http://www.mbank.pl/blog/artykul,100,hybrydowa-ryba-co-to-za-stwor.html

wg tej informacji proba uzycia karty hybrydowej w terminalu obslugujacym
chipy konczy sie prosba o uzycie chipa, czyli informacja o chipie powinna
byc zapisana na pasku magnetycznym

jesli tak jest rzeczywiscie to jak zachowuje sie taki terminal jesli
chip jest uszkodzony ? czy w takim przypadku nie da sie dokonac transakcji ?

s:

Cytat:

wg tej informacji proba uzycia karty hybrydowej w terminalu obslugujacym chipy konczy sie prosba o uzycie chipa, czyli informacja o chipie powinna byc zapisana na pasku magnetycznym

I prawie zawsze jest.

Cytat:

jesli tak jest rzeczywiscie to jak zachowuje sie taki terminal jesli chip jest uszkodzony ? czy w takim przypadku nie da sie dokonac transakcji ?

Zalezy od terminala, moze byc opcja dokonania transakcji przy uzyciu
paska i/lub poprzez wpisanie danych karty. Z tym, ze bank moze nie dac
autoryzacji (jesli terminal zasygnalizuje wydawcy, ze chip zostal
pominiety, bo normalne transakcje "paskowe" w terminalu bezchipowym to
inna bajka).
--
Krzysztof Halasa

Cytat:

Zalezy od terminala, moze byc opcja dokonania transakcji przy uzyciu paska i/lub poprzez wpisanie danych karty

zastanawialem sie czy da sie jakos wymusic potwierdzanie transakcji podpisem,
ale to przeciez tez bardziej zalezy od terminala i nawet gdyby transakcja
z paska przeszla to pewnie potwierdzenie w terminalu chipowym zawsze jest pinem

w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie
jej na chipowa

"MarcinF" news:4bdb6073$0$17089$65785112@news.neostrada.pl

Cytat:

zastanawialem sie czy da sie jakos wymusic potwierdzanie transakcji podpisem, ale to przeciez tez bardziej zalezy od terminala i nawet gdyby transakcja z paska przeszla to pewnie potwierdzenie w terminalu chipowym zawsze jest pinem

Nie zawsze - dobitnie o tym swiadcza delfinki z zablokowanym chipem, którymy
jakis czas temu dokonywalem kilkunastu transakcji na terenie UK.
Transakcja przechodzila z chipa, ale... ku zdziwieniu mojemu jak i samej
obslugi nie podawalem zadnego pinu, natomiast musialem sie podpisac na
swistku.

Cytat:

w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie jej na chipowa

Niby tak, ale co np. zrobisz z taka karta w Realu gdzie kasjerki nagminnie
mimo, ze widza chip na karcie przesuwaja ja przez terminal najpierw paskiem
by potem wpakowac ja w odpowiednia szczelinke pinpada... Jezeli skasujesz
pasek to rozumiem, ze transakcja ww. przypadku nie dojdzie do skutku. Dobrze
rozumiem?

Witam.

Cytat:

Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa i z PIN-em, ale podpisac sie i tak trzeba.

W Rumunii identycznie - zawsze i PIN i podpis.

--
Pozdrawiam,
Maciej Loret
www.maciejloret.neostrada.pl

Cytat:

w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie jej na chipowa

Raczej na niebezpieczna. Poczytaj o atakach "man in the middle" i o
ominieciu PINu w kartach chipowych.
http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf

--
pozdrawiam pawbrok

Cytat:

Niby tak, ale co np. zrobisz z taka karta w Realu gdzie kasjerki nagminnie mimo, ze widza chip na karcie przesuwaja ja przez terminal najpierw paskiem by potem wpakowac ja w odpowiednia szczelinke pinpada... Jezeli skasujesz pasek to rozumiem, ze transakcja ww. przypadku nie dojdzie do skutku. Dobrze rozumiem?

o to bym sie akurat nie martwil, nie powinno byc chyba problemu z tym
zeby chip trafil do wlasciwego czytnika, gorzej z miejcami gdzie
nie ma terminali chipowych i bankomatami

Cytat:

Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa i z PIN-em, ale podpisac sie i tak trzeba. Czyli: uwierzytelnianie tak jak chce bank, a dla bezpieczenstwa klienta jeszcze podpis na swistku.

to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania paska magnetycznego i uzycie
kopii chocby w bankomacie

Cytat:

w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie jej na chipowa :) Raczej na niebezpieczna. Poczytaj o atakach "man in the middle" i o ominieciu PINu w kartach chipowych. http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf

ok, w takim razie skasowanie paska nie jest sposobem na uczynienie z niej
bezpiecznej karty, ale przynajmiej bezpieczniejszej :)

ryzyko wynikajace z takiego ataku nie jest az takie straszne bo wymaga
po pierwsze posiadania karty, a po drugie niewiedzy prawowitego posiadacza
o kradziezy (zablokowanie karty), wiec nie spodziewalbym sie
masowego wykorzystania, zwlaszcza ze ataku nie mozna wykorzystac
w bankomacie

s:

Cytat:

zastanawialem sie czy da sie jakos wymusic potwierdzanie transakcji podpisem, ale to przeciez tez bardziej zalezy od terminala i nawet gdyby transakcja z paska przeszla to pewnie potwierdzenie w terminalu chipowym zawsze jest pinem

Nie zawsze, np. karty "chip & signature", terminale chipowe bez PINpadow
(nie jest to norma ale sa takie).

Cytat:

w takim razie chyba jedynym sposobem na bezpieczna hybryde jest przerobienie jej na chipowa

Przynajmniej teoretycznie najwazniejszym mechanizmem zwiazanym z takim
bezpieczenstwem jest liability shift.
--
Krzysztof Halasa

s:

Cytat:

Mnie sie najbardziej podoba system w Gruzji: transakcja idzie z chipa i z PIN-em, ale podpisac sie i tak trzeba. Czyli: uwierzytelnianie tak jak chce bank, a dla bezpieczenstwa klienta jeszcze podpis na swistku.

A co tu niby jest "dla bezpieczenstwa klienta"?
Bo dla bezpieczenstwa sklepu - jasne: chip & PIN zeby zabezpieczyc sie
przed ew. chargebackiem, i podpis jako widoczny slad na papierze.
Byc moze ich przepisy tego wymagaja (np. bardziej niz nasze), nie wiem.
--
Krzysztof Halasa

s:

Cytat:

to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania paska magnetycznego i uzycie kopii chocby w bankomacie

Tyle ze to wtedy, przynajmniej teoretycznie, problem wlasciciela
bankomatu. Niech sobie zamontuje czytniki chipow, albo niech placi za
fraudy.
--
Krzysztof Halasa

Cytat:

to nic nie da, w przypadku hybrydy problemem jest mozliwosc odczytania paska magnetycznego i uzycie kopii chocby w bankomacie Tylko za granica - na terenie Gruzji wszystkie bankomaty sa EMV-compliant. Biorac pod uwage ze szybciej sie zglasza utrate karty niz dolatuje/dojezdza do bankomatu za granica, to nie sadze, zeby Gruzja byla krajem "przyjaznym skimmerom".

wyplat kopianmi zeskimowanych kart dokonuje sie zwykle wlasnie za granica, skimming to nie kradziez
wiec posiadacz nie moze zglosic czegos o czym nie ma pojecia, i wreszcie nie ma potrzeby wozenia
czegokolwiek bo dane odczytane z paska mozna przeslac gdziekolwiek

s:

Cytat:

Tylko za granica - na terenie Gruzji wszystkie bankomaty sa EMV-compliant. Biorac pod uwage ze szybciej sie zglasza utrate karty niz dolatuje/dojezdza do bankomatu za granica, to nie sadze, zeby Gruzja byla krajem "przyjaznym skimmerom".

Kazdy kraj jest chyba jednakowo przyjazny skimmerom. No moze poza
takimi, gdzie typowo karty nie podaje sie kasjerowi, tylko samemu wklada
sie ja do czytnika (chipowego oczywiscie). Tak powinno byc - o ile
w przypadku transakcji z paskiem zabezpieczenia fizyczne karty sa
istotne (logo, 4 cyfry na plastiku, embosowany numer itd), o tyle przy
transakcji chipowej zabezpieczeniem jest kryptografia.

Natomiast zupelnie inna sprawa jest sytuacja zlodziei wyplacajacych
z bankomatow (przy uzyciu skopiowanych kart). Z tym, ze dane karty mozna
przeslac, nie trzeba ich wozic osobiscie.
--
Krzysztof Halasa

Cytat:

Tyle ze to wtedy, przynajmniej teoretycznie, problem wlasciciela bankomatu. Niech sobie zamontuje czytniki chipow, albo niech placi za fraudy.

tzn. ze w przypadku kiedy fraudu dokonano w bankomacie nie posiadajacym
czytnika do chipow to bank poinformuje o tym klienta, odda mu pieniadze,
a nastepnie bedzie probowal odzyskac je od wlasciciela bankomatu ?

faktycznie, teoretycznie swietne dla klienta rozwiazanie, tylko skoro
informacje i decyzja sa po stronie banku to nie wroze zastosowania
w praktyce, zwlaszcza ze zasada liability shift nie jest chyba
obowiazujacym prawem