Vydává ještě někdo non-nfc platební karty?

[qwertz]

Kdysi se někde diskutovalo, že by teoreticky bankomaty mohly nahrávat do karty nové nastavení. Takže byste si v IB něco naklikal, což by platilo ihned jen pro online platby. Po první návštěvě bankomatu by se to nahrálo do karty a začalo by to platit i pro offline platby. Ale teď o tom nemůžu nic dohledat.

Ale takhle přesně to v praxi funguje.  Pokud máte banku, která umožňuje nastavit PIN v internetovém bankovnictví (např. mBank) po provedení akce logicky zůstane na chipu uložen PIN původní, dokud neprovedene kontaktní transakci na terminálu nebo v bankomatu (při té dojde k nahrání nových dat z banky). A proto nakteré banky u bezkntaktních karet požadují provedení první transakce kontaktním způsobem.

[Reklama]

[Unknown]

Takze si vemte prasky, aby se vam z toho rozcilovani neco neprihodilo, protoze ac treba supermoderni, muzeme ty bezkontatktni karty povazovat jen za zatim bezpecne.

Stejne jako vas muzeme povazovat jen za 'zatim' ziveho ;-)

[JardaP .]

Stejne jako vas muzeme povazovat jen za 'zatim' ziveho ;-)

Ano, uplne stejne, jako vas. Jsme zatim zivi, protoze zatim nikdo a nic neprolomili nase zabezpeceni.

[Unknown]

Stejne jako vas muzeme povazovat jen za 'zatim' ziveho ;-)

Ano, uplne stejne, jako vas. Jsme zatim zivi, protoze zatim nikdo a nic neprolomili nase zabezpeceni.

A proto je zbytecne predrazovat pri hodnoceni zabezpeceni sluvko 'zatim'. Dokud se neobjevi zranitelnost tak je to bezpecne, stejne jako my: Dokud nezemrem, jsme zivi...

[JardaP .]

A proto je zbytecne predrazovat pri hodnoceni zabezpeceni sluvko 'zatim'.

S ohledem na neustalou zaplavu bezpecnostnich pruseru mi tam to slovo "zatim" tak uplne zbytecne nepripada. To "zatim" by tam kazdy mel jaksi defaultne cist mezi radky.

[Reklama]

[j]

... nedá se s nimi zaplatit ani na internetu....

Takze si to zhrnme, TY nemas ani nejmensi paru o tom, jak se kartou da nebo neda zaplatit.

[qwertz]

Takze si to zhrnme, TY nemas ani nejmensi paru o tom, jak se kartou da nebo neda zaplatit.

Bezobsažným blábolením zcela jistě argumentačně všechny přesvědčíte

Nebudu vám po x-té vysvětlovat zákon o platebním styku, co to jsou limity na kartě ani existující judikáty, protože je to evidentně mimo vaše mentální schopnosti.

[JardaP .]

.... protože je to evidentně mimo vaše mentální schopnosti.

Wow, nechtel byste venovat mozek lidstvu, do muzea? ;-)

[qwertz]

Co kdyby jste místo agrumentace ad hominem konkrétně popsali vektor útoku na českou bezkontaktní kartu?

Zatím jsm se toho na 4 stranách bohužel nedočkali

[Peto]

Co kdyby jste místo agrumentace ad hominem konkrétně popsali vektor útoku na českou bezkontaktní kartu?

Utok 1: niekto si zaobstara antenu a precita z karty na dialku verejne udaje ako je cislo, platnost a niekedy posledne transakcie. Neprecita CVV2 kod, ale ten nie je vzdy treba pri platbe online. Posledne transakcie ohrozuju sukromie.
Na Androide toto zvlada Credit Card Reader NFC (EMV).

Utok 2: predavacka v obchode si zapamata CVV2 pri kontrole podpisu, citacka z utoku 1 si zapise ostatne cisla. Cele za sekundu.

Utok 3: stratis penazenku alebo ti ju niekto ukradne a spravi si nakupy po 20eur bez overovania a pinu.

[qwertz]

Utok 1: niekto si zaobstara antenu a precita z karty na dialku verejne udaje ako je cislo, platnost a niekedy posledne transakcie. Neprecita CVV2 kod, ale ten nie je vzdy treba pri platbe online. Posledne transakcie ohrozuju sukromie. Na Androide toto zvlada Credit Card Reader NFC (EMV).

Konečně konkrétní popis nad kterým se dá diskutovat. Sice jste se neobtěžoval své tvrzení a nešifrovaném přenosu čísla karty a její platnosti podložit např. odkazem na standard Mastercard nebo VISA, ale můžeme se pro účely diskuze chvíli tvářit, že máte pravdu (já to nevím). Nějak nerozumím tomu, proč by to mělo držitele karty jakkoli trápit:

Podle zákona o platebním styku §181 , dojde-li k neautorizované transakci, vydavatel karty uvede účet do původního do konce pracovního dne od nahlášení, přičemž podle §182 za ni vydavatel nese odpovědnost v plné výši. I kdyby jste měl pravdu, v čem to vadí držiteli karty?

České karty prakticky všechy vydavatelů používají 3D secure.  Jestliže útočník záískaná data použije k platbě v eshopu, v drtivě většině případů nezaplatí, protože nemá jednorázový kód. Pokud náhodou argumentujete provedením podvodné transakce bez CVC a 3D secure v nějakém eshopu někde v banánové republice (ano možné to je), smolíka má automaticky majitel eshopu či jeho banka, protože podle pravidel karetních asociací nese automaticky odpovědnost ta strana, která se rozhodla použít nižší zabezpečení. Opět nějak nerozumím tomu, v čem je tento scénář pro držitele karty nevýhodný nebo problematický.

Utok 2: predavacka v obchode si zapamata CVV2 pri kontrole podpisu, citacka z utoku 1 si zapise ostatne cisla. Cele za sekundu.

Tento příklad je naprostý nesmysl a naopak skvělou ukázkou toho, kdy bezkontaktní platby bezpečnost zvyšují. Prodavačka má na kopii účtenky pro prodejce číslo karty a platnost karty vytištěno. Proč by se měla krkolomně snažit tyto údaje snažit přečíst bezdrátově, když jí vyjedou vytištěné z terminálu?    Naopak při bezkontatní platbě nedáváte kartu z ruky, tzn. prodavačky CVC nikdy nezjistí.

Utok 3: stratis penazenku alebo ti ju niekto ukradne a spravi si nakupy po 20eur bez overovania a pinu.

Ano. Toto je jediné reálné riziko a podle zákona o platebním styku §182 nese držitel karty v takovém případě ztrátu do výše 50EUR. Všechno nad hradí banka. V česku některé banky tuto odpovědnost hradí plně (např. můj vydavatel karet). Měl bych se v takovém případě vzdát komfortu bezkontaktního placení, kterž je pro mě možná ztráta rovna nule?

[Peto]

Konečně konkrétní popis nad kterým se dá diskutovat. Sice jste se neobtěžoval své tvrzení a nešifrovaném přenosu čísla karty a její platnosti podložit např. odkazem na standard Mastercard nebo VISA, ale můžeme se pro účely diskuze chvíli tvářit, že máte pravdu (já to nevím).

Specifikacia nie je ani Mastercard, ani VISA, ale EMV:
http://legacy.emvco.com/specifications.aspx?id=223
Zvlada to aj Android za 50 eur a priemerna predavacka schopna obsluhovat kasu. Naozaj netreba nic krkolomne.

vydavatel nese odpovědnost v plné výši. I kdyby jste měl pravdu, v čem to vadí držiteli karty?

V tom, ze mu zablokuju kartu. To je zvlast neprijemne, ked sa to stretne s Murphyho zakonami. Vtedy on prave cestuje do zahranicia a mal tam hotel zarezervovany na tu kartu. Rezervaciu zrusia, dalsia rezervacia je na nervy a treba si so sebou nosit 2000 USD v hotovosti na hotel, keby banka zablokovala kartu. Nehovoriac o tom, ze sa niektore hotely zdrahaju ti dat izbu, ked chces vsetko platit v cashi.

Sukromie si zamlcal a to je tiez dolezite. Prikladam cast vypisu z nejakej ceskej CSOB karty precitanej cez penazenku. Vdaka mene to ukazuje aj kde sa majitel nachadzal a da sa odhadnut, co robil.

[qwertz]

Specifikacia nie je ani Mastercard, ani VISA, ale EMV:
http://legacy.emvco.com/specifications.aspx?id=223
Zvlada to aj Android za 50 eur a priemerna predavacka schopna obsluhovat kasu. Naozaj netreba nic krkolomne.

Takže znova. Prodavačka má tyto údaje vytištěny na účtence!!! Proč by šaškovala z nějakým mobilem a NFC? V tomto scénáři bezkontaktní placení bezpečnost zvyšuje, protože kartu nikdy nedáte z ruky a prodavačka si nemůže přečíst CVC. Číslo karty a platnost karty zná vždy, bez ohledu na to jakým způsobem jste zaplatil.

V tom, ze mu zablokuju kartu. To je zvlast neprijemne, ked sa to stretne s Murphyho zakonami. Vtedy on prave cestuje do zahranicia a mal tam hotel zarezervovany na tu kartu. Rezervaciu zrusia, dalsia rezervacia je na nervy a treba si so sebou nosit 2000 USD v hotovosti na hotel, keby banka zablokovala kartu. Nehovoriac o tom, ze sa niektore hotely zdrahaju ti dat izbu, ked chces vsetko platit v cashi.

Pokud cestujete s jednou kartou, o tento průser si koledujete bez ohledu na bezkontaktní platby.

Sukromie si zamlcal a to je tiez dolezite. Prikladam cast vypisu z nejakej ceskej CSOB karty precitanej cez penazenku. Vdaka mene to ukazuje aj kde sa majitel nachadzal a da sa odhadnut, co robil.

To je problém hloupého vydavatele karty nikoliv bezkontaktního placení. Transakce se na kartu ukládat nemusí (ostatně máte to v u té aplikace napsáno) a např. karty ČS transakce neukládají. ČSOB je kartami technologicky v pravěku, dodnes neumí minimálně u kreditek blokovat transakce bez přítomnosti karty (Internet, MO/TO) v internetovém bakovnictví, ani nastavovat jednotlivé limity.

[black3r]

Paci sa mi ako sa tu vsetci ohanate s CVC, prip. 3D Secure, ale to su len nastroje na ochranu predajcu pred poplatkami za storno.., na vykonanie platby staci cislo karty.., vsetky ostatne prvky (meno, expiration date, cvc/cvv/cvv2, adresa, 3D secure) su len volitelna verifikacia karty.., skuste si napr. nakupit na amazone, cvc nikde nezadavate...

ano, je pravda, ze platbu viete z vasej strany stornovat.., ale je vela ludi, co si vypis z uctu dokladne necita a chybajucich 5/10 eur si nevsimne

[Lemming]

ano, je pravda, ze platbu viete z vasej strany stornovat.., ale je vela ludi, co si vypis z uctu dokladne necita a chybajucich 5/10 eur si nevsimne

Takže celá tahle šaškárna je kvůli tomu, že by ti možná jednou někdy mohli ukrást CELÝCH 10 EUR? Není lepší věnovat čas nějakým podstatnějším věcem?