Re: SimplyCity jednak nie dla mnie :( - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › SimplyCity jednak nie dla mnie :( › Re: SimplyCity jednak nie dla mnie :(

Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.cyf-kr.edu.pl!news.nask
.pl!news.nask.org.pl!newsfeed2.atman.pl!newsfeed.atman.pl!news.chmurka.net!.POS
TED.213.192.88.238!not-for-mail
From: Piotr Gałka <p...@c...pl>
Newsgroups: pl.biznes.banki
Subject: Re: SimplyCity jednak nie dla mnie :(
Date: Mon, 26 Jun 2017 16:15:27 +0200
Organization: news.chmurka.net
Message-ID: <oir4tv$elq$1$PiotrGalka@news.chmurka.net>
References: <ohepgj$8me$1$PiotrGalka@news.chmurka.net> <oi4ea1$qc$1@gioia.aioe.org>
<594648df$0$645$65785112@news.neostrada.pl>
<oi5knq$1g5m$1@gioia.aioe.org> <oi836s$u3a$1$PiotrGalka@news.chmurka.net>
<594832d0$0$641$65785112@news.neostrada.pl>
<oib9gp$9p8$1$PiotrGalka@news.chmurka.net>
<1...@4...net>
<oibcsp$atj$2$PiotrGalka@news.chmurka.net>
<q...@4...net>
<oiqgo0$79a$1$PiotrGalka@news.chmurka.net>
<5950ca2c$0$5158$65785112@news.neostrada.pl>
<oiqlbe$911$1$PiotrGalka@news.chmurka.net>
<5950e764$0$652$65785112@news.neostrada.pl>
<oiqse7$bjh$2$PiotrGalka@news.chmurka.net>
<5...@g...com>
NNTP-Posting-Host: 213.192.88.238
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Mon, 26 Jun 2017 14:15:27 +0000 (UTC)
Injection-Info: news.chmurka.net; posting-account="PiotrGalka";
posting-host="213.192.88.238"; logging-data="15034";
mail-complaints-to="abuse-news.(at).chmurka.net"
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101
Thunderbird/52.2.0
Content-Language: pl
In-Reply-To: <5...@g...com>
Xref: news-archive.icm.edu.pl pl.biznes.banki:631802
[ ukryj nagłówki ]
W dniu 2017-06-26 o 14:15, Dawid Rutkowski pisze:
>>>
>> Racja. Kiedyś nie zdarzały mi się takie błędy logiczne :(
>
> To nie błąd, bo trudno zakładać, że podczas zbliżenia da się nawiązać łączność z
bankiem, nie tylko przez GSM, ale i przez stałe łącze.
> Z resztą PIN offline da się wgrać tylko przez styki.

Używasz określenia 'da się' tam gdzie to jest wynik jakiejś decyzji a
nie ograniczeń technicznych. Brakuje wtedy słów aby określić prawdziwe
'da się' technicznie.

> - tak samo, jak z niego korzystać, pikaczowo PIN jest zawsze on-line.
> Myślę, że to jest w miarę rozsądny kompromis - choć oczywiście możliwe są również
inne rozwiązania, jak np. karty mifare, które są odczytywane i programowane
bezprzewodowo (a do tego tak sprytnie zrobione, że są już kompletnie skompromitowane,
atak pozwalający na poznanie klucza trwa pół sekundy)

Czytając książkę Fergusona i Schneiera z 2003 już uznałem, że Mifare
(Classic) jest nie pewne. Nie wiem, czy jednoznacznie o Mifare to
napisali, czy tylko pisali aby nie wierzyć w żadne tajne algorytmy, co
ja sobie na Mifare sam przełożyłem.
Widziałem pierwsze opisy łamania mifare i autorzy uzyskiwali z dużym
prawdopodobieństwem (chyba coś koło 50%) jeden z kilku stanów generatora
losowego (znaczy kilka w tych 50%, reszta poza tym).
Jak kilka lat później zaczęliśmy próby z odczytem Mifare Classic to u
nas z 95% była zawsze ta sama liczba losowa, ale wynikało to zapewne z
tego, że oni zbliżali kartę do czytnika a u nas karta leżała cały czas
na czytniku. Ale nie dochodziliśmy do tego jak to się łamie.

W nowych Mifare (Plus, Desfire) stosują już jawne algorytmy więc nie
powinno być chyba z nimi problemu.

- i choć uważam wprowadzenie pikacza za genialną sprawę, pozwalającą
nazwać codzienną płatność kartą naprawdę wygodą (a stykowe z PINem
off-line można zostawić na specjalne okazje, czyli zakupy na pokładzie
samolotu czy statku), to dobrze, że jednak pewne ograniczenia zostały.

Ja akurat czułbym się lepiej jakby:
- każda transakcja wymagała PINu,
- mógłbym sobie dowolnie poustawiać limity i one byłyby zawsze
sprawdzane (czyli każda on-line).

Z biegiem informatyzacji kraju zapewnienie szybkiego on-line powinno byc
coraz mniejszym problemem.
P.G.