※ 引述《prussian (prussian)》之銘言： : ※ 引述《supermars (討論時冷靜佔上風)》之銘言： : : 恩，磁條本體跟NFC模擬磁條是兩碼子是喔XD : : 依照你這句話，我是否可解讀成你這是想要開戰火的意思嗎? : 可能我的說法有問題，我再試著重複說一遍好了 : 看這樣能不能比較好懂 : 摸擬 磁條這種幾十年前的產物 叫作先進 我是持保留啦 何嘗不可叫做先進? 在手機行動支付上實際上能做到的就是只有Samsung Pay而已， 你認為因為是十幾年前的產物所以不先進? 不知道能否舉例在手機的行動支付當中，有哪個手機品牌在行動支付上面比SAMSUNG PAY 搶先推出? 如果要避免誤會的話並非質疑你的"專業"、而是你用詞的問題就是在一股鄙視的態度。 反觀，在三大PAY當中就是只有SP能做到MST磁條模擬行動支付而「讓用戶有多一個選擇」 。 : : 首先，你要先證明刷卡者是盜刷集團啊! : : 不然依照您這樣擔心受怕的思維，磁條可是最容易被盜刷&COPY複製卡片的呢XD : : 你又怎知拿出實體卡片就一定是真卡? : : 您知道這個安全性問題的重點不在實體磁條還是模擬磁條嗎XD : : 原PO是遇到實體卡與模擬MST的疑惑、並非指控原PO為盜刷集團， : : 同時，你知道不論是NFC或MST透過手機支付後都看不到完整實體卡片的號碼嗎? : 所以店員如果無法證明這種沒看過的東西是正牌的， : 安全起見不給刷也是很合理的。 這就是消費者與店員之間溝通的問題啊，你要扯到盜刷那是資安方面的問題。 但你內文就完全導向資安方面問題，而且認定店家"一定是怕被盜刷"為前提。 你能【假設店家是因為怕被盜刷】，我為何不能假設店家對SP的資訊不足? : 如果真的是盜刷，店家是要自己吞下去的啊。 : NFC 一開始也是一堆不給刷，不過後來大家都知道NFC很安全 : MST 一樣需要要說服店家它很安全 : MST這種方式下，磁條卡交易該作的，驗證卡片和持卡人真偽都無法作。 : 所以店員不曉得模擬磁條的方式能不能接受， : 警覺一點的店員拒絕給你試是很合理的。 : 只要***大氣一點說，「凡是證明是我家手機MST刷的， : 因此被盜刷的損失通通由我負」 : 店家一定會很樂意刷的。 [發問] 現在NFC感應跟晶片卡被盜刷的時候是否有同樣的保障條件? 如果銀行端沒有區分盜刷的種類，那麼你這樣的假設我是覺得沒有什麼意義啊! 而且也跟店家給不給用三星PAY的MST消費之理由無直接/絕對的關係。 店家會怕加密過的盜刷、卻不怕一般磁條的盜刷(?) 你會這樣想還蠻令人玩味的阿~ : 然後下一次變成 要證明手機不是山寨的 XD (how?) : 晶片卡和感應卡的傳輸過程中，除了明碼卡號和到期日等，還會用公私鑰簽章驗證訊息， : 證明目前交易的卡號，的確屬於目前正在用合法鑰匙講話的這張晶片卡， : 而鑰匙本身不會在交易傳輸過程中傳輸。 : 所以即使被側錄到一次交易訊息，也無法直接複製成可用的卡片。 : 而因為有密碼學背書驗證傳輸卡號的正確性合法性， : 所以晶片卡、感應卡可以讓你自己插卡機、拍卡機， : 連卡都不用驗還可以小額免簽名。因為數學幫店家驗證過卡片了。 : 所以現在知道的店家都很放心讓你自己感應 : 磁條訊號就是只有卡號到期日。要如何證明卡號是真的還是側錄來的? : tokenization透過網路送到後端可以加強驗證， : 確認這個虛擬卡號的確是先前發出的token，而且目前還是有效的。 : 但是如果 MST 只是模擬傳了一個實體卡的卡號呢? : 卡機及 POS 無法分辨它是實體卡還是模擬訊號。 : 而因為是實體卡卡號，不會被當成 token 走驗證過程 : 事實上也沒 token 資料可以驗證。 : 那如果這個複製實體卡來的卡號，好死不死又是被非法側錄的呢? : MST 的原開發者 LoopPay 變成星形之前自己曾經賣過的商品 : LoopPay Card : https://www.looppay.com/products/#looppay-card : https://youtu.be/QFQfxfeIv6M : 基本上就是複製磁條，再原樣原卡號用MST發送 : 以店家的角度，就跟白卡沒什麼兩樣。 : 你要如何證明MST發送的卡號，真的是你的，不是你買來的? : 店家可以睜一隻眼閉一隻眼讓你刷，不代表他就一定要讓你刷。 : 這就像你自己買白卡買磁條讀卡機錄製機自己寫白卡 : 卡號是你的沒錯，可以挑戰說服店家看看要不要讓你刷白卡 這個問題很簡單啊，同一個店家是怕盜刷，會怕行動支付加密過的盜刷、 卻不怕一般磁條盜刷嗎? 這段怎麼看都是你【覺得】店家拒絕的原因「一定是」怕盜刷... 至於拿個白卡錄製的行為，我想應該沒幾個人會想這樣玩吧... 我拿的就是Samsung Pay本身的MST模擬磁條技術的行動支付， SAMSUNG PAY官網的Q&A就指出 Samsung Pay的安全性如何？ Samsung Pay使用代碼化技術和Samsung KNOX，以確保您的付款資訊。此外，在您付款前 將確認您的指紋或4位數密碼。 你還會覺得兩者安全性一模一樣的話，或是店家只怕行動支付盜刷不怕實體磁條卡片盜刷 的話... 還真的無法理解你的辯解阿! : 喔對了，Tokenization 之所以叫token， token 是會變動有時效的 : 你看到手機上寫虛擬卡號 123456******7890 不代表它只有一組卡號 : 事實上每一組****** 是有使用時效、次數、和總金額限制的。 : 這一點不管是applepay se, HCE 的雲端，***的MST都是類似的tokenization : 所以HCE才會有需要連網 reload 的限制 : 而 *** 因為磁條訊號更危險，只有卡號明碼沒有額外簽章驗證， : 所以更嚴格限制一組 token 只能用一次60秒 再說一次好了... 店家怕被盜刷那就全面禁止磁條刷卡就好啦(包含實體卡)，提供刷卡服務幹啥XD 同時也不是每個店家都因為怕被盜刷才不給用SAMSUNG PAY的MST手機行動支付... 就我的經驗來看「都是不知道可以這樣做」，所以【每一次在我苦口婆心解說試驗後】 都可以成功刷過。 以上都是我個人的【實際經驗】，而不是「店家一定是怕盜刷」的你的想法，請勿再次 扭曲帶風向。 : : 盜刷集團用的方式並非你"想的那樣單純"唷~ : : 照你的言論來看問題點完全不在NFC感應、晶片、磁條上阿... : : 還是你以為偽卡集團那麼笨? : : 或是... : : 你以為NFC感應或晶片就完美不會被盜刷嗎? : 可以請教一下感應或晶片有盜刷的實例嗎? 磁條倒是很多 : 喔你底下也說沒實例了，了解~~ : 磁條讀卡機不會分是卡片或 MST，所以只要教會MST吐實體卡號 : 技術上假冒正卡是完全可行的 : 而也不需要手機ROOT，弄個 LoopPay Card 就有得發訊 : (雖然現在應該買不到了 QQ 你前面一下說ROOT現在又說不需要ROOT ?! 磁條很多那是單純磁條實體卡片阿，你這麼黑三星PAY好像也沒有舉例過實際案例呀~ (至少在兩篇文章內都沒提到，兩篇文章內給人的感覺就只有滿滿的詆毀三星而已XD) : : 與其想的那麼多，倒不如鳥的手機不要給別人知道密碼解鎖後消費吧XD : : 或是，信用卡背後簽名與食記簽名的人不同的盜刷手法~ : : 貼心提醒一下~千萬不要為了反而反唷~ : : 推 hms5232: 我認為上篇作者根本沒搞懂MST技術 06/06 00:02 : : 他寫文的感覺讓我覺得他是討厭三星為前提引申出來的假議題回文~ : : 嘛~那是我個人的感覺。 : 嘛~那是你個人的感覺~ : : → nadoka: 磁條偽卡是真的很多 但手機偽卡到現在還是科幻情節吧 06/06 00:03 : : 傳統磁條一直都是盜刷集團下手的目標，比較常看到的新聞都是在講加油站員工的情節。 : : 其他盜刷，都是網路上資安方面釣魚網站之類的偷你卡號~ : : 好像還沒看過感應式手機行動支付(三大PAY)或是實體卡片的插入式晶片or實體卡片感應 : : 被盜刷的新聞。 : 所以沒說手機是用NFC盜刷啊。我一直在說磁條訊號不是嗎? : 事實上接觸式和非接觸式晶片就像上面說的，有數學保護。 : 手機pay NFC 到卡機之間走EMV 非接觸方式，手機必須和感應卡講一樣的話 : 所以NFC 虛擬卡一樣有鑰匙驗明正身 : MST到卡機之間走幾十年歷史的磁條，一樣無法自己驗明正身 : 必須靠店員轉卡片看雷射標籤和簽名來驗身 : 所以說無法讓店員驗身的發訊機器，對店員來說和白卡是同等地位 : 而 *** 手機有沒有公信力，能不能驗身，要問 *** 啊 : 怎麼不是 *** 去說服店家，而是聽一個不知道哪來的客人說法呢? : : 推 hms5232: 三大Pay都是代碼化或HCE技術 感應或MST後刷卡機要回去 06/06 00:09 : : → hms5232: 銀行解密 有的甚至連你手機的型號都會記錄 不符就不過 06/06 00:09 : : 推 nadoka: MST的卡號也是虛擬卡號吧 不管怎樣都須要走解密 06/06 00:10 : : → hms5232: 加上使用前還要密碼或生物驗證 基本上我認為比實體卡安全 06/06 00:10 : : 會不會記住手機型號到不是很確定，不過安全性方面基本上不用想太多~ : : 當初參加01活動時就有說明到SP的安全性 : : https://www.wanghenry.com/2017/07/SAMSUNG-PAY.html : : (倒數第二張圖) : 業配當然不會跟你說我家 MST 不安全啊 : 以下和上面討論的店家驗證方式沒有直接相關， : 是屬於使用者端側錄 MST 的攻擊方式 : 不過既然提到安全性問題 : 我們來看一下第三方的說法好了 : 反正你都說我為反而反了，不差這一個是吧 : 那就來看看模擬磁條訊號為什麼危險 講了那麼多...磁條盜刷的行為...還是看你我他等消費者是不是正人君子不是嗎... 我的手機跟手錶就是真實卡號，店家就是給刷【磁條】信用卡，單純對【手機能變成 磁條刷卡】這項技術抱持著懷疑而已啊XD 你可以想的那麼多順便牽扯活動中產品經理鄭在業配所以不會跟你說危險blahblah... : 為什麼即使 *** 限制使用方式限制得很嚴格還是危險 : 韓國研究 : Eavesdropping one-time tokens over magnetic secure transmission in Samsung Pay : 論文 : https://www.usenix.org/system/files/conference/woot16/woot16-paper-choi.pdf : 投影片 : https://www.usenix.org/sites/default/files/conference/protected-files/woot16_slides_choi.pdf : 影片 : https://youtu.be/7VsHbrtPs0c : "可以在兩公尺範圍接收到 MST 發出的磁場訊號" 這就像行動網路訊號&家裡WIFI路由器理想值的網路速度一樣好嗎... 拿這個數據出來詆毀Samsung Pay的磁條技術還真的是很妙， 2M可接收到磁場訊號...你有沒有實際試試看阿XD 2M = 200cm...比大部分的台灣人身高還要高的距離OTZ : "透過網路傳送到他方，搶在受害者刷卡之前使用接收到的token 卡號交易是可行的" : "因為消費者常常在等待刷卡時就先開啟 MST 晃啊晃的" : "從 MST '背後'的角度收到的訊號最強最遠" 即便你說的"理論"是這樣，你以為NFC感應跟晶片插卡就0風險嗎XD? 更別說原本的內文是在說店員不給刷三星PAY，你也可以斷定店家就是怕磁條的風險... 磁條的風險當然比晶片跟感應來的高， 但是三星PAY又不是僅支援MST阿..他是「比其他兩大PAY」多了一項MST的消費選擇.. 懂嗎XD 至於店員不給刷是因為怕駭客、怕盜刷、怕偽卡.. 我只覺得「你偏見太重了」.. : MST NFC : 卡號 明碼 明碼 : 驗證卡片合法 無 公鑰簽章 : 驗證卡號合法 token token : 側錄訊號 2M 4~10cm : 側錄資料 : 交易可行性 Y ? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.162.45.239 ※ 文章網址: https://www.ptt.cc/bbs/MobilePay/M.1528305439.A.B50.html 所以這串文原本的內容就是"他住在偏鄉地區只有磁條式刷卡機被拒絕刷" 有NFC的刷卡機三大PAY都能用感應，但遇到MST傳統刷卡機時，三星PAY就是能刷而已~ 同時，你這內容應該就是前一篇文章內提到的差不多，且時間點都是在2016年! 安全性一直都會修正補洞而現在已經是2018年6月了。 駭客只要有心各種安全都能破、就像icloud被駭客破解竊取照片的事件一樣。 你是說誰在硬凹? 所以我有說這是溝通端的應對阿~ 但..該版友就拿有的沒的來說嘴(攤手) 查一下關鍵字也跳出Apple Pay被盜刷的新聞 http://news.ltn.com.tw/news/world/breakingnews/2169048 是真是假各位自行判斷，該篇文章是在2017年8月。 === 有關該名版友提出的SP破解一事，也有網頁做出完整的解釋 https://kknews.cc/zh-tw/tech/p4mxqrj.html 再次證實該名版友就只是看到影子就開槍而已XD 總之駭客有心要駭+盜刷沒什麼辦不到的，跟本串原文原PO遇到店家不給刷的理由 不同。 但該名版友鐵了心就是找了各種資料來歪樓，哈~ 那就是歪國人消費者與店家之間溝通的問題了。 畢竟消費者不是壞人就不是壞人，有意圖之人就是有意圖之人。 而不是以偏概全+自我認定一定是某種理由而拒絕~ 黑對啦，先把話題帶歪，再來攻擊對方的不是。 然後就可以把矛頭指向反應者、而不是帶歪者? 你沒有感受到他的攻擊? 我有感受到所以我發文糾正他的偏頗資訊~~ 因為他的認為就是因為怕駭客所以店家不給刷，同時代向Samsung Pay MST多麼的遭， 還特地找資料為自己的邏輯辯解。 可惜事實並非他想酸的那樣。 你是不是沒看到原文寫的內容XD 原本就只是很正常的店家不理解行動支付竟然可以這樣刷而拒絕，因為大家知道的 Apple Pay只能NFC感應支付。 甚至有店家還在認為自己要有POS系統才能用行動支付，這又是另一個不懂的真實案例。 而不是該版友內心對三星的不滿轉而攻擊行動支付的不是... ※ 編輯: supermars (36.228.107.201), 06/07/2018 14:09:23