Andrzej Kłos <a...@k...wp.pl> wrote:

> jeżeli posiadasz VISĘ Electron (na podpis) dla ubogich typu VWBD i
> stracisz ją w kraju, w którym nie przestrzega się zasad weryfikacji
> płatności taką kartą (o dziwo w żadnym z krajów które wymieniłem czyli
> Słowacja, Węgry i Chorwacja nigdy sprzedawcy nie weryfikowali mi
> podpisu) tracisz forsę wyciągniętą z karty przez złodzieja przy pomocy
> transakcji bezgotówkowych przed momentem zastrzeżeniem. W tym przypadku
> wystarczy rąbnąć kartę i już jesteś w plecy.

> tak?

Nie. Od wejścia w życie ustawy o instrumentach płatniczych płacisz mac
150 Euro.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://trzypion.oldfield.org.pl/wieliczka/
___________/ mail: _...@i...pl UIN: 4098313 GG: 3524356

do góry

W Polsce była jedna taka sprawa i to ją pokazują od czasu do czasu. Ale to
wyglądało w ten sposób, że montowano na bankomacie takie coś zczytujące
pasek oraz małą kamerkę, która rejestrowała palce wpisujące PIN. Sygnały
odbierano do laptopa radiowo. A laptop był dla tego, że zasięg nadajnika był
niewielki, więc gość siedział w samochodzie nieopodal. Potem robili wtórnik
karty na legalnie zakupionej maszynie do robienia kart kredytowych. W Polsce
każdy może coś takiego kupić bez pytania po co mu to. I wcale nie kosztuje
dużo. Reszty można się już domyślić.

Kilka tygodni temu było głośno, że ktoś tam ujawnił, że PIN-y nie są
przechowywane w żadnej bazie danych, tylko generowane z numeru karty.
Osobiście w to wątpię. Po pierwsze za duże ryzyko w wypadku ujawnienia
procedury przez jakiegoś kretyna w Internecie. Zanim by zdołali opanować
sytuację i pozabierać ludziom karty albo zmienić PIN-y, to już wszyscy by
podnieśli, że jemu ktoś ukradł kartę i wybrał ten 1.000.000 zł. Po drugie
bez sensu, bo można zastosować niesymetryczne kodowanie, które umożliwi na
przykład obliczenie numeru karty z kodu, ale w drugą stronę już nie działa.
Coś na wzór podpisu elektronicznego. Przecież to o wiele prostsze, a metoda
znana jest od dawna.

Osobiście podejrzewam, że ta kaczka dziennikarska wynikła najpewniej z braku
wiedzy merytorycznej u jakiegoś pismaka. Pewnie ktoś komuś powiedział, że
PIN-y nie są przechowywane w bazie danych tylko za każdym razem obliczane w
jakiejś procedurze. No to ten drugi wymyślił, że musi istnieć więc wzór
matematyczny łączący numer karty i PIN. Jeśli nie interesował się
kryptografią, to nawet do głowy mu nie przyszło, że może istnieć taka
sytuacja, że to wzór tylko w jedną stronę. Czyli z PIN-u można wyliczyć
numer karty, ale w odwrotny sposób tego się zrobić nie da. Przy czym w
odwrotny sposób to nie zadziała. Z tym, że osobiście nie wiem dokładnie, jak
to wygląda i mogę się co najwyżej domyślać.

Spodziewam się, że pewnie z PIN-u uzyskuje się tylko niektóre części numeru
karty, które się porównuje. Moje spostrzeżenie wynika z faktu, że PIN-ów
może być co najwyżej 10000, zaś numerów kart o wiele więcej. Stąd też może
się a nawet musi zdarzyć, że niektóre karty będą miały ten sam PIN przy
zupełnie innych numerach. Ale to jest stosunkowo proste do zrobienia.
Zakładamy, że na przykład pierwsza cyfra PIN jest elektronicznym podpisem
dla sumy cyfr nieparzystych, druga dla sumy cyfr parzystych, trzecia dla
iloczynów liczb parzystych a czwarta dla iloczynu liczb nieparzystych.
Algorytm ten jest przypadkowy i wymyślony przeze mnie. Bankomat, czy POS
wysyła do centrum numer karty i PIN. Centrum oblicza te cztery działania a
następnie sprawdza, czy PIN jest prawidłowym podpisem. W ten sposób nie ma
możliwości ustalenia PIN-u na podstawie numeru karty, choć zależy on od tego
numeru.

do góry

[...]
> wysyła do centrum numer karty i PIN. Centrum oblicza te cztery działania a
> następnie sprawdza, czy PIN jest prawidłowym podpisem. W ten sposób nie ma
> możliwości ustalenia PIN-u na podstawie numeru karty, choć zależy on od
tego
> numeru.
>

PIN nie jest w żaden sposób wyliczany. Serwery bankowe pamiętają numery kart
w powiązaniu z PIN-em i czasami specjalnym offsetem PIN-u (umożliwia jego
zmianę). Z karty w żaden sposób nie dowiesz się, jaki ma ona PIN (chyba że
ktoś go sobie na niej zapisze mazakiem :-))

pzdr.
Sławekm

do góry

W artykule <bj5qs0$shd$18@inews.gazeta.pl> Robert Tomasik napisal(a):

> Spodziewam się, że pewnie z PIN-u uzyskuje się tylko niektóre części numeru
> karty, które się porównuje. [...]
> Algorytm ten jest przypadkowy i wymyślony przeze mnie. Bankomat, czy POS
> wysyła do centrum numer karty i PIN. Centrum oblicza te cztery działania a
> następnie sprawdza, czy PIN jest prawidłowym podpisem. W ten sposób nie ma
> możliwości ustalenia PIN-u na podstawie numeru karty, choć zależy on od tego
> numeru.

Mam tylko jedno pytanie:
Jak wobec tego wyjaśnisz możliwość zmiany PIN-u w KK mBanku?

Ciekawski,
--
Rafał Ślubowski \\
slubek[at]top.pl * /O `----.
"Co komu do tego, skoro ** (_.-. )\
i tak mniejsza o to?" *|* rs //--// X

do góry

Użytkownik "Liwiusz" <l...@p...onet.pl> napisał w wiadomości
news:10d5.0000226c.3f55b583@newsgate.onet.pl...
>
> Od czasu do czasu w mediach poruszany jest problem 'kopiowania' kart.
> Pokazują zwykle wtedy laptopa z odpowiednią przystawką do tego służącą. Z
> niektórych relacji można się było wtedy dowiedzieć, że istnieje możliwość
> sprawdzenia PINu takiej karty. Ile jest w tym racji - nie wiem.

PIN nie jest w żaden sposób zapisany na karcie. Najlepszym dowodem
jest to, że np. w Inteligo można zmienić PIN karty przez WWW, gdy
karta leży sobie spokojnie w portfeliku.

Pozdrawiam,
Artur

do góry

Rafał Ślubowski <s...@t...pl> wrote:

> Mam tylko jedno pytanie:
> Jak wobec tego wyjaśnisz możliwość zmiany PIN-u w KK mBanku?

Prosto - zmieniasz zapis w systemach banku.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://trzypion.oldfield.org.pl/wieliczka/
___________/ mail: _...@i...pl UIN: 4098313 GG: 3524356

do góry

W artykule <bj74v4$qbt$1@nemesis.news.tpi.pl> Adam Płaszczyca napisal(a):

> Rafał Ślubowski <s...@t...pl> wrote:
>
>> Mam tylko jedno pytanie:
>> Jak wobec tego wyjaśnisz możliwość zmiany PIN-u w KK mBanku?
>
> Prosto - zmieniasz zapis w systemach banku.

"Ja to wiem, i Ty to wiesz. Ale czy On to wie?" :-)

Ale na serio: nie wyobrażam sobie możliwości zmiany PIN-u, gdyby
był w nim zakodowany numer karty/konta. No bo wtedy system banku
musiałby na podstawie nowego PIN-kodu utworzyć(zgadnąć) algorytm
kodowania.

--
Rafał Ślubowski \\
slubek[at]top.pl * /O `----.
"Co komu do tego, skoro ** (_.-. )\
i tak mniejsza o to?" *|* rs //--// X

do góry

Rafał Ślubowski <s...@t...pl> wrote:

> Ale na serio: nie wyobrażam sobie możliwości zmiany PIN-u, gdyby
> był w nim zakodowany numer karty/konta. No bo wtedy system banku
> musiałby na podstawie nowego PIN-kodu utworzyć(zgadnąć) algorytm
> kodowania.

Wystarczy, że numer karty będzie kluczem, albo częścią klucza użytego do
szyfrowania.

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://trzypion.oldfield.org.pl/wieliczka/
___________/ mail: _...@i...pl UIN: 4098313 GG: 3524356

do góry

"Robert Tomasik" <r...@g...pl> writes:

> Potem robili wtórnik
> karty na legalnie zakupionej maszynie do robienia kart kredytowych. W Polsce
> każdy może coś takiego kupić bez pytania po co mu to.

Jasne. Moze sobie chce karty w firmie wprowadzic.
To nie jest rocket science, gdyby nie mozna bylo tego kupic, to mozna
to prostymi sposobami wyprodukowac (w kazdym razie wystarczajaco dobrze,
by bankomat nie marudzil na taka karte).

> Kilka tygodni temu było głośno, że ktoś tam ujawnił, że PIN-y nie są
> przechowywane w żadnej bazie danych, tylko generowane z numeru karty.

Nonsens.

> Osobiście w to wątpię. Po pierwsze za duże ryzyko w wypadku ujawnienia
> procedury przez jakiegoś kretyna w Internecie. Zanim by zdołali opanować
> sytuację i pozabierać ludziom karty albo zmienić PIN-y, to już wszyscy by
> podnieśli, że jemu ktoś ukradł kartę i wybrał ten 1.000.000 zł. Po drugie
> bez sensu, bo można zastosować niesymetryczne kodowanie, które umożliwi na
> przykład obliczenie numeru karty z kodu, ale w drugą stronę już nie działa.
> Coś na wzór podpisu elektronicznego. Przecież to o wiele prostsze, a metoda
> znana jest od dawna.

Ale nie da sie jej zastosowac, za male dlugosci kluczy.
Tak czy owak, PIN normalnych kart nie jest zapisywany na karcie, a dowodem
na to jest mozliwosc jego zmiany bez wyciagania karty z portfela.

> Osobiście podejrzewam, że ta kaczka dziennikarska wynikła najpewniej z braku
> wiedzy merytorycznej u jakiegoś pismaka. Pewnie ktoś komuś powiedział, że
> PIN-y nie są przechowywane w bazie danych tylko za każdym razem obliczane w
> jakiejś procedurze.

Swoja droga nie jest to prawda.

> No to ten drugi wymyślił, że musi istnieć więc wzór
> matematyczny łączący numer karty i PIN. Jeśli nie interesował się
> kryptografią, to nawet do głowy mu nie przyszło, że może istnieć taka
> sytuacja, że to wzór tylko w jedną stronę.

Tu by mial racje.

> Czyli z PIN-u można wyliczyć
> numer karty, ale w odwrotny sposób tego się zrobić nie da.

Nie ma sie nad czym zastanawiac, numer karty nie ma zadnego zwiazku
z PINem.
--
Krzysztof Halasa, B*FH

do góry

> Kilka tygodni temu było głośno, że ktoś tam ujawnił, że PIN-y nie są
> przechowywane w żadnej bazie danych, tylko generowane z numeru karty.
> Osobiście w to wątpię.

To co powiesz na telefoniczne ustawianie PINu bez jakiejkolwiek
obecności karty w przypadku np. VE Inteligo? Masz rację, że wątpisz.

Tomek

do góry