Bezstykowe karty płatnicze w BZ WBK

Submitted by Lukasz on Sun, 2008-01-06 08:00

W serwisie ipsec.pl pojawiła się informacja o przeprowadzeniu przez niemieckich kryptologów udanego ataku na bezstykowe karty kryptograficzne. Idea ataku jest dość prosta: należy zbudować przekaźnik, który przetransportuje sygnał między kartą a czytnikiem w taki sposób, by posiadacz tejże karty nie był tego świadom.

Problem jest o tyle ciekawy, że powoli zaczyna dotyczyć także i polskich użytkowników kart elektronicznych. Bank Zachodni WBK wprowadził bowiem do swojej oferty bezstykowe karty płatnicze w technologii Mastercard PayPass. Na jego stronach czytamy:

Bank Zachodni WBK jako pierwszy bank w Polsce udostępnia swoim Klientom możliwość płacenia kartami w technologii zbliżeniowej! Już teraz masz możliwość dołączenia do grona nowoczesnych użytkowników kart. Sam przekonaj się o tym jak proste i wygodne jest płacenie przy użyciu karty zbliżeniowej. Dołącz do grona pierwszych osób w Polsce, które mają okazję sprawdzić jak proste jest dokonywanie transakcji korzystając z funkcji PayPass.


Zrealizowanie transakcji taką kartą (do kwoty 50 zł) nie wymaga podania kodu PIN, użytkownik zatem nie będzie świadom utraty pieniędzy ze swego konta. Problem jest dość istotny, choć producent karty, firma MasterCard, zdaje się nie zwracać na niego uwagi. Po wybraniu opcji "Czy PayPass jest bezpieczny" na stronie tej usługi czytamy bowiem między innymi:

  • masz pełną kontrolę - podczas płacenia nie wypuszczasz z rąk swojej karty (to karta bezstykowa - nikt nie musi Ci jej zabrać z rąk, byś utracił nad nią kontrolę!)
  • unikasz przypadkowych płatności - aby dokonać płatności, kartę trzeba przysunąć naprawdę blisko czytnika (albo czytnik blisko karty)

Jednocześnie na stronach Mastercard można znaleźć informację, że technologia PayPass jest zgodna ze standardem Near Field Communication, który z kolei bazuje na rozpracowanym przez wspomnianych na wstępie kryptologów protokole ISO 14443 - a więc jest podatna na opisany atak.

Nie oznacza to, że nowa usługa nie powinna być wprowadzona na rynek. Moim zdaniem stopień bezpieczeństwa kart PayPass jest porównywalny ze zwykłymi kartami płatniczymi, szczególnie w przypadku odpowiedniego ustalenia przez bank limitów transakcji i polityki bezpieczeństwa. Użytkownik karty powinien jednak mieć świadomość istniejącego ryzyka, a tego ani serwisy internetowe banku, ani firmy MasterCard nie zapewniają.

Zobacz też:

Tags:

  • Share/Save

Add new comment

More information about text formats

Filtered HTML

  • Web page addresses and e-mail addresses turn into links automatically.
  • Allowed HTML tags: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <small>
  • Lines and paragraphs break automatically.

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.