Bezkontaktní platební karta

V souvislosti s výměnou své platební karty za novou mi byla učiněna nabídka pořídit si tzv. bezkontaktní platební kartu. A já ji přijal. Co to ale pro mě znamená?

 O co jde

Bezkontaktní platební karta vypadá téměř identicky s běžnou platební kartou. Obsahuje stejné viditelné údaje, kontaktní čip, magnetický pásek… a navíc také bezkontaktní (RFID) čip. Princip fungování je jednoduchý – při platbě na určitých místech (tedy tam, kde existují RFID čtečky) není třeba kartu zasouvat do terminálu, ale jen přiblížit ke čtečce. Čtečka sejme Váš „otisk“ z RFID čipu uloženého v kartě a vy jen potvrdíte platbu tlačítkem. Operace totiž nevyžaduje PIN (protože ověření probíhá už na úrovni bezdrátové komunikace mezi čipem v kartě a čipem ve čtečce).

Mám tuto kartu od České spořitelny, která nastavila limit pro bezkontaktní platby na 500 Kč a tuto kartu lze pořídit za stejných podmínek, jako kartu kontaktní.

 Proč ano (výhody)

  • Kartu není třeba pouštět z ruky – čtecí vzdálenost je upravena na hodnoty mezi 1 mm a 4 cm, a to čistě z bezpečnostních důvodů
  • Není třeba si pamatovat PIN (což nemusí být tak jednoznačná výhoda, viz odstavec o rizicích níže)
  •  Možnost využívat častěji placení kartou – komu se dnes chce kvůli párku v rohlíku vytahovat kartu?
  • Smyslem je zabezpečení plateb v malých částkách, protože nemusím vytahovat (a předtím tedy u sebe mít) hotovost
  • Na kartu je možné pořídit „speciální“ obal, který odstíní přenos radiového signálu mezi kartou a čtečkou (při placení ji ovšem z obalu budete muset vyjmout)
  • Karta má nastaven limit pro platbu (u ČS zmíněná pětibába) a limit počtu transakcí za časové období (u ČS 10 plateb  denně pro online/online terminály)

 Proč ne (rizika)

  • Podstatným PROTI je degradace z dvoufaktorového ověřování (tedy něco mám – karta, a něco znám – PIN) na jednofaktorovou (něco mám – karta, nic znát nemusím), což je významný zásah do zabezpečení celého procesu placení
  •  U České spořitelny si v současné době nemůžete ovlivnit výši limitu, pro který je bezkontaktní platba realizována – tedy 500 Kč. Nelze jej snížit ani zvýšit.
  • Není  použit šifrovací algoritmus dat/informací mezi kartou a čtečkou. Existuje tedy potenciální nebezpečí, že při „odposlechu“ karty (útočník přiblíží falešnou čtečku do blízkosti Vaší karty) dojde k jejímu zneužití, tedy získání částky až 500 Kč útočníkem. Argument, že je třeba manuálně vložit výši částky, kterou chci „vytáhnout“ neobstojí , protože to je pouze záležitostí vytvoření skriptu-robota, který toto může obstarávat automaticky. Celá záležitost útoku je poměrně komplexní, nicméně je pouze otázkou času a získání best practise, aby se celý proces stal zaběhlým a rychle aplikovatelným – tj. není otázka JESTLI k tomu dojde, ale pouze KDY (šifrované systémy mají KDY stanoveno v řádech miliard let, nešifrované kdykoliv)
  • Nízká čtecí vzdálenost nemusí být argumentem pro zvýšení bezpečnosti – stačí když se útočník priblíží k Vaší kapse, kde máte doklady/kartu a informace si „přečte“

 Rozuzlení

Proč jsem si tedy rozhodl kartu pořídit, když jsou mi známa celkem závažná bezpečnostní rizika, která z jejího vlastnictví plynou? Za prvé jsem byl zvědavý, jak tato karta funguje. Kombinace stínícího obalu a pohodlí pro mě představuje dostatečnou míru zabezpečení při daném užitku. Teď už nezbývá, než si užívat pohodlí (a čekat až nastane ono KDY) :-)

Další možné zdroje informací

http://www.mesec.cz/bankovni-ucty/platebni-karty/bezkontaktni-platby/pruvodce/

http://www.mesec.cz/bankovni-ucty/platebni-karty/bezkontaktni-platby/pruvodce/bezpecnost-bezkontaktnich-plateb/

http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard