SM3: je to omezené často se uvádí kumulativní částka 1500,- plus náhodné vyžádání PINu i do 500,-. Já mám bezkontaktní kreditku tam to neřeším a ostatní karty stačí kontaktní těma neplatím v obchodech.

SM3: do 500 bez pinu, ale *nekdy* to pin chtit bude a zaroven kdyz udelas vicero takovych malych plateb za kratsi dobu, tak taky. od 500 nahoru to pin bude chtit vzdy.

Jak to tak čtu, tak si nechám kartu jakou mám a mam klid, na používání jsem zvyklý a zas takové ušetření času s bezkontaktní v tom nevidím, navíc platby jen do 500... nehledě co je s tím okolo za halo mi přijde docela úsměvné :) ... ale jasně, modernizace :)
Nehledě na to, že když tu kartu někdo najde tak si s ním můžu vesele platit a není tam žádná kontorola, max částka 500 je jedno, když to může opakovat kolikrát chce, nebo je to omezené?

NELDE: Já bych zas nečekal od kamaráda, že video který mu doporučim jako informační na téma bezpečnost bezkontaktních karet zamete pod koberec jako vykecávání s cílem prodat produkt.

Alobal ti pomůže před útočníkem s nemodifikovanou čtečkou, pokud ten sběratel dat ví co dělá (nandá na tu čtečku silnější anténu), tak máš smůlu.

Ja si myslim, ze kdyby to bylo tak nebezpecne, tak by to vubec banky nevydavaly... Takze verim ze moznosti jsou ale bude to zase nejake mizive promile... to uz bych mel vetsi strach vybirat z bankomatu...

NELDE: Jinak to "vykecavani" zahrnuje podrobny popis jak funguje bezdratova komunikace s kartou vcetne ukazky platby kartou B na ucet karty A, tedy presne to co se ted v tyhle diskusi resi.

NELDE: Efektivita pasivnich reseni (ala alobal) je resena v tom videu mezi 35 a 40 minutou.

AXTHEB: Díky, ale 50 minut vykecávání s cílem prodat nějaké řešení mě fakt nezajímá. Jak jsem psal, pokud to jde snadno falšovat, tak by to měly vědět banky a karetní vydavatelé, BFU s tím nic nenadělá.
PISKVOR: Otázka je, jestli se ti tohle cvičení vyplatí. Jak jsem psal, musíš trefit čtečku tam, co má kartu (pokud ji vůbec má a nemá ji ochráněnou nějakou fólii), musíš doufat, že to nebude chtít PIN a vyděláte si zboží v ceně do 500,- za cenu rizika, že to zaplatíš ze svého nebo tě chytnou (ta transakce je vystopovatelná, celá řada obchodů má kameru u pokladen a na parkovišti). Navíc pokud se budeš na někoho více tlačit, tak riskuješ odvetu.

Nevíte někdo o tom, jak funguje alobal kolem karty? Na dálniční mýto je to známý trik (strčím před OBU alobal na dobu projezdu bránou) - proto mají celníci právo dopočítat mýto, pokud se domnívají, žes použil dálnici bez placení. V tomhle případě by Faradayova klec měla možnost kopírování zamezit, ne?

AXTHEB: Zatím ne :( odtud mi to bohužel nejede.

PISKVOR: Ty si taky nevidel to video co?

NELDE: Nemělo by, pokud to čtu správně, tak jako u čipové kary i taky je to challenge-response, čili přes link *nejde* kompletní obsah karty, ale jen ověření, že to skutečně je tato karta etc. Ten MITM (nebo spíš "anténní opakovač") mi připadá proveditelný.

NELDE: Nepotrebujes pin. Podivej se na to video.

AXTHEB: Pokud jde přečíst bezkontaktně data, která stačí k výrobě plné kopie, tak je něco špatně. Navíc na kontaktní platbu potřebuješ PIN nebo podpis. Ten bezkontaktně nepřečteš.
Pokud si přečteš data z karty, tak to možná můžeš použít, ale trochu mě překvapuje, že nepoužívají el. podpis - ten už tam snadno není možné zkopírovat.

Ten utok je volne dostupnym hardwarem nactu data z karty, nahraju na jinou kartu, driv nez ten komu sem ji precetl bezkontaktne zaplati nekde jinde ji pouziju jako 'klasickou' kartu bez chipu.

NELDE: Koukni na to video z AXTHEB.

MRTVY_KENNY: Zajímavé, jsem si skoro jistý, že tam měli 2,5 cm. Buď mám špatnou paměť, nebo to změnili.
Ta technika zní jako překonstruovaná. Hlavně v tom, že 500 je malá částka, aby se to složité opatření vyplatilo (zejména, když získáš jen "zboží", nikoli peníze). Dále nevíš, jestli ten za tebou má opravdu platební kartu tohoto typu, takže u té pokladny pak platíš sám. To spíše to mít na dálku - ten middle man chodí po obchodě a snímá karty na danou cenu, až nějakou najde, tak jdeš k pokladně se zbožím za stejnou cenu.
Ten rám zní lépe, ale zase je fixní - pokud se sejde více stížností, tak ti seberou čtečku úplně. Asi nejzajímavější by bylo mít GSM čtečku, kterou užiješ v MHD. Opět to je ale o hubu díky tomu, že tě vystopují skrze ty transakce.

Existuje nějaké rušící pouzdro? Alobal?

AXTHEB: mBank se na svých stránkách dušuje, že fakt jen těch 2,5cm - je to základ bezpečnosti. Kdyby to šlo udělat tak snadno, tak už by byl průšvih na světě - bezkontaktní karty se užívají už několik let.
Mimochodem ta hlavní výhoda, že není třeba PIN, se dá řešit úplně stejně i pro klasické čipovky (-;

KOC256: http://www.youtube.com/watch?v=oAzHf8IIqyM
NELDE: 2.5 cm to opravdu neni, neni az takovy problem udelat mobilni ctecku na deset centimetru. A pokud muzes udelat tu antenu tak, aby ji dotycna osoba prosla (napr. upravis futra od dveri), tak to taky funguje.