Comments 12
А к какому функционалу открывает доступ этот пароль?
В огороде бузина, а в Киеве дядька. Каждый последующий абзац не связан напрямую с предыдущим.
Это пароль сервисного меню. Ничего особенного там нет. Когда-то в некоторых реализациях софта из него действительно можно было распечатать журнал транзакций (сам когда-то вставлял такую функцию в отладочных целях, только на терминалах другого производителя), но обязательные сертификации PCI-DSS давно уже уничтожили эту возможность. И вообще, в те времена проще было набрать чеков с номерами карт в мусорной корзине.
Производитель не обязан менять дефолтный пароль, на то он и дефолтный. Менять его должны те, кому принадлежит терминал, и кто занимается его обслуживанием (в РФ это почти исключительно банки-эквайеры).
Миллионные утечки клиентских данных делаются не с терминалов. И уж точно не через сервисное меню.
Чипованные карты вообще к теме дефолтного пароля не имеют никакого отношения.
Это пароль сервисного меню. Ничего особенного там нет. Когда-то в некоторых реализациях софта из него действительно можно было распечатать журнал транзакций (сам когда-то вставлял такую функцию в отладочных целях, только на терминалах другого производителя), но обязательные сертификации PCI-DSS давно уже уничтожили эту возможность. И вообще, в те времена проще было набрать чеков с номерами карт в мусорной корзине.
Производитель не обязан менять дефолтный пароль, на то он и дефолтный. Менять его должны те, кому принадлежит терминал, и кто занимается его обслуживанием (в РФ это почти исключительно банки-эквайеры).
Миллионные утечки клиентских данных делаются не с терминалов. И уж точно не через сервисное меню.
Чипованные карты вообще к теме дефолтного пароля не имеют никакого отношения.
Расскажите пожалуйста, чем чипованые карты лучше обычных?
Я всегда думал что их единственная фишка — невозможность скопировать карту.
Но последнее время их упоминают везде как панацею от всех бед, вот я начинаю сомневаться — может там еще какие-то фишки есть…
Я всегда думал что их единственная фишка — невозможность скопировать карту.
Но последнее время их упоминают везде как панацею от всех бед, вот я начинаю сомневаться — может там еще какие-то фишки есть…
Смарт-карты на то и «смарт», что могут все вычисления проводить внутри себя, используя терминал только как железку для связи с банком, отдавая ей только зашифрованную информацию. Соответственно, даже если терминал каким-то образом скомпрометирован, сделать с картой ничего нельзя.
Чипованную карту невозможно «прочитать», поэтому невозможно скопировать и провести по ней «чужие» транзакции. В чипе хранится уникальный криптографический ключ, а протоколы построены так, что ключ никогда не отправляется из чипа наружу, прочитать его можно только взломав чип физически, что невозможно без его уничтожения.
Если кто-то узнает номер вашей чипованной карты, даже если сделает дамп магнитной полосы, то он не сможет расплатиться ей в магазине (на магнитной полосе записано «у меня есть чип, используй его для транзакций»).
Оплаты в интернете защищаются через двухфакторную авторизацию (ввод кода из СМС или другого пароля, которого нет на карте).
Таким образом, при использовании чипа и 3-D Secure транзакции защищены гораздо лучше, чем при использовании карт и процессов «старого образца».
Если кто-то узнает номер вашей чипованной карты, даже если сделает дамп магнитной полосы, то он не сможет расплатиться ей в магазине (на магнитной полосе записано «у меня есть чип, используй его для транзакций»).
Оплаты в интернете защищаются через двухфакторную авторизацию (ввод кода из СМС или другого пароля, которого нет на карте).
Таким образом, при использовании чипа и 3-D Secure транзакции защищены гораздо лучше, чем при использовании карт и процессов «старого образца».
Одна проблема: 3-D Secure не является обязательным. Достаточно найти сайт, не поддерживающий 3-D Secure (таких большинство) и платить там.
Вообще, это сильно зависит от региона и культуры. В Европе я не видел сайтов, на которых не было бы 3-D Secure (обычно все пользуются крупными и мелкими проверенными посредниками типа PayPal, Stripe или локальных типа Klarna).
В Штатах, например, банки по-дефолту берут всю ответственность на себя и клиенту очень просто взять и откатить любую транзакцию — обычно сначала вернут деньги, а потом будут разбираться с продавцом (есть даже такой классический вид скама: получить товар, а потом откатить транзакцию и сделать морду кирпичом).
В Штатах, например, банки по-дефолту берут всю ответственность на себя и клиенту очень просто взять и откатить любую транзакцию — обычно сначала вернут деньги, а потом будут разбираться с продавцом (есть даже такой классический вид скама: получить товар, а потом откатить транзакцию и сделать морду кирпичом).
Более того — Amazon не требует CVV2, т.е. достаточно лишь камеры над кассой для воровства средств. Именно поэтому я прикрыаю карту на пути до слота терминала.
В статье затрагивается тема чипованых карт. Вкратце: для потребителей, это перенос ответственности, обеспеченный стандартом EMV.
Ализар, перелогиньтесь)
Не стоит их путать, marks это совершенно отдельный профессиональный журналист.
Sign up to leave a comment.
Крупнейший производитель платежных терминалов не менял дефолтные пароли с 90-х годов