Kezdőoldal » Üzlet és pénzügyek » Banki ügyek, kamat, hitel » A paypass fizetési mód tényleg...

A paypass fizetési mód tényleg annyira biztonságtalan, mint amilyennek beállítják?

Figyelt kérdés

Például itt van ez a cikk:

[link]

Én személy szerint nem akarom elhinni, hogy az olyan egyszerű lenne, hogy egy kártyaolvasóval offline kiolvasva az adatokat a kártyáról, majd pl. egy másikra kiírva működhet a dolog. Remélem valaki ezt meg fogja tudni cáfolni, mert még a végén magam fogom kipróbálni a sajátomon.



2018. jún. 12. 09:55
 1/8 anonim ***** válasza:
100%

Elméletileg megoldható, de gyakorlatilag azért ez nem ilyen egyszerű, hogy fogod, veszel a piacon egy kütyüt, leolvasod, csinálsz egy chipet, és kész.

Még a megfelelő technikai ismeretek birtoklása mellett is komoly szakmai tudás, és eszköz kellene hozzá, hogy egyáltalán kipróbálhasd, működne-e.


Egyébként itt egy cikk: [link]

2018. jún. 12. 10:30
Hasznos számodra ez a válasz?
 2/8 Walter_Dornberger válasza:
100%

Ez nem így működik, ez a feltörési mód biztosan nem megy.


Magam részéről volt szerencsém NFC eszközökkel fejleszteni és a következőt tudom elmondani, ami érdekes lehet annak aki kételkedik az ilyen eszköz biztonságában.


A paypass technológiában némelyik gyártó némelyik NFC eszközére igaz, hogy kommunikációja során ha az üzenet átmegy a kártya felé a kapcsolat felépítése során be kell jelentkezni egy előre megadott "jelszóval" általában ez az illető kártyás eszközök gyártóira jellemző. ha a jelsorozat amivel bejelentkeznek hibás ellenörző összegű, akkor nem veszi figyelembe a kártya. ha jó az átvitel a hitelesítés során megpróbálja hitelesíteni a kártyaolvasót. ha sikerül megy tovább a folyamat. ha nem a kártyaolvasó nem folytatja a kommunikációt, nem fogadja el a kártyát.

Ha ki akarná próbálkozni valaki a "jelszót" kipörgetéssel, akkor néhány próbálkozás után letilt a kártya.

Az ötlet annyi, hogy ha valaki végigmegy olyan kamu NFC olvasóval a villamoson, ami tök random kulccsal próbálkozik a közelébe eső kártyával, azt végleg képes bezárni egyetlen csippanás nélkül.(a használó legnagyobb bánatára)

Azért nem írom le a részletes nfc protokollt és a hitelesítési eljárást, kártyatípust, mert nem akarok ötletet adni, és mert a "jelszó" sem ilyen egyszerű jelsorozat, de akinek van füle az érti mit akarok mondani.

2018. jún. 12. 10:34
Hasznos számodra ez a válasz?
 3/8 2*Sü ***** válasza:
100%

Elméletileg vissza lehetne élni vele. A gyakorlatban ez nem jellemző, pláne nem Magyarországon.


- Érintéses fizetés esetén 5000 Ft-tól PIN kódot kér.

- Akár egy NFC képes telefonnal is sok adat kinyerhető a bankkártyáról, pl. az utolsó tranzakciók dátuma, összege, de olyan adat nem, ami az érintéses fizetésen kívül másra is használható (pl. nem tartalmazza a kártya lejárati dátumát, így online fizetésnél nem sokra mész vele).

- A legtöbb bank a tranzakcióról SMS-t, vagy emailt küld, így – főleg egy okostelefonnal a zsebedben – hamar értesülhetsz a visszaélésről.

- A legtöbb bankban alapból korlátozott a napi fizetések száma, illetve összege.

- Nem vagyok szakértője a dolognak, de amennyire tudom a terminál és a kártya között némileg komplexebb a kommunikáció. Nem lehet csak úgy lazán kiolvasni egy álterminállal minden adatot, majd egy másik eszközzel reprodukálni ugyanezt a kommunikációt egy valódi terminállal, mert oda-vissza történik kommunikáció, hitelesítés zajlik, tehát néhányszor meg kellene fordulni a valódi terminál, és a buszon utazó, a kártyáját a nadrágzsebében hordó áldozat között. Persze vissza lehet fejteni algoritmusokat, lehet próbálkozni random módon is, de elég kicsi a sikeressége ennek, illetve eléggé macerás és költséges az egész ahhoz, hogy ne érje meg pár ezer forintos vásárlásokra való használat céljából.

- A visszaélésekből származó károk 90%-át megtéríti a bank, a kivételt képező 10% leginkább különös gondatlanságból származó eseteket jelent. (Mondjuk otthagyod a bankkártyádat egy nyilvános helyen, a PIN kódoddal együtt.)


Szóval a gyakorlatban nem különösebben veszélyes a dolog.


Ezt alátámasztandó:

- A PayPass technológia lassan 15 éves.

- Vagy hat éve léteznek Magyarországon PayPassos kártyák.

- Jelenleg több, mint 6 millió érintéses fizetésre alkalmas kártya van forgalomban.

- Kb. 100 millió forintnyi kártyához köthető tranzakcióból 1 forintnyi tranzakció az, ami csalás, visszaélés. Ennek a 3/4-e is online fizetéshez köthető, semmi köze a PayPass technológiához.

- A bankkártyához köthető csalásoknál a PayPassos kártyák aránya nem másabb, mint az amúgy a forgalomban lévő kártyákhoz mérve a PayPassos kártyák aránya, tehát a visszaélések zöme nem kötődik a PayPass technológiához.

2018. jún. 12. 11:27
Hasznos számodra ez a válasz?
 4/8 Wadmalac ***** válasza:
100%

A paypass bankkártyámat átköltöztettem a telefonomra (Simple OTP app), így csak ujjlenyomattal együtt lehet vele fizetni illetve csak úgy kommunikál.

Ezzel még a minimális veszély is kiküszöbölve.

Persze a mobil is hackelhető, 100% biztonság nem létezik.

2018. jún. 12. 12:55
Hasznos számodra ez a válasz?
 5/8 A kérdező kommentje:

Köszönöm a válaszokat!


#Wad: Én még inkább félnék a telefonra költöztetett apptól, ott még annyira sem érezném biztonságban a dolgot, mint a kártyámat a zsebemben. :D


Ezernyi írás van a biometrikus azonosításfajták kijátszhatóságáról:

[link]

2018. jún. 13. 08:06
 6/8 Wadmalac ***** válasza:

"Ezernyi írás van a biometrikus azonosításfajták kijátszhatóságáról:"


Már bocs, de ahhoz először el kell lopni tőlem a telefont.

Akkor meg tiltom a banki funkciókat.

A másik: a Simple Paypass kártyájára te döntöd el, hogy mennyi pénzt töltesz rá a folyószámládról, max annyi nyúlható le, nem a komplett kártya. Oké, hogy a csippantós kártyás vásárlásnál alkalmanként 5000 Ft a határ PIN nélkül, de ha 20 helyen használják, az már 100.000,- mínusz.


Amúgy a legnagyobb banki biztonság az, ha minden tranzakcióról értesítést kapsz, akkor az első nem általad indítottnál tilthatod a számlát.

2018. jún. 13. 08:16
Hasznos számodra ez a válasz?
 7/8 2*Sü ***** válasza:

Kicsit melléktéma, de a biometrikus azonosítással szemben vannak nekem is fenntartásaim. Használom ezeket (konkrétan a Simple-t is), de mélyebben belegondolva fázok tőle. A problémám az, hogy végül egy ujjlenyomat is csak bitekké válik a kommunikációban, ráadásul egy passzív, readonly adatról van szó, tehát valamilyen módon az tényleges ujjlenyomat és az ujjlenyomatolvasó kiváltható valamiféle emulációval, a bitsorozat reprodukálásával. Nyilván ugyanez a helyzet egy PIN kóddal, egy jelszóval is.


Csak van egy nagy különbség. Hozzájut a bankkártyádhoz, jelszavadhoz, PIN kódodhoz? Ideiglenes, még ha esetleg fájdalmas probléma, hiszen a bankkártya letiltható, a PIN kód, a jelszó megváltoztatható, ezután a régi bankkártyáddal, a régi jelszavaddal, a régi PIN kódoddal nem sokra lehet menni. De próbáld meg megváltoztatni az ujjlenyomatodat… Ha ezt egyszer valaki megszerzi, életed végéig vissza tud vele élni.


Oké, nyilván egyéb eszközökkel, technikákkal ötvözve nem egy szörnyű helyzet, jelenleg nem is jellemző, hogy visszaélnének ezzel, de önmagában és elméletben a biometrikus azonosítás a megváltoztathatatlansága miatt rejt magában komoly kockázatokat.

2018. jún. 13. 12:08
Hasznos számodra ez a válasz?
 8/8 Wadmalac ***** válasza:

#7: Ebben van valami. Ez egy megváltoztathatatlan PIN-kód.


Hogyan tudunk ennél jobbat? A megoldástól sokan ódzkodnak, pedig úgyis ez lesz a vége: bőr alá ültetett RFID chip.

2018. jún. 13. 12:33
Hasznos számodra ez a válasz?

Kapcsolódó kérdések:




Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!