Der Chip ist sowieso überflüssig

Es heißt, wenn man den Chip mit Klebstreifen überklebt, werden die Daten von dem Magnetstreifen gelesen und sie funktioniert trotzdem. Man muss sich fragen: Welchen Zweck vefolgt der Chip überhaupt, wenn er mit so billigen Tricks zu überlisten ist. Kartenfälsche können sich ja offenbar tortzdem darauf beschränken, den Magnetstreifen zu kopieen.

monettenom schrieb:
--------------------------------------------------------------------------------
> Es heißt, wenn man den Chip mit Klebstreifen überklebt, werden die Daten
> von dem Magnetstreifen gelesen und sie funktioniert trotzdem. Man muss sich
> fragen: Welchen Zweck vefolgt der Chip überhaupt, wenn er mit so billigen
> Tricks zu überlisten ist. Kartenfälsche können sich ja offenbar tortzdem
> darauf beschränken, den Magnetstreifen zu kopieen.


Ganz einfach, weil der chip ja illegale Kopien z.B. an manipulierten Automaten verhindern soll!

Oder klebst du deine eigene Karte ab um den schutz zu deaktivieren damit jeder deine Kartendaten auslesen kann?

Du könntest genauso schreiben, ich brauch mein Auto ja nicht anschließen weil das ja jeder mit nem einfachen Blech aufhebeln kann... tztztz

Stimmt. Ich hatte mir bei der Meldung auch gedacht "dann überklebt man den Chip halt" und kann die Karte weiter benutzen.
Wieso schreibt die Presse oder die "News"-Sendungen nichts dazu.

Es könnte allerdings sein, das in bestimmten Automaten erwartet wird, das ein Chip vorliegt und man bei Abkleben dann Probleme kriegt.

Erfundenes Beispiel: Bei Deiner Hausbank darfst Du mit Chip vielleicht mehr am Automaten abheben als an anderen Automaten. Wenn der Chip fehlt, darfst Du dann vielleicht gar nicht mehr abheben oder nur den kleinen Minimal-Betrag denn Du auch im Ausland an Ost-Mafia-Automaten abheben dürftest.

monettenom schrieb:
--------------------------------------------------------------------------------
> Man muss sich fragen: Welchen Zweck vefolgt der Chip überhaupt, wenn er mit so billigen Tricks zu überlisten ist. Kartenfälsche können sich ja offenbar tortzdem
> darauf beschränken, den Magnetstreifen zu kopieen.

Er soll in naher Zukunft eigentlich den Magnetstreifen komplett ersetzen, habe ich gelesen.

Don't forget to kill Phillip!

Ziel ist es das in Zukunft die Karten keinen Magnetstreifen mehr hat. Denn der Chip ist sicherer. Die Software-Umstellung an den Terminals ist derzeit also nur eine Notlösung. Seit einfach froh das derzeitige Karten Chip und Magnetstreifen haben!

mistake schrieb:
--------------------------------------------------------------------------------
>
> Er soll in naher Zukunft eigentlich den Magnetstreifen komplett ersetzen,
> habe ich gelesen.


dem stimme ich zu

monettenom schrieb:
--------------------------------------------------------------------------------
> Es heißt, wenn man den Chip mit Klebstreifen überklebt, werden die Daten
> von dem Magnetstreifen gelesen und sie funktioniert trotzdem.
So einfach ist das nicht. Damit das funktioniert muß das Fallback auf Magnetstreifen erlaubt sein. Das Fallback ist laut ZKA-Spec aber nur eine Übergangslösung und eine Kann-Bedingung. Ein paar Firmen ermöglichen das und einige nicht. Darum sind ja auch nicht alle ATMs und POS von dem Problem betroffen. ATM mit Wincor-Nixdorf-Software ist davon z.B. nur betroffen, wenn die Bank eine Änderung der Standard-SW verlangt hat und dabei das Fallback ausgeschaltet wurde.

... was mich wundert, da weder meine EC Karte noch meine Kreditkarten, einen solchen Chip besitzen und ich bis dato noch nirgends Probleme mit der Zahlung hatte.

AlecTron schrieb:
--------------------------------------------------------------------------------
> ... was mich wundert, da weder meine EC Karte noch meine Kreditkarten,
> einen solchen Chip besitzen und ich bis dato noch nirgends Probleme mit der
> Zahlung hatte.
Auf Spur 2 des Magnetstreifens (MS) steht der ServiceCode. Dort wird vermerkt ob die Karte einen Chip hat. Hat die den nicht, wird die Tranaktion via MS abgewickelt. Obendrein weiß der Bankhost ob Deine Karte einen Chip hat oder nicht. Es kann also sowohl von Bankhost als auch ATM als auch Karte die Technologieauswahl (MS vs. Chip) erfolgen.

kirsche40 schrieb:
--------------------------------------------------------------------------------
> monettenom schrieb:
> ---------------------------------------------------------------------------

> So einfach ist das nicht. Damit das funktioniert muß das Fallback auf
> Magnetstreifen erlaubt sein. Das Fallback ist laut ZKA-Spec aber nur eine
> Übergangslösung und eine Kann-Bedingung. Ein paar Firmen ermöglichen das
> und einige nicht. Darum sind ja auch nicht alle ATMs und POS von dem
> Problem betroffen. ATM mit Wincor-Nixdorf-Software ist davon z.B. nur
> betroffen, wenn die Bank eine Änderung der Standard-SW verlangt hat und
> dabei das Fallback ausgeschaltet wurde.
Diese Übergangslösung wird wohl einige Jahre Bestand haben. Laut einer Meldung sind ja nur europäische (EU)-Automaten betroffen, die den Chip auslesen. Weltweit wird weiterhin angeblich der Magnetstreifen gelesen. Und ich verwende die ATMs weltweit. Bis die alle umgestellt sind, werden wohl noch einige Jahre vergehen. Bis dahin bleibt uns auch noch der Magnetstreifen erhalten.
Und in der Zwischenzeit haben die Ganoven genügend Zeit, auch Möglichkeiten zur Aushebelung des Chips zu finden.

DasGute schrieb:
>
> Ganz einfach, weil der chip ja illegale Kopien z.B. an manipulierten
> Automaten verhindern soll!
>

Hmm,
in welcher Form verhindert der chip das illegale Kopieren des Magnetstreifens?

Die Skimmer, die nur den Magnetstreifen lesen werden wohl nicht sagen: "Uh hier ist ein Chip drauf, ich lass das mal lieber, mit dem Lesen des Magnetstreifens"

Das Problem ist,
1) daß die zur Nutzung der Karte notwendigen Daten anscheinend trotz Chips auch noch auf den Magnetstreifen enthalten sind.

2) daß die Authentifizierung der ja wohl irgendwo als "mit Chip" in der Datenbank erfassten Karte als Original trotz Abklebens des Chips alleine über den Magnetstreifen funktioniert.

Unter diesen Bedingungen ist der Chip *kein* Merkmal, welches mehr Sicherheit bringt!

Daß das mit der Abkleberei funktioniert ist wirklich ein Hammer:
Anscheinend ist das System deutlich besser auf Bequemlichkeit für die Nutzer (weniger Zurückweisungen wg. Lesefehlern), als auf Sicherheit "optimiert".

fixmix schrieb:
--------------------------------------------------------------------------------

> Und in der Zwischenzeit haben die Ganoven genügend Zeit, auch Möglichkeiten
> zur Aushebelung des Chips zu finden.

Ja, da können wir alle locker von ausgehen.
Bis alle Karten und Lesegeräte auf CHIP-Only umgestellt
sind, ist der Chip ein alter Hut, den jedes Kiddie
mit seinem iPhone knacken kann.

Ein Hoch auf die IT. :)

Dann wäre es doch ehrlicher gewesen, wenn man gesagt hätte: "Wir wollen langfristig den Magnetstreifen abschaffen und ihn durch einen Chip ersetzen. In der Übergangszeit sind beide Teile gleichermaßen gültig."

Dann aber würde zu dieser Zeit der Chip keine Erhöhung der Sicherheit bedeuten... Man fühlt sich als Kleinkind behandelt.

> Hmm, in welcher Form verhindert der chip das illegale Kopieren des
> Magnetstreifens?
>
Auf Spur 2 steht "Karte hat Chip". Der Wert ist kryptographisch gesichert. Wenn kein Fallback durch das ATM/POS und die Bank zugelassen wird, funktioniert die Karte nicht mehr.

> Unter diesen Bedingungen ist der Chip *kein* Merkmal, welches mehr
> Sicherheit bringt!
>
Ja ja, mal wieder was gesagt, auch wenn man keine Ahnung hat...

> Daß das mit der Abkleberei funktioniert ist wirklich ein Hammer:
> Anscheinend ist das System deutlich besser auf Bequemlichkeit für die
> Nutzer (weniger Zurückweisungen wg. Lesefehlern), als auf Sicherheit
> "optimiert".
Siehe oben!

kirsche40 schrieb:
--------------------------------------------------------------------------------
> Auf Spur 2 steht "Karte hat Chip". Der Wert ist kryptographisch gesichert.
> Wenn kein Fallback durch das ATM/POS und die Bank zugelassen wird,
> funktioniert die Karte nicht mehr.
>
> > Unter diesen Bedingungen ist der Chip *kein* Merkmal, welches mehr
> > Sicherheit bringt!
> >
> Ja ja, mal wieder was gesagt, auch wenn man keine Ahnung hat...
>
> > Daß das mit der Abkleberei funktioniert ist wirklich ein Hammer:
> > Anscheinend ist das System deutlich besser auf Bequemlichkeit für die
> > Nutzer (weniger Zurückweisungen wg. Lesefehlern), als auf Sicherheit
> > "optimiert".
> Siehe oben!


Hmm,
ich streite nicht ab, daß die technische *Möglichkeiten* besteht, den Chip als "Muss-Option" bei der Authentifizierung der Karte zu fordern.

ABER: eine Menge Betreiber scheinen aus irgendwelchen Gründen diesen Fallback zu erlauben, und damit die zusätzliche Sicherheit durch den Chip zu torpedieren.

Hierauf bezieht sich meine Kritik: Durch den erlaubte Fallback bietet der Chip erstmal keinen nennenswerten Sicherheitsgewinn.

> ABER: eine Menge Betreiber scheinen aus irgendwelchen Gründen diesen
> Fallback zu erlauben, und damit die zusätzliche Sicherheit durch den Chip
> zu torpedieren.
>
Das steht so in den GAR2007:
"Allerdings sollen auch für diese Zahlungssysteme während einer Übergangsfrist Fallback-Transaktionen zur Auszahlung von Bargeld zulässig sein."

> Hierauf bezieht sich meine Kritik: Durch den erlaubte Fallback bietet der
> Chip erstmal keinen nennenswerten Sicherheitsgewinn.
Es geht um den "liability shift", sprich die Frage, wer für Schäden haftet. Um was anderes ging es beim Chip vs. Magnetstreifen nie. Der Chip ist im Falle der Haftung deutlich sicherer als der Magnetstreifen.

kirsche40 schrieb:
--------------------------------------------------------------------------------
> Auf Spur 2 steht "Karte hat Chip". Der Wert ist kryptographisch gesichert.

Kann man in Spur2 hinein-schreiben "Karte hat KEINEN Chip" und damit in Osteuropa alle alten Automaten abheben ?
Oder ist diese Information die man vorher nicht brauchte auch kryptographisch gesichert ?


Und wegen Chips wären sicherer: Die Interfaces sind offen bekannt. D.h. die Chips sind vermutlich auslesbar und kopierbar.
Sicherer wäre es eher dann, wenn die Chips eigene Crypto-Intelligenz hätten. Also einen eigenen private-Key pro Konto und pro Chip jeweils einen eigenen private-key der nicht ausgelesen werden kann, mit dem sie mit dem Automaten kommunizieren und sich ausweisen können.

Aus den unklaren Berichten erschien es aber so, das die Chips nicht mehr wären als RFIDs auch liefern würden: KontoNr+Bankleitzahl per Kontakten auslesbar anstatt mit Magnetstreifen. Vielleicht noch von der Bank signiert. Aber gegen Kopieren hilft eine Signatur nicht direkt.
Die Berichte zum Thema sind aber leider sehr unscharf.

kirsche40 schrieb:
--------------------------------------------------------------------------------
> AlecTron schrieb:
> ---------------------------------------------------------------------------
> -----
> > ... was mich wundert, da weder meine EC Karte noch meine Kreditkarten,
> > einen solchen Chip besitzen und ich bis dato noch nirgends Probleme mit
> der
> > Zahlung hatte.
> Auf Spur 2 des Magnetstreifens (MS) steht der ServiceCode. Dort wird
> vermerkt ob die Karte einen Chip hat. Hat die den nicht, wird die
> Tranaktion via MS abgewickelt. Obendrein weiß der Bankhost ob Deine Karte
> einen Chip hat oder nicht. Es kann also sowohl von Bankhost als auch ATM
> als auch Karte die Technologieauswahl (MS vs. Chip) erfolgen.

Was die Fälschungssicherheit des Chips in meinen Augen ad absurdum führt. Das heißt ja dann, dass der Fälscher einfach auf besagter Spur des MS vermerkt, dass die Karte keinen Chip besitzt und schon umgeht er die Sicherheitsabfrage auf diesem und jedes Terminal ließt direkt vom Magnetstreifen?

kirsche40 schrieb:
> Um was anderes ging es beim Chip vs. Magnetstreifen nie. Der Chip ist im
> Falle der Haftung deutlich sicherer als der Magnetstreifen.


Für Wen?
Ist die Bank sicherer davor, haften zu müssen? ;-)
"Wir haben jetzt so einen tollen narrensicheren Chip, der Kunde muss irgendwo seine Geheimzahl notiert haben"

MartinP schrieb:
--------------------------------------------------------------------------------
> kirsche40 schrieb:
> > Um was anderes ging es beim Chip vs. Magnetstreifen nie. Der Chip ist im
> > Falle der Haftung deutlich sicherer als der Magnetstreifen.
>
> Für Wen?
Für alle.

> Ist die Bank sicherer davor, haften zu müssen? ;-)
Jeder ist sicherer davor haften zu müssen.

> "Wir haben jetzt so einen tollen narrensicheren Chip, der
> Kunde muss irgendwo seine Geheimzahl notiert haben"
Tja, wenn man das Prinzip nicht verstanden hat ist das schon fatal, wenn man mitdiskutieren will...