Dnia 03-09-03 23:22, Użytkownik Adam Płaszczyca napisał:
> Andrzej Kłos <a...@k...wp.pl> wrote:
>
>
>>jeżeli posiadasz VISĘ Electron (na podpis) dla ubogich typu VWBD i
>>stracisz ją w kraju, w którym nie przestrzega się zasad weryfikacji
>>płatności taką kartą (o dziwo w żadnym z krajów które wymieniłem czyli
>>Słowacja, Węgry i Chorwacja nigdy sprzedawcy nie weryfikowali mi
>>podpisu) tracisz forsę wyciągniętą z karty przez złodzieja przy pomocy
>>transakcji bezgotówkowych przed momentem zastrzeżeniem. W tym przypadku
>>wystarczy rąbnąć kartę i już jesteś w plecy.
>
>
>>tak?
>
>
> Nie. Od wejścia w życie ustawy o instrumentach płatniczych płacisz mac
> 150 Euro.
>
Czy mówisz o tym, co ma wejść za paredziesiąt dni?

150 Euro ~ 650 zł, to więcej niż wkładam na kartę (debetową) do
bieżących wydatków.

andy_nek

do góry

W artykule <bj89tb$o22$6@nemesis.news.tpi.pl> Adam Płaszczyca napisal(a):

> Rafał Ślubowski <s...@t...pl> wrote:
>
>> Ale na serio: nie wyobrażam sobie możliwości zmiany PIN-u, gdyby
>> był w nim zakodowany numer karty/konta. No bo wtedy system banku
>> musiałby na podstawie nowego PIN-kodu utworzyć(zgadnąć) algorytm
>> kodowania.
>
> Wystarczy, że numer karty będzie kluczem, albo częścią klucza użytego do
> szyfrowania.

Teoretycznie, może być. Jednakże, czy wyobrażasz sobie w praktyce klucz
(lub jego fragment) zapisany _na karcie_? Przecież to nie miałoby sensu
z punktu widzenia bezpieczeństwa.

A polemizowałem ze stwierdzeniem przedpiscy, że w PINkodzie jest zaszyty
numer karty/konta. No bo skoro mogę go sobie wymyśleć sam, bez zmiany
konta?

--
Rafał Ślubowski \\
slubek[at]top.pl * /O `----.
"Co komu do tego, skoro ** (_.-. )\
i tak mniejsza o to?" *|* rs //--// X

do góry

| Mam tylko jedno pytanie:
| Jak wobec tego wyjaśnisz możliwość zmiany PIN-u w KK mBanku?

Wyobrażam sobie to tak. mBank ma swoje centrum rozliczeniowe. Jak przychodzi
zapytanie o PIN, to program sprawdza w bazie danych. Pozostałe banki nie
dające możliwości zmiany PIN-u wykorzystują opisany przeze mnie algorytm. W
sumie, to podejrzewam (bo nie wiem tego), że każdy bank przechowuje dane
PIN-KARTA własnych klientów na własnym serwerze, a centra rozliczeniowe
zwracają się z zapytaniem po prostu do serwera danego banku.

do góry

| > Potem robili wtórnik
| > karty na legalnie zakupionej maszynie do robienia kart kredytowych. W
Polsce
| > każdy może coś takiego kupić bez pytania po co mu to.
|
| Jasne. Może sobie chce karty w firmie wprowadzić.
| To nie jest rocket science, gdyby nie można było tego kupić, to można
| to prostymi sposobami wyprodukować (w każdym razie wystarczająco dobrze,
| by bankomat nie marudził na taka kartę).

No tak, ale karty w firmie mają inny format zapisu (tzw. rzadki) w stosunku
do bankowych (tzw. gęsty). Po za tym ja nie jestem za zakazem posiadania
takich maszyn, tylko za monitoringiem wykorzystaniach tych nadających się do
produkcji kart kredytowych. Rejestracja użytkowników plus prawo do kontroli
wykorzystania.
|
| > Kilka tygodni temu było głośno, że ktoś tam ujawnił, że PIN-y nie są
| > przechowywane w żadnej bazie danych, tylko generowane z numeru karty.
|
| Nonsens.

Też tak sądzę.
|
| Ale nie da się jej zastosować, za małe długości kluczy.

Da się. W wyniku otrzymasz serię numerów kart, do których będą pasować
PIN-y.

| Tak czy owak, PIN normalnych kart nie jest zapisywany na karcie, a dowodem
| na to jest możliwość jego zmiany bez wyciągania karty z portfela.

Nie wszystkie banki dają taką możliwość. Zresztą przyszło mi do głowy, że
mogłoby to działać zupełnie inaczej. Bank, który daje możliwość zmiany PIN
robi taką sztuczkę, że zapisywana jest w bazie danych różnica pomiędzy
wygenerowanym automatycznie z numeru karty PIN-em. (zakładając, że taka
zależność istnieje) i wygenerowanym PIN-em. przez użytkownika. Jak
przychodni zapytanie od bankomatu czy POS, to własny serwer odejmuje od
przesłanego przez bankomat PIN-u zapisaną w bazie danych różnicę i następnie
postępuje, jak z normalnym PIN-em. To tylko propozycja, a nie twierdzenie,
że tak jest. W tym wypadku bank po prostu musi utrzymywać na serwerze bazę
danych tyć różnic.
|
| Swoja droga nie jest to prawda.

A tego nie wiem i wcale się nie upieram, że jest.
|
| > Czyli z PIN-u można wyliczyć
| > numer karty, ale w odwrotny sposób tego się zrobić nie da.
|
| Nie ma się nad czym zastanawiać, numer karty nie ma żadnego związku
| z PIN-em.

Ja nie twierdzę, że jest jakikolwiek związek z PIN-em. numeru karty. Zauważ,
że w moim poprzednim poście napisałem, że wątpię, by taki związek istniał.
Ja tylko twierdzę, że nawet jakbyśmy chcieli, by taki związek istniał, to są
możliwe o wiele bezpieczniejsze procedury, niż wyliczanie tego z numeru
karty.

do góry

| To co powiesz na telefoniczne ustawianie PINu bez jakiejkolwiek
| obecności karty w przypadku np. VE Inteligo? Masz rację, że wątpisz.

A to się akurat da zrealizować i w proponowanej przeze mnie metodzie. W
bazie danych przechowuję różnice pomiędzy wygenerowanym z numeru karty
PIN-em, a wygenerowanym przez właściciela karty. Jak nadchodzi zapytanie z
POS, to od przesłanego PIN-u dodaję różnicę pobraną z bazy danych i dalej
postępuję, jak z normalnym PIN-em.

do góry

"Robert Tomasik" <r...@g...pl> writes:

> No tak, ale karty w firmie mają inny format zapisu (tzw. rzadki) w stosunku
> do bankowych (tzw. gęsty).

Niekoniecznie.

> Po za tym ja nie jestem za zakazem posiadania
> takich maszyn, tylko za monitoringiem wykorzystaniach tych nadających się do
> produkcji kart kredytowych.

One nie nadaja sie do produkcji kart kredytowych (fizyczne zabezpieczenia
kart). Jak wyobrazasz sobie ten monitoring? Taki czytnik to jest dosc male
pudeleczko, ktore mozna podpiac nawet do peceta.

> Rejestracja użytkowników plus prawo do kontroli
> wykorzystania.

A cel tych dzialan? Bo nie widze zadnego sensownego. Tak jak pisalem,
takie urzadzenie (moze gorsze, ale potrafiace odpowiednio zapisac karte)
mozna wyprodukowac z naprawde powszechnie dostepnych elementow. Takze
chcialbys je rejestrowac i kontrolowac?

> | > Kilka tygodni temu było głośno, że ktoś tam ujawnił, że PIN-y nie są
> | > przechowywane w żadnej bazie danych, tylko generowane z numeru karty.
> | Nonsens.
> Też tak sądzę.

Tu nie ma nic do sadzenia, to jest fakt niewatpliwy :-)

> Da się. W wyniku otrzymasz serię numerów kart, do których będą pasować
> PIN-y.

Ale myslalem o jakims sensownym zastosowaniu, np. takim, ktore sie moze
do czegos przydac.

> Nie wszystkie banki dają taką możliwość.

Wystarczy jeden np. z VISA i jeden z MC. Nie potrzeba wszystkich.

> Zresztą przyszło mi do głowy, że
> mogłoby to działać zupełnie inaczej. Bank, który daje możliwość zmiany PIN
> robi taką sztuczkę, że zapisywana jest w bazie danych różnica pomiędzy
> wygenerowanym automatycznie z numeru karty PIN-em. (zakładając, że taka
> zależność istnieje) i wygenerowanym PIN-em.

Jaki mialby byc cel takiego dzialania w porownaniu do zwyczajnego zapisania
(tak jak to robia banki) par numer_karty + PIN (ew. numer_karty bez BINu)?
Bo wbrew pozorom bezpieczenstwa to to nie zwieksza, choc moze zwieksza
pozory bezpieczenstwa.

Tak czy owak, PINy sa za krotkie by dalo sie z nimi robic jakies
kryptograficzne sztuczki. Bank musi byc w stanie sprawdzic PIN.

> Ja tylko twierdzę, że nawet jakbyśmy chcieli, by taki związek istniał, to są
> możliwe o wiele bezpieczniejsze procedury, niż wyliczanie tego z numeru
> karty.

Jasne, nie ma sie wiec nad czym rozwodzic.
--
Krzysztof Halasa, B*FH

do góry

"Robert Tomasik" <r...@g...pl> writes:

> W
> sumie, to podejrzewam (bo nie wiem tego), że każdy bank przechowuje dane
> PIN-KARTA własnych klientów na własnym serwerze, a centra rozliczeniowe
> zwracają się z zapytaniem po prostu do serwera danego banku.

Dokladnie.
--
Krzysztof Halasa, B*FH

do góry

Andrzej Kłos <a...@k...wp.pl> wrote:
> Czy mówisz o tym, co ma wejść za paredziesiąt dni?

> 150 Euro ~ 650 zł, to więcej niż wkładam na kartę (debetową) do
> bieżących wydatków.

Ale i tak możę się okazać, że w myśl art. 16 po transakcji z PIN-em bank
się wypnie i każe sobie płacić całość.

Masz 'bezpieczny' PIN :>

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122 688
___/ /_ ___ ul. Ludwiki 1 m. 74, 01-226 Warszawa
_______/ /_ IRC: _555, http://trzypion.oldfield.org.pl/wieliczka/
___________/ mail: _...@i...pl UIN: 4098313 GG: 3524356

do góry

| One nie nadaja sie do produkcji kart kredytowych (fizyczne zabezpieczenia
| kart). Jak wyobrazasz sobie ten monitoring? Taki czytnik to jest dosc male
| pudeleczko, ktore mozna podpiac nawet do peceta.

Ale mnie nie o czytnik chodzi, tylko o drukarkę. A już trochę większe
draństwo.
|
| A cel tych dzialan? Bo nie widze zadnego sensownego. Tak jak pisalem,
| takie urzadzenie (moze gorsze, ale potrafiace odpowiednio zapisac karte)
| mozna wyprodukowac z naprawde powszechnie dostepnych elementow. Takze
| chcialbys je rejestrowac i kontrolowac?

No cóż. Nie wiedziałem, że to takie proste. Wydawało mi się bardziej
skomplikowane.
|
| Tu nie ma nic do sadzenia, to jest fakt niewatpliwy :-)

Na wojnie nie ma rzeczy niemożliwych. po prostu niektóre są mniej
prawdopodobne - jak mawiał wykładowca z taktyki.
|
| Jaki mialby byc cel takiego dzialania w porownaniu do zwyczajnego
zapisania
| (tak jak to robia banki) par numer_karty + PIN (ew. numer_karty bez BINu)?
| Bo wbrew pozorom bezpieczenstwa to to nie zwieksza, choc moze zwieksza
| pozory bezpieczenstwa.

Przyspieszenie pracy i mniejsza wrażliwość na ewentualne awarie. W końcu o
wiele prościej odtworzyć formułę, niż bazę danych. No i objętość baz danych.
Formułka, to kilkaset kilo, zaś taka baza, to trochę więcej waży.

do góry

"Robert Tomasik" <r...@g...pl> writes:

> | One nie nadaja sie do produkcji kart kredytowych (fizyczne zabezpieczenia
> | kart). Jak wyobrazasz sobie ten monitoring? Taki czytnik to jest dosc male
> | pudeleczko, ktore mozna podpiac nawet do peceta.
>
> Ale mnie nie o czytnik chodzi, tylko o drukarkę. A już trochę większe
> draństwo.

Nie ma czegos takiego jak "drukarka" kart bankowych. Plastiki sa zamawiane
w zewnetrznych firmach, ktorych jest niewiele, ktore maja uklady z VISA
etc, i ktore nie sprzedadza ich komus z ulicy, a nawet gdyby sprzedaly,
to i tak plastiki maja poczatkowe cyfry numeru.

Produkowali plastiki albo wytlaczali nowe numery na starych? Watpie.

Jedyna wzglednie prosta mozliwosc to tylko zmiana zawartosci paska
magnetycznego i liczenie na to, ze sprzedawca nie zauwazy roznych numerow
na karcie i na kwicie. Ale jak zauwazy, to moze byc zasadniczy problem
- stad zreszta nalepki na terminalach przypominajace o porownaniu numerow.

Kart handlobanku juz nie ma (nie mialy numerow).

Stad patenty ze zmiana kodu obslugi na VE (->VC), ale do tego tez nie
potrzeba niczego innego niz czytnik.

> No cóż. Nie wiedziałem, że to takie proste. Wydawało mi się bardziej
> skomplikowane.

Technika idzie do przodu. Nawet mozna nie kupowac, a zlecic firmie
zrobienie (wytloczenie + zapisanie) kart (samo zapisanie to sie chyba
nie oplaca, bo czytnik jest tani i mozna go latwo podpiac do peceta).

> Przyspieszenie pracy i mniejsza wrażliwość na ewentualne awarie. W końcu o
> wiele prościej odtworzyć formułę, niż bazę danych. No i objętość baz danych.
> Formułka, to kilkaset kilo, zaś taka baza, to trochę więcej waży.

To by musialo byc fatalnie niebezpieczne.

Tak czy owak banki powinny miec systemy przynajmniej zduplikowane -
tzn. w sensie klastra maszyn w roznych lokalizacjach. Takie rzeczy jak
mirroring bazy + codzienny backup i log transakcji to banki maja
(zreszta wiele systemow o duzo mniejszym znaczeniu jest podobnie
zabezpieczonych).
--
Krzysztof Halasa, B*FH

do góry