Платежные системы, эволюция (3)

Аватар пользователя casper_nn

Мир вокруг нас постоянно изменяется, но у каждого изменения есть свои причины. Очень часто о каждом явлении можно собрать целую кипу информации, из вполне авторитетных источников и благополучно в ней запутаться. А ведь чаще всего есть основное течение, главная причина, короткая фраза, или даже одно слово, описывающее суть происходящего. Интересно, что на поиски такого слова иногда нужно потратить больше времени, чем на написание тысяч других слов. Вот, например, все знают, что есть чиповые карты и есть карты с магнитной полосой. Но даже в рекламных проспектах банков, при описании отличий говорят что-то типа: «она более функциональная, надежная, в ней чип, он не размагнититься и вообще, это прогресс». Да, это все так, но это деревья, за которыми не видно леса. Почему, например, Сбербанк отказался от чиповой Сберкарты в пользу международных карт с магнитной полосой? Это же шаг назад с точки зрения технологии. Откаты-сволочи-всепропало-продалистрану? А как вы тогда объясните, что на текущий момент в США на чиповой технологии живут всего 1-5% карт, а миграцию который год отодвигают, сейчас вот на 2015 уже сдвинули. Почему лидер внедрения чиповых карт это Южная Азия. Как это объяснить все эти факты? Можно. И даже всего одним словом. Сейчас я вам вообще расскажу про эволюцию карт по принципу «одно слово для описания причин каждого эволюционного скачка».

Свою эволюцию банковские карты начали, как я уже говорил, из гламурных талонов на еду. Естественно они содержали на себе некоторую информацию тот же номер карты и имя владельца. Покушав или сделав покупку, клиент отдавал карту, продавец звонил в процессинг и проверял наличие денег, потом в импринтере (специальном механизме с роликами про который я тоже рассказывал) делал отпечаток номера на особом бланке, где к отпечатанной информации от руки вписывал сумму покупки и давал на подпись клиенту.  Представьте теперь количество этих бумажек, а ведь каждую из них нужно еще обработать!  Да и сам процесс ручного оформления не из быстрых. Опять же, ночная жизнь Нью Йорка требовала круглосуточного доступа к банковским услугам, а держать сотрудников в отделении день и ночь затратно. Вот бы как-то автоматизировать выдачу денег... По счастливому стечению обстоятельств с похожей проблемой столкнулись авиаперевозчики. В 1967 они начали планировать закупку первых широкофюзеляжных самолетов Боинг 747 и Дуглас DC-10, которые значительно увеличили бы пассажиропоток, а, следовательно, и число пассажиров, приходящих одновременно к стойкам регистрации. Стали думать как наладить быструю идентификацию и учет пассажиров. И решением оказалась магнитная полоса, приклеенная на карточку. Карточку назвали идентификационной картой – ведь она идентифицирует, что её владелец это клиент банка или пассажир самолета. Размеры карт стандартизировали, например банковские карты с точки зрения стандарта ISO 7810-2006 это карты ID-1 (примерно 85мм длиной и 54мм толщиной). SIM-карта это тоже идентификационная карта ID-000. Есть в стандарте и большие карты ID-3 размером с трудовую книжку - 125 на 88 миллиметров.

То что зарождались идентификационные карты ID-1 как карты для авиакомпаний можно подсмотреть в ГОСТ Р 50809-95 Нумерация и метрологическое обеспечение идентификационных карточек для финансовых расчетов который создан на основе международного стандарта ISO 7812-87. Если номер карты начинается на 1 или 2 это идентификационая карточка из раздела "авиалинии", если на 3 - путешествия и развлечения (тут же примостился American Express). Для банков отдано 4 (обычно это VISA) , 5 (обычно это MC) и 6 (тут Maestro и UnionCard и даже China UnionPay). Вот так карта обрела современный облик – циферки спереди, магнитная полоса сзади. Она позволила автоматизировать обработку транзакций и выдачу наличных. Итак, первое слово которое толкнуло карты вперед это автоматизация.

Постепенно карт становилось все больше, были придуманы криптографические методы подтверждения подлинности – ПИН-код, специальный защитный код, нанесенный на треке, и еще один код CVV или CVC на полосе для подписи. Его вы обычно вводите при платежах в интернете. Все эти криптограммы повысили защищенность карт, но у этой защиты есть технологический предел. Дело в том, что магнитная полоса, сама по себе, никак не защищена от считывания информации и очень легко копируется и воспроизводится. А это значит, скопировав полосу и подсмотрев ПИН-код, можно украсть деньги со счета клиента. Мошенники почуяли халяву, и начали резвиться все сильнее и сильнее, нанося все больший и больший ущерб банкам и их клиентам. И в какой-то момент наступила ситуация, когда ущерб от фрода стал таким большим, что банкам стало дешевле выдать каждому клиенту по маленькому компьютеру.  Ну а раз это дешевле, значит нужно это сделать, встроив этот маленький компьютер прямо в карту! Чтобы рулить, был создан межотраслевой стандарт EMV (Europay, MasterCard и VISA) который в четырех томах описывает как и что должно работать, поэтому переход на чиповые карты обычно называют EMV миграцией, хотя локальные чиповые программы совсем не обязаны быть EMV-совместимыми. Итак, слово, толкающее карты с магнитной полосой к следующему эволюционной ступени это риск. Риск в математическом его понимании – произведение вероятности ущерба, на ущерб. Как только риск становится сопоставим со стоимостью EMV-миграции она происходит.  Думаете банки стали бы тратить деньги просто так? Вот теперь вы знаете ответ на вопрос почему Южная Азия обогнала Северную Америку в плане миграции карт на чипы. Да просто риск там был самый высокий, там он толкал вперед сильнее всего, банки терпели такие убытки, что защитили индустрию от мошенников при помощи новых технологий.  По этой же причине Сбербанк перестал пенсионерам и студентам выдавать чиповую карту Сберкарт. Может и без отката не обошлось, судить не берусь, но вы сами посчитайте - риск фрода среди пенсионеров ничтожный, карты используются раз в месяц в банкомате банка и все! У карт подходит срок действия, их нужно регулярно менять. Производство чиповой карты стоит в несколько раз дороже производства обычной. Там где можно сократить издержки в несколько раз бизнес сделает это.

Тут в комментариях меня уже поправляют, что Сбер в итоге все равно полностью переходит на чип, так что в данном решении Сбера перераспределение рисков могло быть и не при чем, а сэкономили они на том, что свели разные продукты на единую платформу, чтобы не сопровождать лишние системы.

Про то, как именно чиповая карта работает и как она защищает своего владельца я могу написать  отдельно и много, но это будет слишком узкоспециально и ненужно. Если кратко – чип это небольшой компьютер, работают они на разных платформах, таких как общеизвестная JAVA, менее известная MULTOS или на native операционках  Gemalto, Oberthur , CombOS и иже с ними. У платежных систем есть свои стандарты для приложений, их программят очень умные дядьки, обычно бородатые, и эти дядьки написали несколько разных реализаций для разных чипов. В момент изготовления карты приложение загружается на чип (если его не зашили на уровне маски еще при производстве кристалла). В момент персонализации номера и имени клиента это приложение конфигурируется индивидуально для клиента. В приложении кроме обычных данных, что бывают на треке, еще есть целая куча настроек для управления рисками плюс у неё на борту бывает криптографический RSA-сопроцессор, который умеет ставить электронную подпись на сообщения. Такие карты называют картами с динамической аутентификацией данных или DDA. Подделать такую карту практически невозможно, как и считать с неё нужные данные.  

На самом деле, конечно нет ничего невозможного, если очень хочется можно нагреть карту и подцепив за контактную площадку вынуть чип, он, кстати, по размеру гораздо меньше чем площадка. Потом нужно вытравить эпоксидку, в которую он залит, для этого хорошо подойдет высококонцентрированная азотная кислота. А потом, под прицелом мощного микроскопа можно попробовать потыкать заточенным вольфрамовым волоском, чтобы подключиться к нужной шине данных. Чтобы знать куда тыкать, нужно либо быть проектировщиком этого кристалла, либо предварительно узнать топологию чипа, в этом вам поможет сфокусированный пучок ионов галлия, луч диаметром 5-10 нанометров будет в самый раз.  В домашних условиях это сделать трудновато, придется купить вот такую FIB установку, приготовьте примерно полмиллиона евро.

Но можно не париться и действовать по старинке – стравливая слой за слоем фтористоводородной кислотой в ультразвуковой ванне, а потом сфотографировать каждый слой под нормальным CCD микроскопом, чтобы потом построить рабочую модель в эмуляторе.

К чему я клоню, сломать можно вообще все, но тут стоит вопрос стоимости нужного лабораторного оборудования и наличии человеконедель труда высококвалифицированных специалистов. Массовый взлом чипов сейчас экономически невыгоден, в отличии от массовой подделки карт с магнитной полосой. Их можно хоть чемодан наклепать за копейки. Про чемодан это не шутка.

В итоге все мы рано или поздно переползем на чипы, и казалось бы это потолок. Но еще одно слово толкает прогресс вперед. К прошлой статье был один интересный комментарий именно на эту тему:

у нас вот построили супермаркет "АТАК", поначалу принимали карты, потом к ним пошел такой вал покупателей, что теперь "только наличные"

Догадались, что это за слово? Это конечно скорость. Есть места где картам не хватает скорости, чтобы работать – заправки, парковки, турникеты в метро, любые места где есть очереди, любая мелкая покупка, с которой вам проще быстро достать купюру, чем морочится с картой. Скорость подгоняет эволюцию вперед и банковская отрасль опять идет к транспортной. В прошлый раз это были самолеты, теперь это поезда. Хотя начинались бесконтактные карты не с поездов, а с магазинов. Те самые противоугонные наклейки на все подряд, от которых мерзко пищит стойка на выходе и ты инстинктивно хочешь убежать, хотя ничего не украл. Эти RFID наклейки тоже ведь маленькие чипы, правда всего-то они и умеют, что запитываться от магнитного поля рамки, накапливать энергию и выплескивать её в виде короткой числовой последовательности, которая в них зашита в момент производства. Никакой криптографии, всегда один и тот же код. В этом отношении проездные того же московского метрополитена штука уже гораздо более сложная. Там тоже пассивный чип MIFARE, который питается прямо от магнитного поля, создаваемого турникетом при помощи антенны встроенной в карту в несколько витков. Этот чип уже не просто отдает заводской номер, хотя это он тоже умеет. На чипе MIFARE есть несколько ячеек памяти, каждая из которых может быть защищена тем или иным ключом, и для каждой из них проставлены права доступа. По сути эта карта - своеобразная бесконтактная флешка, на которую могут читать и писать только обладатели определенных ключей. Но никаких приложений на этой карте нет, кроме тех, что обеспечивают антиколизионные алгоритмы, соединение и обмен данными. Умные маркетологи догадались встроить такой чип в банковскую карту, получилась гибридная карта. Но это еще не банковская бесконтактная карта, аналогичного результата можно достичь нося банковскую карту и метрошный проездной в одном пластиковом чехле. Настоящая банковская бесконтактная карта обладает своим банковским приложением способным общаться с терминалами не только через контактную площадку, но и через бесконтактный интерфейс. Её так и называют -  карта dual interphase. Один и тот же чип имеет выводы и на контактную площадку и на впаянную в толщу пластика антенну. Производить такие карты гораздо сложнее простых, надежно все это соединить, да еще и так чтобы контакты выдерживали многочисленные механические нагрузки задача не из легких.  Есть и чисто бесконтактные карты, и даже такие, которые уже и на карты-то уже не похоже, они имеют другой форм-фактор, в виде брелоков или маленьких карточек.

Вкратце о том как работают бесконтактные банковские приложения. Приложение  визы называется Visa PayWave у мастера MasterCard PayPass и  MasterCard PayPass MagStripe. PayWave и PayPass в принципе похожи, одни делают почти все то же самое, что обычные контактные EMV приложения, только протокол обмена оптимизирован для более быстрого обмена. А вот приложение MasterCard PayPass MagStripe гораздо интереснее, оно эмулирует поведение… обычной карты с магнитной полосой, только при сборке трека добавляет туда свою криптограмму, каждый раз разную. Ход очень умный - банк обладающий только инфраструктурой приема карт с магнитной полосой, может вместо EMV миграции сразу прыгнуть через ступеньку на бесконтактные карты, с минимальными доработками.

Что же нас ждет дальше? Уже два года как в России запущен первый проект NFC MasterCard-MTS-MTS Bank, симки c NFC модулем выпускала компания Novacard на чипах Oberthur. По сути это симка в которой собрана и обычная симочная начинка и банковское приложение, и все это еще дополнено гибкой антенной, которая выпускается под разные модели телефонов и клеится внутри, на аккумулятор. Станет ли это следующей ступенью развития? Все может быть, но наверняка судить не берусь. Слишком уж неотчетливо пока слышно новое слово, толкающее эволюцию вперед. Но оно обязательно будет сказано.

Комментарии

Аватар пользователя Баркал
Баркал (не проверено)(54 года 11 месяцев)

В Азии похожие устройства уже в ходу. То ли 2 то ли три вида. Используются в метро и в магазинах, где основные очереди.

Аватар пользователя viser
viser(12 лет 3 месяца)

Спасибо.

Аватар пользователя Velantir
Velantir(11 лет 6 месяцев)

Слишком уж неотчетливо пока слышно новое слово, толкающее эволюцию вперед. Но оно обязательно будет сказано.

Возьмусь предположить - если предыдущим словом было "автоматизация", то следующим должно стать "скорость". Так как процесс уже поставлен на рельсы, где человек играет минимальную роль, остаётся только ускорить использование функционала карт и сделать более удобным их ношение. Как этапы/ответвления дальнейшего развития, это могут быть  бесконтактные шифрованные чипы в самых разных исполнениях (брелоки, карты) и со всё большим радиусом действия (напр., система списывает стоимость напитков при выходе из бара, уведомление сбрасывается на почту/смс, и фото с камеры, чтобы показать кто "ел и пил" за счёт хозяина карты). Определённо будут повышаться меры безопасности и контроля персонификации при использовании средств электронного платежа, при этом "теневая" экономика максимально уйдёт в наличку. В ещё более далёком будущем, где от налички и вовсе могут отказаться, теневая экономика останется привелегией лишь очень крупных структур, находящихся на уровне контроля собственных платёжных систем - государства, мегакорпорации.

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

Скорость я рассматриваю как то что толкает к бесконтактным платежам. Получается автоматизация - переход на магнитную полосу. Риск- переход на чипы. Скорость - бесконтактные платежи. В пределе на этой ступене платежи должны стать мгновенными. То есть взял товар и тут же все само оплатилось.

А вот дальше пока неясно. Есть тема сращивания многофункциональных приложений вместе в одном устройстве типа телефона. Есть тема массового создания карт которые одновременно несут социальные и идентификационные функции. Представьте карту которая одновременно и медицинская книжка и паспорт, и ключ для доступа на сайт госуслуг. Но тут свои тормоза с отставанием всех этих смежных отраслей. 

Аватар пользователя Velantir
Velantir(11 лет 6 месяцев)

Пока не будет стандартизации на гос.уровне, всё это будет застревать в несовместимости придуманных разными коммерческими группами интерфейсах и обречено на столь же долгую эволюцию, что и сами кредитные карты.

Аватар пользователя Stay
Stay(11 лет 11 месяцев)

То есть взял товар и тут же все само оплатилось."

в Европе в магазинах есть селфсканеры, ходишь с ним сам считываешь штрих-код и в корзинку кладёшь. Но и с ними часто ошибки происходят. То сам передумал брать, то два раза "шлёпнул". Потом с этим сканером идёшь на кассу отдельную и там сразу платишь. Рассчитано на честность, но бывают периодические проверки. Продавец втыкает сканер и ждёт, или зёленый загорится или красный. Если красный, то всю телегу придётся выкладывать и пробивать отдельно.

Аватар пользователя kokunov
kokunov(12 лет 8 месяцев)

Сдается мне что переход на чипы лежит совсем в другой плоскости.

Я вот заколупался уже раз в год карточку менять - изнашевается быстро при моем использовании карты, вплоть до непринятия в банкоматах. Это при том, что зарплатная карта выдется на 4 года.

Взял себе с чипом именно из-за этого.

Так что это с одно стороны показатель интенсивности использования пластиковых карт - отношение количества карт с чипами/без чипа

Лучше про это подробне расскажи:

http://www.uecard.ru/

 

 

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

Долговечность это не главный побудительный мотив для скачка технологии, и даже не второстепенный - это просто один из плюсов для держателя. Тягой к долговечности никак не объяснить 5% в США и грубо 90% в Южной Азии. Карты там не чаще используют, даже наоборот. Просто досрочных перевыпусков из-за износа мизерное количество, при этом за перевыпуск клиент все равно платит, так что сильно банк не теряет. А вот если с вашего счета уведут зарплату и виноватым окажется банк - на эти деньги можно карточек навыпускать на годы вперед. Так что слово риск важнее. 

Про наши платежные системы расскажу.

Аватар пользователя kokunov
kokunov(12 лет 8 месяцев)

 

Про наши платежные системы расскажу.

Я ссылку не на платежную систему дал. Там немного другое, и да, с функцией платежной системы.

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

И про "немного другое" тоже расскажу. :)

Аватар пользователя ip128
ip128(12 лет 9 месяцев)

"Почему, например, Сбербанк отказался от чиповой Сберкарты в пользу международных карт с магнитной полосой?" - спорное утверждение Сберовские сейчас почти все Чиповые хоть Visa хоть Maestro.  Другое дело, что с чипом лет пять назад запросто могли быть проблемы, испытал на себе на примере ВТБ24, сейчас нет.

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

Насчет Сбера я могу и ошибаться, сейчас-то в итоге они вроде вообще все свои карты хотят на чипы перевести. Можно отдельно эту тему более глубоко покопать. В любом случае работать на единой платформе им должно проще, тогда они сэкономили не на перераспределении рисков, а просто на единнобразии.

Аватар пользователя kessa
kessa(11 лет 1 месяц)

Да пора уже все данные в один чип загонять, конфигурировать под каждого юзерочеловека, потом вшивать ему эту штуку в кисть. Делов-то. 

Аватар пользователя Радионеслушатель

или в лоб. Если чел не прав, рраз и он уже никто и без ничего. Ни паспорта ни страховки ни бабла ни пенсии ни собственности ни детей. Добро пожаловать в коммунизм, дивный мир будущего - главное удобно так. Греф спит и видит, чтобы отменить наличку. Мразь сатанинская.

Аватар пользователя salemem
salemem(11 лет 7 месяцев)

Про MTS банк не уверен, но одно упоминание о МТС уже отпугивает 90% потенциальных клиентов. В то-же время, яндекс деньги, с тинковым вроде-бы, уж точно более двух лет выпускают PayPass карты.

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

Странное у вас отношение. МТС сделал не просто PayPass, это NFC карта, симка совмещенная с банковской.

Аватар пользователя salemem
salemem(11 лет 7 месяцев)

Ну-ну видел я эти концепты - в любой телефон их не засунуть. Везде  симка поразному крепится, в разных местах находится, антенну её хрен выведешь вообщем. Только поддержка самим телефоном NFC имеет смысл. Впрочем, как я сказал, от МТС ожидать чего-то адекватного - это не для меня. Попилили бабла в очередной раз да и все дела. А вот PayPass - законченая работающая технология.

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

Не очень понимаю почему вы противопоставляете технологию PayPass выносные NFC антенны. Первое это стандарт платежной системы, второе это технология апгрейда телефонов. Обертюр такие антенны клепает под все распространенные модели телефонов. Джемальто помоему тоже выпускает такие штуки. В итоге телефон превращается в ту самую карту PayPass и им можно пользоваться в PayPass терминалах. И то и другое законченные работающие технологии и не МТС их придумал, он просто успел внедрить быстрее конкуретнов. Билайн сделал то же самое habrahabr.ru/company/beeline/blog/144459/  Мегафон запустил такой проект в Казани, совместно с "MegaLabs", "АК БАРС" и Мастеркардом. Наверное тоже бабло пилят :)

Аватар пользователя salemem
salemem(11 лет 7 месяцев)

Вы отрицаете что это костыли? Ведь сейчас 90% смартов поддерживают NFC. И оператор или банк тут нипричем: будет восстребовано рынком - будет реализовано. А пока 90% терминалов\банкоматов не поддерживают NFC это востребованно не будет. Т.е. пшик и денеги на ветер. Ну и про воровство денег операторами( кстати лично уменя только МТС воровал, хотя пользовался всей тройкой и региональными ) со счета телефона - сколько историй, а уж доверить им свой банковский счет - это вообще верх безумия. 

----

К качествнно поданой информации в статье нет претензий. Просто некоторые выводы мне лично не нравятся.

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

Что вы подразумеваете под "этим", эту дополнитиельную антенну? Нет не отрицаю, я так и сказал "технология апгрейда телефонов" её плюс в том что вместо дорогого смартфона можно купить дешевый и докупить модуль за 150 рублей. Поэтому эти, как вы называете "костыли" будут востребованы еще ни один год. И ваши замечания про невостребованность NFC и законченность технологии PayPass говорят о том, что вы не разобрались в вопросе. Повторю еще раз - NFC это технология, позволяющая превратить телефон в PayPass карту она будет приниматься там где принимается PayPass. Для превращения нужна особая NFC симка и либо дополнительный модуль, либо уже встроенное NFC в телефоне, сам телефон должен быть всертифицирован в MC. Вся большая тройка считает это дело очень програссивной темой. Насчет доверия - право любого человека выбирать компанию, которая ему нравится.

Аватар пользователя salemem
salemem(11 лет 7 месяцев)

Последний раз

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

Вы о чем спорите-то, о том что "NFC модуль не нужен раз можно купить смартфон за 4 тысячи"? Скажите это тем кто покупает дешевле, а еще владельцам айфонов 5c и 5s. :) Для айфонов и айпадов вообще еще круче костыль, не костыль даже а клизма - выносной NFC модуль

В общем как-то вы очень нервно отниситесь к первенству МТС, что даже всю технологию внешних модулей подвергли обструкции, как устаревшую. Не спешите её хоронить, пока на руках людей остаются старые телефоны она будет востребованной. Но в итоге отомрет, вместе с вашим ненависным МТС-ом. Ничто не вечно. :)

Аватар пользователя salemem
salemem(11 лет 7 месяцев)

Ну про гейфоны-то, известно, кто их покупает, для них клизма - предмет повседневного пользования, как зубы почистить. Покажите мне NFC для Motorola C115, телефон создан для того что-бы звонить, и заряжать раз в неделю. А БАНКОВСКАЯ ( русский стандарт\тиньков рейтинг и то выше занимает, чем МТС ) карта, для того что-бы платить... Кирпич, коими современные телефоны являются носить с собой не сложно, с запасной батарей, а карту нормального банка - сложно. Смешно ведь.

--

Я ранее уже говорил - выводы у вас не верные в статье: телефон никогда не станет фотоапаратом( даже мылницей, физика), полноценным компьтером( размеры устройств ввода\вывода), платёжным средством( в силу вороватости операторов), потому-что телефон - это средство связи, и не более того.

Аватар пользователя gfksx2
gfksx2(12 лет 10 месяцев)

Все эти технологии меркнут перед наличными : наличные нельзя заблокировать !

Аватар пользователя bom100
bom100(12 лет 10 месяцев)

"Слишком уж неотчетливо пока слышно новое слово, толкающее эволюцию вперед. Но оно обязательно будет сказано. "  - А что скажете о нашем чипе который сделан у нас для пасспорта + платежная карта ? Ведь "Микрон" получил аккредитацию в системе - EMV и это шестая или седьмая в мире компания, получившая эту аккредитацию - http://www.mikron.sitronics.ru/products/sitronics/payment/

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

Зеленоград - сила. В следующей заключительной статье расскажу про то что придумано и сделано у нас.

Аватар пользователя bom100
bom100(12 лет 10 месяцев)

Согласен :-)

http://www.mikron.sitronics.ru/press/news/6111/

Аватар пользователя jiraf
jiraf(12 лет 9 месяцев)

Отличные посты, большое спасибо! Советую продублировать на хабр или d3, там будут интересные комментарии.

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

Я уже пробовал в двух местах постить, слишком много времени отнимает. Ну а на хабре и без меня все знают. :)

Аватар пользователя rst0
rst0(12 лет 10 месяцев)

только спецы, а вообще хабр на 99% процентов из школоты состоит:)

Аватар пользователя Omni
Omni(12 лет 2 месяца)

Что мешает подделать торговый терминал и подобрав пин слить бабло при поездке в транспорте?

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

На проверку пина три попытки, подобрать не выйдет. Записать номер тоже ничего не даст, поскольку там генерируется криптограмма действительная только в рамках этой транзакции. Другую с ней не провести. Есть другая интересная атака, когда к вашему карману подносят сумку в которой ридер, соединенный по модему с излучателем, который находится в магазине. Против неё даже придумывали специальные экранированные холедры или кнопки. Но в итоге оказалось, что карта связывается слишком быстро - там какие-то сотые доли секунд важны, и современное оборудование не способно с той же скоростью обработать и эмулировать сигнал.

Аватар пользователя Omni
Omni(12 лет 2 месяца)

Значит, зная пин и имея магазин в сумке (на планшете уже есть с выносным ридером) можно тырить мелочь по карманам?

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

Подумать надо. Там вообще вроде все еще хитрее. Для операций ниже определенногог лимита, пин не требуется, махнул картой и все оплатилось, поэтому да, магазин в сумке позволит списывать. Но чтобы получить терминал подключенный к платежной системе нужно заключить договор с банком, зарегистрировать юрлицо и тому подобное. Слишком палевно при слишком невысоком доходе, который прикроют сразу после обращения нескольких клиентов.

Аватар пользователя Omni
Omni(12 лет 2 месяца)

Спасибо, понятно. Из-за меньшего однодневки регали раньше.

Аватар пользователя Stay
Stay(11 лет 11 месяцев)

3 - путешествия и развлечения (тут же примостился American Express). Для банков отдано 4 (обычно это VISA) , 5 (обычно это MC) и 6 (тут Maestro и UnionCard и даже China UnionPay)

сам Бог велел России взять 7

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

7 уже занята на "нефтяная промышленность"! Я бы предпочел продукты более высокого передела %)

Аватар пользователя HardBox
HardBox(12 лет 5 месяцев)

Немного не о банковских а о вообще картах.

С 1 апреля (не шутка) в Минске все проездные наземного транспортна перевели на бесконтактные карты (талоны остались но не компостер а уже принтер выбивающий на талоне дату/время, номер и маршрутный номер автобуса) все это хозяйство в единой базе (т.е. динамически можно смотреть востребованность маршрута) и к этому добавить что весь пассажирский транспорт с навигаторами сливающими скорость/местположение в дисп. центр и потихоньку на остановках внедряют электронные табло с фактическим временем до прибытия транспорта.

В метро пока раздолье - бесктнтактные карты, с магнитной полосой, жетоны, талоны для льготников, и оплата через СМС.

Аватар пользователя Stay
Stay(11 лет 11 месяцев)

расскажу немного про Бельгию.

Карты всех банков имеют чип и магнитную полосу. Карты медицинской страховки имеют чип.

Брюссельский транспорт был на бумажных билетиках с магнитной полосой. Лет пять назад всех перевели на безконтактные карты.

Почти все имеют кардридеры для хомбанкинга.

Заходишь на сайт, вставляешь карту в кардридер, вносишь свой пин и код, который на странице написан ответ ридера вносишь на сайт, также и с любой оплатой. Очень удобно, ходить в банк вообще не надо.

Вопрос у меня такой. Несколько раз бывало, что карта блокировалась из-за неправильно введенного кода.

Чип на карте даёт 3 попытки, после - блокировка. Можно позвонить в банк и попросить разблокировать.

Через полчаса, невыходя из дома, карта вставляется в ридер и она действительно разблокированна. Можно опять пользоваться. Я не понимаю как это происходит. Или карта имеет соединение с банком или ридер?

Аватар пользователя casper_nn
casper_nn(12 лет 2 месяца)

Эсли это такой ридер похожий на калькулятор с кнопками, то я такой припоминаю, их как-то раздавали на выставке, лет пять назад, но у нас в стране, как ивообще в мире, не особо пошла эта тема. Причина в экономии - двухфакторную аутентификацию на порядок дешевле запускать подтверждая не физическим обладанием картой, а обладанием определенным телефоном. То есть при помощи подтверждений по СМС. А беспроводные ридеры работаю так:

1. Вы зашли на сайт, сайт показал вам случайный код

2. Вы вставили карту в ридер, набрали ПИН-код, ридер передал его карте, карта его проверила и одобрила

3. Вы набрали код с сайта на ридере, ридер передал его карте, карта составила на его основе криптограмму и создала из неё токен (короткая последовательность десятичных цифр на экране)

4. Вы ввели токен на сайте. Банк обладает мастер-ключом, он повторяет вычисления которые делает карта и сравнивает свой токен с токеном карты.

Что будет если вы ошибетесь при наборе ПИН-а, на шаге 2. Счетчик попыток ведет сама карта. Если он будет превышен то она сама себя заблокирует и придется тащить её в банк там её вставят в ридер рабочей станции на которой есть административные ключи, и дадут команду на разблокировку.

Что будет если вы ошибетесь при вводе токена на шаге 4. Счетчик попыток ведет сайт, карта не знает результатов этой проверки. Если он будет превышен, то сайт перестанет вас пускать. Можно позвонить в банк, если вас идентифицируют как держателя, то могут сбросить счетчик неудачных попыток на сайте. И все повторяется сначала.

То есть счетчик попыток ввода ПИНа и счетчик попыток ввода токена это два разных счетчика и ведутся они в разных местах. Я даже подозреваю, что при превышении счетчика токенов блокируют только доступ а не саму карту и можно будет в банкомате и магазине спокойно снимать.