Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 47
Только перечитав два раза перевод и прочитав английский текст въехал в чем смысл :) То ли я торможу, то ли это неочевидно.
А смысл в том, что вы набираете свой пин на карте, а она вам выдает на экране пин, который нужно ввести уже на банкомате. Даже если на банкомате установлен скиммер («пиратский» считыватель карт) и видеокамера или накладная клавиатура, они считают карточку и узнают временный пин-код, с помощью которых деньги не снять
А смысл в том, что вы набираете свой пин на карте, а она вам выдает на экране пин, который нужно ввести уже на банкомате. Даже если на банкомате установлен скиммер («пиратский» считыватель карт) и видеокамера или накладная клавиатура, они считают карточку и узнают временный пин-код, с помощью которых деньги не снять
Спасибо :) Теперь понятно
2ой абзац достаточно понятно об этом рассказывает по-моему. Наверно топик подредактировали…
Это называется кодом транзакции или одноразовым пином, сейчас такие вещи дают на бумажках в большом количестве вместе с пластиком, чтобы совершать операции, не боясь потерять денежку :)
Судя по английскому тексту, карточка по пину генерит одноразовый CVV2 (security code). Он нужен для онлайн-покупок, но не для банкоматов. Да и как вы себе это представляете: подходишь к банкомату, засовываешь карточку… и понимаешь, что больше тебе ему сказать нечего… :)
ИМХО отличная идея, если там ещё плавающий код, привязанный ко времени, то вообще сказка, хочу такую!
Недавно, в каком то магазине хотел купить сумку, а там такой весёлый терминальчик, вставляю мою карту, набираю ПИН.
Печатает чек, отказ доступа.
Звоню в банк, говорят, что никакого запроса не поступало и мой счёт в порядке.
И чего делать, если бы это были злоумышленники, у них есть прочитанная моя карта, и свой пин я набрал, им остаётся только записать лысую карту…
Недавно, в каком то магазине хотел купить сумку, а там такой весёлый терминальчик, вставляю мою карту, набираю ПИН.
Печатает чек, отказ доступа.
Звоню в банк, говорят, что никакого запроса не поступало и мой счёт в порядке.
И чего делать, если бы это были злоумышленники, у них есть прочитанная моя карта, и свой пин я набрал, им остаётся только записать лысую карту…
ИМХО отличная идея, если там ещё плавающий код, привязанный ко времени, то вообще сказка, хочу такую!Гораздо проще (и дешевле) привязиться к номеру транзакции. «Отработавшие» транзакции повторно не принимаются, среди новых идёт поиск на ±10 кодов туда-сюда (чтобы если вы выработали PIN, но не использовали его не перевыпускать карту заново). Проверенная годами технология…
Некоторые американские банки несколько лет предоставляют такую услугу для держателей золотых и платиновых карт. Но, это доступно не во всех банкоматах и для генерации временного ПИН кода используется отдельное устройство типа Token SecurID
А как там сделано питание?
Солнечные батареи?
Возможно, банкомат подзаряжает :) Солнечные батареи для карточки, лежащей все время в кошельке — как то слишком имхо. А так — даже если разрядилось, пропустил через банкомат — и работай.
Как правило, туда ставят обычные батарейки, так как их срок действия (в расчёте на среднестатистического пользователя) в 2 раза перекрывает срок действия токена или самой карты
Учитывая что на фотографии женский пальчик, смею предположить, что мужской будет перекрывать 3-4 кнопки. Придётся им еще предусмотреть и стилус, или придётся отрастить длинный ноготь на мизинце ;)
интересно, зачем там ножницы нарисованы? отрезать клавиатуру и всё остальное? :)
да мне тоже интересно — самое интересное что они изображены так, что подразумевают под собой что-то вроде «линия отреза» — там даже пунктир есть :)
При аннулировании карты резать здесь :)
А это специально предусмотренная опция для тех, кому будет сложно каждый раз запоминать новый токен!
Перед запихиванием карты в банкомат они могут по этой линии просто и аккуратно вырезать дисплей ножницами, а в банкомат отправлять, соответственно, уже оставшуюся частьодноразовой карточки
И себе облегчение ну службе поддержки Visa и банкомата приятный сюрпрайз .)
Перед запихиванием карты в банкомат они могут по этой линии просто и аккуратно вырезать дисплей ножницами, а в банкомат отправлять, соответственно, уже оставшуюся часть
И себе облегчение ну службе поддержки Visa и банкомата приятный сюрпрайз .)
Это теперь за карту в год плать нужно будет не 300р (у кого как), а гораздо больше. ага. ясно. ребята из Visa бабки срубить хотят.
Чего минусовать-то? Вы бы лучше пояснили бы свою точку зрения. Робин Гуды блин…
Я не минусовал, мопед не мой, но, подозреваю, что у Визы и так есть достаточно вариантов срубить денег.
К тому же, введение подобного стандарта подразумевает огромное (ОГРОМНОЕ!!!) количество геморроя не только для самой визы, но и для банков. Три года назад, например, американские банки вообще заявляли, что у них уровень мошенничества невысок и им невыгодны чиповые карты.
К тому же, введение подобного стандарта подразумевает огромное (ОГРОМНОЕ!!!) количество геморроя не только для самой визы, но и для банков. Три года назад, например, американские банки вообще заявляли, что у них уровень мошенничества невысок и им невыгодны чиповые карты.
Такое нововведение имеет смысл, насколько я понимаю, только в Visa Classic (если говорить только о Visa`x, про мастеркард не знаю), потому что в Visa Electron мало знать данные карты — все действия совершаются только при наличии самой карты.
Скиммеры созданы для того, чтобы получать информацию о данных карт, которыми можно расплачиваться, не имея карты в руках.
Во-первых, эти карты обычно стоят дороже 300р (правда, не принципиально, но всё же например, в Райффайзене оформлял Visa Classic рублей за 700 и это, кажется, корпоративный тариф...).
А во-вторых, за удобство и безопасность надо платить.
По крайней мере, я перешёл бы на такую карту, будь она даже в 3 раза дороже, потому что это позволило бы мне отказаться от предрассудка, что стоит остерегаться снимать деньги в «открытых» банкоматах, которых как раз большинство.
Скиммеры созданы для того, чтобы получать информацию о данных карт, которыми можно расплачиваться, не имея карты в руках.
Во-первых, эти карты обычно стоят дороже 300р (правда, не принципиально, но всё же например, в Райффайзене оформлял Visa Classic рублей за 700 и это, кажется, корпоративный тариф...).
А во-вторых, за удобство и безопасность надо платить.
По крайней мере, я перешёл бы на такую карту, будь она даже в 3 раза дороже, потому что это позволило бы мне отказаться от предрассудка, что стоит остерегаться снимать деньги в «открытых» банкоматах, которых как раз большинство.
И да, я не минусовал.
да что такое скиммеры известно. если она действиельно безопасна (в чём сомневаюсь), то круто.
Она будет точно безопасна для использования в банкоматах, а вот в отношении использования через Интернет… Вряд ли поменяются принципы написания всей необходимой информации прямо на карте (имя владельца, номер карты и CVV всегда можно увидеть на карте). А если CVV будет генериться также, как и пин — вот это будет действительно мега-круто!
глянем…
Судя по всему, это и есть CVV код.
Пользователь должен вводить свой Pin каждый раз, когда совершает онлайн-покупку. После чего карточка показывает секретный код, котороый необходимо ввести на сайте.
Users have to input their Pin every time they make an online purchase. The card then displays a security code, which must be entered into the website.
Пользователь должен вводить свой Pin каждый раз, когда совершает онлайн-покупку. После чего карточка показывает секретный код, котороый необходимо ввести на сайте.
вот если номер бы не генерился случайно, а брался из зашитого в карту банком списка то это была бы отличная замена этим кодовым картам, которые все время обновлять надо, и не только от скиммеров но и для интернет-защиты подошло бы.
Разумеется номер генерится не случайно, а псевдослучайно на основе ключа внутри карточки.
тогда это угроза безопасности. псевдослучайную последовательность можно подделать. тем более что в карту можно будет заглянуть. а вот еслиб они шились каждая разной прошивкой — тогда сложность возрастает в колво прошивок
имхо…
имхо…
Ну не надо изобретать велосипед, не надо. Ваша технология не работает, а подделать псевдослучайную последовательность не проще, чем сломать AES или 3DES. На эту тему уже давным-давно существуют стандарты.
её не надо ломать — её надо скопировать, псевдослучайная, на то она и псевдослучайная, что её можно повторить!
Её не надо ломать — её надо скопировать, псевдослучайная, на то она и псевдослучайная, что её можно повторить!Никто и не спорит! Но что для этого нужно? Правильно: сломать AES или 3DES!
Как генерируются криптографические псевдослучайные числа? Да очень просто:
1. Берём случайное число (одно, но по настоящему случайное) — это «seed». Он же пароль.
2. Нужно вам псевдослучайное число? Да пожалуйста: шифруем seed'ом 0000 и отдаём.
3. Нужно ещё одно? Нет проблем: шифруем seed'ом 0001 и отдаём.
И так далее.
Что нужно для того чтобы повторить эту последовательность? Да всего ничего: имея зашифрованное сообщение (вернее заранее неизвестный его кусочек) восстановить пароль. Делов-то. Плёвое дело.
Почитайте какую-нибудь книжку по криптографии, что ли, перед тем как свои «гениальные» теории рождать, а? Хотя бы Введение в криптографию…
фикус этой карты в том чтобы её физический сложнее было скопировать, а если алгоритмы генерации псевдослучайных чисел будут везде одинаковы, то вероятность сломать гораздо выше, чем если в этих картах будут разные алгоритмы! не находите?!
кто мешает купить такую карту и поковыряться во внутренностях?! именно это называл — «скопировать»
ЗЫ. не надо брызгать слюной, извините, своими знаниями о криптографии во все стороны, подумайте чуть по другому, а не как в учебнике.
кто мешает купить такую карту и поковыряться во внутренностях?! именно это называл — «скопировать»
ЗЫ. не надо брызгать слюной, извините, своими знаниями о криптографии во все стороны, подумайте чуть по другому, а не как в учебнике.
Фикус этой карты в том чтобы её физический сложнее было скопировать, а если алгоритмы генерации псевдослучайных чисел будут везде одинаковы, то вероятность сломать гораздо выше, чем если в этих картах будут разные алгоритмы! не находите?!Нет, не нахожу. На каждую атаку в известных криптоалгоритмах находятся десятки и сотни дыр созданых в уй-каких-суперсекретно-надёжных алгоритмах созданных дилетантами.
кто мешает купить такую карту и поковыряться во внутренностях?! именно это называл — «скопировать»Никто не мешает, да это и не нужно. Схема карты вообще может быть опубликована на web-сайте. Секретен только ключ, а уж его скопировать — весьма непросто: ни в случае с XBox360, ни в случае с PS3 это не удалось. Все взломы основаны на том, что кто-то решает «дополнить» защиту, сделанную профессионалами, своей личной поделкой — и, разумеется, в 100 случаях из 100 вскрвают поделку, а не DES/AES/etc…
ЗЫ. не надо брызгать слюной, извините, своими знаниями о криптографии во все стороны, подумайте чуть по другому, а не как в учебнике.При чём тут учебник? Идиотская идея о том, что если алгоритмы генерации псевдослучайных чисел будут везде одинаковы, то вероятность сломать гораздо выше, чем если в этих картах будут разные алгоритмы уже привела к потерям в сотни миллиардов долларов (хорошо если не триллионам) — сколько ещё нужно будет людям потерять чтобы они наконец поверили в то, что её правота не самоочевидна? Сколько связанных с криптухой вещей (GSM, WEP, WPA, etc) были проломлены через «примочки сбочку» и сколько — через опубликованные и исследованные криптоаналитиками алгоритмы? Может быть хватит?
Ну впрочем ничего революционного — просто токен интегрировали в карту. Ну и расширили количество возможных операций с одноразовыми паролями.
в каком-то устройстве такие клавиши и такую плоскую реализацию уже видел, а в каком не могу упорно вспонить и видел вроде лет десять назад;
хорошая альтернатива отдельным брелкам которые выдают банки для работы с их веб-банк-клиентами — жмёшь кнопочку и получаешь цифирки подтверждения и так каждый раз при каждом серьёзном движении
хорошая альтернатива отдельным брелкам которые выдают банки для работы с их веб-банк-клиентами — жмёшь кнопочку и получаешь цифирки подтверждения и так каждый раз при каждом серьёзном движении
У нас на работе используются карточки с клавиатурой. Для входа во внутреннюю инфраструктуру используется личный номер, пароль, и код сгенерированный с помощью личной карты и специального пин-кода. При чем код меняется где-то каждые секунд 30-40. Карточка рассчитана на 3 года, потом я так понимаю сядет батарейка и ее заменят. Наверное в этих новых кредитках что-то похожее.
Тут такое дело…
Обычно CVV2/CVC код храниться в базе у банка. Жестко привязан [card number]:[cvv]
Как будет теперь? Оплачиваешь в инете, подтверждаешь новым cvv, а в базе что? с чем сверяет терминал сайта? Можно конечно предположить, что карта как-то круто передает инфу об изменении в банк, но это не реально: во-первых как?; во-вторых, пока прокачается в базе обновление и рак свиснет. Отбарсываем этот вариант.
Остается еще один: ключ по которому генерятся числа вшит и в карту и в системе и в банке присутствует; генерятся CVV строго в определенном порядке для каждой транзакции и на карте и на стороне банка.
а вы что скажете? :)
Обычно CVV2/CVC код храниться в базе у банка. Жестко привязан [card number]:[cvv]
Как будет теперь? Оплачиваешь в инете, подтверждаешь новым cvv, а в базе что? с чем сверяет терминал сайта? Можно конечно предположить, что карта как-то круто передает инфу об изменении в банк, но это не реально: во-первых как?; во-вторых, пока прокачается в базе обновление и рак свиснет. Отбарсываем этот вариант.
Остается еще один: ключ по которому генерятся числа вшит и в карту и в системе и в банке присутствует; генерятся CVV строго в определенном порядке для каждой транзакции и на карте и на стороне банка.
а вы что скажете? :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новая карта Visa с клавиатурой для генерации секретного кода