Vydává ještě někdo non-nfc platební karty?

[incorporated]

Vadila mi myšlenka magnetického proužku na mojí kartě, tak jsem se rozhodl ho ošmudlat magnetem (z HDD). No, tímto způsobem jsem zjistil, že bankomaty sice fungují na čip, ale odmítají "sát" kartu, pokud nevidí právě ten magnetický proužek.

[Reklama]

[j]

... v tom autobuse je karet spousta ...

No a? Ta karta = rfid. A to je samozrejme koncipovany tak, aby se dalo precist N chipu pomerne blizko sebe. Jedinej a neresitelnej problem je ten, ze neumi nijak garantovat, ze budou precteny vsechny. Ale to pri cteni bezkontaktnich karet nikomu nevadi. Kdyby sis u silnice kudy jezdi ten bus postavil ram s antenou, tak tech chipu prectes trebas 90%. Tech 10% ktery neprectes dneska, si prectes zejtra.

Navic cist chipy konkretnim lidem je naprosto primitivni ... kde asi tak tu kartu budes mit .. chlap v naprsni kapse nebo nazadeki, zenska v kabelce. Specielne v socce nikomu neprijde divny, ze se natlacis az na nej, a mas kolem sebe nejmin 5-8 lidi ktery prectes cimkoli nekde v kapse. Za odpoledne muzes mit par tisic ks.

A to nemluvim o takovych vecech, ze si proste v krame dam ram na dvere, a uz jen tim ze vejdes vim kdo ses, cos kdy u me kupoval, a hnedle k tobe muzu poslat pikolika, kterej ti k tem poutum co sis je koupil minule doporuci jeste bicik. A protoze kramky kolem sou kamosi, tak se o info podelime ... takze zelinar ti k biciku nabidne jahudky.

[JardaP .]

Pro vás bude evidentně překvapením, že údaje jako číslo karty a platnost karty má prakticky každý obchodník u kterého jste kdy zaplatil kartou včetně té poslední pokladní v tescu. Tyhle údaje se totiž tisknou na kopii účtenky pro obchodníka (kopie pro zákazníka ma většinu čísel nahrazenu XXX)

Jo, ale ten obchodnik je nepouzije na to, aby si za ne neco on-line nakoupil. Zato zlodej cisel a dalsich udaju ano.

[pepicek]

Fio na pozadani.

Možno v ČR, na Slovensku mi vo FIO tvrdili, že sa to nedá.

Na Slovensku maji platební karty? Co tam s nima dělaji když nemaji elektriku?

[qwertz]

No a? Ta karta = rfid.

To jejak u blbejch. Vedete tady diskuzi nebo monolog? Odpovedi na x-krát polozene otazky jsou kde?

Jo, ale ten obchodnik je nepouzije na to, aby si za ne neco on-line nakoupil. Zato zlodej cisel a dalsich udaju ano.

Jo vy tak vite co ty stovky pokladnich udelaji s tema uctenkama.... 
(mimochodem priklady, kdy zamestnanec obchodnika zneuzil udaje o karte, jsou relativne bezne a velmi dobre zname, na rozdil od techto spikleneckych teorii s bezkontaktnimi kartami)

[Reklama]

[JardaP .]

Jo vy tak vite co ty stovky pokladnich udelaji s tema uctenkama.... 
(mimochodem priklady, kdy zamestnanec obchodnika zneuzil udaje o karte, jsou relativne bezne a velmi dobre zname, na rozdil od techto spikleneckych teorii s bezkontaktnimi kartami)

Pripady zneuziti obchodnikem jsou asi mene "relativne bezne" nez pripady zneuziti zlodejem, ktery nekde vyluxuje databazi e-shopu. Proc jinak by se ti lide namahali, ze jo.

Jestli RFID karta je tak blba, ze vykeca potrebne udaje, otvira to jen dalsi vektor utoku. Staci si nekde pobliz stanice tramvaje nebo vychodu metra  zaparkovat auto s potrebnym vybaveni a jit domu. Druhy den si vyzvedne ulovek.

Ostatne si dovedu predstavit i to, jak nekdo nakupuje tak, ze jeden chyti nekde postavajiciho majitele bezkontakni karty, navaze spojeni a pres radio dela relay mezi tou kartou a platebnim terminalem, kde nekdo plati nakup.

[qwertz]

Pripady zneuziti obchodnikem jsou asi mene "relativne bezne" nez pripady zneuziti zlodejem, ktery nekde vyluxuje databazi e-shopu. Proc jinak by se ti lide namahali, ze jo.

To je jak u blbejch. Kdyz si opisete z moji karty cislo karty a platnost karty, bude vam to uplne k hovnu. Totalne. Nezaplatite s tim nikde nic. Po dvacáté vám to vysvětlovat nebudu.

Jestli RFID karta je tak blba, ze vykeca potrebne udaje, otvira to jen dalsi vektor utoku. Staci si nekde pobliz stanice tramvaje nebo vychodu metra  zaparkovat auto s potrebnym vybaveni a jit domu. Druhy den si vyzvedne ulovek.

K cemu vam to prakticky bude? Jak to kde pouzijete? Po zavedeni tokenizace s timto zpusobem platit neda, a ID karty (coz nikdo z vas nevi, jestli jde u ceskych bank precist) vam prakticky neni k nicemu.

[JardaP .]

To je jak u blbejch. Kdyz si opisete z moji karty cislo karty a platnost karty, bude vam to uplne k hovnu. Totalne. Nezaplatite s tim nikde nic. Po dvacáté vám to vysvětlovat nebudu.

Proc by ne? Kdyz je to Visa, nakoupim nekde v e-shopu a necham to poslat nekam do tramtarie a vy si to pak vymahejte.

K cemu vam to prakticky bude? Jak to kde pouzijete? Po zavedeni tokenizace s timto zpusobem platit neda, a ID karty (coz nikdo z vas nevi, jestli jde u ceskych bank precist) vam prakticky neni k nicemu.

Praveze jsem sem dal odkaz, podle ktereho  po prolomeni sifrovani karta vyzvani vsechny udaje, nejen id. Takze opakuji: jestli jsou ceske karty stale jeste tak blbe, jako v tom videu.....

[qwertz]

Proc by ne? Kdyz je to Visa, nakoupim nekde v e-shopu a necham to poslat nekam do tramtarie a vy si to pak vymahejte.

1) neznáte CVC kód  (poněkud úsměvně na rozdíl od té pokladní, která konktaktní kartu často dostávala do ruky)
2) transakční limit pro tento typ transakcí je 0 CZK
3) nemáte mobil (3D secure)

Jak jsem již několikrát uvedl. Je vám to vlastně úplně k hovnu.

BTW jako klient nic vymáhat nebudu. Podle zákona o platebním mi stačí prohlásit, že jsem tuto transakci neprovedl, a banka je povinna účet neprodleně uvést do původního stavu. Pak ať si to řeší banka jak chce, je to její problém.

Praveze jsem sem dal odkaz, podle ktereho  po prolomeni sifrovani karta vyzvani vsechny udaje, nejen id. Takze opakuji: jestli jsou ceske karty stale jeste tak blbe, jako v tom videu.....

Jak jsem rekl. Diskuze jak s idiotem. Uz jsem vas nekolikrat upozornoval, ze US karty jsou 100 let za opicema, a nema smysl jimi v ČR vubec argumentovat. Ale vy si budete porad mlit svoje jak rozbity gramofon.
https://www.mesec.cz/clanky/myty-a-fakta-o-bezkontaktnim-placeni/

[kojot4]

Tohle je zas paranoia, platím běžně bezdotykově tak 3x denně, několikrát měsíčně na internetu a nejsem ani nijak extra opatrnej, jedu tak už několik let, nemám ani nízké limity, nikdy v životě mi kartu nezneužili. A až se to stane, tak mám od mBank pojištění proti zneužití karty, takže to budu řešit s nima.

A to jsem člověk, který je schopný kreditkou platit přístup na porno stránku, zakliknout kdejaké předplatné atd. Ano, nervu kreditku do jasných scamů, když je to míň věrohodný web, rozkliknu si SSL certifikát, ale jinak pohoda.

Pokud z něčeho mám strach, tak jít se na koupáku v létě do vody vykoupat a nechat věci na břehu, proto mám vodotěsnou tašku na klíče a tak. Naposled mé kamarády okradli tak, že jsme nechali pootevřené okénko v autě, a zloděj prošel baťohy, já jsem opatrný, tak jsem měl baťoh sebou.

Netřeba být paranoidní, stačí být opatrný a jak říkám já "nebýt debil". Až vás na policejní stanici vyslečou do naha a nechají vás čekat v čekárně, dokud se nepřiznáte, poznáte, že osobní bezpečnost netkví v limitu 500 Kč pro bezkontaktní placení na kartě.

[Trident]

Česká spořitelna - karta NFC má ale je opravdu vypnuté. Taky toho teď docela lituji když platím 15 Kč a musím strkat kartu do terminálu a za mnou je fronta. Co mě ale zaráží je fakt že je na kartě pořád ten magnetický proužek.

Na karte je magneticky prouzek kvuli zpetne kompatibilite a take mozna pokud na nem zadne informace nejsou kvuli logisticko-ekonomickym duvodum. Rada terminalu nebo platebnich systemu proste nema a nejakou dobu mit nebude jiny interface. To je vyhodne pro cestovani mimo CR. Stejne jako jeste existuji embosky protoze v nekterych zemich je pouzivani tzv. "zehlicek" rozsirene.

[J. Novák]

Netřeba být paranoidní, stačí být opatrný a jak říkám já "nebýt debil". Až vás na policejní stanici vyslečou do naha a nechají vás čekat v čekárně, dokud se nepřiznáte, poznáte, že osobní bezpečnost netkví v limitu 500 Kč pro bezkontaktní placení na kartě.

Osobní zkušenost?

[Karel]

V Tatrabanka na svk sa to da vypnut cez IB.

Cez internet vypneš RFID na karte?

Ano, mam to odskusane vypol som si to a bezkontaktne s tou kartou nikde nezaplatim.

Ono to není tak přímočaré. Vydavatel musí kartu nastavit předem. Důležité jsou dvě volby: zda povolit bezkontaktní platbu a zda povolit offline platbu. Pokud vydavatel zakázal offline platby, tak pak může nabízet služby typu "nastavení limitu" nebo "blokování bezkontaktní plateb" v internetovám bankovnictví. V tomhle režimu totiž ve skutečnosti karta vůbec nic neblokuje (protože neví, že by měla) a vše si řeší banka až ve chvíli, kdy ji kontaktuje platební terminál.

Pokud máte kartu, která dovoluje offline platbu, pak se jde tou druhou cestu, tedy že není možné naprosto nic dodatečně měnit. Vy byste si sice mohl něco v IB změnit, ale ta karta to netuší a platební terminál se banky na nic neptá.

Pokud by nějaký vydavatel nabízel "nastavení v IB" pro karty, které nemají blokovaný offline režim a zároveň mají povolené bezkontaktní platby, pak se vám bude stávat, že sice v IB bezkontaktní platbu zablokujete, ale stejně se vám tou kartou někde zaplatit podaří - ve chvíli, kdy se terminál rozhodne platbu udělat offline.

Kdysi se někde diskutovalo, že by teoreticky bankomaty mohly nahrávat do karty nové nastavení. Takže byste si v IB něco naklikal, což by platilo ihned jen pro online platby. Po první návštěvě bankomatu by se to nahrálo do karty a začalo by to platit i pro offline platby. Ale teď o tom nemůžu nic dohledat.

PS: Offline platba nesouvisí s bezkontaktní platbou. I platba s čipem/magnetem/žehličkou může být offline. S žehličkou to vlastně ani jinak nejde - a i na tohle je tam nastavení vydavatele, zda takovou platbu povolí (vyrobí kartu embossovanou).

[JardaP .]

Jak jsem rekl. Diskuze jak s idiotem. Uz jsem vas nekolikrat upozornoval, ze US karty jsou 100 let za opicema, a nema smysl jimi v ČR vubec argumentovat. Ale vy si budete porad mlit svoje jak rozbity gramofon.
https://www.mesec.cz/clanky/myty-a-fakta-o-bezkontaktnim-placeni/

Ano, to je od vas hezke. Nicmene clanky o slabinach RFID technologii a jejich ruznych aplikaci by vydaly prinejmensim na Bibli. To, ze podle vas v CR soudruzi nasazuji posledni vykrik RFID technologii, je mozne. Ze zatim nedoslo k masivnimu zneuzit, znamena pouze to, ze zatim nikdo nenasel vhodnou slabinu, coz muze byt tim, ze je v CR malo hackeru, kteri by se tim zabyvali.

Oni porad vsude nasazuji nove technologie, ktere tentokrat jsou jiz totalne bezpecne. Takze pocitace s TPM chipem jsou nyni uplne bezpecne, WPA, totiz WPA2, vlastne WPA3 nam totalne zabezpeci wifi, certifikaty a https nam zabezpeci komunikaci, SSH je bezpecne.... Presne do okamziku, kdy se zjisti, ze nekdo neco nedomyslel nebo blbe implementoval, ci nejaka sifra se da louskat uz i na telefonu.

Takze si vemte prasky, aby se vam z toho rozcilovani neco neprihodilo, protoze ac treba supermoderni, muzeme ty bezkontatktni karty povazovat jen za zatim bezpecne.

[qwertz]

Takže si to shrňme. Podle vás na základě jakéhosi videa jde z US karty přečíst údaje jako čislo karty a platnost karty. Sice vůbec nevíte, jestli nejsou tyto údaje v česku uloženy šifrovaně, ale podle vás je to bezpečnostní problém, přestože ty údajně ani bez toho nejsou důvěrné, zná je kde kdo, nedá se s nimi zaplatit ani na internetu. Vy vůbec nevíte, jestli jdou z karty přečíst, a odmítáte pochopit, že k platbě nejsou dostatečné, ale to vám nebrání tvrdit, že je to méně bezpečné, než kontaktní karty. A tenhle myšlenkový postup vám přijde normální?

Bezpečnostní výhody českých bezkontaktních karet jsou zřejmé:
1) k platbě se používá jednorázový token (sice ho teoreticky v laboratorních podmínkách ukradnete, lae po platbu se pak už nedá použít)
2) kartu nikde nedáváte z ruky - pokladní si nemůže opsat číslo, platnost karty (nevím zda se tyto údaje tisknou i při bezkontaktní platbě, pokud ne. je to další výhoda) a hlavně CVC, který se nikdy na účtenku při žádném scénáři netiskne

Ale vy tady budete tvrdit, že sice nic nevíte, ale stejně tomu nevěříte a podle vás je to prostě nebezpečné a basta.