Dawid Rutkowski <d...@w...pl> writes:

> Poczytałem trochę o tym, dlaczego u wielkiego brata tak robią -
> wniosek taki, że za dużo trzebaby zainwestować w infrastrukturę do
> sprawdzania PINu online. Nie wiem, dlaczego mają jakiś problem z PINem
> off-line - akurat w modelu akceptacji kart, jaki mają w USA, pasuje
> idealnie.

No ale PIN online jest normalnie zbędny (pomijając IMHO nieistotne
wyjątki).

>> Bo co tu weryfikować. Podpis to nie jest potwierdzenie tożsamości, tylko
>> potwierdzenie, że klient przeprowadził transakcję.
>
> Po to na karcie jest "authorized signature" (inna sprawa, czy ktoś je
> "authorize")

Nie ma czegoś takiego, tu słowo "authorized" oznacza "osobę uprawnioną".
Tak jak np. w przypadku kart firmowych, w przypadku osób uprawnionych do
reprezentowania np. osób prawnych itp.

> żeby było podpis z czym porównać

A kto to ma robić? Nawet grafolog ma z tym problem, kasjer w sklepie nie
ma najmniejszych kwalifikacji do porównywania podpisów.

> - a póki co raczej robi
> to tylko człowiek - chyba że te terminale wysyłają te podpisy do
> porównania do banku - ew. porównują lokalnie ze wzorem podpisu
> zapisanym na karcie.

Ciekawe pomysły.

> PIN się przecież weryfikuje.
> Więc po co komu podpis, którego się nie sprawdza ? Równie dobrze
> mogłoby go nie być.

Bo to jest potwierdzenie, że klient wyraził zgodę na transakcję.

>> A potem zdjęcie "tych klientów nie obsługujemy", policja, itd.
>
> To co, fotografują każdego klienta, który płaci ?

CCTV jest dość powszechnie stosowane.
--
Krzysztof Hałasa

do góry

> No ale PIN online jest normalnie zbędny (pomijając IMHO nieistotne
> wyjątki).

Hmm, płacenie pikaczem > 50zł to nieistotny wyjątek ?
"IMHO" oczywiście sprawą jasną jest - ale gdyby i visa tak uważała, to by nie
dokupiła od mc licencji na ten kawałek technologii.
Dla mnie to 50% - a może i więcej - płacenia kartą. Miałem krótko kartę bez pikacza -
a używałem jej, bo jako jedyna miała do spełnienia warunek liczby transakcji do
bezpłatności (ale chciałem ją mieć, bo była to jedyna moja visa) - i wygoda była
nieporównanie mniejsza.
Drugi - czy też podkategoria pierwszego - wyjątek, który bardzo sobie chwalę, choć
skutecznie rynku nie zdobywa, to naklejka zbliżeniowa do KK - zrobiłem sobie do niej
brelok do kluczy.

A z drugiej strony jest kretyńska kategoria autoryzacji 1F, czyli autoryzacja on-line
z PINem off-line. Po co to komu ? Ale jest i jest coraz popularniejsze, sklepy
autoryzują karty on-line jeśli tylko mogą, mi się autoryzacja off-line zdarza już
tylko dla pikaczu < 50zł, a przy transakcji z chipa na dowolną sumę jest zwykle
właśnie 1F.

W USA pikacz się jakoś nie przymuje - choć ma olbrzymią bazę, np. 10 milionów
iPhone'ów 6 sprzedanych w pierwszy weekend - więc PIN online może nie jest konieczny
(a chyba applepay też go nie wymaga z uwagi na secure element wbudowany w telefon) -
ale z jakiegoś niewiadomego powodu wybrali tam chip & signature zamiast PINu offline.

> > żeby było podpis z czym porównać
> A kto to ma robić? Nawet grafolog ma z tym problem, kasjer w sklepie nie
> ma najmniejszych kwalifikacji do porównywania podpisów.

Hmm, w banku też grafolodzy nie pracują, a autoryzujesz dyspozycje (chociażby wypłaty
kasowej) podpisem, który sprawdzają z tym z umowy. I ostatnio mi się zdarzyło, że
musiałem wzór podpisu aktualizować, bo podpisałem się na tyle inaczej od tego w banku
- dobrze, że podpis zgadzał się z tym w nowym dowodzie, bo by się jeszcze policja
przyplątała ;>

Wbrew pozorom wcale nie jest tak łatwo podrobić podpis tak, żeby nawet niewprawne oko
nie nabrało podejrzeń - a jeszcze w sytuacji stresowej...
Kasjer pewnie okiem niewprawnym będzie, bo w dobie PINów nie ma na czym ćwiczyć, ale
jeśli karty na podpis byłyby powszechne to jakiś tam % fraudów by wyłapał - czy też
może powszechna wiedza o tym, że "to widać", powstrzymałaby różnych wannabe
przestępców, bo profesjonalni to daliby sobie z tym radę.

> > - a póki co raczej robi
> > to tylko człowiek - chyba że te terminale wysyłają te podpisy do
> > porównania do banku - ew. porównują lokalnie ze wzorem podpisu
> > zapisanym na karcie.
>
> Ciekawe pomysły.

Skoro dało się zrobić taki opis odcisku palca, który można przetelegrafować, a także
posortować kartotekę tak, by zastosować logarytmiczne wyszukiwanie, to da się tak też
zrobić z podpisem.
Chipy pamięć mogą mieć sporą, w paszporcie masz zdjęcie oraz odciski palców (zdjęcie
można sobie odczytać telefonem NFC), więc i podpis mógłby być.
Z resztą to mnie zawsze dziwiło, po co każą podpisywać karty (a do tego jest zwykle
problem ze znalezieniem długopisu, który by się nie zmywał, ostatnio zadziałał mi
dobrze stary, dobry pentel, którym jeszcze maturę pisałem), skoro w banku wzór
podpisu posiadacza mają ?
A jak zapomnisz podpisać (albo podpis się zetrze - mi starł się po 2 latach) to może
być problem - kiedyś po wymianie karty - i to z paskowej na chipową - tak miałem,
dobrze, że pani była łaskawa i karty mi nie zabrała, a nawet pożyczyła flamastra do
podpisania - ale dowód pokazać musiałem.

> > PIN się przecież weryfikuje.
> > Więc po co komu podpis, którego się nie sprawdza ? Równie dobrze
> > mogłoby go nie być.
> Bo to jest potwierdzenie, że klient wyraził zgodę na transakcję.

Jeśli nie jest na miejscu przynajmniej porównany z podpisem na karcie, to jest to
potwierdzenie, że "ktoś" na transakcję wyraził zgodę, niekoniecznie właściciel karty.
Czy po to każemy się klientowi podpisać, żeby w razie fraudu nie mógł powiedzieć, że
wszystkie transakcje z tego miesiąca to nie on zrobił ?
To coś jak domofon, do którego kody znane są w okolicy - jedynie utrudnia życie
mieszkańcom bloku, a przed niczym nie chroni.
Choć z drugiej strony podobno friendly-frauds to też spora plaga...
Może po to ten nieszcześny podpis, żeby grafolog mógł powiedzieć - tu kupował klient,
a tu naprawdę nie on.

do góry

> - na terminalu ma pani napisane nacisnac jadynke jak podpis zgodny

Właśnie - "maszynką" do porównywania podpisu z tym na karcie jest kasjer.
Oczywiście jest to utrudnione przez dostosowanie infrastruktury (przynajmniej w PL)
do kart pikaczowo-pinowych, czyli co najmniej PIN-pad z czytnikiem pikaczu - a i
często po prostu cały terminal z czytnikiem chipów - wystawiony do klienta i brak
podawania karty sprzedawcy - ale przecież nie uniemożliwione.
Zastanawiam się tylko nad tym, jak porównać podpis ze slipa z tym na karcie, która
siedzi w czytniku ;) Choć pewnie wtedy już kartę z czytnika wyjąć można.

Po co więc zawracać głowę podpisywaniem, którego nikt nie weryfikuje ?
Niech fotografują gęby kupujących, a nie opóźniają.

PS.: A to dostosowanie infrastruktury jest, jak dla mnie, podstawą. Jakiś czas temu
nabijałem się z OBI, chyba na forum mBanku, że mają terminale z PIN-padami z
wbudowanymi czytnikami pikaczu, ale taki pin-pad leży od strony kasjerki i sobie
można "piknąć" najwyżej pod nosem.
Może przeczytali, a może i innym klientom się to nie podobało, bo po jakimś pół roku
(może wcześniej, ja tam bywam raz na pół roku ;) już znaleźli sposób, żeby te
pin-pady na stałe do klientów wystawić, choć trzeba było w tym celu kabelek
przeciągnąć...

do góry

W dniu wtorek, 16 sierpnia 2016 17:24:26 UTC+2 użytkownik Dawid Rutkowski napisał:

> Hmm, w banku też grafolodzy nie pracują, a autoryzujesz dyspozycje (chociażby
wypłaty kasowej) podpisem, który sprawdzają z tym z umowy. I ostatnio mi się
zdarzyło, że musiałem wzór podpisu aktualizować, bo podpisałem się na tyle inaczej od
tego w banku - dobrze, że podpis zgadzał się z tym w nowym dowodzie, bo by się
jeszcze policja przyplątała ;>

Akurat w nowych dowodach to podpisów nie ma;)

do góry

> Akurat w nowych dowodach to podpisów nie ma;)
Serio ?
Hmm, pytanie czy dobry to pomysł czy zły (brak adresu uważam za dobry, choć podobno
klopoty na poczcie są przy odbiorze przesyłki dla kogoś - ale z drugiej strony te
kłopoty powinny być i nikomu poza adresatem przesyłki poleconej wydać nie powinni) ?
A mój nie jest aż tak nowy - jest z 2014 - "nowy" był w konteście tego, że został
zmieniony po założeniu konta w tym banku, więc bank miał ksero tylko tego starszego,
przy aktualizacji danych już nowego nie kserowali.
Tegoroczny dowód ma synek - ale on ma 2,5 roku, więc raczej podpisać się nie mógł ;>

do góry

Dnia Tue, 16 Aug 2016 09:03:37 -0700 (PDT), Dawid Rutkowski
>> Akurat w nowych dowodach to podpisów nie ma;)
> Serio ?
> Hmm, pytanie czy dobry to pomysł czy zły (brak adresu uważam za
> dobry, choć podobno klopoty na poczcie są przy odbiorze przesyłki
> dla kogoś - ale z drugiej strony te kłopoty powinny być i nikomu
> poza adresatem przesyłki poleconej wydać nie powinni) ?

jak zastana kogokolwiek w domu, to wydadza i o personalia nie pytaja.
chyba ze "do rak wlasnych".

A czy dobrze ... powiedzmy w podrozy jestes, a tam list z sadu, potem
od komornika :-)

Jeszcze mozna na odcisk palca ..


J.

do góry

On 8/16/2016 10:37 AM, Dawid Rutkowski wrote:
>> - na terminalu ma pani napisane nacisnac jadynke jak podpis zgodny
>
> Właśnie - "maszynką" do porównywania podpisu z tym na karcie jest kasjer.
> Oczywiście jest to utrudnione przez dostosowanie infrastruktury (przynajmniej w PL)
do kart pikaczowo-pinowych, czyli co najmniej PIN-pad z czytnikiem pikaczu - a i
często po prostu cały terminal z czytnikiem chipów - wystawiony do klienta i brak
podawania karty sprzedawcy - ale przecież nie uniemożliwione.
> Zastanawiam się tylko nad tym, jak porównać podpis ze slipa z tym na karcie, która
siedzi w czytniku ;) Choć pewnie wtedy już kartę z czytnika wyjąć można.


Nie mozna.
Karte mozesz wyjac jak juz jest po wszystkim.
Nikt zadnego podpisu nie porownuje i nie zamierza.
To ewentualnie bedzie dowod jak bedziesz protestowal, ze to nie ty.
Ale nie w czasie zakupow.
Zaden sklep nie zamierza odstraszac sobie klientow.

do góry

Dawid Rutkowski <d...@w...pl> writes:

> Hmm, płacenie pikaczem > 50zł to nieistotny wyjątek ?

Jasne. Wystarczy zrobić transakcję "kontaktową" i może być PIN offline.
Po co w ogóle tam NFC to nie wiem. Żeby się styki w terminalu nie
wycierały?
Nie widzę żadnej innej zalety.

> A z drugiej strony jest kretyńska kategoria autoryzacji 1F, czyli
> autoryzacja on-line z PINem off-line. Po co to komu ?

To akurat jest sensowne, ponieważ pozwala na założenie blokady (nie
można robić transakcji bez pokrycia, bank może wydawać karty każdemu),
ale nie wymaga przesyłania PINu do banku (nie wiadomo po co, jeśli karta
zna PIN i potrafi go bezpiecznie zweryfikować).

> Hmm, w banku też grafolodzy nie pracują, a autoryzujesz dyspozycje
> (chociażby wypłaty kasowej) podpisem, który sprawdzają z tym z umowy.

Aaaa, nie oglądają przypadkiem np. jakiegoś DO?
Są jeszcze takie banki?

> Wbrew pozorom wcale nie jest tak łatwo podrobić podpis tak, żeby nawet
> niewprawne oko nie nabrało podejrzeń - a jeszcze w sytuacji
> stresowej...

Nie jest także łatwo samemu podpisać się tak, żeby niewprawne oko nie
nabrało podejrzeń :-)

> Kasjer pewnie okiem niewprawnym będzie, bo w dobie PINów nie ma na
> czym ćwiczyć, ale jeśli karty na podpis byłyby powszechne to jakiś tam
> % fraudów by wyłapał - czy też może powszechna wiedza o tym, że "to
> widać", powstrzymałaby różnych wannabe przestępców, bo profesjonalni
> to daliby sobie z tym radę.

Wątpię. Karty "na podpis" były jeszcze niedawno powszechne, i nic
takiego się nie działo.

> Z resztą to mnie zawsze dziwiło, po co każą podpisywać karty (a do
> tego jest zwykle problem ze znalezieniem długopisu, który by się nie
> zmywał, ostatnio zadziałał mi dobrze stary, dobry pentel, którym
> jeszcze maturę pisałem), skoro w banku wzór podpisu posiadacza mają ?

A co ma do tego bank? Przecież bank nawet nie widzi podpisu klienta na
sklepowym kwicie.

> A jak zapomnisz podpisać (albo podpis się zetrze - mi starł się po 2
> latach) to może być problem - kiedyś po wymianie karty - i to z
> paskowej na chipową - tak miałem, dobrze, że pani była łaskawa i karty
> mi nie zabrała,

Nie miała prawa zabrać bez polecenia banku :-)

> a nawet pożyczyła flamastra do podpisania - ale dowód
> pokazać musiałem.

Nie było takiego przymusu, aczkolwiek bez okazania dokumentu tożsamości
pani mogła odmówić akceptacji transakcji :-)

> Jeśli nie jest na miejscu przynajmniej porównany z podpisem na karcie,
> to jest to potwierdzenie, że "ktoś" na transakcję wyraził zgodę,
> niekoniecznie właściciel karty.

Aktualny posiadacz karty.
W przypadku utraconej karty za takie transakcje odpowiadają klient oraz
bank, dla sklepu to jest wystarczające.
Natomiast za transakcje, których nie potwierdził klient, odpowiada
sklep.

> Czy po to każemy się klientowi podpisać, żeby w razie fraudu nie mógł
> powiedzieć, że wszystkie transakcje z tego miesiąca to nie on zrobił ?

Nie, raczej po to, by w przypadku braku fraudu nie twierdził, że nie
używał karty.
BTW takie rzeczy się zdarzają dość często, np. sklep ma dziwną nazwę
albo adres i klienci reklamują transakcje (bo skąd mieliby wiedzieć co
to za sklep - kwoty mają pamiętać?).

> Może po to ten nieszcześny podpis, żeby grafolog mógł powiedzieć - tu
> kupował klient, a tu naprawdę nie on.

Raczej po to, by można było pokazać kopię kwitu klientowi, i by ten
powiedział - "a rzeczywiście to mój podpis".
--
Krzysztof Hałasa

do góry

W dniu wtorek, 16 sierpnia 2016 19:07:34 UTC+2 użytkownik witek napisał:
> > Zastanawiam się tylko nad tym, jak porównać podpis ze slipa z tym na karcie,
która siedzi w czytniku ;) Choć pewnie wtedy już kartę z czytnika wyjąć można.
> Nie mozna.
> Karte mozesz wyjac jak juz jest po wszystkim.
> Nikt zadnego podpisu nie porownuje i nie zamierza.
> To ewentualnie bedzie dowod jak bedziesz protestowal, ze to nie ty.
> Ale nie w czasie zakupow.
> Zaden sklep nie zamierza odstraszac sobie klientow.

Hmm, jak się dawno temu płaciło pierwszym delfinkiem, jeszcze wyłącznie paskowym, to
się kartę dawało pani do łapki i sobie spokojnie mogła porównać podpis na slipie z
tym na karcie - a kartę i slip "dla klienta" oddawała dopiero, gdy wszystko było już
załatwione.
Odstraszało ? Hmm, porównując z dzisiejszym piknięciem - na pewno, to był trwający i
pełen namaszczenia proces, taki rodzaj święta ;>

A jak się zezłościłem na db za podniesienie opłat za debetówki, to za materiały do
wykończenia drugiego mieszkania płaciłem wypłaconym w bankomacie, stojącym w tym
samym leroyu, plikiem jagiełłów - a co, niech płacą euronetowi zamiast dostać IF, jak
są łobuzy - i też było dobrze.

Wyjąć kartę z czytnika chipów wg mnie by się dało - jeśli się nie da, to tylko przez
głupotę piszących oprogramowanie - bo równie dobrze możnaby twierdzić, że trzeba
kartę zbliżeniową trzymać w zasięgu czytnika przez cały czas procesowania transakcji.

Rozważania jednak czysto akademickie, karty chip&sig ma w PL mikra grupa.
Pozostają oczywiście przyjezdni - w tym mający jeszcze karty paskowe. Tu sklep
niestety ma gorzki wybór - albo ryzykuje (60% fraudów na brytyjskich kartach
dokonywanych jest w USA w terminalach mających wyłącznie czytnik pasków), bo już
wszedł w życie liability shift, albo klienta straci, obsługując wyłącznie karty z
chipem - a może nawet wyłącznie chip&pin.

do góry

Dawid Rutkowski <d...@w...pl> writes:

> Pozostają oczywiście przyjezdni - w tym mający jeszcze karty paskowe.
> Tu sklep niestety ma gorzki wybór - albo ryzykuje (60% fraudów na
> brytyjskich kartach dokonywanych jest w USA w terminalach mających
> wyłącznie czytnik pasków), bo już wszedł w życie liability shift,

Ryzyko niespecjalne, wystawca karty ponosi główne ryzyko.
Gorzej może być, gdy acquirer i wystawca karty to ten sam bank
(albo np. prawie ten sam). No ale przy zgubionej karcie jest tak samo.

Generalnie sprzedawcy powinni akceptować karty tylko magnetyczne, mogą
już nie umieć.

> albo
> klienta straci, obsługując wyłącznie karty z chipem - a może nawet
> wyłącznie chip&pin.

Wyłącznie chip & pin - praktycznie tylko terminale bezobsługowe.
PIN vs signature to jest decyzja banku i ew. jego klienta, nie sklepu.
--
Krzysztof Hałasa

do góry