Názory k článku Když šifrování snižuje bezpečnost a banka vyzrazuje číslo karty

Pro nás linejsi je tu pojištění. Ale to je samozřejmě spojené s daleko většími problémy při řešení

To se mýlíte a vůbec jste nepochopil princip. Ano, 3D secure chrání především obchodníka, protože mu umožňuje přijmout pouze autorizované platby (kartu bez 3D afaik může volitelně odmítnout). Současně 3D secure snižuje okruh obchodníků, kde může útočník s kradenou kartou zaplatit bez ovládnutí druhého autorizačního kanálu (typicky SMS, ale možné jsou i jiné).

Celý vtip s 3D secure podle mých informací spočívá v tom, že "podvodná transakce" jde automaticky na vrub té strany, která (zbytečně) použila nižší způsob zabezpečení. Tzn. pokud vaši kartu s 3D secure někdo zneužije na čínském eshopu, který 3D secure nepoužívá, smolíka má automaticky obchodník.

pokud to bude čínský e-shop, tak mát smůlu vy, řekl bych.

Ze strany obchodníka noční můra, musel by řešit zákazníky co zapomenou nebo "zapomenou" potvrdit platbu. Ze strany zákazníka žádná změna k lepšímu: Dnes oznamuje jen podezřelé platby, ve vašem systému by musel potvrzovat každou platbu.. což je o několik řádů vyšší číslo. A to nemluvím o offline platbách, kde trvá i několik dní (nebo týdnů), než se objeví na výpisu. To samé blokace s odloženou platbou.

Takže ani jedna strana tohle nechce. Nepřináší to žádné zlepšení stavu a komfort placení by byl naopak horší.

Naše banky už umí o každé online platbě informovat v reáném čase (sms, email, bankovní aplikace), což je mnohem lepší a pohodlnější řešení, protože se správně předpokládá, že terčem podvodu budete jen ve velmi malém procentu (spíše promile) případů.

Létat je tak prosté, proč se nenaučit i používat bankovní účty!
1. běžný - platební karta-A - zůstatek 2000,- platby pro jídlo, benzín, atd.
2. Internet - platební karta-B - zůstatek 100,- platby na internetu
3. spoření - NIC - zůstatek 950.000,- (štrozok)

Chci něco zaplatit na internetu? Převedu si přesnou částku z "3. spoření " na "2. Internet" a provedu platbu kartou "karta-B".

Je to složité? Je to bězpečné? Funguje to?
:-)

Tech 14 dnu je nejake ceske specifikum? V nemecku jsem si vsiml podvodnou transakci na vypisu po mesici, zavolal jsem do banky a transakce byla stornovana.

Nevím jak české brány, ale třeba na e-kvytok.ua bez 3DS zaplatit nešlo už v dřevních dobách, kdy u nás 3DS měly tak dvě banky.

AFAIK žádná v Česku fungující platební brána neumožňuje povolit pouze karty s 3DSecure zabezpečením. Ale obchodník může omezit příjem karet jen na ty vydávané českými bankami. A ty 3DSecure podporují téměř všechny.

" obchodník může omezit příjem karet jen na ty vydávané českými bankami"
lol ... tovizejo ,,, a karetni asociace nejdriv zjebe banku a ta obchodnikovi obratem zrusi terminaly/rozhrani.

Svého času podle mě brána na eshopu českých drah nepustila platbu kartou bez 3D secure.

Jenomže EU chystá sjednocení e-komerce na území EU. Mělo by to vypadat tak, že obchodník jednoho státu nemůže odmítat zákazníky jinýho členskýho státu, nebo jim dávat jiný podmínky (lišit se může jenom cena za doručení). No a v tom případě podmínka platby kartou výhradně od CZ banky neprojde.

Další věc je turista v kamenným obchodě bez hotovosti...

Nikoliv. Dle legislativy České republiky je možné, reklamovat transakci až 13 měsíců od data realizace transakce. Jednotlivé karetní společnosti (např. VISA), mají extra podmínky, ale Vás, jakožto klienta, to zajímat nemusí (např. podvodná transakce, kdy Vy nemáte 3D Secure (resp. issuer - banka vydávající platební kartu) a obchodník naopak je 3D Secure... tak v tomto případě banka analyzuje předmětný incident a vrátí vám peníze v hodnotě transakce (může i nemusí - podle analýzy). Jiná situace je v případě, že Vy jste 3D Secure, ale Merchant 3D Secure není (např. Aliexpres). V tomto případě máte peníze jisté, banka pošle Chargeback ACQ Merchanta, kdy ACQ Vaší bance pošle peníze v hodnotě transakce (45 dní) a následně ACQ vymáhá peníze v hodnotě transakce po Merchantovi, tj. subjektu, u kterého se fraud odehrál.

Ony kartové mezibankovní reklamace jsou úžasné a zajímavé zároveň :). Pokud Vás to zajímá, public verze VISA Core Rules, je k dispozici zde: https://usa.visa.com/dam/VCOM/download/about-visa/visa-rules-public.pdf

Ještě dodám, že mezibankovní reklamace via. Mastercard, jsou prasárna na entou. Lituju lidi na backoffice, kteří řeší Mastercard. Větší humus jsem nezažil.

Pri nasej platobnej brane mame v zmluve s bankou uvedene, ze pokial ktokolvek (drzitel karty, banka drzitela karty atd.) NEpodporuje 3DS, tak je automaticky chyba u neho a my sme chraneni. Na toto 3DS sluzi, je to ochrana OBCHODNIKA.

Ne, jak už bylo psáno výše, je to ochrana toho, kdo použije vyšší zabezpečení. Když obchodník 3DS nepodporuje a vaše karta ano, bude důkazní břemeno na něm.

Já to pochopil tak, že hh je ten obchodník a má 3DS. A smluvně ošetřeno, že v případě zneužití někým, kdo to nemá, může dotyčný odpálkovat.

musí si všimnout do 14 dní

A na to si přišel kde? Ze zákona na to máš 13. Ovšem měsíců....

> většiny podvodných plateb si nikdo nevšimne

A na tu statistiku jste přišel jak? Vlastními podvody?

U nas ma tatra banka moznost cez mobilnu aplikaciu si vygenerovat jednorazovu kartu na nakup cez internet, je to velmi prakticke aj pri subscriptions ktore su na urcite obdobie zadarmo a potom si pravidelne strhavaju peniaze, na kontrolu karty a strhnutie par centov to funguje, nasledne na vratenie strhnutej sumy tiez avsak pri dalsej platbe to uz nefunguje

To je ta banka která má celý IB ve flashi?

To je ta banka, co si tady z její IP adresy kdosi stěžoval, že kdyby zrušili letní čas, tak by nemohl odpoledne na výlet...

lepsi je dobijeci cool karta od era

Dobry hack je take si kartu pri placeni v obchode nahrat na video stejne jako zadavani PINu. Dobra skryta kamera a mate kartu i s kontrolnim kodem na druhe strane.

Proto jsem si ten kontrolní kód zalepil.

Coz je ti prd platny, protoze na zaplaceni staci cislo karty a expirace.

ty mam taky zalepeny, i jmeno
ono na kartě v době bezkontaktní platby vlastně nic vidět být nemusí.

Tak hlavně bezkontaktní kartu není vůbec potřeba vydělávat z peněženky :-)

Super článek, tupost některých bank je k neuvěření.

Každopádně reálný dopad bude relativně malý, protože číslo karty a platnost karty má i ta poslední pokladní v supermarketu, protože tyto údaje si tisknou na účtenku, respektive její kopii pro obchodníka (kopie pro zákazníka má místo některých čísel *). Tzn. vaše číslo karty vesele pobíhá po světě a jediným způsobem jak ho ochránit je nikdy neplatit. :-)

Řešení už tu někdo psal. Více karet a je to celkem v pohodě. U bank, které nabízejí účty zdarma, není problém mít více účtů a více karet, to je ještě lepší varianta. Běžnou kartu na placení v obchodě pak zablokovat pro placení online, kód na zadní straně preventivně přelepit. Pokud pak někdo danou kartu bude chtít použít, bude mít smůlu. Docela se mi to řešení osvědčilo. Se zablokovanou kartou nebo z účtu s 0 Kč zůstatkem prostě platit nejde :-)

Zamykanim u RB bylo moc super az do te doby, nez jsem zjistil, ze funguje tak 8 z 10 pripadu. Jednou jsem si zkontroloval vypis a moji zamcenou "internetovou kartou" se bezne platilo v ramci subscrition, ktere jsem byl linej zrusit a spolehal se na zamcenost karty. Protoze slo o male castky, 5 z 10 mesicnich poplatku se Netflixu podarilo ze zamcene karty sebrat, aniz bych si toho vubec vsimnul! A reklamace? RB mne totalne vyfuckovala. Pry "zamek funkuje jen na `on-line` transakce". WTF? Podminky maji napsane tak sikovne, ze vlastne za nefungujici zamek nenesou zadnou odpovednost.

Nejlepsi je mit ucet u banky, ktera vam umozni udelat kolik uctu chcete. Nechat si udelat kartu k separatnimu uctu a penize na nej prevadet jen jednorazove na konkretni platbu, paranoik muze jeste stahnou limit na 0.

No vidis, a kdybys je dal k soudu, tak snima vyjebe prave ten soud, protoze ten mimo jiny nedavno konstatoval, ze kdyz banka nastavuje limity, tak je musi i dodrzovat, a jak to technicky zajisti je vyhradne jeji problem. Zamek karty neni nic jinyho.

Zámek na offline transakce je problematický, protože ta transakce může přijít i desítky dní po svém provedení. Takže jak bys věděl, že se zrovna bude zpracovávat a máš kartu odemknout?

Bezkontaktní karta zaplatí i když na účtu nic není. Když mi prvně banka poslala bezkontaktní kartu tak jsem to reklamoval a reklamaci uznala neboť dle podmínek se účet může zrubnout až asi po max 7 dnech do kdy po transakci nemusí být ani vidu ani slechu. Při následné expiraci karty jsem banku informoval, že pokud mi nepošlou kartu u které jde bezkontakt zakázat, tak s nima vyběhnu a tak poslali jen kontaktní. Kontaktní karty jsou v obchodech kde platím online kontrolovány proti stavu na účtu blokací částky a tak se nelze dostat do mínusu a tím dostat pokutu za debet když se stav blíží nule a bezkontaktní kartou pak do mínusu.

Áno, mal som kontaktnú platbu s offline autorizáciou niekoľkokrát. Bezkontaktné platby zvyčajne idú offline, ale vraj občas sa stane, že sa nájde terminál, ktorý ich odosiela online. Môj prípad to ale zatiaľ nebol. Osobne som za zrušenie bezkontaktných platieb, lebo v prípade straty karty treba okamžite nahlasovať stratu s často nevratným blokovaním karty a potom človek príde domov a zistí, že si ju po zaplatení cez internet len zabudol vrátiť do peňaženky. Pri kontaktných platbách sa dá po strate karty pár dní vyčkávať, či sa náhodou niekde neobjaví (ak je limit pre internet na nule).

Nikdy jsem nepochopil saskarnu s hvezdickovanim casti cisla platebni karty. Cely system platebnich karet je postaveny na hlavu... tedy oficialne je postaveny na duvere... kdyz bych platbu kartou prirovnal k hotovosti, tak musite pokazde dat prodavacce svoji penezenku a ona si z ni nejenom vezme kolik penez uzna za vhodne, ale muze si z te penezenky brat penize i v budoucnu, aniz by k tomu potrebovala souhlas.
Je opravdu vtipne, ze je zakaznik povinny predchazet zneuziti sve platebni karty, ale realne se ta karta bezpecne pouzivat neda. Kdyz vezmu jenom to blbe cislo karty (PAN), v podstate je nemozne zabranit jeho uniku. Nejenom, ze je na karte napsane a pri placeni ho lze vyfotit (s trochou stesti vcetne CCW), ale pres bezkontaktni rozhranni ISO 14443 si ho muze kdokoliv precist vcetne konce platnosti a casto i jmena, prijmeni, nekdy dokonce i historie transakci!
Zatimco drtiva vetsina autobusovych karticek je aspon trochu zabezpecena (authentikace+si­frovani) a dopad zneuziti je maly, tak dokumentace k protokolu bankovnich karet je verejna, ke cteni staci ctecka, neni potreba zadne heslo, staci se karty zeptat. Oficialne je cteci vzdalenost mala, ale pokud by nekdo vyrobil vetsi antenu se zesilovacem, mohl by u vchodu do metra nasbirat PAN cisel spoustu... ano, takova ctecka by neprosla certifikaci EMVco, proto ji nikdo nikdy nevyrobi...
Ale dobre pripoustim, ze je to chyba zakaznika, kdyz platebni kartu nenosi v olovene krabicce (tak jako klice od auta) a nepozna, ze mu nekdo cislo karty bezdratove precetl... pokud Vam ovsem banka posle novou kartu v obycejne obalce postou, tu obalku polozite na ctecku a hned znate PAN, je snaha zakaznika naprosto marna. Nicmene dle Equabanky je to tak v poradku, protoze kartu nelze pred aktivaci zneuzit...
Kdyz si tak predstavim, jak na tridirne posty lezi nekde pod pasem antena a sbira cisla platebnich karet (jasne pro platbu na internetu je nutne uhodnout 3 mistny CCW), tak me prihoda s bankovnim vypisem pripada banalni.... :-)

Ke špatnému spaní mi úplně stačí ukrajinská prodavačka v OC Zličín, která se z nějakých důvodů podívá kasuálně při placení kartou na zadní stranu na cvv. Když jsem se jí ptal, proč si to čte, tak přestala rozumět česky. Nejjednodušší zabezpečení je nastavit si nízké denní limity, informování o pohybu na účtu sms od nějaké vyšší částky. Stejně sebou nosím nějaké zařízení(tablet, telefon, notebook) kde můžu limity okamžitě změnit.

A proč ji dáváš z ruky?

Nějak to tam měla zorganizované že pkladna byla někde přístupná jenom pro ni, musela někam strčit kartu vlastníma rukama (pin jsem nedával). Taky se mi stalo v lékárně na Zižkově, že lékárnice vzala kartu a po čtyřech zmizela pod pultem, tak co se divíš.

Divím, protože už řadu let neznám hyper super či diskont kde by si člověk kartu neobsloužil sám u terminálu pevně přidělaného u pásu na odebírání zboží a nevím že by OC Zličín byla výjimka, je-li tím tedy míněno Tesco a ne nějaký pidikrámek okolo.

Nevim na co se na zadni strane diva doopravdy, ale nejde-li o bezkontaktni transakci, tak by kartu mel otocit uplne kazdy. V ramci kontroly karty totiz musi zkontrolovat, ze je na zadni strane podpis. Bez podpisu je totiz karta neplatna, a to bez ohledu na to, jestli se v konkretnim pripade podpis pro overeni pouziej nebo ne. Ze to na vetsine mist nekontroluji a dobrovolne tak na sebe berou riziko opravnene reklamace je vec jina.

Když už seš tak chytrej, tak CCV

Proč myslíte?
V těch zkratkách je trochu chaos, většinou se píše "CVC/CVV", ale narazil jsem na informaci, že Visa má CVV/CVV2, zatímco MasterCard má CVC/CVC2.
Ale třeba v nějakém jiném jazyku... :-)

Budiž, ale CCW to skutečně neni. Ani v jiném jazyku.

http://www.writeups.org/wp-content/uploads/Norwegian-trolls-Trollhunter-movie-h.jpg

Ještě hůře - poznáte, že jste neaktivovanou kartu dostali v originální obálce vaší banky? Je pro pošťačku tak velký problém obálku rozlepit, číslo karty, expiraci i cvv si poznamenat a obsah původní obálky vložit do její kopie? A pak už jen stačí čekat, až si kartu aktivujete.

Banky důrazně varují před uchováváním pinu spolu s kartou, ale samy cvv=internetový pin napíšou přímo na kartu.

3Decure je taky sranda - to, že brána píše, že jej používá, může být fake. A dokonce se mi stalo, že brána, kterou jsem mnohokrát použil, 3dsecure jednou nechtěla. Když jsem se jich ptal proč, odpověděli, že se to může stát, když banka neodpovídá (je mimo provoz - ale stačí i neodpovědět dostatečně rychle). Transakce pak proběhne bez 3d.

Vašemu scénáři nerozumím.
Takže pošťačka bude rozlepovat obálku, opisovat si čísla a vkládat to do nové obálky, což dá dost práce, když může k obálce přiložit čtečku (asi by stačil i mobil) a přečte si ty údaje bezkontaktně za vteřinu a zákazník prostě nic nemůže poznat?
Za určitých okolností zřejmě k platbě stačí číslo karty a expirace. Pokud nasbíráte čísel karet velké množství, nebude neznalost 3 místného čísla překážkou. I kdybyste měl na každé kartě jediný pokus, tak z tisícovky karet uhodnete v průměru jednu. Opravných pokusů ale určitě bude víc...

Staci mobil s NFC
https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard&hl=cs

Kdysi se nehvězdičkovalo. Jenže plno lidí si účet nevzalo, nebo ho jen tak hodili do koše. Časem to pár chytrým hlavám došlo a místo aby přepadli poštu, tak jen prohledali odpadkový koš u obchodu a šli nakupovat. Bankám pak brzo došla trpělivost a na kopie pro zákazníky se začaly tisknout hvězdičky.

Někdy se v obchodě podívejte, lidé se tak chovají dodnes.

Míval jsem hypošku u Wustenrotu. Tam to taky bylo veselý. Portál, kde to šlo kontrolovat (a kde byly osobní údaje) měl jako jméno uživatele číslo účtu bez kódu banky a jako heslo čtyřmístný PIN bez možnosti změny. Takže 10k hesel (teoreticky) a pravidla pro tvorbu čísel účtů jsou taky známý. Pokud mají blokování na počet hádání hesla k účtu, mají limit na počet hádání účtů k jednomu PINu? A všiml by si admin, kdyby se do toho opřel nějaký bot, podle trafficu? Jako studna osobních údajů (jméno, adresa, datum narození, číslo účtu, stav dluhů, ...) je to totiž naprosto super. A i předání loginu zákazníkovi je super. Dojdou dva obyčejný dopisy, jeden s infem o tom, jaký je user name, druhý s pinem. A podle pracovníků banky nikde v dopise není login name. Což je blbost, v záhlaví je číslo účtu, ke kterýmu se to vztahuje... A 2FA neexistuje, že.

Česká škubatelna zase jeden čas limitovala Servis24 na heslo do 10 znaků a nedvolila nic mimo čísel a písmen, vynucená změna hesla byla až na 8.-10. pokus, než jsem vždycky vyladil generátor hesla tak, aby bylo nepřijatelně slabý pro mě a přijatelně silný pro ty pakoně.

A UniCredit si zase z 2FA udělal husu nesoucí zlatý vejce. Chceš zkontrolovat zůstatek? No tak se přihlas (ověřovací SMS) a když chceš ještě jakoukoliv operaci, bez ohledu na to další SMS... Když jsem chtěl za měsíc 10 plateb a ob den kontrolovat stav účtu, potřeboval jsem (za předpokladu, že jsem platby zadával při kontrolách) 25 ověřovacích SMS, jeden balík 10 SMS za 200. Takže 450 jenom za bankovnictví k účtu zdarma... Holt jsou to koumáci, ale navzdory jejich prudké inteligenci jsem u nich vydržel jenom měsíc.

Soudruzi z tusim CSOB to meli nejakou dobu taky - cislo uctu + 4mistnej pin. Na 5tej vadnej pokus se pristup na 24 hodin zablokoval === anobrz genialni zpusob jako rychle a efektivne zablokovat pristup natrvalo komukoli.

Tak to je podobně geniální jako M$ Active directory domény. Tam je možno také komukoliv DoSnout uživatelský účet.

ČS vyžadovala telefonické odblokování po pár špatných pokusech.. ale alespoň používala jiný login než číslo účtu.

ČSOB minimálně 14 let jako login číslo účtu nepoužívala (předtím nevim, ale pochybuju o tom), používala 8mi místný uživatelský login, který byl náhodně generován.
PIN byl pětimístný a šel změnit.

Nevýhoda byla blokace po 5ti pokusech, nutnost dojít na pobočku (možná šlo volat) a další pokus byl jenom jeden (dokud se uživatel nepřihlásil znovu). Problém byl v momentě, kdy člověk PIN zapomněl, tak byl poplatek za vydání nového, kdežto odblokování bylo zdarma...

ČSOB ale má podobný problém, kdy u každé platby kartou sdílí ve SS posledních 10 číslic jejího čísla... Aspoň, že na daném výpisu nebylo prvních 6 číslic... ale složit si číslo karty jde díky tomu z pohybů a detailu karty... :)

Dobrý deň,
zaujímalo by ma ako ste získali 2 z desiatich čísiel karty ktoré s máte z výpisu. Ja vo výpise mám len prve 4 a posledné 4. Vy ich máte viac alebo sa dve číslice dali vypočítať nejakým spôsobom?

Matematika ti asi velmi nejde, ze?

"K odhalení celého čísla karty tedy zbývá uhodnout dvě číslice, což dává prostor stovky různých kombinací."

Čeština ti asi velmi nejde, ze?

"K odhalení celého čísla karty tedy zbývá uhodnout dvě číslice, což dává prostor <b>(jedné)</b> stovky různých kombinací."

Kdyby bylo víc kombinací víc, bylo by tam ne "stovky", ale "stovek".

Tatrabanka ma moznost vygenerovat virtualnu kreditku cez ich mobilnu aplikaciu, ktora funguje na jednu internetovu platbu. Podla mna zatial najlepsie riesenie...

Docela by mne zajimalo co Raiffeisen Bank a PCI-DSS audit. Takovehle posilani PANu do sveta bych auditorum vysvetlovat nechtel, nas je donutili smazat i z celkem slusne zabezpecene databaze.
Na druhou stranu tohle nekoho dojme jenom v Evrope. Ve Statech se na nejake zabezpeceni nehraje vubec a treba takovy Booking.com posila informace o kartach normalne faxem, v hotelu to vyjede v nejake kancelari, vali se to tam, pak to ten kdo ma zrovna sluzbu sebere, manualne ta cisla prepise do systemu nacez fax zhusta hodi do odpadkoveho kose a jde si udelat kafe. Kdokoliv kdo jde kolem pak samozrejme muze snadno tyhle informace zneuzit.

Zavadejici nazev. Problem neni sifrovani, problem je volba hesla.

Ale vy žádný důkaz nepotřebujete. Pokud to nebyla zde zesměšňovaná 3d secure platba. Na kterou zase opsané číslo karty nestačí.

Teoreticky. Bohužel chování místních bank tu teorii úplně nepotvrzovalo.

Na druhou stranu dnes už to může být lepší, protože museli přesvědčit lidi, že ochrání jejich účet i s vydanou bezkontaktní kartou.

V USA to obvykle probíhalo tak, že banka stopla jakoukoliv platbu bez otázek. A obchodník pak mohl ty peníze vymáhat soudně. Soudy o malé částky tam netrvají dlouho. A tyhle tři věci dohromady znamenaly, že si s nějakým složitým zabezpečením nikdo hlavu nelámal. Jenže to není případ ČR..

Aktuální znění zákona o platebním styku stanoví lhůtu pro uvedení účtu do původního stavu "nejpozději do následujícího pracovního dne" po podání reklamace. Diskutuje a prošetřuje se až potom.

problém je volba banky. překvapuje mě, že dnes ještě některé banky nevyžadují potvrzení transakce sms kódem.

SMS kód má spoustu potenciálních problémů. Ve Finsku obvykle mají kartičku s tabulkou jednorázových kódů, což je bezpečnější a nezávisí to na ochotě operátora doručovat SMSky.

Karticka s kodami (grid karta) bola kedysi bezna aj na Slovensku. Nevyhoda: je treba ju menit po 36 overeniach.

Stale ju mam a nie, nie je nutne ju menit (mam ju uz roky).

"Tohle je jeden z mála případů, kdy nějaké šifrování je prokazatelně horší než žádné šifrování. "

Skor mi to cele pripada ako obdoba opatovneho pouzitia jedneho kluca (key reuse vulnerability).

Jo, tohle je takova dira :)
Ale majiteli kreditky to muze byt fuk, jsou to penize banky, ona zpusobila unik toho cisla, takze to jde za ni :)

Co já považuji za problém (a trochu paradox) je to, že PIN ke kartě je tajný, a podle podmínek ho smíte nosit pouze v hlavě. Ovšem kód CV2 (v podstatě PIN pro online platby) je na kartě přímo napsaný, a pokud ho seškrábu/začerním, tak se teoreticky dopouštím trestného činu pozměňování platebního prostředku.

Já bych si představoval bezpečnou platbu kartou tak, že karta bude mít malý displej a numerickou klávesnici (to již lze vyrobit jen asi bude mírně tlustčí), když budu chtít zaplatit, přiložím ji k terminálu, přes NFC se přenesou údaje o platbě, na kartě se zobrazí to nejdůležitější = především částka, kterou platím, po zadání PINu karta ty data podepíše mým soukromým klíčem a pošle terminálu, který si v součinosti s bankou podpis ověří přes veřejný klíč, když je vše v pořádku, mám zaplaceno. Tu kartu samozřejmě nikdy nebudu dávat z ruky.
Pokud budu platit přes internet, fungovalo by to úplně stejně = přes nějaké rozhranní (asi USB) dostanu data pro platbu, přímo na displeji té karty zkontroluju kolik (a nejlépe i komu) platím a teprve po zadání PINu to karta podepíše.

Samozřejmě se nabízí myšlenka, že by tohle zvládla aplikace v mobilu, jen by to bylo fakt těžké zabezpečit. Malware na androidu může odchytit PIN nebo zobrazit okno s klamavými údaji, zatímco nabourat se do jednoúčelové krabičky s bezpečně uloženými klíči, by bylo mnohem těžší.

Třeba by to šlo ještě vylepšit, ale takhle si představuju bezpečné technické řešení. Současná bezpečnost je postavená jen na naivní víře. Víře EMVco a podobných, že platební karta se vždy setká pouze s certifikovaným platebním terminálem a že obchodníci se nepokusí zákazníky okrádat. Zákazník totiž na místě nemá šanci poznat, zda se mu skutečně odečetla částka, kterou viděl na displeji (stačilo by přelepit poslední číslici) ani zda neproběhlo víc plateb najednou. A to ani nemluvím o méně obvyklých typech platby jako předrezervace nebo dodatečná uhrada k dříve provedené platbě a podobně...

nech si to patentovat, vydelas majlant!

Však já si nemyslím, že bych vymýšlel něco nového...

Bohužel i v jiných oblastech se nejpoužívanější řešení značně liší od toho, které by mohlo být nejlepší, navíc je vždy otázka nejlepší pro koho... a jakmile jde o bezpečnost, jde zpravidla proti pohodlí a cena.
Takže i když by se mi třeba i líbilo přihlašovat se do internetový banky přes nějaký token, ze kterýho budou padat jednorázová hesla, ani nevím, zda to ještě někdo nabízí, natož kolik by si za takovou službu účtovali, takže jsem se musel smířit s heslem + potvrzování plateb kódem ze SMS.

Má to Unicredit. Zadarmo.

Já. Skvělá věc.

Coz o to, napad je to pekny. Ale patentovat se ti to nepodari, protoze v jen o malinko jine podobe to uz vic nez osm let existuje - realne, nikoliv jako hypoteticky napad. Viz treba tento clanek v dennim tisku. Jenze ta karta je samozrejme drazsi a zajem mezi klienty i bankami maly.

jak to tady ctu tak fakt zlaty crypto! ltc a rychle superlevne a bezpecne platby, kde je panem platby uzivatel !

5 hodin? Kedy si naposledy pouzil bitcoin. Ked nepriplatis tak teraz uz aj 2 dni.

bullshit ..... i s bitcoinem jsou dnes transkace relativne levne a rychle (desitky minut) ... ty absurdne drahe a pomale transkace kvuli preplnenemu mainpool byl dusledek bitcoin cash(!) EDA tricku ... dnes uz je vse zpatky ve starych kolejich

mempoolu

prave proto pisu ltc (!!)

Sice lehce OT ...

Muze byt nekdo takovy kreten, ze na tom tzv mainstreamu zvereni toto https://technet.idnes.cz/unikle-hesla-c9f-/sw_internet.aspx?c=A180222_144321_sw_internet_dvz ? Zjevne muze ... poslete mi vase hesla a ja vam reknu, jestli sou v nejaky databazi, aneb pokud nebylo, prave jste ho zaradili.

Kreten se prihlasil ke svymu vytvoru?

Ja vazne nemuzu za to ze ses negramotnej blb, ale neboj se, je tady takovych jako ty 80%.

v době online bankování sí někdo nechává výpisy posílat MAILEM?

"kdo zažil éru krachů bank kolem roku 2000 ví, že je občas dobré mít nějaké dokumenty u sebe"

Proc??

Zadna banka nezavre jen tak, v naproste vetsine ji nekdo koupi i sklienty nebo pripadne konkursni rizeni se potahne spoustu let. Navic pochybuju ze koncici banka nema povinnost predat povinne archivovane dokumenty CNB (nebo nejake jine poverene osobne), uz jen kvuli prokazovani danovych deliktu zakazniku a pod.

Mozna to nepujde uplne hladce, ale zrovna banka neni typ instituce po ktere se po krachu proste slehne zeme....

> ale jak můžete třeba vůbec zkontrolovat, že vám nahradili správnou částku bez výpisu?

A jak budes postupovat pokud ta castka sedet nebude ..

A fakt máš pocit, že to je argument pro POSÍLÁNÍ výpisů EMAILEM?
Co třeba nějaký ještě blbější kanál, jako třeba vývěska na hlavním nádraží?
I ruční stažení prohlížečem přes https je lepší, než tohle.

V cem je (z hlediska bezpecnosti) rozdil mezi postou a emailem? Oboje je nezabezpecena a negarantovana komunikace (dokonce zaheslovani je prakticky mozne vlastne jen elektronicky).

Přečti si to ještě jednou (nebo dle potřeby libovolně mnohokrát opakovaně) a POMALU. Kde konkrétně píšu, že než mail, radši papírovou poštu? Nebuď jak blonďatá pipina a odpovídej na otázku, která byla položena a nevymejšlej si nějakou úplně jinou.

Tak počítej s tím, že s výpisy v mailu bude po posledním červnu konec, protože GDPR. A odeslání výpisu způsobem popsaným v článku bude s ohledem na počet klientů na takovej flastr, že by po bance zbyla díra až do zemskýho jádra.

Létat je tak prosté, proč se nenaučit i používat bankovní účty!

1. běžný - platební karta-A - zůstatek 2000,- platby pro jídlo, benzín, atd.
2. Internet - platební karta-B - zůstatek 100,- platby na internetu
3. spoření - NIC - zůstatek 950.000,- (štrozok)

Chci něco zaplatit na internetu? Převedu si přesnou částku z "3. spoření " na "2. Internet" a provedu platbu kartou "karta-B".

Je to složité? Je to bezpečné? Funguje to?

:-)

Taky to mám, lepší jak drátem do oka, ale jednou jsem to podcenil. Někam jsem pro něco jel, v kapse prachy na tu konkrétní věc, v kolonách padlo dost paliva na to, aby to nevyšlo na cestu zpátky. Tak natankuju, nevzalo to kartu, zaplatil jsem cash s tím, že v cíli podojím bankomat o litr. Ten mě poslal do háje, že na účtu jsou 300, vybrat šlo pětikilo a potřeboval jsem minimálně 800. Od druhýho účtu je karta normálně zamčená doma, takže nastalo hledání pobočky a přesvědčování baby za přepážkou... Si nedokážu představit, že bych u sebe měl hotovost na půl nádrže, natankovaný a klusal do banky 5km pěšky.

Vypis z banky je OK, ale lepsi variantou je API pro SW, pro nahrani dat do domaciho bankovnictvi. V CZ je to porad problem, jednotny standard neexistuje. A je to urcite i selhani "free sw", ze nevytvoril pouzitelny standard. SW pro domaci bankovnictvi se tady vlastne moc nepouziva. :-( Kazdy rok se s timto problemem potykam, kdyz chystam vykazy pro financni urad, uz se to zase blizi...

Uz je to hodne davno, W95 byly zhavou novinkou, Microsoft vydal free verzi Microsoft Money, demo, omezene na cca pul roku. Uz tenkrat tam meli definovanou konektivitu "out of the box" pro mnoho US bank, stacilo si zajistit credentials a mohli jste stahovat z banky transakcni historii primo do MS Money a pak provadet analyzy, atd. To bylo moc hezke.

Jednodny API je dokonce narizeny legislativne ... PSD2 ... a plati to od 13.1. 2018.

Akorat ze to je zase (jeko vetsina veci z EU) pojaty uplne blbe. Predpoklada se totiz, ze mezi bankama a tebou bude prostrednik ... lol.

V DE tohle funguje leta, pozadas o pristup, vygenerujes certifikaty a stahujes/zadavas transakce z ruznych bank ve svem sw dle libosti.

Cely problem je v tom, ze nekomu v bankach prijde jako dobry napad "zabezpecit" kartu tim, ze je jeji cislo tajne. Skoda ze ti sami imbecilove nemaji zabezpecene bankovni servery jenom tim, ze by byla tajna jejich IP a port, kam se da natelnetovat bez hesla.

Zbytek uz jsou jenom dusledky pokusu o zamaskovani inicialniho diletantismu.

Dneska uz banky nechteji vydavat ani neembosovane karty, takze s sebou kartu nenosim, protoze ji nechci ztratit a dozvedet se, ze behem 24 hodin od nahlaseni (48 hodin, 24 hodin od nejblizsi pulnoci apod. - kazda banka to ma jinak) na ni nekdo projezdil ctvrt milionu taxikem ve Vladivostoku, prestoze na ni bylo 25 Kc.

Rad bych si obas neco na internetu koupil, ale zatim jsem to nepotreboval tak moc, abych shanel bezdomovce s obcankou, ktery se necha umyt, prevleknout a vzit do banky zalozit ucet.

tesim se na dobu, kdy si v nejake bance vytahnou hlavu z COBOLu a uvedou kartu, kterou pujde zaplatit jenom v online terminalech, ktere komunikuji s chipem a na internetu tak, ze platbu budu muset autorizovat v bankovnictvi, nez se provede. To prvni jde castecne zaridit znicenim druhe pulky magnetickeho prouzku (ale dokud je karta embossovana, tak to je zbytecna prace).

Některé banky umí vydávat neembosované karty, např. RB... :)

Kdyz jsem si prosel clanek a diskuzi, nenasel jsem zminku o tokenizaci cisel karet. Vzhledem k zajimavym nazorum v diskuzi by me celkem zajimalo jaky nazor mate na tokenizaci ve vztahu k bezpecnosti cisla karty.

Token je vždy svázán s obchodníkem (či skupinou), tedy jinde nelze uplatnit. Nemá to s tímto mnohem společného.
Pozn. To co předvedla RB je zhovadilost, protože mimo EU mi stačí PAN a epirace resp. jméno a můžu vesele platit mimo EU (kde 3D secure považují právem za nesmysl)

velmi zajimavy clanek,nevite jak to ma equa?