※ 引述《supermars (討論時冷靜佔上風)》之銘言： : ※ 引述《prussian (prussian)》之銘言： : : 摸擬磁條這種幾十年前的產物叫作先進我是持保留啦 : 恩，磁條本體跟NFC模擬磁條是兩碼子是喔XD : 依照你這句話，我是否可解讀成你這是想要開戰火的意思嗎? 可能我的說法有問題，我再試著重複說一遍好了 看這樣能不能比較好懂 摸擬 磁條這種幾十年前的產物 叫作先進 我是持保留啦 還有我打錯字了，是模擬不是摸你 QQ 要依照自己的解讀來戰，我也沒辦法。請自便。 : : 畢竟磁條都是明碼，在沒看到卡的情形下的確和盜刷集團拿著白卡來刷有87分像 : : 天曉得你手上的是真***還是ROOT過裝滿卡號的車機 : : 首先，你要先證明刷卡者是盜刷集團啊! : : 不然依照您這樣擔心受怕的思維，磁條可是最容易被盜刷&COPY複製卡片的呢XD : 你又怎知拿出實體卡片就一定是真卡? : : : 您知道特約商店店員是被要求要辨識卡片真偽，還要照卡機指示扣卡的嗎 : : 接觸和非接觸式信用卡晶片目前的加密安全性還足夠， : : 不太會有偽卡的問題，店家要承擔的盜刷損失風險非常低 : : 依照同樣協定和加密溝通的手機感應PAY自然也沒有太大的問題 : : 但不曉得哪來的有沒有ROOT過的手機說沒有卡要直接給你呼嚕一下卡機 : : 您知道這個安全性問題的重點不在實體磁條還是模擬磁條嗎XD : : 原PO是遇到實體卡與模擬MST的疑惑、並非指控原PO為盜刷集團， : 同時，你知道不論是NFC或MST透過手機支付後都看不到完整實體卡片的號碼嗎? 所以店員如果無法證明這種沒看過的東西是正牌的， 安全起見不給刷也是很合理的。 如果真的是盜刷，店家是要自己吞下去的啊。 NFC 一開始也是一堆不給刷，不過後來大家都知道NFC很安全 MST 一樣需要要說服店家它很安全 MST這種方式下，磁條卡交易該作的，驗證卡片和持卡人真偽都無法作。 所以店員不曉得模擬磁條的方式能不能接受， 警覺一點的店員拒絕給你試是很合理的。 只要***大氣一點說，「凡是證明是我家手機MST刷的， 因此被盜刷的損失通通由我負」 店家一定會很樂意刷的。 然後下一次變成 要證明手機不是山寨的 XD (how?) 晶片卡和感應卡的傳輸過程中，除了明碼卡號和到期日等，還會用公私鑰簽章驗證訊息， 證明目前交易的卡號，的確屬於目前正在用合法鑰匙講話的這張晶片卡， 而鑰匙本身不會在交易傳輸過程中傳輸。 所以即使被側錄到一次交易訊息，也無法直接複製成可用的卡片。 而因為有密碼學背書驗證傳輸卡號的正確性合法性， 所以晶片卡、感應卡可以讓你自己插卡機、拍卡機， 連卡都不用驗還可以小額免簽名。因為數學幫店家驗證過卡片了。 所以現在知道的店家都很放心讓你自己感應 磁條訊號就是只有卡號到期日。要如何證明卡號是真的還是側錄來的? tokenization透過網路送到後端可以加強驗證， 確認這個虛擬卡號的確是先前發出的token，而且目前還是有效的。 但是如果 MST 只是模擬傳了一個實體卡的卡號呢? 卡機及 POS 無法分辨它是實體卡還是模擬訊號。 而因為是實體卡卡號，不會被當成 token 走驗證過程 事實上也沒 token 資料可以驗證。 那如果這個複製實體卡來的卡號，好死不死又是被非法側錄的呢? MST 的原開發者 LoopPay 變成星形之前自己曾經賣過的商品 LoopPay Card https://www.looppay.com/products/#looppay-card https://youtu.be/QFQfxfeIv6M 基本上就是複製磁條，再原樣原卡號用MST發送 以店家的角度，就跟白卡沒什麼兩樣。 你要如何證明MST發送的卡號，真的是你的，不是你買來的? 店家可以睜一隻眼閉一隻眼讓你刷，不代表他就一定要讓你刷。 這就像你自己買白卡買磁條讀卡機錄製機自己寫白卡 卡號是你的沒錯，可以挑戰說服店家看看要不要讓你刷白卡 喔對了，Tokenization 之所以叫token， token 是會變動有時效的 你看到手機上寫虛擬卡號 123456******7890 不代表它只有一組卡號 事實上每一組****** 是有使用時效、次數、和總金額限制的。 這一點不管是applepay se, HCE 的雲端，***的MST都是類似的tokenization 所以HCE才會有需要連網 reload 的限制 而 *** 因為磁條訊號更危險，只有卡號明碼沒有額外簽章驗證， 所以更嚴格限制一組 token 只能用一次60秒 : : 隔空吐一些明碼沒加密誰都可以側刷複製或憑空生出來的磁訊號來刷卡 : : 如果你是商家.. 我想你刷客人的磁條時一定也不會看雷射防偽標籤的對吧 : : 盜刷集團用的方式並非你"想的那樣單純"唷~ : : 照你的言論來看問題點完全不在NFC感應、晶片、磁條上阿... : 還是你以為偽卡集團那麼笨? : 或是... : 你以為NFC感應或晶片就完美不會被盜刷嗎? 可以請教一下感應或晶片有盜刷的實例嗎? 磁條倒是很多 喔你底下也說沒實例了，了解~~ 磁條讀卡機不會分是卡片或 MST，所以只要教會MST吐實體卡號 技術上假冒正卡是完全可行的 而也不需要手機ROOT，弄個 LoopPay Card 就有得發訊 (雖然現在應該買不到了 QQ : 與其想的那麼多，倒不如鳥的手機不要給別人知道密碼解鎖後消費吧XD : 或是，信用卡背後簽名與食記簽名的人不同的盜刷手法~ : : 貼心提醒一下~千萬不要為了反而反唷~ : ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.162.59.8 : ※ 文章網址: https://www.ptt.cc/bbs/MobilePay/M.1528214414.A.1CD.html : 推 hms5232: 我認為上篇作者根本沒搞懂MST技術 06/06 00:02 : 他寫文的感覺讓我覺得他是討厭三星為前提引申出來的假議題回文~ : 嘛~那是我個人的感覺。 嘛~那是你個人的感覺~ : → nadoka: 磁條偽卡是真的很多 但手機偽卡到現在還是科幻情節吧 06/06 00:03 : 傳統磁條一直都是盜刷集團下手的目標，比較常看到的新聞都是在講加油站員工的情節。 : 其他盜刷，都是網路上資安方面釣魚網站之類的偷你卡號~ : 好像還沒看過感應式手機行動支付(三大PAY)或是實體卡片的插入式晶片or實體卡片感應 : 被盜刷的新聞。 所以沒說手機是用NFC盜刷啊。我一直在說磁條訊號不是嗎? 事實上接觸式和非接觸式晶片就像上面說的，有數學保護。 手機pay NFC 到卡機之間走EMV 非接觸方式，手機必須和感應卡講一樣的話 所以NFC 虛擬卡一樣有鑰匙驗明正身 MST到卡機之間走幾十年歷史的磁條，一樣無法自己驗明正身 必須靠店員轉卡片看雷射標籤和簽名來驗身 所以說無法讓店員驗身的發訊機器，對店員來說和白卡是同等地位 而 *** 手機有沒有公信力，能不能驗身，要問 *** 啊 怎麼不是 *** 去說服店家，而是聽一個不知道哪來的客人說法呢? : 推 hms5232: 三大Pay都是代碼化或HCE技術 感應或MST後刷卡機要回去 06/06 00:09 : → hms5232: 銀行解密 有的甚至連你手機的型號都會記錄 不符就不過 06/06 00:09 : 推 nadoka: MST的卡號也是虛擬卡號吧 不管怎樣都須要走解密 06/06 00:10 : → hms5232: 加上使用前還要密碼或生物驗證 基本上我認為比實體卡安全 06/06 00:10 : : 會不會記住手機型號到不是很確定，不過安全性方面基本上不用想太多~ : 當初參加01活動時就有說明到SP的安全性 : https://www.wanghenry.com/2017/07/SAMSUNG-PAY.html : (倒數第二張圖) 業配當然不會跟你說我家 MST 不安全啊 以下和上面討論的店家驗證方式沒有直接相關， 是屬於使用者端側錄 MST 的攻擊方式 不過既然提到安全性問題 我們來看一下第三方的說法好了 反正你都說我為反而反了，不差這一個是吧 那就來看看模擬磁條訊號為什麼危險 為什麼即使 *** 限制使用方式限制得很嚴格還是危險 韓國研究 Eavesdropping one-time tokens over magnetic secure transmission in Samsung Pay 論文 https://www.usenix.org/system/files/conference/woot16/woot16-paper-choi.pdf 投影片 https://www.usenix.org/sites/default/files/conference/protected-files/woot16_slides_choi.pdf 影片 https://youtu.be/7VsHbrtPs0c "可以在兩公尺範圍接收到 MST 發出的磁場訊號" "透過網路傳送到他方，搶在受害者刷卡之前使用接收到的token 卡號交易是可行的" "因為消費者常常在等待刷卡時就先開啟 MST 晃啊晃的" "從 MST '背後'的角度收到的訊號最強最遠" MST NFC 卡號 明碼 明碼 驗證卡片合法 無 公鑰簽章 驗證卡號合法 token token 側錄訊號 2M 4~10cm 側錄資料 交易可行性 Y ? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.8.250 ※ 文章網址: https://www.ptt.cc/bbs/MobilePay/M.1528299167.A.11A.html