Véded-e speciális tokkal a chippel ellátott kártyáid?

Titkosítás, biztonság, privát szféra

Igen
9% (37 szavazat)
Nem
83% (342 szavazat)
Egyéb, leírom / csak az eredmény érdekel
8% (31 szavazat)
Összes szavazat: 410

( snitt_ | 2016. 05. 24., k – 10:27 )

Itt most gondolom rfid-buzulásról van szó és nem pl SD kártyáról vagy rfid technológia nélküli smartcardokról.

( Addam2 | 2016. 05. 24., k – 10:42 )

Ha kibélelem a pénztárcát S jelzésű, ezüst színű antisztatikus zacskóval, az mennyire véd?

Ha nem szamit a szuperelegans kinezet, nekem ez tokeletesen bevalt (vasarlaskor teszteltem a bolti terminallal, aztan melohelyen kollega okostelojaval is), es arban sem magas: https://www.mountex.hu/termek/10109-1090-0/tatonka_money_box_rfid_b_pen…

--
"It all keeps adding up / I think I'm cracking up / Am I just paranoid? / I'm just stoned"
/Green Day - Basket Case/

Egyébként abszolút kibocsátó banktól független a PIN kérése.

A hagyományos - nem-paypass - bankkártyámmal itthon csak PIN kóddal tudok fizetni. Nem is gondoltam, hogy lehetne nélküle addig, amig külföldön többször is fizettem vele nagyobb összeget úgy, hogy nem kellett megadnom hozzá a PIN kódot...

Szóval ez nem elsősorban a kibocsátó, hanem a fogadó banktól függ.

A MasterCard-om 5000 Ft-ig nem kért PIN-t Magyarországon. Kint ugyanezzel kérte, ha csak pár fontért vásároltam, akkor is. Otthon az AmExet csak lehúzták és nem kért semmit, pedig néha egy vagyonért vásároltam. Az első ilyen alkalommal egy rövid időre elkezdett tekerni az agyam, hogy most mi lesz, rohadtul vigyáztam arra a kártyára. A Visám nem érintős, ami először nagyon kényelmetlen volt, de annyira nem hiányzik már. A contactless határozottan kényelmesebb, csak ha hozzászámolod, hogy lesni kell a kimenő költségeket, hogy utána verhesd az asztalt a Visánál, hogy az nem úgy volt, akkor meggondolandó.

Értem én, hogy ritkán van visszaélés, de folyamatosan nőtt az elmúlt években. A dombornyomott kártyákon pl. minden infó rajta van, amivel vásárolni lehet, elég egy rejtett kamera. Pin kód nem kell PayPass-hoz 5000 Ft-ig általában, sok férfi a farzsebében hordja a bankkártyát és tömegközlekedésen vagy rendezvényen oda lehet férni észrevétlenül. Van más trükk is arra, hogy lenyúljanak, kevés védelemnek a buksid amiben a PIN lakik ;)

( saabi v | 2016. 05. 24., k – 11:43 )

Többször próbáltam PayPass kártyával úgy fizetni, hogy nem veszem ki a tárcámból. Nem sikerült. Ezekután plusz védelem nem látszik szükségesnek.

Ave, Saabi.

Amit én le tudtam olvasni, az a kártyaszám, lejárat, illetve tranzakció logok. Már ez is elég durva, de valóban, nem elég arra, hogy a nevemben tranzakciót hajtson valaki végre.

Igazából nem értem ezt. Ki találta ezt így ki? A tranzakciók miért a kártyán tárolódnak, miért van értelme hogy kiolvasható legyen akármi is?

Akkor lassan írom: az erre a célra szolgáló NFC olvasó készülék nem tudta még úgy sem leolvasni a tárcában lévő kártyáról az adatokat, hogy rátettem a pénztárcát. Akkor a buszon mellettem álló - mondjuk nem utazom buszon, de ez mellékes - hogy a fenében olvasná le, mikor még akkor sem sikerülne neki, ha hozzám dörgölőzne, ami viszont nekem feltűnne és kurvanagy pofonnal honorálnám?

Ave, Saabi.

ha hozzám dörgölőzne, ami viszont nekem feltűnne és kurvanagy pofonnal honorálnám

látszik, h nem utazol buszon. ha nem dörgölőzik hozzám napi 10 ember oda és 10 a visszafelé úton, azt hiszem, véletlenül hétvégén mentem dolgozni.
amikor állóhelyet is csak úgy kapok, hogy a bal lábamon áll valaki, a jobbal meg én állok valakijén... :)
a tömegközlekedés lehetne a neve egy új kámaszutra póznak :)

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

( bAndie9100 | 2016. 05. 24., k – 11:49 )

4-edjére is úgy olvastam "Véded-e speciális tokkal a chippel ellátott kutyáid?"

egyébként érdekel a kérdéskör.

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

( kovi | 2016. 05. 24., k – 12:13 )

/on
az idejére sem emlékszem mikor használtam utoljára a bankkártyámat fizikailag (bármilyen leolvasó eszközben). tényleg, egyáltalán miért is hordom én magamnál?

/szőr mentén
van néhány belépőkártyám nagy cégekhez, egyszerű tokban vannak, azok is csak a könnyű elkülönítés miatt. illetve van egy ebédlőben használható azonosító kártya: nah arra vigyázok, alkalmanként arra kapok rendes kaját :)

--
Vortex Rikers NC114-85EKLS

( salaud v | 2016. 05. 24., k – 13:31 )

Nincs ilyen eszközöm.

---
A Linux nem ingyenes. Meg kell fizetni a tanulópénzt.
Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!!
Mindenki jó valamire. Ha másra nem, hát elrettentő példának.

( Sinistral | 2016. 05. 24., k – 14:01 )

Ha a belépőkártyából több van a kezemben egy ajtó sem engedett eddig be. Ez így nem védhető, ha több van egymás mellett? Vagy akár egy belépőkártya? Nem értek annyira hozzá, azért kérdezem.

( Celtic v | 2016. 05. 24., k – 14:04 )

Nem, de kellene. Megint egy evvel lejarat elott tort kette a bankkartyam :(

Emlekszem az elsore: az a lejarat utan 1-2 hettel tort el, azon tortem a fejem, hogy ez veletlen vagy tervezett ? Mar latom, tervezett :(

--
http://www.micros~1
Rekurzió: lásd rekurzió.

Például Wolframalphanak van 14 napos próba változata és akkor le is vezeti neked. A trükk az, hogy meg kell adni a bankkártyád adatait és ha nem mondod le 14 napon belül akkor automatikusan elkezdi leemelni a havidíjat (ilyen volt régen az expertsexchange is, hogy a választ csak az előfizetők látták).

Ilyen helyekre szoktam megadni a lejárt bankkártyám számát például, mivel nincs folyamatosan szükségem rá kártyaszámot meg amúgy se szívesen írok be mindenféle formba az interneten.

@@
"You can hide a semi truck in 300 lines of C."

Ezt hogy teszed? Azért csak ellenőrzik a kártya lejárati dátumát, amikor megadod, nem? Illetve én pár helyre regisztráltam a kártyámmal, ott csináltak az ingyenes próbához is egy egydolláros terhelést, amit azonnal vissza is térítettek, ezzel ellenőrizve a kártya használhatóságát

Passz. Eddig WA-t illetve ExpertsExchangeet használtam csak így. Beírtam a kártyaszámot, lejárati dátumnak meg egy távolabbi időpontot.

WA-t fél éve próbáltam, akkor működött, vizsgaidőszakban kellett egy levezetés. EE-t meg jónéhány éve, az már talán ingyenes is azóta.

@@
"You can hide a semi truck in 300 lines of C."

Most micsinaljak, ha a Pentester Linuxadmin allasokat "zoldmezoben" igy fizetik ? Van, ahol szappan, van, ahol kokain.

Amugy csak hordom oket, sajna semmi tok, csak ugy zsebben. Anyamnak pl. van egy kis kemeny muanyag tokja, de akar meg tarca is jo lenne.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

( vavhab v | 2016. 05. 24., k – 15:56 )

Egyeb:
Itt az USAban meg mindig rengeteg kartyara nem raknak chipet, csak mostanaban kezd divat lenni. Paypass meg a kanyarban sincs...
Amugy vicces hogy egyesek azon aggodnak hogy majd a gonosz bunozo a buszon/villamoson jol becharge-ol majd mindenkit. :D Mindekozben a vilag masik felen emberek szazmillioi fizetnek naponta tobbszor ugy hogy a kartyat kiadjak a kezukbol, a pincer elsetal valahova, nem lathato helyre, es 2-5-10 perc mulva(leterheltseg fuggvenyeben) egyszer csak visszahozza. Nem is tudom lattam-e mar itt az USA-ban wireless POS terminalt, talan meg nem. Valahogy meg sincs tul sok visszaeles, legalabbis a kornyezetemben senki nem panaszkodik hogy mar megint elloptak a kartyaadatait.

Persze, a bankok előbb ott tesztelik az újdonságokat ahol amúgy is le lehet nekik húzni a birkákat.

2 év múlva járna le a csipes kártyám, de a Unicredit küldött ilyen érintőset. A régivel meg már nem sokáig lehet fizetni.
Kérdésemre azt mondták, hogy tripla előfizetésért lehet nem paypassos is ha nagyobb biztonságot akarok. Mi van? Ez azt jelenti, hogy ha 5000Ft alatt meglopnak, akkor nem fog kártalanítani a bank.

Jóval korábban kezdték a kártyaelfogadásba beletolni a pénzt, és "minek új rendszerre egy centet is kiadni, ha a régi is működik" elv alapján nem, vagy csak nagyon nehezen lépnek előre.
Magyarország anno nagyon késő indult, és itt pl. az offline elfogadás ("vasalós" móka) nagyjából a fehér holló kategória volt (az amex kártyát elfogadó helyek kivételével), mert by default az akkor korszerű, on-line rendszer lett egyből bevezetve.

( oszfer | 2016. 05. 24., k – 19:12 )

Szerintem meg az lenne a korrekt, ha a bankok nem sajnálnának a kártyák mellé adni egy ilyen speciális, fémhálós védőtokot.
Szerintem kibírnák anyagilag.

( gaby | 2016. 05. 24., k – 20:32 )

Is...
Bankkártya nem, belépőkártyák igen.

( Hevi v | 2016. 05. 24., k – 22:15 )

Miert, kene? :)

Amugy, ha lehetne Apple Pay-el keszpenzt felvenni bizonyos osszeghatarig, akkor a bankkartyat otthon is hagyhatnam.

( Nyosigomboc v | 2016. 05. 24., k – 23:34 )

Meg ebay-rol rendeltem nagyon regen egy irattartot, abban hordok minden ilyesmit (utlevel kivetelevel, az nem fer bele). Nem az RF vedelem miatt szereztem be, hanem mert kenyelmes, de a sima proximity-s kartyat teljesen learnyekolja. Gondolom az NFC-t is megallitana, azt meg nem teszteltem.

--
Is that a banana in your pocket, or are you just happy to see me?
Neither, it's my new iPhone.

Semmi hasonló.
Csak az állam az új személyi révén arra kényszerít engem, hogy legyen egy névvel-fényképpel-stb ellátott, távolról olvasható chip a bőröm alatt zsebemben.
(Meg, az adatok rajta még ha titkosak is, gondolom valaminek muszáj egyedinek lennie (?), így mondjuk a Tesco lát ahogy ki-be sétálok a lopásgátló kapun.)

( Szenti v | 2016. 05. 25., sze – 08:57 )

A Paypass-os kártyáimat egy vékony fém névjegykártyatartóbam tárolom, ami elegendő az RFID leárnyékolásához (teszteltem). A névjegykártyatartó pedig a pénztárcámban utazik. Én a biztonság híve vagyok a kényelemmel szemben.

( mami | 2016. 05. 25., sze – 10:04 )

Engem kiráz a hideg az ilyen távolról leolvasható kártyáktól (mondhat bárki bármit, aki nagyon akarja és ért hozzá, megtalálja a módját, hogyan olvassa le a tudtom nélkül valami nyilvános helyen).
Ami igazán jó lenne, az az, hogy ne vegyék el a kártyát az üzletekben a kezemből. Régebben többször megfordultam Svédországban, ott szinte sose kellett kiadnom a kezemből a kártyát, mindig én húzhattam le/dughattam be a terminálba. Ennek gondolom itthon se lenne semmi műszaki akadálya, nem is értem, miért nem ez a gyakorlat.

Ha Paypasses kártyád van már nem veszik el sehol, de a sima chipes kártyáknál is sok helyen volt olyan hogy te magad dughattad be a gépbe, stb.
Én inkább azt nem értem miért nem lehet addig lecsippantani, amíg a pénztáros húzogatja a vonalkódolvasón a cuccokat, miért csak utána? Ez USA-ban gyönyörűen működött már a mágneskártyás kártyákkal is.

A tranzakció folyamata szerintem ott másképp van megcsinálva/szabályozva. Itt azt tapasztalom, hogy a POS-on fizetési tranzakció indításához kell a fizetendő összeg, amit vagy a pénztárgép küld el a terminálnak, vagy a pénztáros üt be a készülékbe, és csak ez után kezdődik a folyamat, aminek valahanyadik lépése a kártyaadatok beolvasása. De majd aki jobban benne van a dologban (polc folyóméterben mérhető a kapcsolódó dokumentáció/szabályzat/szabvány/stb mérete), az majd kijavít (ha megteheti...)

Én azt nem értem ezek után mi értelme van a paypassnak? Azzal reklámozták, hogy tök jó, mert nem kell odaadni a boltosnak, csak lecsippantod magadnak. Na de a régi mágnescsíkos vagy chipes megoldással is meg lehetett volna tenni, ha a terminálokat úgy alakítják ki, hogy a leolvasó a vásárló fele nézzen, nem?

Nyilván meg lehetett volna ahogy más országokban meg is csinálták, csak akkor még itt nem az volt a szokás, nem voltak az emberek sem hozzászokva a kártyás fizetéshez, képzeld el ha mindenki maga húzta volna le a mágnescsíkot és ott forgatja a kártyát hogy na most melyik oldal kell, stb.

4 eve Csehorszagban elek, es en is hozzaszoktam, hogy a legritkabb esetben veszik ki a kezembol a kartyat. Egyik karacsonyi hazalatogatasomkor tortent, hogy egy kozertben reflexszeruen betoltam a kartyam a terminalba, amikor kerte, es utottam is a PIN kodot, amikor az eladoholgy ram formedt, hogy a kartya behelyezese az o dolga. Kisse meglepodtem, de azota fejben tartom, hogy odahaza maskepp mennek a dolgok :/

--
"It all keeps adding up / I think I'm cracking up / Am I just paranoid? / I'm just stoned"
/Green Day - Basket Case/

( Madman | 2016. 05. 25., sze – 12:56 )

mindig mosolygok mikor ilyen jellegu cikkeket latok, ez kb az a kategoria amivel csak otthon foglalkozik barki is.
Ez az egesz tulfokozott paranoia nem is csak contactless korben de hogy mar jajj online se vasarolunk mert minket fognak meglopni, elcsalni, mittudomen mar mar nepbetegseg mereteket olt.
Ha a sotet kozepkorban akartok maradni es a parnaba varrni az ezreseket akkor hajra, de pont az ilyenek miatt szinte lehetetlen otthon ertelmesen online vasarolni, 10bol 1 bolt ha elfogad kartyat online (most kifejezetten informatikai cuccokrol tudok csak nyilatkozni ez ugyben), 10bol jo ha 6-7 fogad el szemelyes fizetesnel. Ezek mar reg mind 10bol 10 kellene hogy legyenek mind online mind szemelyes teljesitesnel, es az egyik oka ez a mindenki be van szarva hogy pont az o 200 forintjat fogjak ellopni...
En mar vagy 10 eve hasznalok online fizetest egyetlen problema nelkul, es osszesen egy ismerosom van akinek valaha volt ilyen problemaja, neki annyibol allt a dolog hogy felhivta a bankot hogy valaki hasznalta a hitelkartyajat ez meg ez a tetel volt ugyhogy ezeket az osszegeket nem fogja visszfizetni (ugyebar credit cardrol van szo nem debit), mondtak neki hogy jo semmi gond elnezest kertek es kozoltek hogy kivizsgaljak es kuldenek masik kartyat. Ennyi.

miért ne? a zembereknek joga van tévedni.
én a magam részéről kötelezővé tenném a mi-k számára, - már most - hogy a döntéseik bizonyos százalékában téves döntéseket hozzanak, hogy ne frusztrálják a zembereket, és ezt törvénybe is iktatnám, sőt mindjárt az alaptörvénybe, de minimum 2/3 törvényt alkotnék.

Az okat inkabb ott keresd, hogy mennyire eri meg a boltnak a bank szamara fizetendo osszeg.
Ha ket kiflit veszel es kartyaval fizetsz, a bolt esetleg ot kifli arat fizeti a bank fele...

Viszont en eddig online mindenhol tudtam fizetni, sosem volt gondom egyik webes boltban sem, barmit vettem (nemcsak muszaki cikket)

--
http://www.micros~1
Rekurzió: lásd rekurzió.

( current88 | 2016. 05. 25., sze – 15:32 )

Üdv!

Én nem védem, gondoltam rá de nincs értelme.

1, Ha valaki le is fotózza a kártyám mindkét oldalát (ez önmagában nem egyszerű, mert nem adom ki szívesen a kártyám a kezemből) akkor sem tud vásárolni vele, mert a fizetéshez sms azonosítás kell.
2, A Paypass csak 5000HUF-ig megy Pin nélkül, és az nem lehetséges hogy a kártya adatait "lelopják" és otthon tömegesen csinálnak vele tranzakciókat, mert a kártya csak félig passzív eszköz, ugyanis a tranzakció végén a kártya dönti el hogy elfogadott legyen-e a tranzakció. Ezért ha el is megy melletted, max pár tranzakciót tud csinálni. Ezt a támadási felületet néhány bank úgy küszöböli ki, hogy X mennyiségű paypass tranzakció után, a legkisebb összegűhöz is kér pinkódot.
3, A legutolsó pont amiért nem éri meg ezzel foglalkozni, hogy ahhoz hogy valaki éles terminált üzemeltessen(enélkül nincs kártya elfogadás) ahhoz nagyon-nagyon-nagyon sok helyen meg kell adnia a személyes adatait, és nem gyökér hivatalnokokat kell meggyőznie, hanem ott bizony megnézik hogy hogy mire akarod használni a lóvét, és ha panasz jön, az összes lóvét visszaadják attól akitől ellopta.

Én ezért nem védem annyira a paypass cuccaimat, az RFID-s, és MyFair kártyáim, amikkel a céghez megyek be az más téma, azt bizony kb 6-10 e. HUF-ból lehet sokszorosítani, az passzív eszköz, és így azokat kell védeni. Inkább azokat mint a bankkártyáimat.

na igen. nekem van egy - vagy több - netbankos elérésem, ahol is a belépéshez ugyan nem, de minden átutaláshoz kell az sms-es visszaigazolás.

nos sms-t nem küld, és nem is kér visszaigazolást sem, csak az sms-ek díját számolja fel a bank. azt viszont gyorsan és pontosan..
minden ügyintézés, és reklamáció ellenére ezt csinálja.

szóval én nem bíznék ennyire a bankban, meg az sms-ben, meg az összeghatárokban.

tegyük fel nem helyes a telefonszám, - bár az - akkor miért hajtja végre a tranzakciót, ha nincs visszajelzés?

vagy máshogy fogalmazva.

ha nem kapom meg az azonosítót amivel jóváhagyhatom a tranzakciót, és így nem is tudom jóváhagyni, akkor miért hajtja végre a tranzakciót?

erre az egyszerű kérdésre sem volt értelmezhető válasz.

( persicsb | 2016. 05. 27., p – 14:28 )

Vicces ez a paypass privacy őrület, hogy majd jól kiolvassák az adatokat a tárcádból.
Speciel nálam a céges kártyát a beléptetőkapu és a lift sem szokta mindig jól leolvasni, ha a tárcámban van. Majd pont egy hordozható eszköz, ami jól el van rejtve, erre képes lesz :D

( uid_19334 | 2016. 07. 21., cs – 13:26 )

update:

a testvérportálunk friss tesztje: http://m.hwsw.hu/cikk.php?id=55904

Amazonról több alkalommal is sikeresen vásároltunk kizárólag azon adatok birtokában, amelyeket az NFC-s bankkártyáról olvastunk ki [[telefonnal]], ráadásul minden hackelés, vagy körmönfont csel nélkül, az Amazon standard oldalát használva. A vásárlást mind MasterCard, mind pedig Visa kártyákkal sikeresen kipróbáltuk - mindkét esetben működött is.

Sajnos a kártyák elhanyagolható hányadánál van tiltva a CNP (card not present) tranzakció... (aminél igen, azzal persze kártyaszám birtokában sem tudsz neten vásárolni). Az esetleg megoldás lenne, ha az nfc-s kártya az a plasztiklaptól független "másik" kártyaként létezne, CNP tiltással, külön limittel, etc. - persze ez rögtön duplázná a nyilvántartandó kártyák darabszámát...

Le van írva: mivel a cvv-t tilos tárolni, ezért azt minden alkalommal be kéne kérni, és akkor az amazon nem tudná tolni 1-click buyt. Ezért elegánsan úgy oldották meg, hogy akkor ők elvannak a cvv nélkül is, nekik végül is mindegy, kinek a pénze.... Ja, és bonuszként a névre meg szarnak.

Szóval azt mondod, hogy ha most megpróbálnék fizetni amazonon a kártyámmal, de rossz cvv-t adnék meg, ugyanúgy elfogadná?
Van egy netes kártyám. Visa. Annó amikor lejárt kaptam újat helyette. A szám ugyanaz volt, csak a lejárati dátum és a CVV volt más. Akkor ennyi erővel semmi értelme nem volt megváltoztatniuk? Megteheti az amazon, hogy azt mondja, hogy neki nem kell a CVV? Nem egy közvetítő bank dönt ilyesmikről, aki kezeli a tranzakciót az amazonnak?

Egyébként a fentiekről nem tudok semmit, csak nagyon furcsának találom, hogy egy látszólag felesleges szabályt hoznak (ne tárold a CVV-t) amit aztán egy kevésbé biztonságos megoldással körbekerülnek ilyen könnyen (nem is kell a CVV a fizetéshez). Akkor minek védeni a CVV-t tárolás ellen, ha nem is kell?

Nem. Azt mondom, hogy nem is kéri el a cvv-t. Ha rossz cvvt adnál meg valahol, akkor elutasításra kerülne, mert olyankor leellenőrzik, csak az amazon azt nem is kéri el.

És azért nem a közvetítő bank dönt ilyesmiről, mert az amazon nem közvetítő bankon keresztül intézi ezt.

És egyébként ja, az egész bankkártya security elég nagy kalap szar, a cvv is inkább csak leukoplaszt egy hasba-szúrásra (bár ettől függetlenül ha én lennék a visa, tuti nem engednék merchantoknak ilyet, torkonszúrás járna cvv nélküli card not present tranzakcióért, csak hát ugye van az a pénz), leginkább attól biztonságos, hogy ha valami gatya van, akkor a mastercard/visa/amex eléggé szó nélkül tejel (illetve veri le a szerződéses partner bankjain). Ráadásul észak amerika egyébként is elég viccesen áll hozzá, pin kód alig valahol kell, szarnak bele, ráadásul összevissza minden bank saját kártyát ad, stb. Meg csekkeznek, mág mindig. Gyász.

De nehogy azt hidd, hogy az amazonos eset egyedi, gyakorlatilag bármelyik szálloda chargeol simán egy emailben kapott bankkártyaszám alapján. Van -- és ez nem is olyan ritka -- aki még arra se veszi a fáradtságot, hogy megnézze a kártyát, amikor ott vagy, csak megkérdezik, hogy akkor mehet-e arra, sőt olyan is volt már, hogy a reggeli távozás előtt simán jött a susmus hajnalban, hogy meghúzták a cardot, és csak azért volt 5 secnél több a checkout, mert mondtam, hogy kedves az előre nyomtatott számla, csak nekem a cég helyi szervezete nem jó, az én otthonim kell.

Tényleg nem kérik.

Ez csak azért lep meg, mert kismillió más oldalt, vagy épp apit láttam, ahol meg igen, és ennek ellenére nincs probléma a 1-click vásárlással, későbbi újra-terhelésekkel anélkül, hogy folyton újra és újra meg kellene adnom.