Bezstykowe karty płatnicze w BZ WBK

W serwisie ipsec.pl pojawiła się informacja o przeprowadzeniu przez niemieckich kryptologów udanego ataku na bezstykowe karty kryptograficzne. Idea ataku jest dość prosta: należy zbudować przekaźnik, który przetransportuje sygnał między kartą a czytnikiem w taki sposób, by posiadacz tejże karty nie był tego świadom.

Problem jest o tyle ciekawy, że powoli zaczyna dotyczyć także i polskich użytkowników kart elektronicznych. Bank Zachodni WBK wprowadził bowiem do swojej oferty bezstykowe karty płatnicze w technologii Mastercard PayPass. Na jego stronach czytamy:

Bank Zachodni WBK jako pierwszy bank w Polsce udostępnia swoim Klientom możliwość płacenia kartami w technologii zbliżeniowej! Już teraz masz możliwość dołączenia do grona nowoczesnych użytkowników kart. Sam przekonaj się o tym jak proste i wygodne jest płacenie przy użyciu karty zbliżeniowej. Dołącz do grona pierwszych osób w Polsce, które mają okazję sprawdzić jak proste jest dokonywanie transakcji korzystając z funkcji PayPass.


Zrealizowanie transakcji taką kartą (do kwoty 50 zł) nie wymaga podania kodu PIN, użytkownik zatem nie będzie świadom utraty pieniędzy ze swego konta. Problem jest dość istotny, choć producent karty, firma MasterCard, zdaje się nie zwracać na niego uwagi. Po wybraniu opcji "Czy PayPass jest bezpieczny" na stronie tej usługi czytamy bowiem między innymi:

  • masz pełną kontrolę - podczas płacenia nie wypuszczasz z rąk swojej karty (to karta bezstykowa - nikt nie musi Ci jej zabrać z rąk, byś utracił nad nią kontrolę!)
  • unikasz przypadkowych płatności - aby dokonać płatności, kartę trzeba przysunąć naprawdę blisko czytnika (albo czytnik blisko karty)

Jednocześnie na stronach Mastercard można znaleźć informację, że technologia PayPass jest zgodna ze standardem Near Field Communication, który z kolei bazuje na rozpracowanym przez wspomnianych na wstępie kryptologów protokole ISO 14443 - a więc jest podatna na opisany atak.

Nie oznacza to, że nowa usługa nie powinna być wprowadzona na rynek. Moim zdaniem stopień bezpieczeństwa kart PayPass jest porównywalny ze zwykłymi kartami płatniczymi, szczególnie w przypadku odpowiedniego ustalenia przez bank limitów transakcji i polityki bezpieczeństwa. Użytkownik karty powinien jednak mieć świadomość istniejącego ryzyka, a tego ani serwisy internetowe banku, ani firmy MasterCard nie zapewniają.

Zobacz też:

Dodaj komentarz

Markdown

  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.

Filtered HTML

  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Dozwolone znaczniki HTML: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <small>
  • Znaki końca linii i akapitu dodawane są automatycznie.

Plain text

  • Znaczniki HTML niedozwolone.
  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Znaki końca linii i akapitu dodawane są automatycznie.
CAPTCHA
Proszę, przepisz napis z obrazka do okienka poniżej. Sprawdzamy w ten sposób, czy nie jesteś aby robotem. Wielkość znaków ma znaczenie!
By submitting this form, you accept the Mollom privacy policy.