Skocz do zawartości
Forum Kopalni Wiedzy

Rekomendowane odpowiedzi

Visa pracuje nad nową generacją kart kredytowych, które będą samodzielnie generowały hasła jednorazowe. Karty powstają we współpracy z australijską firmą Emue Technologies. Wiadomo, że będą one wyposażone w procesor, klawiaturę i wyświetlacz. Zasilająca kartę bateria zapewnia trzyletnią pracę.

Po wpisaniu przez użytkownika numer PIN wbudowany w kartę procesor wygeneruje i wyświetli hasło jednorazowe o długości do 8 znaków. Visa PIN Card, bo tak będzie nazywała się nowa karta, ma być "krokiem milowym w ochronie przed defraudacjami". Będzie ona szczególnie przydatna w miejscach, w których dokonuje się transakcji bez pośrednictwa czytników kart, np. podczas zakupów online czy zamawianiu towarów przez telefon. To właśnie możliwość korzystania z kart bez używania czytników spowodowała gwałtowny wzrost przypadków defraudacji. Obecnie wystarczy ukraść kartę by bez przeszkód dokonywać np. zakupów w Internecie. W przypadku Visa PIN Card złodziej będzie musiał znać też numer PIN, by z niej skorzystać.

Nie wiadomo, kiedy nowe karty trafią na rynek. Można przypuszczać, że na ich pojawienie się nie trzeba będzie długo czekać, gdyż projekt pilotażowy testujący karty ma rozpocząć się wkrótce.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Eee, po co sama karta miałaby to generować? Nie lepiej przysyłać sms-em? Byłoby jeszcze bezpieczniej, bo nawet fizyczne wejście w posiadanie karty nie dawałoby dostępu do pieniędzy na koncie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ale ja mówię o porównaniu opisanej w artykule technologii z moim pomysłem. Owszem, PIN trzeba znać, ale tak naprawdę artykuł mówi o pomyśle na "drugą warstwę" zabezpieczenia: oprócz PIN-u musisz zdobyć jeszcze drugą formę weryfikacji. Zgodnie z moim pomysłem, poza posiadaniem karty i wklepaniem PIN-u musiałbyś jeszcze być w posiadaniu telefonu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Być może pomysłodawcy biorą pod uwagę takie możliwości jak nie posiadanie telefonu, wyładowana bateria, lub nie posiadanie go przy sobie? Visa to duża międzynarodowa firma i jeśli załóżmy 0,5% jej klientów nie posiada telefonów komórkowych to może to dla nich oznaczać znaczne straty. Ponadto jeśli chodzi o twój pomysł z komórką, myślisz że jeśli ktoś jest w stanie wyciągnąć komuś kartę z portfela to nie będzie potrafił ukraść telefonu? Standardowa sytuacja: kradziona jest torebka. Zazwyczaj w środku jest i portfel i telefon. Zresztą gdyby istniał taki system złodzieje kradli by i karty i telefony. Dla tego najważniejsza w tym pomyśle jest idea wprowadzania pinu. Bo o ile telefon i kartę można ukraść z pinem nie jest już tak łatwo. Jasne, dodatkowe zabezpieczenie w postaci telefonu na pewno w niewielkim stopniu utrudniło by dostęp do pieniędzy, jednak nie wiadomo czy ten zysk wynagrodziłby trudności  związane z jego korzystaniem o których wspomniałem na początku. Na koniec kwestia techniczna i chyba najważniejsza. Jeśli dobrze zrozumiałem według ciebie karta po wpisaniu do niej pinu miałaby wysyłać kod tymczasowy do telefonu w postaci smsa (bądź innej), ale to z kolei oznaczało by konieczność zainstalowania w niej modułu komunikacyjnego (gsm, bluetooth,  itp) a to raczej nie jest współcześnie do zrealizowania w przestrzeni jaką dysponuje karta kredytowa.   

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wyświetlacz LCD, klawiatura i generator liczb losowych także nie są obecnie dostępne, a jednak da się je zrobić. Natomiast moduł komunikacyjny do Bluetooth jest obecnie naprawdę malutki - zobacz sobie od spodu obudowę dowolnego laptopa, czasem moduł BT jest do niej "wkręcany" od zewnątrz. Moduł GSM też nie byłby z pewnością duży, choć rzeczywiście, byłby jeden kłopot - ładowanie tego ustrojstwa. Ja tylko rzucam luźny pomysł, bo moim zdaniem tak byłoby bezpieczniej. Kto wie, może za parę lat będzie to możliwe

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Eee, po co sama karta miałaby to generować? Nie lepiej przysyłać sms-em? Byłoby jeszcze bezpieczniej, bo nawet fizyczne wejście w posiadanie karty nie dawałoby dostępu do pieniędzy na koncie.

 

Przesyłanie haseł jednorazowych SMS-em jest już stosowane. Np. w mBanku w momencie dokonywania transakcji na koncie otrzymuję hasło SMS-em.

Ta karta rozwiązuje jednak inny problem. Co w sytuacji, gdy np. robię zakupy w sklepie on-line. Skąd bank ma wiedzieć, że w danej chwili potrzebuję hasła jednorazowego? Mam zadzwonić do banku? Nierealne. Strona sklepu ma najpierw identyfikować, który bank wydał kartę, a następnie ma wysyłać do niego żądanie, by do właściciela karty został wysłany SMS? Trudne do wykonania.

Jeśli będą istniały takie karty, to istniejące już sklepy internetowe będą musiały dokonać jednej drobnej zmiany w swoich systemach. Oprócz danych samej karty (co jest stosowane obecnie i nie jest żadnym zabezpieczeniem w przypadku kradzieży karty) muszą dać możliwość wpisania PIN. Całość idzie do uwierzytelniania i już.

Oczywiście istnieje coś podobnego, CVV. Problem jednak w tym, że jest on generowany na stronie banku-wystawcy karty. A więc wymaga więcej zachodu (musisz łączyć się ze swoim bankiem), wymaga posiadania przy sobie loginu i hasła (mało osób pamięta takie rzeczy) i niesie ze sobą olbrzymie ryzyko w przypadku korzystania z komputera innego niż własny.

Nowa karta Visy rozwiązuje te problemy.

Oczywiście i tak się okaże, że nie jest całkowicie bezpieczna. Ale dodatkowe bezpieczeństwo zapewnia. :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przesyłanie haseł jednorazowych SMS-em jest już stosowane. Np. w mBanku w momencie dokonywania transakcji na koncie otrzymuję hasło SMS-em.

Wiem, mam :)

 

Ta karta rozwiązuje jednak inny problem. Co w sytuacji, gdy np. robię zakupy w sklepie on-line. Skąd bank ma wiedzieć, że w danej chwili potrzebuję hasła jednorazowego?

Wystarczy, żeby Visa uruchomiła serwis w necie, który by ułatwiał takie transakcje. Logowałoby się za pomocą numeru karty i PIN-u, a dalej już jak w mBanku: definiujesz konkretną transakcję, z podaniem odbiorcy zapłaty i kwoty. Wtedy dostajesz jednorazowe hasło, działające wyłącznie dla tej jednej transakcji.

 

Strona sklepu ma najpierw identyfikować, który bank wydał kartę, a następnie ma wysyłać do niego żądanie, by do właściciela karty został wysłany SMS? Trudne do wykonania.

Dlaczego? Każda transakcja i tak musi przecież przejść przez Visę, bo to ona realizuje przelewy stojące za transakcjami kartowymi.

 

Oprócz danych samej karty (co jest stosowane obecnie i nie jest żadnym zabezpieczeniem w przypadku kradzieży karty) muszą dać możliwość wpisania PIN.

Czyli i tak, i tak będzie potrzebny kontakt z Visą, bo choć PIN będzie zapisany w karcie (co jest moim zdaniem zagrożeniem samo w sobie), operator karty będzie musiał skontaktować się z bankiem posiadacza karty oraz sklepu i dokonać rozliczenia.

 

Przypomina mi się jeszcze jedna kwestia. Nie wiem, czy kiedykolwiek zwróciliście uwagę na klawiaturki do wpisywania kodu przy wejściach do pomieszczeń. Po niecałym roku pojawiają się na nich ślady, dzięki którym bardzo łatwo można odgadnąć hasło. Jeśli połączymy to z faktem, że w przypadku takiej karty jest ono zapisane wewnątrz urządzenia, stwarza to dodatkowe ryzyko.

 

Mnie osobiście to rozwiązanie w ogóle nie przekonuje i jeśli już miałbym szukać jeszcze innej opcji, to proponowałbym karty wirtualne mniej więcej na wzór eKARTY w mBanku - tyle, że powinna je "wydawać" (a raczej: jednorazowo generować i "ładować" tylko kwotą potrzebną do zrealizowania transakcji) bezpośrednio Visa.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

a ja ostatnio przez posiadanie taniej studenckiej debetowej Visy bez CVV nie mogłem se biletu lotniczego przez neta kupić i źle mi z tym:///w ogóle wkurzające niekiedy te zabezpieczenie,ma człek ledwo kilkaset zeta na koncie ale go bronią przed złodziejami utrudniając tylko życie

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Rzeczywiście. Musi być sposób taki aby karty były kompatybilne z dzisiejszymi terminalami. Jakie to ograniczające i oszczędne.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tak naprawdę wygląda to całkiem podobnie do systemu stosowanego a ABN Amro (Mastercard) w Holandii. Tutaj procedura wygląda następująco:

1. Kupujemy rzecz na stronie internetowej.

2. Strona sklepu przekierowuje nas na stronę banku.

3. Logujemy się do konta - podajemy numer konta oraz numer karty.

4. Bank generuje numer hasła.

5. Wkladamy karte do takiego 'kalkulatorka', wpisujemy tam PIN oraz ten numer hasła.

6. Na tej podstawie oraz za pomocą chipa na karcie 'kalkulatorek' generuje nam hasło.

7. Wpisujemy to hasło na stronie by zakończyć logowanie oraz transakcję.

 

I wyglada na to, że tak naprawdę to nowością tutaj bedzię po prostu wbudowany owy 'kalkulatorek' bezposrednio w kartę. Wiec nie wygląda to na coś naprawdę odkrywczego - ot zwykła konsolidacja i miniaturyzacja :)

 

A odnośnie smsów to tak nic chyba nie stoi na przeszkodzie by wprowadzić do tego systemu dodatkowy poziom zabezpieczenia. Wystarczy, że ten numer hasła generowany przez bank a który w tej chwili jest wyświetlany na stronie podczas logowanie był dostarczony w postaci sms na telefon komórkowy właściciela konta. Tyle, że nie słyszałem, by ktoś to wprowadził ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

To powyżej (ABN Amro), to akurat jest challenge-response, nie hasła jednorazowe, lecz idea w bardzo ogólnym zarysie podobna od strony płacącego. Natomiast dlatego karta sama to generuje, bo posiada kryptograficznie bezpieczny chip (oraz PRNG), którego (teoretycznie) nie można skopiować/odczytać. Zaś PIN zapewne nie jest w ogóle przechowywany w pamięci karty nawet w postaci skrótu (np. jakaś odmiana SHA), lecz jest tylko jednym z argumentów funkcji generującej hasło jednorazowe (obok timestampu i numeru karty).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Julian Assange poinformował, że Wikileaks zawiesza działalność z powodu braku pieniędzy. Kłopoty finansowe serwisu zostały wywołane zerwaniem współpracy przez Visę, MasterCard, PayPal, Bank of America i kilka innych instytucji finansowych, które od grudnia bieżącego roku nie przetwarzają płatności dla Wikileaks.
      Blokada finansowa zagraża istnieniu Wikileaks. Jeśli nie zostanie ona zdjęta do końca bieżącego roku, nie będziemy mogli pracować - powiedział Assange.
      Serwis złożył w tej sprawie skargę do Komisji Europejskiej i zapowiada też wystąpienie do sądów w wielu krajach. Assange ma nadzieję, że do połowy listopada KE zdecyduje o rozpoczęciu śledztwa w tej sprawie.
      Od czasu wprowadzenia blokady dochody Wikileaks spadły o 95%. Assange mówi, że serwis potrzebuje 3,5 miliona dolarów rocznie by pracować tak, jak dotychczas.
      Tymczasem przedstawiciele PayPala stwierdzili, że regulamin tego serwisu przewiduje możliwość zawieszenia konta organizacji, która zachęca, promuje, ułatwia lub instruuje innych jak angażować się w nielegalną działalność. Zdaniem PayPala Wikileaks zachęca do ujawniania tajnych dokumentów, a zatem zachęca do łamania prawa. Także Visa przypomina, że jej regulamin pozwala na likwidację konta, którego właściciel nie przestrzega lokalnego prawa lub zasad Visy.
      Wikileaks nadal otrzymuje pieniądze dzięki tradycyjnym czekom czy transferom dokonywanym przez instytucje, które nie zerwały współpracy. Assange zauważa też, że możliwe są bezpośrednie wpłaty na konto serwisu.
    • przez KopalniaWiedzy.pl
      Julian Assange poinformował, że Wikileaks oraz provider DataCell planują pozwać Visę i MasterCard za to, iż zablokowały możliwość przekazywania datków na rzecz Wikileaks.
      Zdaniem Assange'a działania obu firm stanowiły poważne naruszenie zasad konkurencyjności ustalonych przez UE oraz były złamaniem duńskiego prawa handlowego. Firma DataCell pośredniczyła w przekazywaniu funduszy dla Wikileaks.
      Jako, że Visa i MasterCard kontrolują 96% rynku płatności w Europie, ich działania stanowiły praktykę antykonkurencyjną - czytamy w oświadczeniu WikiLeaks. Assange zauważył, że takie naruszenie zagrożone jest w Unii grzywną w wysokości do 10 procent wartości obrotów. DataCell i Wikileaks zamierzają oskarżyć obie firmy przed sądami w Danii i Islandii.
      W oświadczeniu nie wspomniano o Amazonie i PayPalu, które również zerwały umowy z Wikileaks. Zaznaczono w nim jednak, że podjęte zostaną działania również w innych jurysdykcjach.
    • przez KopalniaWiedzy.pl
      Cyberprzestępcy przełamali dwuetapowe zabezpieczenia (two-factor authentication) bankowe. System jednorazowych haseł nie jest zatem tak bezpieczny, jak mogłoby się wydawać.
      Przekonał się o tym menedżer firmy Ferma, który przed kilkoma miesiącami zalogował się na swoje konto. Używał przy tym hasła jednorazowego, którym był sześciocyfrowy kod generowany automatycznie przez specjalne urządzenie co 30-60 sekund. Okazało się, że w czasie, gdy mężczyzna był zalogowany na koncie, cyberprzestępcy przeprowadzili 27 transakcji, okradając go na 447 000 dolarów.
      Późniejsze badania komputera poszkodowanego ujawniły, że wcześniej, podczas wizyty na jednej z witryn, został on zarażony szkodliwym kodem, który potrafi zainicjować transakcje i korzysta ze słabości systemu haseł jednorazowych.
      Eksperci zauważają, że żadne zabezpieczenia nie powstrzymają cyberprzestępców. Mogą jedynie utrudnić im pracę i spowodować, że włamanie stanie się bardziej kosztowne.
      Jeśli użytkownik dopuści do zainfekowania komputera, nie może być pewien, czy nie zostanie okradziony. I nie uchronią go przed tym nawet hasła jednorazowe.
      Znacznie lepszym rozwiązaniem od stosowania po stronie użytkownika urządzeń generujących hasła jest wysyłanie ich SMS-em, jednak walka z cyberprzestępcami przypomina zabawę w kotka i myszkę. "Przestępcy otwierają jakieś drzwi, my je zamykamy, a oni znajdują inne" - mówi Ariel Avitan odpowiedzialny za bezpieczeństwo w firmie Frost & Sullivan.
    • przez KopalniaWiedzy.pl
      Podczas konferencji Black Hat, która odbywa się w Los Angeles, dwóch włoskich specjalistów ds. bezpieczeństwa - Andrea Barisani i Daniele Bianco - pokazało, w jaki sposób można podsłuchiwać klawiatury na złączu PS/2. Ich technika umożliwia rejestrowanie wciśniętych klawiszy na... wtyczce od prądu.
      Barisani poinformował, że dzięki temu byli w stanie podsłuchiwać zainstalowane we Włoszech bankomaty i zdobyć numery PIN osób z nich korzystających. Nie potrzebowali do tego celu kamery, ani żadnych innych metod podsłuchowych.
      Przestępcy kradnący numery PIN zwykle używali do tego celu przerobionego czytnika kart, który dostarczał im informacji zapisanych na pasku magnetycznym, oraz miniaturowej kamery rejestrującej wciskane klawisze. Teraz kamera nie będzie już potrzebna.
    • przez KopalniaWiedzy.pl
      Aby nawiązać bezpieczne połączenie między dwoma urządzeniami, nie potrzebajuż kryptografii kwantowej ani długich i skomplikowanych haseł. Okazujesię bowiem, że nowoczesne urządzenia przenośne można uwierzytelniać napodstawie... potrząsania. 

      Autorami nietypowej metody autoryzacji są Rene Mayrhofer i Hans Gellersen z brytyjskiego Lancaster University. Ich pomysł bazuje na wykorzystaniu miernika przeciążeń, wbudowanego w niektóre zaawansowane telefony komórkowe. Aby sparować dwie komórki za pomocą interfejsu Bluetooth, wystarczy je razem
      . Po takim zabiegu, akcelerometry znajdujące się w obu urządzeniach zarejestrują unikatowy wzór, pozwalający na jednoznaczną identyfikację telefonów, a co za tym idzie – na nawiązanie połączenia. Wymiana danych jest dodatkowo chroniona przed podsłuchem za pomocą silnych algorytmów szyfrujących.
      Zdaniem Mayrhofera i Gellersena, opracowany przez nich sposób nawiązywania połączeń jest znacznie prostszy i bardziej naturalny od wybierania urządzeń z listy i wpisywania numerów PIN. Dodatkową zaletą jest zwiększone bezpieczeństwo, ponieważ większość kodów PIN to fabrycznie ustawiane cztery zera, niestanowiące żadnego zabezpieczenia przed niepożądanym połączeniem. W przyszłości podobną metodą mogą być np. potwierdzane transakcje elektroniczne (choć wizja supermarketów z kupującymi, którzy machają portfelami przy kasach, to już chyba nadmiar optymizmu).

      A jak sparować telefon z czymś cięższym, np. drukarką laserową? Naukowcy pomyśleli również o takiej sytuacji – wtedy wystarczyć powinno stuknięcie komórką o większe urządzenie, a do autoryzacji mają posłużyć odczyty z akcelerometru oraz zapis odgłosu uderzenia.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...