Pull to refresh

Comments 47

Только перечитав два раза перевод и прочитав английский текст въехал в чем смысл :) То ли я торможу, то ли это неочевидно.
А смысл в том, что вы набираете свой пин на карте, а она вам выдает на экране пин, который нужно ввести уже на банкомате. Даже если на банкомате установлен скиммер («пиратский» считыватель карт) и видеокамера или накладная клавиатура, они считают карточку и узнают временный пин-код, с помощью которых деньги не снять
Спасибо :) Теперь понятно
2ой абзац достаточно понятно об этом рассказывает по-моему. Наверно топик подредактировали…
Это называется кодом транзакции или одноразовым пином, сейчас такие вещи дают на бумажках в большом количестве вместе с пластиком, чтобы совершать операции, не боясь потерять денежку :)
Судя по английскому тексту, карточка по пину генерит одноразовый CVV2 (security code). Он нужен для онлайн-покупок, но не для банкоматов. Да и как вы себе это представляете: подходишь к банкомату, засовываешь карточку… и понимаешь, что больше тебе ему сказать нечего… :)
нет, сначала вводите свой пин на карте, запоминаете пин на ее экране и потом вставляете эту карту в банкомат
p.s. опс, вот это я некропостер
ИМХО отличная идея, если там ещё плавающий код, привязанный ко времени, то вообще сказка, хочу такую!

Недавно, в каком то магазине хотел купить сумку, а там такой весёлый терминальчик, вставляю мою карту, набираю ПИН.
Печатает чек, отказ доступа.
Звоню в банк, говорят, что никакого запроса не поступало и мой счёт в порядке.
И чего делать, если бы это были злоумышленники, у них есть прочитанная моя карта, и свой пин я набрал, им остаётся только записать лысую карту…
ИМХО отличная идея, если там ещё плавающий код, привязанный ко времени, то вообще сказка, хочу такую!
Гораздо проще (и дешевле) привязиться к номеру транзакции. «Отработавшие» транзакции повторно не принимаются, среди новых идёт поиск на ±10 кодов туда-сюда (чтобы если вы выработали PIN, но не использовали его не перевыпускать карту заново). Проверенная годами технология…

Но злоумышленник делает фэйк терминал, который только читает код и узнаёт пин, которые потом используют в банкомате, раньше меня… (для карт без чипа актуально)
Некоторые американские банки несколько лет предоставляют такую услугу для держателей золотых и платиновых карт. Но, это доступно не во всех банкоматах и для генерации временного ПИН кода используется отдельное устройство типа Token SecurID
SecurID рулит!
причём не только для банкоматов
имхо любой более-менее «сильно важный» процесс логина куда быто-нибыло хорошо бы привязать к SecurID
Некоторые корпоративные почтовые системы работают с SecurID, который генерируется Token SecurID
Возможно, банкомат подзаряжает :) Солнечные батареи для карточки, лежащей все время в кошельке — как то слишком имхо. А так — даже если разрядилось, пропустил через банкомат — и работай.
Как правило, туда ставят обычные батарейки, так как их срок действия (в расчёте на среднестатистического пользователя) в 2 раза перекрывает срок действия токена или самой карты
Учитывая что на фотографии женский пальчик, смею предположить, что мужской будет перекрывать 3-4 кнопки. Придётся им еще предусмотреть и стилус, или придётся отрастить длинный ноготь на мизинце ;)
Как показывает практика использования различных не особо крупных систем ввода на всевозможных коммуникаторах, смартфонах, HTC даймондах, они не вызывают больших проблем у крупногабаритного населения после не особо долгого использования.
интересно, зачем там ножницы нарисованы? отрезать клавиатуру и всё остальное? :)
да мне тоже интересно — самое интересное что они изображены так, что подразумевают под собой что-то вроде «линия отреза» — там даже пунктир есть :)
При аннулировании карты резать здесь :)
А это специально предусмотренная опция для тех, кому будет сложно каждый раз запоминать новый токен!

Перед запихиванием карты в банкомат они могут по этой линии просто и аккуратно вырезать дисплей ножницами, а в банкомат отправлять, соответственно, уже оставшуюся часть одноразовой карточки

И себе облегчение ну службе поддержки Visa и банкомата приятный сюрпрайз .)
Это теперь за карту в год плать нужно будет не 300р (у кого как), а гораздо больше. ага. ясно. ребята из Visa бабки срубить хотят.
Чего минусовать-то? Вы бы лучше пояснили бы свою точку зрения. Робин Гуды блин…
Я не минусовал, мопед не мой, но, подозреваю, что у Визы и так есть достаточно вариантов срубить денег.

К тому же, введение подобного стандарта подразумевает огромное (ОГРОМНОЕ!!!) количество геморроя не только для самой визы, но и для банков. Три года назад, например, американские банки вообще заявляли, что у них уровень мошенничества невысок и им невыгодны чиповые карты.
Такое нововведение имеет смысл, насколько я понимаю, только в Visa Classic (если говорить только о Visa`x, про мастеркард не знаю), потому что в Visa Electron мало знать данные карты — все действия совершаются только при наличии самой карты.

Скиммеры созданы для того, чтобы получать информацию о данных карт, которыми можно расплачиваться, не имея карты в руках.
Во-первых, эти карты обычно стоят дороже 300р (правда, не принципиально, но всё же например, в Райффайзене оформлял Visa Classic рублей за 700 и это, кажется, корпоративный тариф...).
А во-вторых, за удобство и безопасность надо платить.
По крайней мере, я перешёл бы на такую карту, будь она даже в 3 раза дороже, потому что это позволило бы мне отказаться от предрассудка, что стоит остерегаться снимать деньги в «открытых» банкоматах, которых как раз большинство.
да что такое скиммеры известно. если она действиельно безопасна (в чём сомневаюсь), то круто.
Она будет точно безопасна для использования в банкоматах, а вот в отношении использования через Интернет… Вряд ли поменяются принципы написания всей необходимой информации прямо на карте (имя владельца, номер карты и CVV всегда можно увидеть на карте). А если CVV будет генериться также, как и пин — вот это будет действительно мега-круто!
Судя по всему, это и есть CVV код.
Users have to input their Pin every time they make an online purchase. The card then displays a security code, which must be entered into the website.

Пользователь должен вводить свой Pin каждый раз, когда совершает онлайн-покупку. После чего карточка показывает секретный код, котороый необходимо ввести на сайте.
вот если номер бы не генерился случайно, а брался из зашитого в карту банком списка то это была бы отличная замена этим кодовым картам, которые все время обновлять надо, и не только от скиммеров но и для интернет-защиты подошло бы.
Разумеется номер генерится не случайно, а псевдослучайно на основе ключа внутри карточки.
тогда это угроза безопасности. псевдослучайную последовательность можно подделать. тем более что в карту можно будет заглянуть. а вот еслиб они шились каждая разной прошивкой — тогда сложность возрастает в колво прошивок
имхо…
её не надо ломать — её надо скопировать, псевдослучайная, на то она и псевдослучайная, что её можно повторить!
Её не надо ломать — её надо скопировать, псевдослучайная, на то она и псевдослучайная, что её можно повторить!
Никто и не спорит! Но что для этого нужно? Правильно: сломать AES или 3DES!

Как генерируются криптографические псевдослучайные числа? Да очень просто:
1. Берём случайное число (одно, но по настоящему случайное) — это «seed». Он же пароль.
2. Нужно вам псевдослучайное число? Да пожалуйста: шифруем seed'ом 0000 и отдаём.
3. Нужно ещё одно? Нет проблем: шифруем seed'ом 0001 и отдаём.
И так далее.

Что нужно для того чтобы повторить эту последовательность? Да всего ничего: имея зашифрованное сообщение (вернее заранее неизвестный его кусочек) восстановить пароль. Делов-то. Плёвое дело.

Почитайте какую-нибудь книжку по криптографии, что ли, перед тем как свои «гениальные» теории рождать, а? Хотя бы Введение в криптографию
фикус этой карты в том чтобы её физический сложнее было скопировать, а если алгоритмы генерации псевдослучайных чисел будут везде одинаковы, то вероятность сломать гораздо выше, чем если в этих картах будут разные алгоритмы! не находите?!

кто мешает купить такую карту и поковыряться во внутренностях?! именно это называл — «скопировать»

ЗЫ. не надо брызгать слюной, извините, своими знаниями о криптографии во все стороны, подумайте чуть по другому, а не как в учебнике.

Фикус этой карты в том чтобы её физический сложнее было скопировать, а если алгоритмы генерации псевдослучайных чисел будут везде одинаковы, то вероятность сломать гораздо выше, чем если в этих картах будут разные алгоритмы! не находите?!
Нет, не нахожу. На каждую атаку в известных криптоалгоритмах находятся десятки и сотни дыр созданых в уй-каких-суперсекретно-надёжных алгоритмах созданных дилетантами.

кто мешает купить такую карту и поковыряться во внутренностях?! именно это называл — «скопировать»
Никто не мешает, да это и не нужно. Схема карты вообще может быть опубликована на web-сайте. Секретен только ключ, а уж его скопировать — весьма непросто: ни в случае с XBox360, ни в случае с PS3 это не удалось. Все взломы основаны на том, что кто-то решает «дополнить» защиту, сделанную профессионалами, своей личной поделкой — и, разумеется, в 100 случаях из 100 вскрвают поделку, а не DES/AES/etc…

ЗЫ. не надо брызгать слюной, извините, своими знаниями о криптографии во все стороны, подумайте чуть по другому, а не как в учебнике.
При чём тут учебник? Идиотская идея о том, что если алгоритмы генерации псевдослучайных чисел будут везде одинаковы, то вероятность сломать гораздо выше, чем если в этих картах будут разные алгоритмы уже привела к потерям в сотни миллиардов долларов (хорошо если не триллионам) — сколько ещё нужно будет людям потерять чтобы они наконец поверили в то, что её правота не самоочевидна? Сколько связанных с криптухой вещей (GSM, WEP, WPA, etc) были проломлены через «примочки сбочку» и сколько — через опубликованные и исследованные криптоаналитиками алгоритмы? Может быть хватит?
чем же она такая идиотская, и где док-во что именно такой подход привёл к потере денег? я разве говорил что нужно использовать собранный на коленке алгоритм генерации чисел?!
действительно хватить, с вами даже спорить не интересно.
Ну впрочем ничего революционного — просто токен интегрировали в карту. Ну и расширили количество возможных операций с одноразовыми паролями.
Токены периодически забывались, да и модели предыдущего поколения были очень (7-9 мм) толстые, чтобы поместить в бумажник рядом с карточкой.

Революционность заключается в том, что карточку объеден или с токеном и уменьшили пухлость последнего.
модели предыдущего поколения были очень (7-9 мм) толстые, чтобы поместить в бумажник рядом с карточкой
У меня уже три года лежит такой в кошельке — толщина 2.5мм. Конечно не как у кредитки, но и не 7-9мм уже. Хотя тут вроде обещают в доли миллиметра толщину…
в каком-то устройстве такие клавиши и такую плоскую реализацию уже видел, а в каком не могу упорно вспонить и видел вроде лет десять назад;
хорошая альтернатива отдельным брелкам которые выдают банки для работы с их веб-банк-клиентами — жмёшь кнопочку и получаешь цифирки подтверждения и так каждый раз при каждом серьёзном движении
Забавно, раньше калькуляторы были похожи на кредитки, а теперь наоборот :)


Пока искал картинку, выяснилось, что уже существует и карманный аналог KeePass :)

У нас на работе используются карточки с клавиатурой. Для входа во внутреннюю инфраструктуру используется личный номер, пароль, и код сгенерированный с помощью личной карты и специального пин-кода. При чем код меняется где-то каждые секунд 30-40. Карточка рассчитана на 3 года, потом я так понимаю сядет батарейка и ее заменят. Наверное в этих новых кредитках что-то похожее.
Тут такое дело…
Обычно CVV2/CVC код храниться в базе у банка. Жестко привязан [card number]:[cvv]
Как будет теперь? Оплачиваешь в инете, подтверждаешь новым cvv, а в базе что? с чем сверяет терминал сайта? Можно конечно предположить, что карта как-то круто передает инфу об изменении в банк, но это не реально: во-первых как?; во-вторых, пока прокачается в базе обновление и рак свиснет. Отбарсываем этот вариант.
Остается еще один: ключ по которому генерятся числа вшит и в карту и в системе и в банке присутствует; генерятся CVV строго в определенном порядке для каждой транзакции и на карте и на стороне банка.

а вы что скажете? :)
Only those users with full accounts are able to leave comments. Log in, please.