Vlákno názorů k článku (Ne)bezpečné bezkontaktní karty. „Ukradli“ jsme desítky tisíc od fremantle - Příliš se mi nepozdává z tabulky bod "Náhodné...

Příliš se mi nepozdává z tabulky bod "Náhodné zadání PIN pro nízké platby se týká jen offline transakcí." - domnívám se, že tohle není pravda. PIN na bezkontaktním čipu není vůbec uložen, k bezkontaktnímu přenosu PIN mezi bezkontaktním čipem a terminálem dle specifikace nemůže vůbec dojít (viz třeba tady: http://link.springer.com/chapter/10.1007/978-3-642-39884-1_26#page-1, resp. http://fc13.ifca.ai/proc/9-2.pdf) z důvodu bezpečnostního rizika odposlechu (při kontaktní tranakci se zadaný PIN na terminálu ověruje vůči informaci uložené na čipu, takže při bezkontaktní offline transakci tohle možné není).

Pokud si tedy podlimitní bezkontaktní transakce vyžádá PIN, musí jít o online transakci. Nicméně offline bezkontaktní transakce je možná i s ověřením (asi se týká jen nadlimitních?) - pokud k ní dojde, na strvzence z terminálu vyjde požadavek na podepsání dle podpisového proužku (což je zajímavý úkaz při platbě nálepkou, kdy podpis nelze nijak ověřit, jelikož nálepka podpisový proužek nemá)...

Z mé hlavy to není, takže uznávám, že je to možné a děkuji za odkaz!

Ano, souvislost kontaktní vs. bezkontaktní / s pinem vs. bez pinu / online vs. offline je dosti volná. Ale pokud s pinem, tak online.

Požadavek na podpis se mi přihodil v Globusu při placení kartou Mastercard Debit emulovanou v aplikaci ČSOB NaNákupy u částky asi 1000 Kč. Pokladní trvala na tom, že chce vidět kartu, aby mohla ověřit podpis. Nakonec jsme se dohodli, že jí ukážu nějakou jinou kartu ;)

Mají to dokonce popsané ve známých problémech aplikace NaNákupy.