostu/autostrady/parkingu/cokolwiek musi udowodnić że nie jest wielbłądem
i że transakcja była i było z nią wszystko ok.

p. m.

do góry

>> niestety ten przypadek pokazuje iż między kartami zwykłym a chipowymi nie
>> ma żadnej różnicy jeśli chodzi o bezpieczeństwo ...
>
> to zależy co masz na myśli.
>
> rozróżnij karty z chipem i karty magnetyczne od
> kart potwierdzanych podpisem i kart potwierdzanych pinem.
>
> karty z chipem są bezpieczniejsze, bo wykonanie ich kopii nie jest takie
> proste.
> karty potwierdzane pinem, są największą pułapką jaką bank wymyślił na
> klienta.
>
> kartę z chipem tak, ale bez pinu.

Chip czy pasek magnetyczny jest takim samym dla mnie nośnikiem jak
dyskietka, cd, hdd, itp.
Jedyną różnica może między nim być w kodowaniu informacji ...
idąc dalej tym śladem wszystko zależy co chcesz zrobić z ta kartą? Czy
chcesz się dowiedzieć jakie faktycznie kryje informacje ... czy chcesz tylko
klonować kartę i okraść właściciela (i w tym przypadku nie potrzeba ci łamać
kodowania - klonujesz bit po bicie).
Wniosek: mogą wymyśleć kartę z dyskiem twardym ... a i tak to nie podniesie
bezpieczeństwa.

Wracając do autoryzacji Pin czy podpis ... co za różnica .... jeśli nie ma
autoryzacji.

Patrząc ogólnie na sytuację czym jest karta?
To informacja kim ja jestem.
Czym jest autoryzacja?
czy ja to na pewno ja.

Banki powinny popracować nad autoryzacją.
Może autoryzacja powinna wyglądać tak: pin + token lub pin + odcisk palca.

Co do przyspieszenia transakcji realizowanych np. na autostradach, wystarczy
jeśli zamontują system radiowej autoryzacji (nie pamiętam jak się ten system
nazywa). Mam na myśli autostrady "nie Polskie". W Polsce powinno się wpierw
zrobić porządek z opłatami/podatkami za drogi (by nie płacić kilka razy za
to samo), i z jakości dróg

do góry

"MAriusz H." <z...@w...pl> writes:

> Chip czy pasek magnetyczny jest takim samym dla mnie nośnikiem jak
> dyskietka, cd, hdd, itp.

"Dla Ciebie" owszem, ale rzeczywistosc jest zupelnie inna, procesor
(wlasciwie caly jednoukladowy mikrokomputer) nie jest tylko prostym
"nosnikiem informacji".

> Czy
> chcesz się dowiedzieć jakie faktycznie kryje informacje ... czy chcesz tylko
> klonować kartę i okraść właściciela (i w tym przypadku nie potrzeba ci łamać
> kodowania - klonujesz bit po bicie).

Chipa nie da sie odczytac z zewnatrz, przynajmniej w prosty sposob.
Mozna z nim tylko porozmawiac.

> Wniosek: mogą wymyśleć kartę z dyskiem twardym ... a i tak to nie podniesie
> bezpieczeństwa.

Przeciwnie, na dyski twarde mozna zalozyc haslo, i bez jego podania
dysk nie wykona zadnej operacji (oprocz kasowania wszystkich danych).

Z tym, ze dysk jest duzy i mozna latwo w nim grzebac, karta z procesorem
troche to utrudnia.

> Wracając do autoryzacji Pin czy podpis ... co za różnica .... jeśli nie ma
> autoryzacji.

A jesli jest, i zlodziej pozna PIN?

> Patrząc ogólnie na sytuację czym jest karta?
> To informacja kim ja jestem.
> Czym jest autoryzacja?
> czy ja to na pewno ja.

Nie, autoryzacja sprawdza czy numer karty jest wazny i ew. czy
karta jest autentyczna, oraz ew. czy posiadacz zna PIN.
Ale przede wszystkim autoryzacja sprawdza, czy sa srodki na
dokonanie transakcji.

W szczegolnosci, autoryzacja prawie w ogole nie chroni posiadacza
karty, chroni glownie sprzedawce.
--
Krzysztof Halasa

do góry

MAriusz H. pisze:

> Chip czy pasek magnetyczny jest takim samym dla mnie nośnikiem jak
> dyskietka, cd, hdd, itp.
> Jedyną różnica może między nim być w kodowaniu informacji ...
> idąc dalej tym śladem wszystko zależy co chcesz zrobić z ta kartą? Czy
> chcesz się dowiedzieć jakie faktycznie kryje informacje ... czy chcesz tylko
> klonować kartę i okraść właściciela (i w tym przypadku nie potrzeba ci łamać
> kodowania - klonujesz bit po bicie).

Tylko że to klonowanie "bit po bicie" nie jest takie proste, bo tych
informacji nie da się ot tak z czipa odczytać, ani nie są one
w żaden sposób przesyłane w trakcie transakcji. Klucze kryptograficzne
są chronione przed próbą odczytu, a każda próba ingerencji w strukturę
czipa kończy się skasowaniem tych kluczy. Czip nie jest więc takim
samym nośnikiem jak dyskietka. Jest to rodzaj bezpiecznego modułu
sprzętowego, w którym zapisana informacja może być użyta do kodowania
pewnych danych, ale samej informacji (klucza) nie da się odczytać
(o ile nie dysponuje się budżetem NASA). Na podobnej zasadzie działa
token RSA, używany w niektórych bankach w internetowych systemach
transakcyjnych: bank zadaje losową liczbę (pytanie), którą token
szyfruje swoim kluczem prywatnym i wynik (odpowiedź) przekazujemy
do banku. Bank deszyfruje otrzymany wynik przy użyciu klucza
publicznego skojarzonego z tym konkretnym tokenem i jeśli otrzymany
wynik będzie taki sam, jak pytanie, to uwierzytelnienie przebiegło
pomyślnie.
Całe bezpieczeństwo opiera się tutaj na założeniu, że znając
pytanie i odpowiedź (ewentualnie jeszcze klucz publiczny),
nie da się (w rozsądnym czasie) znaleźć klucza, jaki był
użyty do generacji odpowiedzi.
Co ciekawe, o ile jak dotąd nie udało się obalić tej tezy,
to nie udało jej się też w żaden sposób udowodnić - więc
opiera się to trochę na wierze. Nikt nie udowodnił, że się
nie da, ale jak dotąd nikt też nie udowodnił, że się da. ;)

Reasumując:
Skopiowanie paska magnetycznego jest banalnie proste.
Skopiowanie czipa - jak na razie chyba nikomu się nie udało.



ch.

do góry

LPoD <c...@p...irc.pl.wytnij.pfff> napisał(a):


> Reasumując:
> Skopiowanie paska magnetycznego jest banalnie proste.
> Skopiowanie czipa - jak na razie chyba nikomu się nie udało.
>

Z tym, ze w tej chwili chyba wszystkie karty chipowe maja rowniez pasek magnetyczny
- a opisywane na grupie proby korzystania z karty chipowej z mechanicznie
uszkodzonym paskiem magnetycznym, dowodzily, ze jej funkcjonalnosc jest wtedy
minimalna


>
> ch.


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

mvoicem <m...@g...com> napisał(a):

>
> Płacenie kartą jest bezpieczne, bo jeżeli uznasz że jakaś transakcja na
> wyciągu nie jest twoja, reklamujesz ją, ta kwota jest zabierana
> podmiotowi gdzie było nią płacone. I w tym momencie tenże sklep/zarząd
> mostu/autostrady/parkingu/cokolwiek musi udowodnić że nie jest wielbłądem
> i że transakcja była i było z nią wszystko ok.
>
> p. m.

Zalezy od banku - zona ponad miesiac temu zareklamowala dwie transakcje karta
Eurobanku i brak jakiejkolwiek odpowiedzi.
Banki maja duzo czasu na wyjasnianie i wiekszosc z nich z tego skwapliwie korzysta.



--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

LPoD <c...@p...irc.pl.wytnij.pfff> writes:

> Czip nie jest więc takim
> samym nośnikiem jak dyskietka. Jest to rodzaj bezpiecznego modułu
> sprzętowego, w którym zapisana informacja może być użyta do kodowania
> pewnych danych, ale samej informacji (klucza) nie da się odczytać
> (o ile nie dysponuje się budżetem NASA).

Z tym bym uwazal, bylo wiele zakonczonych sukcesem prob lamania
kart procesorowych. Obecnie uzywane karty sa juz ktorejs tam
generacji, maja byc podobno odporne na znane ataki, ale zawsze
lamacze beda o krok przed producentami.

Teoretycznie nie da sie calkiem zabezpieczyc takiej karty, podobnie
jak nie da sie uniemozliwic "zlamania" DVD itp. - posiadacz karty
albo DVD ma dostep do calosci informacji, ten dostep moze byc tylko
(skutecznie lub nie) utrudniony. Oczywiscie bariery w przypadku
kart i DVD sa zupelnie innego rodzaju.

Podobnie jest z tokenami, z dokladnoscia do np. algorytmow (one
raczej nie korzystaja z kryptografii asymetrycznej).
--
Krzysztof Halasa

do góry

"Miroo" news:1gx6czb928qtl$.dlg@miroo.miroo.pl

> Może dla drobnych kwot autoryzacja nie jest
> obowiązkowa?

Coś w tym musi być. Nawet w Polsce spotkałem się z sytuacjami, że przy
płaceniu kartą małych kwot (4-6 zł) sklep nie wymagał PIN ani podpisu.
Na Słowacji też kilka razy się z tym spotkałem.

do góry

> Chipa nie da sie odczytac z zewnatrz, przynajmniej w prosty sposob.
> Mozna z nim tylko porozmawiac.
>
poczytałem trochę w internecie i widze że się myliłem odnosnie kart
chipowych...

Czyli warto popszukać karty z chipem...

>> Wracając do autoryzacji Pin czy podpis ... co za różnica .... jeśli nie
>> ma
>> autoryzacji.
>
>A jesli jest, i zlodziej pozna PIN?

hmmm... ale byłby to dobry początek na zabezpieczenie tranzakcji
przeprowadzanych przez internet. W tej chili wystarczy znać nr karty i jej
ważnoćś by dokonać kradzież elektroniczną ...


> W szczegolnosci, autoryzacja prawie w ogole nie chroni posiadacza
> karty, chroni glownie sprzedawce.

... otóż to, kiedy pomyślą o bezpieczeństie posiadacza karty.?

do góry