|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
PostFinance hat in meinen augen mit ihrer e-banking lösung schon sehr früh einen guten, einfachen service angeboten. sie hat es auch verstanden, schaltergeschäfte zu minimieren und für mich als kunden wartezeiten zu vermindern und mehrwert zu bieten (in echtzeit konten eröffnen, fonds einkaufen etc.). allerdings scheint sich die abteilung, die für bargeldloses bezahlen zuständig ist, nicht den selben prinzipien verschrieben zu haben.
es erstaunt mich eher, dass bei uns in der schweiz noch nie so richtig geld abgezogen wurde mit generierten karten.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
da ist noch zu erwähnen dass das eBanking der PostFinance doch auch schon in den Schlagzeilen war wegen der Sicherheit?
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 28. December 2006, 18:08 MEW (#15)
|
|
|
|
|
Und mit W32-Würmern, die mittels den Notebooks der Support Mitarbeiter ins Netz des Zahlungssystems kamen...
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 28. December 2006, 19:39 MEW (#16)
|
|
|
|
|
http://www.infoweek.ch/archive/ar_single.cfm?ar_id=11219&ar_subid=2&sid=0
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Saturday 30. December 2006, 10:56 MEW (#23)
|
|
|
|
|
Kein Sicherheitsproblem?
wie war das noch mal mit
Confidentiality
Integrity
Availability
mindestens A hat doch einigermassen gelitten und I war mindestens für durch den Wurm infizierte Kisten auch nicht mehr wirklich in Ordnung.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Es gibt einfachere Wege, an eine PIN zu kommen.
Wie? Mit einer Phishing-Seite und dem Text "Bitte tippen sie Ihre access card ab"?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Nein, der übliche Weg ist es, beim Raub der Karte den Besitzer um die PIN zu "bitten".
Ja klar. Pure Gewalt funktioniert. Ist aber nicht Post-spezifisch, also off-topic.
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 28. December 2006, 15:42 MEW (#11)
|
|
|
|
|
Entschuldigung mal, aber hast du das Paper gelesen?
Du brauchst keine PIN, das heisst jeder der eine Karte stiehlt kann zum Experten seines vertrauen und eine Blankcard erhalten die jeden PIN erzeugt...
Aber noch schlimmer, der Key des Issuers ist nur 320 bit lang, das heisst JEDER kann seine Eigenen Karten ausstellen. Ohne physikalischen zugriff, er braucht nur die Kontonummer... (und ein paar mehr daten und den Magnetstreifen) es sind einige Details die da noch zu Problemen führen...
ABER das ist unglaublich... ich such mir jetzt ein Schreibgerät für Karten, weiss jemand ne Kontonummer mit viel Geld drauf? :D
|
|
|
|
|
|
|
|
|
|
|
|
|
wozu eine kontonummer ? trial and error !
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Okay. Ich hatte mich nur auf den Symlink-Artikel gestützt, und ein paar Sachen missverstanden. Tatsache ist: Klone können auch hergestellt werden, wenn man nur Namen, Kartennummer und Gültigkeitsdatum der Karte hat. Weiter ist die PIN zwar auf der Karte gespeichert, aber nicht auslesbar. Sie wird benötigt, um den beschreibbaren Bereich freizuschalten. Nach drei Fehlversuchen wird der Bereich gesperrt.
Bei der französischen Bankkarte, die als Vorbild für die Postcard diente, nutzten die Terminals diese Gegebenheit, um zu entscheiden, ob der PIN richtig ist. So konnte man Offlineterminals betreiben, die nur einmal täglich mit dem Bankrechner verbunden wurden. Das Problem dabei: Einen Klon kann man auch so programmieren, dass der beschreibbare Bereich generell offen ist. Solche Karten akzeptierten logischerweise jede PIN.
Nun unterscheidet sich die Postcard in dieser Beziehung von besagter Bankkarte. Offlineterminals gibt es erst seit kurzem, vorher waren sie generell Online. Leider habe ich keine genauen Informationen gefunden, wie die Authorisierung abläuft. Vielleicht weiss hier jemand mehr?
--
GPL ist der Versuch, den Ring gegen Sauron einzusetzen.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 28. December 2006, 15:21 MEW (#10)
|
|
|
|
|
Ach du bist das Arschloch, das immer vor mir an der Kasse ist und auch mit der Postcard/EC/Kreditkarte bezahlt, wenn es nur ein Gipfeli oder einen Kaufgummi gekauft hat?
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 28. December 2006, 21:35 MEW (#17)
|
|
|
|
|
Halbe Stunde? Wohl kaum. Im allgemeinen spinnen die Leute und nehmen Zeit sehr subjektiv wahr. Da können 30 Sekunden schon mal wie eine halbe Stunde erscheinen. Kleingeld ist aber wirklich nervig und seit dem Euro gebe ich mir auch seltenst Mühe, das Geld passend zu geben, wodurch sich meine Münzsammlung stetig vergrößert. Bezahlen per Karte wäre mir eigentlich auch lieber und zeitgemäß, aber eine PIN eingeben zu müssen, ist nicht nur zeitaufwendig sondern auch idiotisch. Meine Geldbörse hat auch keine PIN. Leider hat sich die Geldkarte in Deutschland kaum durchgesetzt, außer bei ein paar Automaten.
Problematischer ist allerdings die Datensammlerei und von daher ist es die Sache auch nicht wirklich wert. Dann doch lieber Kleingeld.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 01. January 2007, 10:45 MEW (#26)
|
|
|
|
|
also bei uns gibt es eine sogenannte "cash" funktion auf den ec karten (in deutschland wohl auch). dort kannst du einen bestimmten betrag draufladen (am automaten) und dann ohne code eingeben an jeder kasse bezahlen....auch kleine beträge.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 02. January 2007, 14:03 MEW (#27)
|
|
|
|
|
Bei der CASH-Karte ist das letzte Wort auch noch nicht gesprochen.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 02. January 2007, 21:36 MEW (#28)
|
|
|
|
|
An jeder Kasse? Das möchte ich bezweifeln. Das war ja auch seit jeher das Problem mit der Karte. Quasi jeder hat sie, aber Läden bieten es selten an. Wenn die Karte allerdings dazu benutzt werden kann, ein Kaufprofil von mir zu erstellen, d.h. sie nicht so anonym wie Bargeld ist, dann will ich sie auch gar nicht verwenden.
Richtig, das gilt auch für Kreditkarten. Ich habe keine und brauche keine.
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Saturday 30. December 2006, 14:30 MEW (#24)
|
|
|
|
|
Ha, doch gut das ich keine Postcard besitze ;)
Die Postfinance sucht übrigens nen Security Manager unter Jobs, na ja gebrauchen könnten sie einen (oder zwei). Die Anforderungen sind aber ein wenig suboptimal.
|
|
|
|
|
