PSD2 - ennek így mi értelme?

Közösségi kerekasztal

Olvasom ezt a cikket. Abban pedig az alábbit:

Mindenki másnak bonyolultabb procedúra lesz a vásárlás. A bankkártyákhoz kelleni fog valamilyen online pin-kód, és a tranzakciókat jellemzően ezzel és egy másik sms-ben érkezett kóddal lehet csak jóváhagyni. Ezek a kódok gyakorlatilag megakadályozzák, hogy illetéktelenek az interneten vásároljanak mások bankkártyájával - legalábbis európai uniós webshopokból. Más országok webáruházaira ugyanis nem vonatkozik a korlátozás, vagyis az Egyesült Államokból, Kínából és más harmadik országból jövőre is lehet majd a szokásos bankkártya-adatok megadásával vásárolni. Magyarországi étteremből viszont senki nem fog tudni jövőre a buliba a haverja bankkártyájával pizzát rendelni.

Tehát Kínából bátran lenyúlhatják a pénzem továbbra is. Ennek mi az értelme? Olyan ez, mint amikor az a „jogosultság kezelés” , hogy a filemanager - tehát a kliens - úttörő becsület szavára megígéri, hogy nem mutatja meg azokat a file-okat, amelyhez nincs jogunk. A kernel persze engedi, így bármikor írható olyan alkalmazás, amellyel bármihez hozzáférünk.

Úgy látom, rá kell szoknom a készpénzre. Eddig is utáltam becsépelni a nevem, bankkártya számom, a bank nevét, a CVC-t, majd most még PIN, SMS, abban dinamikus kód, netán belépni a bank online felületére username, password, onnan érkező SMS, abból azonosítót visszaírni. A végén a session-ből szabályosan kilépni. Az ebéd rendelésem online beletelik majd legalább 20 percbe.

Hát a f..m nem kéne?

  • 1062 megtekintés

( zeller | 2021. 01. 02., szo – 17:36 )

"Tehát Kínából bátran lenyúlhatják a pénzem továbbra is. Ennek mi az értelme?" - Az EU-s szabályozás joghatálya az EU-ra terjed ki - Kínára, vagy épp az USA-ra (meg a britekre...) nem. Azaz EU-n kívüli elfogadónál semmi sem változik, csak EU-n belül.

"bank online felületére username, password, onnan érkező SMS, abból azonosítót visszaírni" - Push, mobil app, néhány nyomással jóváhagy, örül - SMS-t végre elfelejt a 3.14csába... :-)

 

Nem tudom te merre jártál, vagy hol.. Nekem küldött a bank értesítőt, hogy bizony ezt + azt meg kell tennem.

Beléptem a Smartbankba.. ott beállítottam ~2perc alatt a szükséges dolgokat.

Majd utána tudtam vásárolni, annyi extrával, hogy amikor vásároltam online, akkor "pitty pitty"... Smartbank jelzett hogy van itt egy tranzakció, részletesen benne kitől, mikor, mennyire, honnan, hova. Jóváhagyom? Igen.

Kész. Okostelefon mentes megoldást nem tudok... De nem is érdekel

Szignifikáns különbség, hogy legfeljebb a szolgáltató tudja, s nem túl nagy pontossággal. Továbbra is ott van, hogy nincs az rendjén, hogy ahhoz, hogy bármit megvegyek, 2-3 évente vásárolnom kell egy 100 000 Ft értékű eszközt. Ráadásul nem nyílt, nem bízom a biztonságában a privacy-jében, s nem én vagyok a rendszergazdája.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nagyjából Android 5+ (TLS1) elég a legtöbb mobilbanki app futtatásához, és bőven nem kell 100E Ft-os eszközt venned.
"legfeljebb a szolgáltató tudja, s nem túl nagy pontossággal" - hidd azt.
"nem bízom a biztonságában a privacy-jében, s nem én vagyok a rendszergazdája" - Miért, melyik SMSC-nek vagy a rendszergazdája? Csak hogy tudjam, melyik szolgáltatót jobb elkerülni :-P

Nem az SMS Centerre gondoltam, hanem a végberendezésre. Kezemben lenne egy eszköz GPS-szel, wifi interface-szel, hálózati kapcsolódási lehetőséggel úgy, hogy az akkuja sem kivehető, a perifériái nem kikapcsolhatók.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Szignifikáns különbség, hogy legfeljebb a szolgáltató tudja, s nem túl nagy pontossággal.

Ha kikapcsolod a helymeghatározást, akkor ez egy okostelefonnal is így lesz.

Továbbra is ott van, hogy nincs az rendjén, hogy ahhoz, hogy bármit megvegyek, 2-3 évente vásárolnom kell egy 100 000 Ft értékű eszközt.

Én egy öt éves telefont használok erre, mert annyira két faktoros a belépésem, hogy külön telefonon vannak ezek a dolgok, amúgy értéktelen, mert rossz a mikrofonja.

Ráadásul nem nyílt, nem bízom a biztonságában a privacy-jében, s nem én vagyok a rendszergazdája.

Bármi másnak te vagy a rendszergazdája?

https://iotguru.cloud

A számítógépem rendszergazdája én vagyok, s eddig arról minden nehézség nélkül tudtam online vásárolni. A routerem rendszergazdája is én vagyok, az image-et is egyedileg rakom rá össze.

A helymeghatározás kikapcsolása számomra annyit tesz, hogy kapok a kijelzőn egy grafikai látványelemet arról, hogy a helymeghatározás ki van kapcsolva. Ebből ezen felül nem következik semmi a GPS/GLONASS interface működését illetően.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A számítógépem rendszergazdája én vagyok, s eddig arról minden nehézség nélkül tudtam online vásárolni. A routerem rendszergazdája is én vagyok, az image-et is egyedileg rakom rá össze.

Oszt ezen túl? Személyesen nézed át a forrást és fordítod magad? A firmware-t is? Vagy ez ad egy hamis biztonságérzetet?

A helymeghatározás kikapcsolása számomra annyit tesz, hogy kapok a kijelzőn egy grafikai látványelemet arról, hogy a helymeghatározás ki van kapcsolva. Ebből ezen felül nem következik semmi a GPS/GLONASS interface működését illetően.

És honnan tudod, hogy a butatelefonodban nincs hátsó kapu? Csak azért, mert sose volt kivezetve a GUI-ra? Amúgy meg tudod nézni a hálózati forgalmat. Horrible dictu root jogot szerzel. Neked nem technikai, hanem filozófiai bajaid vannak a világgal.

https://iotguru.cloud

Azert ha fizikailag eltero es elkulonulo eszkozre erkezik a megerosito kod, az kicsit biztonsagosabb, mint az osszevisszabonyolitott eszkozokre kuldottek, amelyek sok, ismeretlen forrasbol szarmazo applikaciot is tartalmaznak...

Error: nmcli terminated by signal Félbeszakítás (2)

Köszönöm az aggodalmad. Igen értem, azért írtam, hogy _számomra_ az garancia, ha a készülék maga mondja magáról, hogy "köszi, megkaptam az sms-t". Milyen más technikai csatorna van ennek a kiváltására adat nélkül, ahol garantált a kézbesítés? Vagy akár azzal?

Szerintem az sms még mindig a legjobb erre. Nem azért, mert az olyan nagyon jó, hanem azért mert még nincs jobb.

Az SMS egy drágán adott, sem kézbesítést, sem kézbesítési időt tekintve nem garantált szolgáltatás. Lásd nem akkor fizetsz egy sms-ért, ha az kézbesítésre kerül x időn belül, hanem akokr, amikor elindítod - attól függetlenül, hogy mennyi idő alatt ér célba, vagy hogy egyáltalán célhoz ér-e? Azaz sem te, sem a bank nem rinyálhat a telco szolgáltatónál azért, mert a psd2 okán küldött sms nem érkezett meg, és ebből bárkinek bármilyen kára származott.
 

Ez nem egészen igaz. Pl. parkolásnál elfogadják a szolgáltatói logokat (és néha bankok is kérnek ilyet). Nem írtam soha azt, hogy garantált lenne, azt pedig meg végképp nem, hogy bármilyen időlimit lenne erre. Azt írtam és most is azt mondom, hogy jobb, mint a többi lehetőség (mert nem nagyon van), és ha kér az ember kézbesítési jelentést, akkor azt tudja biztosan, ha megkapta a címzett. Olyan előfordulhat, hogy nem tudja és mégis megkapta....

Az ára az annyi, amennyi az előfizetési csomagodban van (a legböbb normális csomagban ingyenes egyébként). Cégeknek meg egy havi tizenezer forint nem hiszem, hogy olyan hatalmas érvágás lenne, de nyilván van ilyen is.

Onnantól kezdve, hogy a kiküldés, azaz a küldőtől való átvételt követően semmilyen garancia nincs arra vonatkozólag, hogy az üzenet célhoz is ér, és arra sem, hogy ez x időn belül fogmegtörténni, semmiben sem jobb a push üzenetnél.

"Cégeknek meg egy havi tizenezer forint nem hiszem, hogy olyan hatalmas érvágás lenne" - A tömeges sms szolgáltatás díjazása általában x darab előfizetési díjban benne foglalt üzeneten felül darabdíjas szolgáltatásként működik, és ez pont ennyivel drágább,mint a push üzenet küldése. A "nem hatalmas érvágás" az lehet igaz, azonban a psd2 (netbanki 2fa, netes vásárlás 2fa) miatt elég jelentős mértékben nő az üzenetszám mindenütt, és egyértelmű, hogy a költség szempontból kedvezőbb irányt preferálják a bankok.

Egy szó sem esett külföldi sms-ekről eddig. Valóban bosszantó lehet egy ilyen állapot, én az országon belüli állapotról beszéltem (bár nem pontosítottam, sorry). Külföldi sms egyáltalán nem biztos sehonnan-sehová. (De ha megkaptad a kézbesítési jelentést minden probléma ellenére, akkor is tudhatod, hogy megérkezett az üzenet és ebben szálban arról volt szó, nem arról, hogy X időn belül megérkezik.)

A PSD2-vel az a gondom, hogy ha valódi biztonságot akartak volna, akkor a bankkártyán fityegne még egy CVC-szerűség, vagy valami ilyesmi, s nem jogszabállyal, bemondásra kényszerítik ki a saját homokozónkban, hanem technikailag, s így mindenkire érvényes.

Gondolom, a tűzfalad sem úgy működik, hogy küldesz egy üzenetet a hekkernek, hogy légyszíves, ne törd fel a gépem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

"a bankkártyán fityegne még egy CVC-szerűség" - Minek? Pont a statikus, ellopható kód hibáit orvosolja a psd2-ben kötelező egyszer használatos generált kód.

"s nem jogszabállyal, bemondásra kényszerítik ki a saját homokozónkban, hanem technikailag, s így mindenkire érvényes" - csaxólok, hogy globális hatású dologról lenne szó, amit a világvégi elfogadóhelyen lévő eszközig és az azt kiszolgáló authorizáló/banki partnerig át kell "tolni", mielőtt bevezetik.

A PSD2-vel a netes fizetések egy része biztonságosabb lesz - a többi meg marad olyan, amilyen volt.

...vagy rá sem írták volna a CVC-t és rögtön megvan a kártyától független azonosító... vagy beállíthatóvá tettek volna egy CVC2-t, ami kártyától független.
Persze ez attól nem véd, ha megjegyzi az oldal ezen adatokat és később újra felhasználja... de épp' ezért használtam eddig is a fizikai kártyámtól független működő másik társaságot, amin egyébként sem érhető el több pénz a kelleténél.

...a lényeg, hogy "megvédenek"...

" ez attól nem véd, ha megjegyzi az oldal ezen adatokat és később újra felhasználja" - na ezért van a PSD2, hogy az elfogadóünál lévő adatok birtokában egy és csak egy tranzakció legyen végrehajtható. Az persze jó kérdés, hogy a bankkártyára terhelést rendszeresen (pl. havi előfizetési díj) benyújtó szolgáltatók ezen túl hogyan fognak a pénzükhöz jutni...

Így van, csak kezdetben az előző problémára hivatkoztak (minden azonosító egy helyen).

Úgy tudom, hogy lesznek megbízhatónak titulált tranzakciók, bár az nem derült ki számomra, mi alapján lesznek azok.
Vélhetően a rendszeres terhelést végző szolgáltatókra lesz megoldás...

...legalábbis meglehetősen frusztráló lenne, ha ezentúl nem lehetne értelmes módon előfizetni valamire úgy, hogy a szolgáltató a bankkártyára terheli a havidíjat.

Az pre-authorzizált fizetéseket jelezni kell a tranzakciónál, ez lehetővé teszi a terhelést később, mert megjelöli hogy az adott fizetés szolgáltatót meghatalmazod bizonyos típusú levonásra előre. Ezt nem érinti a PSD2 (kivéve, a kezdeti nehézségeket amely a szar implementációból származnak (lásd  OTP probléma))

"lásd  OTP probléma" ezt hol találom? Épp netflix-szel szívok, mert a virtuális kártyámat nem fogadja el, nem jön SMS. Miért is jönne, amikor nem prompt vásárlás, hanem felhatalmazás. Rendes kártyámmal nem próbáltam, azt nem adom meg soha, de biztos ott is ez lenne a helyzet. Szóval mi van a havidíjas cuccokkal? Netflix, youtube.

Az SMS jellemzően a felhatalmazáskor jön. Amikor pl. vásárolsz, a vásárlás pillanatában csak egy engedélykérés történik, a tényleges elszámolás a POS terminál zárásakor lesz majd. Aznap, vagy akár napokkal később. Az, hogy az OTP-vel mi van, nem tudom, se OTP számlám, se netfilx, youtube előfizetésem nincs. Az Apple és a Digitalocean pedig eddig nem kért hitelesítő kódot a havi előfizetési díjra. Szerintem ezután se fog.

Amikor pl. vásárolsz, a vásárlás pillanatában csak egy engedélykérés történik, a tényleges elszámolás a POS terminál zárásakor lesz majd.

Ez nem egészen igaz (legalábbis OTP terminálon), mióta gyakorlatilag minden tranzakció online, a kereskedőnek nem kell zárnia ahhoz, hogy megkapja a pénzét.

Közben kipróbáltam netflix-et paypal-lal: paypal mögé betettem az eddigi OTP-s virtuális kártyámat, az OTP-s applikációban kellett jóváhagyni a 0Ft-os tranzakciót. Ezután netflix-nek megadtam a paypal-om, így le tudta vonni és nem is kellett semmi. (Nekem ez így megfelelő). Elég bonyolultra sikeredett így, vicces. Azaz nem vicces, hanem szánalmas.

( csardij v | 2021. 01. 02., szo – 17:40 )

Írj a bankodnak, hogy csinaljanak olyan featurét, hogy csak 3dsecure vásárlást engedjenek. Az is lehet ilyen már létezik, csak nem vezetik ki.

Web, Domain, Tárhely

Ennél sokkal egyszerűbb egy csak internetes vásárlásra fenntartott kártya (alszámla).

Tranzakció OK-zása előtt átpakolsz az alszámlára akkora összeget, ami fedezi a vásárlást, aztán OK. Kártya (alszámla) terhelve, pénz lefogyott.

Kici kinai hekker meg nem tud leszedni semmit. Max, ha pont abban a pár másodpercben próbálkozik sikeresen, amíg a fenti átvezetés megtörténik.

Valóban.

Q bonyolult egy (al)számlák közötti átvezetés.

Csak pilótavizsgával megy...

De a gyengébbeknek ott van a Revolut virtuális kártyája.

Fizetés idejére engedélyezed, majd a sikeres fizetés visszaigazolása után azonnal felfüggeszted a 'kártyát'.

Van olyan bank, ahol háromféle napi limit van: Kp-felvétel, Normál vásárlás és CNP (Card not present) vásárlás (ez utóbbi az internetes vásárlást jelenti). Ha a CNP-re beállítasz 0 (1 Ft, whatever) limitet, és csak vásárláskor állítod át, az ugyanaz, mintha külön alszámlád lenne, csak épp átvezetni sem kell (ami pl. régebben hétvégén problémás volt). Annyi előnye még van, hogy ha megelégszel némileg csökkentett biztonsággal, akkor a limitet olyan összegen hagyod, ami pl. az előfizetéseidet még átengedi.

https://diakhitel.hu/wp-content/uploads/2020/12/KLF1_Hirdetmeny_Lakossa…

„Takarékbank Lakossági Fizetési Számlatermékek Hirdetménye
korábbi nevén Takarék Csoport Lakossági Fizetési Számlatermékek Hirdetménye
Hatályos: 2020. augusztus 01. napjától”

 

Ha van „Alszámla kedvezmény”, akkor van alszámla is. Főleg ha meg is lehet szüntetni;

„A kedvezményes számlavezetési díj igénybevételére az Ügyfél és a Hitelintézet között létrejött vonatkozó szerződés alapján van lehetőség. Elkülöníttet számlához folyószámlahitel nem igényrelhető.A kedvezmény alapjául szolgáló ( ún. Kapcsolódó Bankszámla) megszűnése maga után vonja az Alszámla megszüntetését.”

Eddig nem volt olyan bank, ahol ezt ne tudtam volna megjátszani.

De lehet pörögni ezen...

A Revolut-os megoldásra senki nem csapott rá. Biztosan azért mert ingyen van és mobilapp.

Ettől függetlenül a probléma gyökere minden esetben ugyan az. Hogyan tudom megvédeni a bankszámlámon lévő pénzösszeget, hogy kártyatranzakcióval ne lehessen leüríteni.

Kellő körültekintéssel eddig is megoldható volt. Lustasággal meg ezután sem lesz kielégítő megoldás.

( tovis v | 2021. 01. 02., szo – 21:31 )

Nálam már lehet 2 hónapja ez a szopatás megy. Eljutottam oda is, hogy amikor eBay fizetek és módosítok PayPal sem éri be holmi jelszóval sms -t küld. A bankolni hardtoken -el szoktam (éves díja ck. 5.000,- HUF), de ez csak a WEB -es felületükhöz jó, amivel három alapvető műveletet lehet elvégezni: logi, sign és pay. De a pay funkció nem használható.
Kíváncsi lennék hány visszaélés van, az milyen országokhoz (régiókhoz) köthető és vajon mi lenne ha szimplán biztosítást kötnének rá ahelyett, hogy korlátozzák az elektronikus fizetést? Mekkora kockázat lehet ez?

* Én egy indián vagyok. Minden indián hazudik.

( willy v | 2021. 01. 03., v – 08:21 )

"Más országok webáruházaira ugyanis nem vonatkozik a korlátozás" nem olvastam el a cikket, de annyit higgy el belőle, hogy tudd ez félrevezető. Az EU-nak nincs ráhatása a külső kereskedő partnerekre, ergo nem fog tudni kötelező érvényű szabályt elővezetni, ez egyértelmű. Azonban a MasterCard Securecode / MasterCard ID check / Verified by VISA / VISA Secure logos külföldi oldalakon (szinte csak ezek olyanok ahol érdemes fizetned) ugyan úgy kéri. A dolog 2 hónapja megy, nem mondom hogy nem lett egy porszemnyivel sem bonyolultabb, de tökéletesen használható (bank applikációját használom elfogadásra, kis értékű és vagy gyakori partnerrel történő tranzakciókat nem ellenőrzi) 

fontos szabályok,

1, Kereskedőkre kötelező akiknek a "merchant" számlájuk EU pénzintézethez van kötve

2, Olyan nem EU helyekre amelyek használják ez a biztonsági funkciót

3, A vevő bankja dönti el kell e extra védelem, ergo nem mindegy hol bankolsz.

4, Az értelme az az egésznek, hogy a bankod ne vonogassa a vállát ha esetleg megloptak, hanem visszaadja a lóvét hisz ő volt aki odaadta úgy hogy nem volt róla meggyőződve te fizetsz.  

Megnyugtatlak, az ebéd rendelésed ugyanannyi idő lesz, hacsak nem 3 kg homárt rendelsz a Bahamákról. 

(érdemes tudnod, az olyan oldalak ahol szerencsejáték/stb egyéb kétes kereskedelem megy elég nehezen tudnak ám kártyaelfogadói szerződést kötni, ilyen helyeken van a bankkártyán kívüli fizetési lehetőség amit ilyenre fel tudsz használni ha muszáj, nem sérül a szabadságjogod, a bankkártyás tranzakciókkal eddig is a tüdődig leláttak, most legalább próbálnak védeni)

( Caro | 2021. 01. 04., h – 09:06 )

Vagy inkább lenne a gépekben smartcard/NFC olvasó, és akkor ugyanúgy tudnék fizetni kártya+PIN kombinációval. Ez lenne a legkényelmesebb.