Názory k článku Platební karta není trezor, PIN vás vždy neochrání

No ono ani nijak moc nejde uvolnovat nejake ‚know how‘, nebot kdo se o to zajima, vi ze staci 2 veci:

• ISO 7816
• EMV Book

ISO 7816: T0 je poloduplexni protokol, v podstate seriovy prenos 9600 8N1 (takze TX=RX, +RESET, +CLK), coz zvladne jakykoliv cip (i cyp :-). APDU je ve tvaru CLA INS P1 P2 [LC DATA] [LE]. Probiha tak, ze Terminal posle CLA INS P1 P2 P3 a karta odpovi, bud OK, KO nebo ‚posli zbytek dat‘ a pak odpovi OK,KO

EMV Book: EMV 4.2, Book3, kapitola 6.5: ‚Verify‘ je command 00 20 00 80   08   24 xx xx FF FF FF FF FF, kde xx xx je PIN.

Takze na celou ‚realizaci‘ staci jeden ATMEL se dvema seriovymi portama (at uz hardware nebo software), ktery ‚transparentne‘ preposilava vetsinu dat. Pouze pokud terminal posle APDU, kde prvni 2 byty (CLA,INS) jsou 00,20, nepreposilam, sezeru dalsi 3 (P1,P2,LC), poslu zpet 20 (INS, jako ACK hlavicky), sezeru dalsich LC bajtu (hodnota PINu + padding) a vratim SW=90 00 (9000 je OK).

 Takze:

• Terminal si mysli, ze zadal do karty offline PIN, nastavi si ‚nejaky ten bit‘ na OK a je happy (a sdeli to i centale, i na listecek) a mozna provede transakci i offline (zavisi na nastavenych limitech)
• Karta si mysli, ze terminal bud neumi offline PIN (nema pinpad), jede na online PIN (vuci centrale) nebo pouze na podpis
• Centrala (pokud jde transakce do online) dostane od terminalu, ze byl zadan ‚kosher‘ offline PIN, a tudiz kontoluje ‚pouze‘ zustatek

Toz tak …

Možná jsem cyp, ale já bych to tedy nezvádl ani s tvým „návodem k použití“.

Já mám na účtu 0 a tak jsem spokojenej a klidnej že mě neoberou.

Ono úplně stačí, když tohle pochopí každý 100-tisící.

Ogar je totiž z jiného světa, tohle normální člověk nemůže pochopit :(

Odkoukat pin preci neni problem. Vzdyt se to ani poradne v tech obchodech neda schobat jak ho tukate a naprosta vetsina lidi se ani neobtezuje ten pin schovavat. Takze k tomu staci trochu sikovnejsi kapsar, aby ziskal kartu i s pinem. Tohle je jenom dalsi dira, ktera Vam umozni pouzit kartu i kdyz jste s jejim vlastnikem neprisel do kontaktu.

P.S.: Sem si naivne myslel ze transakce sou alespon nejak autorizovany (treba jestli je na uctu odpovidajici castka, nebo karta neni zablokovana), to je takovy problem tam poslat pri jednom i ten pin? (asi je, jinka by nezvolili tenhle pristup)

Offline PIN je lokalni, primo vuci karte (moznost odhalit ‚chybu‘ bez nutnosti spojeni s centralou). Podle nastaveni limitu (terminal, karta, operace, mena) umi terminal udelat i offline transakci (usetreni casu a poplatku za spojeni).

Pokud je to magnet (kdy terminal nema moznost overit PIN offline) nebo je ‚vycerpan‘ pocet offline PIN pokusu, tak se samozrejmne pri autorizaci prenasi do centraly online PIN (zasifrovany pomoci cisla karty a tajneho klice). Ovsem zde taky zavisi na nastaveni karty (servisni kod) a terminalu (pravidla na prefixy karet).

„dovedové“ jsou prostě vždy o ten krok napřed. Proto se mi zdá jako optimální držet na účtu s kartou pouze takovou sumu, aby to „nebolelo“ a před plánovaným nákupem „za víc“ tam v IB sumu navýšit. A v tomto období prostě zbytečně neriskovat.

To je sice dobra rada, jenze vetsina bank ti pridratuje kartu primo k uctu a nemuzes s tim nic delat. jeidne omezeni jsou limity a ne vsechny banky je umi nastavit po internetu a zdarma, aby je clovek mohl pruzne menit.
Pro alespon minimalni bezpecnost je treba zavest karty pouze s cipem bez reliefu a magnetickeho prouzku, zvlast nastavitelne limity na vybery, platby a internet defaultne na 0 Kc s moznosti omezeni karty na urcity stat.

…pak je asi dobré nemít účet u té „vetšiny bank“. Když jim začnou ubývat klienti, třeba se také přičiní…

Noxi, to bude asi vec nazoru. Ja preferuji univerzalni kartu s vysokym limitem ktera bude fungovat uplne vsude.
Vzhledem k tomu jak zastarala je POS infrastruktura a jak tezko se EMV dari inovovat a prosazovat inovace, v podstate si myslim ze EMV je rado ze karty „aspon nejak fungujou ve vetsine pripadu“, je vas navrh byt i jen v ramci EU po mnoho dalsich let uplne sci-fi.
Idealni karta pro me je embosovana magnetka bez limitu, kde se budu jen podepisovat.
Ptate se proc se nebojim : ze dvou duvodu
1. davam si na kartu pozor jako by to byly hotove penize – protoze jsou to penize
2. rucim do vyse 140 euro.

Já zas preferuju kartu s nízkým limitem která nebude fungovat skoro nikde. Každej má svý priority a je na trhu dost karet, každej si může vybrat.

Pak si kup kartu telefonni a budes jiste spokojen…

Já myslím, že vám chybí hlavní důvod

3. Zatím jsem měl kliku a věřím, že ji budu mít pořád

Vše ostatní je jen racionalizace vašeho iracionálního chování.

Kupodivu mel i nemel. Jednu kartu mi zacali vykradat. Zablokoval jsem ji, nechal si ihned vystavit novou, podal reklamaci, do mesice jsem mel prachy zpet a jede se dal. K cemu je mi nejaky zabezpeceni ?

Samozrejme chapu, ze kazdy clovek ma jine naroky. Muj navrh by patrne vyhovoval vetsine obyvatel CR, kteri by na ty omezeni nenarazili. No a pro ostatni by tu samozrejme mela byt moznost nastavit si kartu tak, jak zase vyhovuje jim. me osobne by dokonce stacila karta, co umi vybirat z bankomatu co mozna nejbezpecneji a nic vic. Ale to uz je zase druhy extrem. O infrastrukturu maji dbat karetni asociace, proste si dupnout, ze do 2 let budou vsichni pouzivat jen a pouze cipy. Jenze ony evidentne nemaji o bezpecnost zajem. S tim rucenim do 140 Euro opatrne, ono to sice je v zakone, ovsem dovedu si predstavit, jak tezce se bude clovek muset dohadovat s bankou, aby zakon dodrzela.

Jak pisu o prispevek vic, i s castkou mensi jsem byl v pohode. Reklamace a prachy jsem dostal zpet.