банковские карточки и пин код

Они тебя в кэш занесли

Если пин не спрашивают то просят расписаться.

А вообще что удивлятся, если продавец может в терминале ввести любую сумму для снятия с карты.

А как вообще организована безопасность? Насколько я знаю, там используется шифрование. Кто занимается шифрованием - процессор на карте (как в брелках для эцп) или терминал?

Это прикрывает одну угрозу, и открывает другую. Лично я предпочитаю не набирать пин код, когда рядом куча народу.

Кто занимается шифрованием - процессор на карте (как в брелках для эцп) или терминал?

Терминал. А точнее говоря - пин-пад.

Т.е. private ключ считывается с карты в пинпад? И если я один раз засунул карту в «левый» пинпад, то мошенник сможет потом сколько угодно раз снимать деньги?

А как вообще организована безопасность?

Тебе на подпись предъявляют только что распечатанный терминалом чек. Проверяешь сумму и подписываешься под ней ты сам. Ещё можно дождаться, пока пикнет СМСка и снятии денег с карточки и сверить сумму там, если, конечно не пожадничал включить эту услугу.

Пин-пад шифрует твой пин-код своим ключом.

если я один раз засунул карту в «левый» пинпад, то мошенник сможет потом сколько угодно раз снимать деньги?

Если карта без чипа, то да. Если с чипом, то нет.

Тебе на подпись предъявляют только что распечатанный терминалом чек

почти нигде так не делают.

Освой уже разницу между дебетными и кредитными счетами.

Пин-пад шифрует твой пин-код своим ключом.

не совсем понял. я ввел пин код. пинпад его зашифровал своим ключом. дальше что?

при чем здесь оно? я про организацию безопасности.

А притом что когда ты расплачиваешься кредитной картой, ты берёшь долг, а когда дебетной, с тебя снимают твои живые деньги. Соответственно, и требования к безопасности разные.

И там и там требования к безопасности должны обеспечивать невозможность что-либо делать без карточки + введенного пинкода. Потому что иначе это решето.

Почему нельзя и там и там сделать нормально, как в системах для эцп? Где у тебя есть карточка или брелок, она запаролена пинкодом, когда ты хочешь что-либо подписать, ты вводишь пинкод, он передается в карточку. Если код верный, то в карточку передается подписывамый текст, карточка его подписывает и возвращает.

Всё. Каким бы левым ни был терминал, он не сможет подписать, запомнив private ключ. Потому что он в него не передается.

Кстати, если говорить о безопасности, то всякие крипто деньги, то бишь биткойны, таки рулят. Чтобы расплатиться кредитной или дебетной картой, ты должен сообщить номер карты, который всякий вор может использовать, чтоб купить мерседес от твоего имени. Когда ты платишь крипто деньгами, тебе не надо выдавать свою частную информацию.

я ввел пин код. пинпад его зашифровал своим ключом. дальше что?

Отправил в процессинговый сентр эквайера, тот в свою очередь перешифровал и отправил эмитенту, который ответил, соответствует ли введённый пин-код карте.

ты должен сообщить номер карты, который всякий вор может использовать

оплачивал как-то билет через интернет. Требовалось ввести номер карты, civ, и пароль, присылаемый банком на мобильник. Вору одного номера карты не хватит

У тебя сбербанк, виза электрон или маэстро.

почти нигде так не делают.

Ну тогда не покупай ничего в таких заведениях.

Прямо так? А я вот помню в магазине, в котором отключился канал связи с банком, терминал бодренько говорил «пин код верный», но вот сама оплата не проходила из-за проблем с каналом.

эквайер ... эмитент ... пин-код

Лет на пять.

Такие заведения почти везде. И вообще, безопасность не должна быть обеспечена исключительно добросовестностью магазина. Да и подпись скопировать можно.

В общем я так понял, что с технической точки зрения банковские карты это решето. И безопасность обеспечивается всякими там подписями на чеке.

Пин кодом обычно паролят так называемые cash equivalent transactions. То есть, когда с тебя снимают живые деньги. Когда тебе продают что-то в долг, считают что это необязательно. Ты этот долг можешь вообще не платить, если не хочешь.

Что сложного сделать НОРМАЛЬНО? Как во всех системах ЭЦП? Когда вся подпись идет на брелке/карточке?

И да, карточка у меня дебетовая.

Вору одного номера карты не хватит

А у меня на позапрошлой неделе на две кредитные карты какой-то редиска покупок понаделал. Я даже знаю, где номер стырили. Банк все эти транзакции отменил.

Если ты ввел код - да, не делают. А если нет - ты должен расписаться. И вообще тебе кассир не должен отдавать карту, пока не сверит подписи на чеке и карте.

Если с тебя очень захотят поиметь денег, то не имеет значения, наличкой они у тебя будут, или на карточках. А с недобросовестным магазином ты можешь разрулить ситуацию звонком в процессинговый центр об отмене платежа номер такой-то.

И да, карточка у меня дебетовая.

Вот в этом суть. Дебетовой картой вообще по интернету и других злачных местах ничего покупать нельзя. Только в терминалах с пин-кодом.

А если нет - ты должен расписаться.

Ну то есть все равно решето. Подписи умеют подделывать.

ORLY? Разница есть только для самого банка владельца карты. Успешно по дебетовым картам оплачиваю всё и везде.

короче, безопасность карточек полное говно, так?

Дебетовой картой вообще по интернету

Не бывает чисто дебетовых виза, мастер-карт

Што тут перетирать, айда на банки.ру

Даже если её подделают - обращение в банк всё решает. А дальше уже проблемы магазина и кассира. Ах да, если ты карту пролюбил - терминалы будут совсем не при делах. Бабло выкачают другими способами. Ну, это если нашедший эту карту не круглый идиот.

терминал бодренько говорил «пин код верный», но вот сама оплата не проходила из-за проблем с каналом.

Странно. Ты ничего не спутал? Теоретически мог проверяться offline-пин (проверяется не эмитентом, а самой картой), но тогда непонятно, почему не прошел платёж...

Штоа?

зависит от картридера и карты. чипованные карты всегда требуют пинкод, магнитные в зависимости от того разрешены ли безакцептные списания

Банкомат и некоторые кассовые терминалы неавторизованные, для транзакции ты должен ввести пин-код, который хешируется и посылается в авторизационный центр и там сравнивается с приписанным к твоему счёту. А некоторые кассовые терминалы авторизованы и имеют свой авторизационный код для осуществления транзакций, карточка нужна только считать номер твоего счёта. Фактически операцию снятия денег осуществляешь не ты, а кассовый терминал под «своим аккаунтом», согласием с чем является твоя подпись на чеке, который кассир обязана хранить у себя.

безопасность карточек полное говно, так?

Откуда такой вывод? :)

Хотя отчасти ты прав. Как говорят(с), например, в США практически нет банкоматов с проверко чипа. Просто переделывать всё систему дорого и долго, легче просто ловить мошенников и давать им большие тюремные сроки :)

а вообще вы батенька еще не видели как катают чеки с эмбоссированной карты.

но тогда непонятно, почему не прошел платёж

Потому что связи с банком нет и терминал понятия не имеет, имеются ли на карте деньги, предусмотрен ли овердрафт, на какую сумму и опять же есть ли возможность уложиться в лимит овердрафта.

чипованные карты таки пин в себе хранят. для того и существует процесс активации карты при установке нового пина.

чипованные карты всегда требуют пинкод

Не всегда. Как минимум, ты можешь или нажать на посе отмену и не вводить пин-код.

Но ведь пин-код как-то проверился на валидность?

Зависит от 2 факторов: 1. Содержит ли карта специальный чип (вроде оно http://ru.wikipedia.org/wiki/EMV); 2. Поддерживают ли терминалы оплаты этот чип.

Такие заведения почти везде.

Это косяк продавщиц, которые привыкли что при авторизации по чипу пин вводят. Можешь нагреть их оспорив транзакции.

Потому что пин-код хранит сама карта.

чипованные карты всегда требуют пинкод

4.2. Это зависит от эмиттера.

чипованные карты таки пин в себе хранят. для того и существует процесс активации карты при установке нового пина.

Опять неправда :) Они хранят в себе offline pin. А online пин хранится (точнее валидируется) hsm-ом эмитента.

То есть ты про offline пин говоришь? Но тогда операция должна была пройти. Не больше некоторой суммы, естественно.

В таких случаях обычно банки требуют от магазина оплачивать безнал только после предъявы документа, удостоверяющего личность. Хотя обычно кассирши в отсутствие зоркого глаза начальства забивают и просят только у подозрительных личностей — выпивший, суетливый, наркоманского вида етц.