Názory k článku NFC karta od Komerčky: bezpečná karta v mobilu

Hmm, nějak mi stále líp vychází používat bezkontaktní nálepku na zadní straně telefonu vloženou pod obal telefonu. Jednak je to kreditka a jednak nepotřebuje nabitý telefon. Nebo nevidím nějakou výhodu aplikace?

Nálepku jsem nikdy nepoužil i když už jsem jich několik měl. Důvod? Nešel změnit PIN protože ten šel změnit jen v bankomatu.

To máte možná pravdu, ale je to lepší jenom pro vás. Přece si nebudu na svoji Z5 compact lepit ošklivou nálepku, nebo nedejbože nějaký příšerný obal. :-)

Nedovedu si představit, že bych mobil nosil bez ochranného obalu... jednak to vypadá líp a má to spoustu výhod (třeba automatické rozsvícení/zhasnutí displeje) a hlavně mobil to chrání. Jinak bych ho třeba po půlroce moh vyhodit (i když je z kovu) a to bych u už poměrně dokonalého modelu nerad.

Tohle reseni mi nikdy nefungovalo. Zadna ctecka neumela precist kartu, kdyz byla tak blizko telefonu ... asi kvuli kovu? ktery je v telefonu a ktery rusil komunikaci? nevim, ale vzdy jsem musel nalepku vyndat a piponout s ni bez telefonu

Tak dostane bombu mezi oči. Jak jí něco takového může napadnout? Zadržet kartu OK, ale proč má choutky někomu vytrhávat mobil z ruky, když je to vlastně z její strany krádež, páč neví, zda je můj či ne. Se asi inspirovala těmi pár videi, kde chrabré ruské prodavačky ožralé pistolníky z prodejny smetákem vyženou.

Všeobecně se divím takovýmto hrdinným pracovníkům. Vytáhnout na mě někdo na benzince kvér, tak mu řeknu dám ti všechno co tu mám , jen mě nezastřel, pro policii si nepamatuju jak vypadáš. To, že mě zaměstnavatel pochválí mi bude jedno , když budu mít v sobě díry.

Fakt nevíš, co před pistolí uděláš.

Kamarádka na poště taky machrovala, jak by všechno vydala a pak proti pistoli a frázi "Dej sem peníze" řekla vyděšeně "To nejde, večer mi nebude sedět kasa!"

Lupič na tohle neuměl reagovat a tak zmizel :)))

Když ho chytli, ukázalo se, že měl jen plynovku...

To je dobrý, ale asi nejlepší co mohla odpověďět :-) No, rozhodně jsem rád že se jí nic nestalo...

Ve smlouvě k terminálu se píše, že máte povinnost zadržet platební prostředek, kterým byl proveden pokus o platbu. Což zde byl mobil. (Ale jinak jako obsluha, tedy soukromá osoba, nemáte právo zabavovat ani kartu, ani mobil, pokud vám to platící dobrovolně nevydá. Tedy správně máte zadržet podezřelého, protože jde o podezření ze spáchání trestného činu, a přivolat policii.)

Banky me fascinuji svym pristupem k bezpecnosti.

Takze:

1. platba pomoci zarizeni s nejvice deravym OS "by design", na ktery neexistuji pravidelne mesicni bezpecnostni aktualizace, je bezpecna

2. potvrzovaci kod transakce nezabezpecenou SMS zpravou (kterou lze podvrhout) na stejnem zarizeni jako se provadi transakce, je bezpecny

3. zaslani potvrzovaciho kodu transakce emailem s digitalnim podpisem podle banky pry bezpecne neni, protoze by se mohl cist na stejnem pocitaci jako se provadi transakce v prohlizeci.

Tak nevim co si o tom mam myslet.

Jinak jsem stale nepochopil v cem ma byt tento zpusob platby vyhodnejsi nez bezna platebni karta, kterou mate v penezence a tu celou prilozit pri platbe ke ctecce. Takze neni treba ji ani vyndavat (coz mnoho lidi nesmyslne dela).

Protože tomu rozuměj jako koza petrželi. A kdybychom se podívali na zdroják tý aplikace, možná bychom se taky nestačili divit.

Viz dnešní zpráva ohledně idiotů výrobců routerů atd. ohledně sdílenejch soukromejch (veřejnejch) klíčů.
A u mnoha výrobců tzv. Internetu věcí je to v bledě modrym. Lenost, neschopnost, hloupost...

"platba pomoci zarizeni s nejvice deravym OS "by design", na ktery neexistuji pravidelne mesicni bezpecnostni aktualizace, je bezpecna"

Tomu nerozumim, na muj Nexus dorazi mesicni zaplaty pravidelne kazdy mesic (https://source.android.com/security/bulletin/).

Jestli na jine Androidy ne, tak by se jejich uzivatele meli zamyslet, na cem vlastne pri nakupu usetrili.

no ja pri nakupu sveho iphonu nesetril vubec takze nemusim kazdej mesic stahovat zaplaty abych byl v klidu ;)

Ty záplaty nemusíš stahovat, na Nexus ti samozřejmě chodí automaticky Over-The-Air. Chceš snad říct že Apple svoje iPhony nezáplatuje? Ale no tak :-)

Nexus není o nic méně bezpečný, než iPhone. No dobře, 0day remote exploity na Android jsou o něco levnější než na iPhone, ale to je tak vše ;-)

Google na bezpečnost nekašle, narozdíl od jiných výrobců Android mobilů, kteří ten OS jen zmrší svými děravými nadstavbami a navrch ho ještě pořádně neaktualizují.

Platba aplikaci ČSOB NaNákupy s karotu MasterCard funguje bez problémů.

Terminály ve vozech nefungují pouze s kartami VISA, viz web ČSOB:

Platební kartou Visa v aplikaci ČSOB NaNákupy nelze platit za jízdenku na terminálech vozů ostravské a plzeňské MHD. Na vyřešení problému pracujeme.

Problem je v aplikaci (i CSOB i KB), ktere emuluji karty VISA podle stare specifikace (VCPS 2.0). Ta rika, ze pokud karta chce jit do online, tak nedava fDDA (= offline RSA kryptogram pro overeni pravosti pro terminal), ale da pouze ARQC (= online DES kryptogram, ktery overuje az issuer v online). Bylo to hlavne z duvodu rychlosti - karta nemusi pocitat RSA kryptogram.

Ale bohuzel, tyto MHD terminalu jsou offline only - sbiraji pouze kryptogramy (jako dukaz pravosti a prezence karty) a nasledne davkove clearuji na konci dne.

U VISA toto resi novejsi specifikace (VCPS 2.1), ktera umoznuje, ze karta rekne terminalu, ze umi ODA (Offline Data Authentication = fDDA) pro online. Terminal to pozna, udela transakci na 0.00 a vyzaduje ODA-for-online. Tudiz muze offline overit pravost karty.

Podobne problemy jsou se starsimi contactless kartami mBank (v podstate 'embosovane elektrony').

U Mastercard karet tento problem nenastava, protoze jejich implementace contactless EMV se vice blizi contact EMV, kde karta dava offline cryptogram (DDA/CDA) vzdy.

Díky za info. Namísto spekulací věcnost a fakta...

Na druhou stranu, je jasné, že firmám zveřejňování přesných informací nemusí vyhovovat, zvláště pokud funguji na principu "Security by obscurity". Ale to je jejich problém a aspoň je takový důsledný přístup donutí hnout zadkem a postarat se o to, aby věci fungovaly na principu Security by design.

snažil jsem se si tuhle službu také zprovoznit, ale nemůžu nikde v aplikaci volbu platby telefonem najít. Mělo by to být jako jedna z položek v tom hamburger menu aplikace? NFC i správný android mám, zřejmě se funkčnost ale odvíjí i od konkrétních modělů telefonů.

Bohužel mobilem nelze platit pomocí NFC, jestliže máte telefon rootnutý. Údajně to je ve věci Visy, která toto má jako "bezpečnostní" řešení. :(

Tak to je užitečná informace. Další technologie, kterou nakonec zabije paranoia. Jinak NFC je poměrně užitečná technologie, ale ty s těmi bankami je to jako s tím slonem v porcelánu.

Lze, pokud víte, jak na to

Po mě už dvakrát chtěli po NFC platbě podpis. S čím ho chtějí srovnávat? :-)