Sicher designen statt nacher dumm da stehen.

Man kann vermutlich durch simple strukturelle Änderungen sowas verhindern. Die Angriffe im Shop verhindert das dann nicht. Aber dann weiss man, wo das Leck war und der Shop kriegt einen Anti_Aufkleber wegen Datenleckmissbrauchs und keiner darf dort 3 Monate (Dann 4 Monate usw. jedes Mal) mit CC einkaufen.

Lösung: Jeder Dienstleister hat nur eine halbe creditkarten-nummer. Der dritte Dienstleister hat nur das Ablauf-Datum.
Wo will man jetzt alle drei Daten gemeinsam klauen, wenn sie auf verschiedenen Wegen zum CC-Zentrum oder besser gleich der zuständigen Bank den Weg finden ? Ha. Aus die Maus.
Angriffe im CC-Zentrum (wenn das die Daten überhaupt hat) oder bei der Bank selber gehen auch noch.

(Das ist eine Abwandlung von partieller Verschlüsselung)
Aber Amerikaner lassen sich das sicher morgen patentieren....


Keiner weiss alles, dann kann keiner alles verraten. Har har har.
Sicher ist es nicht, wenn es keiner weiss (wie das Passwort ist) sondern wenn es keiner kann (weil es zwei Passworte gibt: Ein gutes und ein falsches wo die Polizei gleich kommt) . Beispiele hatte ich genug gegeben.

Das Maestro/EC-Karten zwei PINs haben (eine zum Einkaufen bis zu einem Grenzbetrag, danach Telefon-Check aufs Handy und eine für Geldabheben) ist ja wohl klar. Dann kann man mit einer beim Aldi abgeguckten EC-Pin nur bis 20 Euro einkaufen. Geld abheben geht nicht (ausser bei Penny :-/ aber dann nur bis 20 Euro oder wie viel man eingestellt hat).
Nur nicht den Banken. Aber die Boni-Milliardäre haben ja auch wirklich wirtschaftlich (immer für sich, für Aktionäre eher nicht) "gearbeitet".

Siga39872437 schrieb:
--------------------------------------------------------------------------------
> Man kann vermutlich durch simple strukturelle Änderungen sowas verhindern.
> Die Angriffe im Shop verhindert das dann nicht. Aber dann weiss man, wo das
> Leck war und der Shop kriegt einen Anti_Aufkleber wegen
> Datenleckmissbrauchs und keiner darf dort 3 Monate (Dann 4 Monate usw.
> jedes Mal) mit CC einkaufen.
>
> Lösung: Jeder Dienstleister hat nur eine halbe creditkarten-nummer. Der
> dritte Dienstleister hat nur das Ablauf-Datum.
> Wo will man jetzt alle drei Daten gemeinsam klauen, wenn sie auf
> verschiedenen Wegen zum CC-Zentrum oder besser gleich der zuständigen Bank
> den Weg finden ? Ha. Aus die Maus.
> Angriffe im CC-Zentrum (wenn das die Daten überhaupt hat) oder bei der Bank
> selber gehen auch noch.
>
> (Das ist eine Abwandlung von partieller Verschlüsselung)
> Aber Amerikaner lassen sich das sicher morgen patentieren....

ws soll das denn für'n blödsinn werde wenn's fertig is?
ne halbe nummer oder oder das ablaufdatum. kopfschüttel. der abgleich von KOMPLETTER nummer, ablaufdatum und der 3-4 stelligen sicherheitszahl is doch enorm wichtig damit der dienstleister sicherstellen kann das der der die daten gerade z.b. im i-net shop eingibt die karte auch wirklich in der hand hat! abgesehen davon...wenn ein dienstleister nur das ablaufdatum hat wie soll er dann nen visa-kunden zuordnen? es gibt millionen kunden die das selbe ablaufdatum haben. hääää?
genauso verhält es sich mit halben nummern! nur die ganze zahl kann einen kunden zweifelsfrei identifizieren. da haben ebenfalls mehrere kunden die erste oder zweite hälfte der nummer gleich!
>
> Keiner weiss alles, dann kann keiner alles verraten. Har har har.
> Sicher ist es nicht, wenn es keiner weiss (wie das Passwort ist) sondern
> wenn es keiner kann (weil es zwei Passworte gibt: Ein gutes und ein
> falsches wo die Polizei gleich kommt) . Beispiele hatte ich genug gegeben.
>
> Das Maestro/EC-Karten zwei PINs haben (eine zum Einkaufen bis zu einem
> Grenzbetrag, danach Telefon-Check aufs Handy und eine für Geldabheben) ist
> ja wohl klar. Dann kann man mit einer beim Aldi abgeguckten EC-Pin nur bis
> 20 Euro einkaufen. Geld abheben geht nicht (ausser bei Penny :-/ aber dann
> nur bis 20 Euro oder wie viel man eingestellt hat).
> Nur nicht den Banken. Aber die Boni-Milliardäre haben ja auch wirklich
> wirtschaftlich (immer für sich, für Aktionäre eher nicht) "gearbeitet".

genau so nen blödsinn was soll den das kosten wenn jeder der mal mehr als 20 euro abheben will erst ma nen anruf bekommt? da steigen ja gleich wieder die bankgebühren! oder man stelle sich das an der kasse vom supermarkt vor! da würden 9 von 10 kunden erst ma nen anruf erhalten. wie lange soll ich da für nen einkauf einplanen 3 stunden statt einer halben stunde? was sollen da die banken für callcenter einrichten um das abzufangen? so groß wie ne kleinstadt?

Abseus schrieb:
--------------------------------------------------------------------------------

Beim Transport wurde das komplette Datensatz gestohlen.
Wenn man die geraden und ungeraden ziffern getrennt transportiert, kann keiner klauen.
Die Daten landen dann bei der Bank! die die CC ausgegeben hat.
Diese Bank sagt dann "ja,nein, sperre $ 400" oder kontaktiert den Kunden.

Bei der Supermarkt-Kasse hast Du teilweise Recht.
Wer nicht will, braucht nicht. Ich weiss dann und hätte auf die Karte geschrieben, das damit maximal 20 Euro gehen.

Auch könnte man einen pre-scan machen und die Karte im voraus reinschieben, so das die bank erst anruft und man freischaltet und dann stellt man sich an der Schlange an.
Das die Pfand-Automaten öfter nicht gehen macht dann ähnlich viel Arbeit. Oder Kunden die was zurückgeben wollen, stellen sich auch nicht an der Schlange an.
Wenn einem das öfter passiert, erhöht man das Limit halt.

Real hat das dann vor den Kassen oder innen irgendwo.
Aldi usw. muss man sich an den Rentnern vorbeidrängeln, mit der karte winken, den button drücken, reinschieben und rausziehen wenn das grüne licht aufleuchtet. dann weiss die bank bescheid.

Aber es ist ja vollikommen noch nie passiert, das man rentnern die karte geklaut hat, nachdem sie die pin offensichtlich für alle anderen eingegeben haben...

Muss man nicht seit kurzem/in kurzem bis zu 150 Euro laut EU-Gesetz selber haften, wenn die EC-Karte (ja, das heisst Maestro) geklaut wird ?

Und natürlich wird man nicht angerufen sondern kriegt eine SMS mit den Codes die man am Gerät eintippt...

Wer etwas will, findet Wege, wer etwas nicht will, findet Gründe/Vorwände. (gulp-forum)

Es sieht in Wirklichkeit etwas anders aus. Es gibt Dienstleister, die alle Daten von Transaktionen sammeln. Egal ob jemand Urlaub in Hong Kong macht, oder in seiner Heimatstadt mit CC bezahlt.

Dieser Dienstleister dröselt die Daten nach Banken auf und schickt sie an das kontoführende Unternehmen. Die eigene Bank wird es jetzt aktiv.

Werden bei einem solchen Dienstleister Millionen von Daten heimlich kopiert, also alles, was man für Interneteinkäufe mit CC benötigt, so kann jetzt jeder von jedem Punkt der Erde aus, Bestellungen per Internet vornehmen. Das geht solange gut, bis die Karte gesperrt wurde.

ob das maestro heißt is mir völlig rille bei mir heißen die dinger schon immer und werden auch imm ec karten heißen.

was deine idee mit dem transport angeht. na ich weiß net. die kreditkarten unternehmen geben die verifikation ja extra an dienstleister ab die die datensätze haben und vergleichen. wenn die getrennt 3 abfragen an die banken schicken dann kann ma sich dieses outsourcing auch gleich sparen. abgesehen davon wenn an jedem transfer neben dem herausgeber der kreditkarte (z.b. visa) noch 3 weitere unternehmen beteiligt wäre statt einem dann würde die kosten explodieren weil jeder für seinen service geld sehen will. und wer blecht? rischtisch der kunde. dazu bin ich persöhnlich NICHT bereit.

ob nun sms oder anruf...ok sms über server wäre sicher billiger aber:
erstens eine dem kauf vorrangestellte verifikation im laden einzuführen würde jedes unternehmen unmengen an geld kosten (die automaten die du meintest) was auch wieder der kunde zahlt. akzeptanz sicher schlecht.
einer verifikation beim kauf is genau so schwirig wie nen anruf. wie lange würde es dauern bis du die sms hast? bestimmt 10-20 sek das is net hinnehmbar. überleg mal wie sich das aufsummiert an jeder kasse den tag über. genau so wenn man das vorher über nen automaten machen würde. schau mal in nen normalen supermarkt zu stoßzeiten da kommen in einer minute vlt 120 neue kunden. jeder würde erst mal an den automaten wollen. bedienzeit für den automaten denk ich mal 60s, warten auf die sms 20s, dann älter leutz die damit probleme haben noch mal pauschal im schnitt 40s oben drauf. da sind wir im schnitt bei 120s. das heißt bei 120s bei 14400s bzw 240min automatenzeit pro min in stoßzeiten! wieviele automaten willst denn da in nen supermarkt wie kaufland stellen? 120 stück um den bedarf einigermaßen abzufangen?

Abseus schrieb:
--------------------------------------------------------------------------------
> ob das maestro heißt is mir völlig rille bei mir heißen die dinger schon
> immer und werden auch imm ec karten heißen.

Hier gibt es Rechtschreib-"Fans" die sonst keine Argumente haben und glauben, ein sinnvolles Posting abzuliefern mit Beleidigungen, halbsätzen "ey bisse engländer" "lern mal wie das heisst" "bisse aus der steinzeit, ec ist out" usw.. Da muss man vorsichtig sein.

Wer etwas will, findet Wege, wer etwas nicht will, findet Gründe.

Das Mindestlimit legt der Kunde fest.
Wenn er mehr an der Kasse bezahlen will, kann er ruhig 5-10 Cent für die SMS bezahlen. Dann wird er schnell das Limit passend setzen.
Er kann auch standard-Shops mit höheren Limits versehen oder unterschreibt das bei Antrag, das die Shops seiner Wohngegend bis 200 Euro gehen oder was bei Supermärkten sonst so üblich ist.
Teurere Geräte im Saturn-Mediamarkt dauern ja auch länger, weil die da mit Zetteln herummachen.

95% der Aktionen sollen ratz-fatz laufen. Das sollte machbar sein.

Diese Dienstleister kommen von früher als das noch mit Papier und diesen "karte prägt durchschrift"-hin-her-Geräten im laden gemacht wurde.

Maestro/Visa/Amex können auch gerne ultrahart signierte geräte in die data-center der Dienstleister stellen, die dann mit visa/amex/... ultrahart signiert kommunizieren.
gespeichert wird pro Transaktion alsi nicht mehr:
amex/kundenname/ablaufdatum/cc-nummer/ /shop/datum/zeit/betrag
sondern
sparkasse-pusemuckel/id/signatur/shop/datum/zeit/betrag
weil nämlich das amex-gerät die daten bekommt, mit amex über tcp/ip redet und von der sparkasse eine signierte unterschrift kriegt, das die 200 Euro ok sind.
man muss nur wollen. wenn die sparkasse mir !sicher! verspricht, das ich die 200 Euro bekomme, geht mit der Kundenname und ihm seine CC-Nummer nix mehr an.

Bei den Papier-Abrechnungen geht noch missbrauch weil die eintipperinnen die nummern speichern könnten.
wenn man die kosten/Ersparnisse in gps/gsm/umts-geräte investiert, wo man die cc-nummer eintippt oder ausliest, und gleich per Telefon-Netz/Mobilfunk-Netz die daten abcheckert, braucht man kaum noch papier-abrechnungen.
heimlich die karte filmen ginge immer noch. aber man weiss ja, wo man sie genutzt hat. ansonsten holt man die ja nicht raus.

von nokia sollte es iirc für 39 (?) Euro UMTS-Handies geben (golem-bericht). Sollte also kein Problem sein, vorkonfektionierte Handies statt dieser "hinher-web-maschinen" einzusetzen (die kennen viele nicht) die vermutlich dasslebe kosten. und solche durchpaus-papiere und paier und handling und porto und versand und abholen und verloren gehen usw. kosten zusammen auch nicht viel weniger als eine sms oder tcp-pakete (ultrahart verschlüsselt) pro Transaktion. Es mag pro transaktion etwas teurer aussehen, man spart aber woanders, nämlich bei den Erstattungen und Rückbuchungen.
Man muss "nur" die verbindlichkeit erhöhen.

Die klassischen karte-kopieren-im-restaurant-Aktionen gehen natürlich weiterhin. Nur kann man ja ruhig anmelden, wenn man in USA ist. und verhindern, das in osteuropa auf die eigene Karte bestellt wird.

Trigger bieten sich an. Wenn man also in usa eintrifft, aktiviert die telefongesellschaft den USA_Modus und gibt der CC-Firma bescheid. Usw.
Oder bei der flug-buchung gibt man an, das wenn man eingecheckt hat, die cc-firma informiert wird und man diese cc-karte (mit der man den flug bezahlt) auf us-gebiet umstellen will.
beim rückflug natürlich umgekehrt...

Dann rentiert sich Zwischenlagern von kartendaten und verwenden im Ausland kurz vor ablauf-frist kaum noch.

also dein usa beispiel find ich mehr als nur fragwürdig also wenn ich dich recht verstehe soll die dann z.b in europa für den aufenthaltszeitraum nicht mehr funktionieren oder? das öffnet tür und tor für kreditkartenbetrug. was is denn zum beispiel wenn ich so am surfen bin meinem lieblings outlet in D. da will ich doch die hose,jake bla ma schnell bestellen auch wenn ich noch i nusa bin oder? ja klar könnte man sagen die seite könnte feststellen ok das is ne usa ip-range also darf der das. aber! was is wenn einer meine daten geklaut hat ma fix über nen verschleierungsserver ne usa ip vorteuscht und dann ganz gemütlich von jedem rechner der welt bestellen kann??? viel zu viele wenns und aber würden da in deinem system vorkommen.

und zettelwirtschaft beim bezahlen in D ? wo gibts denne sowas? selbst in usa gibts das durchdrucken aufpapier nur noch ganz selten. ich selbst habs nicht ein einziges mal dort erlebt. und rechnungen für deinen einkauf muss es eh geben wenn de das mit zettel meinst da jeder händler in D verpflichtet ist ne rechnung in papierform auszustellen.

First Data ist eine der größten Firmen, die die weltweiten Transaktionen über CC elektronisch aufzeichnet und die Vorgänge an die Banken weiter gibt.

First schrieb:
--------------------------------------------------------------------------------
> First Data ist eine der größten Firmen, die die weltweiten Transaktionen
> über CC elektronisch aufzeichnet und die Vorgänge an die Banken weiter
> gibt.


erstens: wo ist die verbindung zu meinem post?
zweitens: first data gibt sicher nicht an die banken weiter sondern an die cc unternehmen wie z.b. visa die dann ihrerseits mit der jeweiligen hausbank abrechnen...

Keine Ahnung. Das ganze System kommt halt vom Durchdrücken auf papier. Keine Ahnung wie viel es das noch gibt.
Wenn nicht, kann man ja per handy/isdn/modem/Internet/... abcheckern.

Und du bist noch in USA und willst in einem OnlineShop wo Du Stammkunde bist, etwas bestellen und an Deine bekannte Heimat-Anschrift schicken lassen.
Wieso sollte man das unterbinden ? Sollte man nicht. Die kennen/haben Deine Daten doch.

Neuer Shop, andere Adresse usw. wären ein Risiko bzw. dann würde ich als Sparkasse schon schauen, das man das telefonisch klärt. SMS oder Email oder sonstwie.

Das mit dem Aufenthalt ist "natürlich" nur für physikalisch anwesende Bezahlung und nicht online die Daten eingeben.
Denn wenn man online die daten im Online-Shop eingibt, kann man parallel bei www.gmx.de eingeloggt sein und die Sparkassen-Email lesen und den Code eingeben. Oder seine SMS erhalten und als (angeforderte) Bestätigung ins online-formular des shops eintragen.
Parallel kriegt man eine Email-Adresse mit den Shop-Daten und Zahlungs-Daten (möglichst ohne geheime Infos).

Sich künstlich Gründe ausdenken halte ich für blöd.
Amazon oder dein Lieblings-Outlet-Versender wird natürlich checkern und selbst wenn sich DEINE CC-Nummer geändert hat, werden sie nichts sagen, wenn die Bestätigung von derselben Bank kommt. Und die Bank wird nichts unterbinden, weil Deine alte CC bei Amazon schon eingetragen war und die Kundennummer gleich ist. (die müssste man mit übertragen.)

Wenn aber jetzt ein ost-europäer oder Deine Frau/Freundin über amazon mit Deiner CC was bestellen will und dort noch nicht als überprüfte Kombination eingetragen ist, wird eine Überprüfung per Handy/Email/SMS/... gestartet.
Das entfällt aber natürlich, wenn deine Frau dieselbe Adresse nutzt, mit der Du bei Amazon hinterlegt bist. Checksumme an die Bank. Dann muss die Bank nicht den echten Adress-Text der Zweitwohnung haben.

Du bezahlst mit x Promille oder Prozent die 8% Kreditausfälle der Karten in USA zwar nicht mit, aber die Diebstähle bei Deiner Bank und bei Deinem Anbieter.
Und sowas würde ich schon ausmerzen weil es sich halt läppert.

1. Der Bezug besteht darin, dass heute die Transaktionen nicht mehr per "Abzug" erfolgen, sondern rein elektronisch und mit diesen Vorgänge sind genau solche Dienstleister beschäftigt.

2. Die Kreditkartenfirmen verwalten nur ihre Mitglieder, haben aber nichts mehr mit deren Transaktionen im einzelnen zu tun. Genau für diesen Zweck gibt es diese speziellen Firmen.

Bezug schrieb:
--------------------------------------------------------------------------------
> 1. Der Bezug besteht darin, dass heute die Transaktionen nicht mehr per
> "Abzug" erfolgen, sondern rein elektronisch und mit diesen Vorgänge sind
> genau solche Dienstleister beschäftigt.
>
> 2. Die Kreditkartenfirmen verwalten nur ihre Mitglieder, haben aber nichts
> mehr mit deren Transaktionen im einzelnen zu tun. Genau für diesen Zweck
> gibt es diese speziellen Firmen.


zu1. eben genau das hatte ich auch schon so erläutert

zu2. eben genau das hatte ich auch schon so erläutert.

und genau darum habe ich den kommentar zu meinem post nicht nachvollziehen können.