3. PayPass Sicherheit

PayPass Sicherheit

  • S

    Mastercard bietet ein kontaktloses Bezahlen mit der Kreditkarte an.
    Die Bezahlung geht sehr schnell, man braucht kein Pin Code oder Unterschrift. (Wird aber zufällig verlangt oder beim überschreiten eines bestimmten Betrages)

    Wie Sicher würdet ihr dieses System einstufen ?
    Gibt es eine Möglichkeit die Daten die zwischen dem Terminal und der Karte ausgetauscht werden abzufangen ?
    Weis jemand wie die Karte Strom bekommt ? (Oder muss sie immer wieder ausgewechselt werden)

    0
  • Z

    Ist meines Erachtens keines Wegs sicher.

    Allein schon ein Beispiel:
    Bei uns ist eine Tankstelle in der Nähe, wurde bei den Kartengeräten für Bankkarten ein Laptop zwischengeschaltet und die Daten(laufen über über ein normales LAN-Kabel) abgefangen wurden.

    Wie viel Schaden entstand weiß ich nicht.

    Die Bezahlung geht sehr schnell, man braucht kein Pin Code oder Unterschrift. (Wird aber zufällig verlangt oder beim überschreiten eines bestimmten Betrages)

    Von Sicherheit ist dort gar nicht zu sprechen..

    Auch dieses System wird Fehler haben. Ich weiß nicht welche Technik genutzt wird. Aber z.B. auch RFID Chips(Personalausweiß,Reisepass) können auch ausgelesen werden...

    Gibt es eine Möglichkeit die Daten die zwischen dem Terminal und der Karte ausgetauscht werden abzufangen ?

    Es gibt nichts was dagegen spricht. Ob man diese Daten nun auch entschlüsseln kann, ist eine andere Sache.

    //edit:

    Wiki:

    MasterCard-Kreditkarten mit Paypass-Logo ermöglichen durch ihren RFID-Chip kontaktlose Zahlungen, in Deutschland von Beträgen bis einschließlich 25 Euro.

    ...

    0
  • E

    Sollte sicher sein, solange niemand die Karte klaut, wenn sie nicht totalen Mist implementiert haben.

    Mithören ist bei Funk über kurze Distanzen möglich, aber das spielt keine Rolle. Weil Abfangen und Manipulieren der Kommunikation nicht möglich ist, kann man kryptographische Protokolle wie Diffie-Hellman durchführen, und dann ist die Kommunikation sicherer als jedes Online-Banking.

    0
  • E

    zuckerlie schrieb:

    Auch dieses System wird Fehler haben. Ich weiß nicht welche Technik genutzt wird. Aber z.B. auch RFID Chips(Personalausweiß,Reisepass) können auch ausgelesen werden...

    "Ausgelesen" werden kann da gar nichts. So ein Reisepass ist ein autonomer Rechner, und der rückt nur heraus, was er will. Und das macht er nur, wenn du kryptographisch bewiesen hast, dass du berechtigt bist. Und geheime Schlüssel geben diese Chipkarten niemals heraus.

    0
  • Z

    Abfangen der Daten ist möglich bei RFID Chips...

    Nur, wenn eine gute Verschlüsselung angewendet wird, ist es an sich sicher...

    Ob man was mit den Daten anfangen kann ist dann so eine Sache. Allerdings wurde es ja schon bewiesen, dass RFID-Chips ausgelesen werden können 😉 Die Verschlüsselung ist eben dort die Sache.

    Funktionsweise des Zugriffschutzes

    Der Ablauf bei behördlichen Kontrollen (d.h. befugtem Zugriff) ist folgender: Der ePass-Inhaber kommt an die Kontrollstelle und händigt sein Dokument dem Kontrollbeamten aus. Dieser schlägt den ePass auf und scannt die maschinenlesbare Zone (kurz: MRZ) der Passkarte ein. Die MRZ enthält Vor- und Nachnamen des Passinhabers, Geburtsdatum, Passnummer und Ablaufdatum des Dokuments. Aus den letzten drei Angaben wird ein Schlüssel generiert, den das Lesegerät dem Pass übermittelt, um vom Chip die gespeicherten Daten zu erhalten. Das heißt: Werden dem ePass-Chip Geburtsdatum, Passnummer und Ablaufdatum übermittelt, gibt er seine Daten frei.

    z.B. Reisepass. Natürlich Passnummer und Ablaufdatum sind in diesem Fall der Punkt.

    Aber keine Ahnung wie es bei der KreditKarte ist.

    Abfangen der Daten ist möglich. Auslesen hängt dann von der Verschlüsselung ab.

    0
  • E

    zuckerlie schrieb:

    Abfangen der Daten ist möglich bei RFID Chips...

    Hängt davon ab, was du mit "Abfangen" meinst. Wenn du "Mitlesen" meinst, hast du Recht. Aber das ist für die Sicherheit nicht relevant.
    Falls du "Nachrichten komplett abfangen und durch veränderte Nachrichten ersetzen, so dass beim Lesegerät nur die veränderten Nachrichten beim Lesegerät ankommen" meinst, dann musst du erklären, wie das bei FUNK gehen soll. Bei Kabel ist das einfach schnipp schnapp, Kiste dazwischen klemmen. Bei Funk müsstest du mit einem Eisenkäfig den Kartennutzer komplett umgeben, um das zu bewerkstelligen.

    Nur, wenn eine gute Verschlüsselung angewendet wird, ist es an sich sicher...

    Deshalb mein Disclaimer: "Wenn sie nicht totalen Mist gebaut haben". Die Verschlüsselungsverfahren, die man für diese Anwendung braucht, sind lange genug bekannt und kann jeder nutzen.
    Der einzige Grund, warum es vor 15 Jahren unsichere Karten gab, war die schlechte Rechenleistung der Chipkarten. Heute haben die aber 32-Bit-CPUs und genug MB RAM, um ordenlich zu verschlüsseln.

    Ob man was mit den Daten anfangen kann ist dann so eine Sache. Allerdings wurde es ja schon bewiesen, dass RFID-Chips ausgelesen werden können 😉 Die Verschlüsselung ist eben dort die Sache.

    Wenn, dann redest du von RFID-Speicherkarten (wie zum Beispiel bei Diebstahlsicherung). Die sind ja auch dafür gedacht. Das ist was ganz anderes als RFID-Chipkarten. Die sind wie Smartcards, nur halt kontaktlos.

    RFID ist doch nur die Spezifikation der Funkkommunikation.

    0
  • Z

    Nein, ich meine nur Abfangen. Diese zu bearbeiten meine ich damit nicht.

    Und ja - wie du sagtest - wenn sie keinen Scheiss gebaut haben - dann kann man nicht viel damit anfangen. Falls sie Scheisse gebaut haben, sind vielleicht paar interessante Informationen bei.

    Aber auch die Daten von RFID Chipkarten können abgefangen werden. Und diese später entschlüsselt werden. Sofern eben "Scheisse gebaut" wurde.

    Sicherlich sind die Sicherheitsvorkeherungen am steigen. Aber ohne genau zu wissen, was/wie das abläuft, kann man nicht viel sagen.

    0
  • A

    Wenn auf deiner KK-Rechnung was auftaucht, das du nicht selber bezahlt hast, kannst du die Abbuchung doch eh stornieren.

    Selbst wenn es unsicher ist, ist es doch mir als Kunden egal. Die KK-Unternehmen kommen für den Betrug auf!

    Genau das gleiche bei der Girocard, wenn die Abbuchung nicht über Smartchip und PIN passiert ist.

    Aber letztendlich sind das doch kryptographische Zertifikate, die von der Smartcard auf das Terminal übertragen werden, oder? Ist doch latte ob es per Kontakt oder Funk passiert. Den Private-Key kann man schlecht kopieren/abfangen, da er in der Smartcard verbleibt. Und der ist entscheidend für eine erfolgreiche Transaktion.

    0
  • V

    Ich frage mich, welcher Kaufladen sich die Lesegeräte überhaupt holen will.
    Die Grenze müßte schon bei 100€ sein, damit man damit tanken kann.

    0
  • A

    Die meisten Tankstellen sin doch heute eh "Supermärkte", wo man zufällig tanken kann. 😃 Deshalb lohnt sich das schon.

    Die Star-Tankstellen haben z.B. immer 24 h geöffnet. Viele kaufen dann halt dort noch was schnell ein, wenn der Supermarkt zu hat. Das wird sich zukünftig sicherlich rentieren, die Paypay Terminals zu kaufen.

    0
  • E

    volkard schrieb:

    Ich frage mich, welcher Kaufladen sich die Lesegeräte überhaupt holen will.
    Die Grenze müßte schon bei 100€ sein, damit man damit tanken kann.

    Laut Wikipedia ist das EMV-kompatibel, es wird also kaum neue Hardware gebraucht, vom Lesegerät abgesehen. Das kostet nicht viel.

    0
Anmelden zum Antworten