Verrechnungskonto? Sicherheit?

Bisher ist es so das ein Terminal zwingend an ein Verrechnungskonto gebunden sein muss, sonst verweigert es schlicht den Dienst. Was auch gut so ist um den Kunden zu schützen. Soll das Telefon nun auch an ein Konto gebunden werden? Was passiert im Fall des Verlusts? Oder können dann einfach NFC-Zahlungen vom Terminal-Telefon her ausgelöst werden? Das würde den NFC-Gegner richtig Wasser auf die Mühle geben.

uschatko schrieb:
--------------------------------------------------------------------------------
> Bisher ist es so das ein Terminal zwingend an ein Verrechnungskonto
> gebunden sein muss, sonst verweigert es schlicht den Dienst. Was auch gut
> so ist um den Kunden zu schützen. Soll das Telefon nun auch an ein Konto
> gebunden werden? Was passiert im Fall des Verlusts? Oder können dann
> einfach NFC-Zahlungen vom Terminal-Telefon her ausgelöst werden? Das würde
> den NFC-Gegner richtig Wasser auf die Mühle geben.

Typisch deutsch. Erstmal alles schwarzmalen.

Es gibt bereits Hardware-Lösungen, die das gleiche Leisten.

https://www.coolblue.de/produkt/872945/sumup-air-kontaktloses-kartenlesegeraet.html

Dadurch, dass man das direkt in der Smartphone integriert, die ja mittlerweile alle spezielle Trusted Computing Chips (Secure Enclave bei Apple) mitbringen, wird das ganze sogar sicherer.

Zusätzlich wäre das doch denkbar, das mit anderen Sicherheitsfunktionen zu koppeln (Touch-ID / Face-ID) sowie den Standort.

Warum soll ich nicht in Zukunft auch meinen Glühwein auf dem Weihnachtsmarkt oder die Kartoffeln vom Wochenmarkt mit meinem Smartphone bezahlen können ohne dass dort ein spezielles Terminal verwendet wird?

In anderen Ländern geht es doch auch.

Bei SumUp oder auch VR PayMe gibt es ja eigenständige Terminals mit eigener SIM und/oder WLAN oder eben auch die billige Variante die ein Smartphone zur Kommunikation voraussetzt. Apple integriert nun eben diese Technik, die in diesem billigen Kartenleser drinsteckt direkt ins iPhone. Eigentlich relativ simpel und logisch.

Simpel und logisch ja. Würde für mich als deutschen Käufer aber sehr unprofessionell wirken, wenn ich meine Karte auf ein iPhone halten soll anstatt auf ein Terminal.

Das BEZAHLEN mit dem Smartphone ist ja schon länger gängige Praxis.
Im Artikel geht es um das Empfangen von Zahlungen mit dem Smartphone ...

Machen wirst du es trotzdem irgendwann.

Mein größter Kritikpunkt an der Sache ist, dass sowas sehr viel potential für Betrüger hat.

Einfaches Beispiel: zahl mit Karte und du musst deinen Pin auf dem iPhone eingeben. Da stellt sich schon die erste Frage: wie viele machen einen Sichtschutz ans Gerät?
Ich bevorzuge bei sowas schon richtige Tasten, die ich haptisch erfühlen kann. Somit kann ich meine eine Hand komplett mit der anderen verdecken und meine Finger erfühlen die Tasten. Geht bei iPhone schonmal nicht.

Mein größtes Problem hab ich aber damit, dass die Anwendung sehr einfach zu fälschen wäre. Was hält Betrüger davon ab einfach eine ähnliche nachzubauen? Die merkt sich dann die Daten der Karte und den Pin bekommen sie frei haus!

tomate.salat.inc schrieb:
--------------------------------------------------------------------------------
> Mein größter Kritikpunkt an der Sache ist, dass sowas sehr viel potential
> für Betrüger hat.
>
> Einfaches Beispiel: zahl mit Karte und du musst deinen Pin auf dem iPhone
> eingeben. Da stellt sich schon die erste Frage: wie viele machen einen
> Sichtschutz ans Gerät?
> Ich bevorzuge bei sowas schon richtige Tasten, die ich haptisch erfühlen
> kann. Somit kann ich meine eine Hand komplett mit der anderen verdecken und
> meine Finger erfühlen die Tasten. Geht bei iPhone schonmal nicht.
>
> Mein größtes Problem hab ich aber damit, dass die Anwendung sehr einfach zu
> fälschen wäre. Was hält Betrüger davon ab einfach eine ähnliche
> nachzubauen? Die merkt sich dann die Daten der Karte und den Pin bekommen
> sie frei haus!

Die Daten der Karte? Das ginge nur mit Magnetstreifen. Die kann das iPhone aber gar nicht lesen. Ansonsten ist die PIN wertlos, weil du die Karte dazu nicht hast. Zumal es auch Token-basiert sein wird.

Dazu wird nicht jede App einfach auf die NFC-Schnittstelle zugreifen dürfen.

Und wieso hast du bei physischen Terminals keine Angst, dass die PIN abgegriffen wird?

treysis schrieb:
--------------------------------------------------------------------------------
> Die Daten der Karte? Das ginge nur mit Magnetstreifen. Die kann das iPhone
> aber gar nicht lesen. Ansonsten ist die PIN wertlos, weil du die Karte dazu
> nicht hast. Zumal es auch Token-basiert sein wird.
Du hälst deine Karte an das Gerät (egal ob iPhone o. Terminal). Via NFC werden Daten übertragen mittels derer eine Transaktion möglich ist (oft gekoppelt an eine PIN ab Betrag X).
Dementsprechend müsste es eigentlich sogar ausreichen, per NFC an die Karten ran zu kommen um kleinere Beträge abheben zu können.
Diesen Datensatz kannst du mit dem iPhone und einer manipulierten/gefälschten App einfach speichern und für weitere Transaktionen nutzen, von denen der Kunde/das Opfer nichts weiß.

> Dazu wird nicht jede App einfach auf die NFC-Schnittstelle zugreifen
> dürfen.
Selbst wenn dem so wäre und selbst wenn Apple diese Schnittstelle 100% absichern könnte. Du erziehst den Kunden dahingehend, dass er sensible Daten auf ein fremdes Gerät eingibt. Jetzt gibt es noch andere Smartphonehersteller als Apple oder man machts komplett Marke Selbstbau.

> Und wieso hast du bei physischen Terminals keine Angst, dass die PIN
> abgegriffen wird?
Weil hier die Hürde deutlich höher ist, als beim Smartphone (was nicht heißt, dass es da nicht auch ginge mit einem gefälschten Terminal).

tomate.salat.inc schrieb:
--------------------------------------------------------------------------------

> Selbst wenn dem so wäre und selbst wenn Apple diese Schnittstelle 100%
> absichern könnte. Du erziehst den Kunden dahingehend, dass er sensible
> Daten auf ein fremdes Gerät eingibt.

Das macht er jetzt schon, an jedem Geldautomaten oder Terminal wenn er einen PIN eingibt.

Nur nützt der PIN mittlerweile nichts, wenn man nicht den passenden Chip dazu hat. Skimming ging, als man den Magnetstreifen auslesen und kopieren konnte. Das ist aber nicht mehr der Fall, entsprechenden ist Skimming bei Null und dafür werden Geldautomaten gesprengt.

Und wenn dann auch noch kontaktlos unter 50 € gezahlt wird fließt eh kein PIN mehr.

Bei Mobile Payment eh nicht.

Mal wieder ist D weit zurück, sieht man deutlich an den Antworten von Leuten die gar nicht wissen wie Karten-Payments eigtl. funktionieren.

Im Artikel wird von Einschnitten für Gerätehersteller gesprochen, es geht nicht um deren Hardware sondern um die von denen angebotene Dienstleistung zur Zahlungsabwicklung, da liegt das Geld.

Kartenzahlung mit Karte irgendwo dranhalten oder gar einstecken und dann noch PIN eingeben? Habe ich seit der Einführung von Apple Pay nicht mehr gemacht. Für Android gibts sicher ähnliches. Man zahlt durch dranhalten des iPhones, abgesichert durch Fingerabdruck oder FaceID, ohne Betragsbeschränkung. (OK ich lebe nicht in D, aber denkt trotzdem mal über den rein deutschen Tellerrand hinweg).

Was da wohl kommt, ist die Fkt der kleinen Kartenleser in iPhones zu integrieren, ist doch vernünftig und genauso so sicher wie die kl Kartenterminals (von SumUp/iZettle etc.) Dann hält man eben das eigene iPhone an das iPhone des Flohmarkt-Verkäufers. Fertig.

Zu viel typische Bedenkenträger mal wieder in D.

tomate.salat.inc schrieb:
--------------------------------------------------------------------------------
> Mein größter Kritikpunkt an der Sache ist, dass sowas sehr viel potential
> für Betrüger hat.

Nein, eigentlich kannst Du hier gar nichts mehr betruegen.
>
> Einfaches Beispiel: zahl mit Karte und du musst deinen Pin auf dem iPhone
> eingeben. Da stellt sich schon die erste Frage: wie viele machen einen
> Sichtschutz ans Gerät?

Nein, wenn Du mit iPhone zahlst, musst Du keinen Pin eingeben. Seit wann das denn? Anders als am Geldautomaten geht das ziemlich sicher von statten. Aber selbst am Geldautomat, wo Du einen PIN brauchst (es sei denn Du haellst Dein iPhone dran) nutzt der einem Zuschauer nichts ohne den Chip auf der physikalischen Karte.

> Ich bevorzuge bei sowas schon richtige Tasten, die ich haptisch erfühlen
> kann. Somit kann ich meine eine Hand komplett mit der anderen verdecken und
> meine Finger erfühlen die Tasten. Geht bei iPhone schonmal nicht.

Und Du weisst natuerlich das das Keypad keinen keylogger hat? Nochmal, PIN gibts nicht mehr.
>
> Mein größtes Problem hab ich aber damit, dass die Anwendung sehr einfach zu
> fälschen wäre. Was hält Betrüger davon ab einfach eine ähnliche
> nachzubauen? Die merkt sich dann die Daten der Karte und den Pin bekommen
> sie frei haus!

Welche Anwendung? Das duerfte wie Apple pay im System sein. Du willst eine gefaelschte App aufs iPhone bringen welche aus der secure enclave hash Werte auslesen kann und die irgendwie zusammen setzen will? Ich zahle seit Jahren mit dem Phone, aber so was hats noch nie gegeben. Alles was hier jetzt gemacht werden soll ist, das man Geld empfangen kann. Du hast ja eine Karte im Phone. Von der wird abgebucht wenn Du irgendwo zahlst. Also nichts neues. Nun wird eben diese Karte aufgefuellt. Kein Ding. Wenn ich jemandem nen fuffi geben will, kann ich das nun indem ich mein phone an sein phone halte. Geht bisher schon aber ueber apps welche cash von phone to phone senden, die brauchen aber zwingend einen Mittelsmann, idR eine Bank. Und man muss online sein. Was bei nfc ebenfalls weg faellt.

MikeMinh schrieb:
--------------------------------------------------------------------------------
> Mal wieder ist D weit zurück, sieht man deutlich an den Antworten von
> Leuten die gar nicht wissen wie Karten-Payments eigtl. funktionieren.

Deutschland ist die letzte einsame Bargeld Bastion. Es gibt Geschaefte, welche KEINE Karten Loesung akzeptieren, ohne Bargeld geht nicht viel in dem Land. Ungewoehnlich wenn man von ausserhalb kommt aber normal dort. Und Telefon Zahlung ist noch mal so was neumodisches. Das es nichts anderes ist als eine Karte, wird nicht akzeptiert.
>
> Im Artikel wird von Einschnitten für Gerätehersteller gesprochen, es geht
> nicht um deren Hardware sondern um die von denen angebotene Dienstleistung
> zur Zahlungsabwicklung, da liegt das Geld.

Richtig.
>
> Kartenzahlung mit Karte irgendwo dranhalten oder gar einstecken und dann
> noch PIN eingeben? Habe ich seit der Einführung von Apple Pay nicht mehr
> gemacht. Für Android gibts sicher ähnliches. Man zahlt durch dranhalten des
> iPhones, abgesichert durch Fingerabdruck oder FaceID, ohne
> Betragsbeschränkung. (OK ich lebe nicht in D, aber denkt trotzdem mal über
> den rein deutschen Tellerrand hinweg).

Ja, das ist aber auch zu einfach. Man hat ja die Kohle sich Bargeld leisten zu koennen. Man muss Wechselgeld haben, dieses verwalten und das Bargeld zur Bank befoerdern oder abholen. Kostet alles aber “Plastik” oder gar Phone Zahlung geht nicht.
>
> Was da wohl kommt, ist die Fkt der kleinen Kartenleser in iPhones zu
> integrieren, ist doch vernünftig und genauso so sicher wie die kl
> Kartenterminals (von SumUp/iZettle etc.) Dann hält man eben das eigene
> iPhone an das iPhone des Flohmarkt-Verkäufers. Fertig.

Yup. Spart auch sehr viel e-Schrott. Die Terminals sind ja im Prinzip Telefone mit Kartenslot und nfc Leser. Braucht man nicht.
>
> Zu viel typische Bedenkenträger mal wieder in D.

Ja gut, das ist nun mal der Grund warum man in Deutschland immer etwas laenger, auch mal viel laenger bis nie, braucht.

MikeMinh schrieb:
--------------------------------------------------------------------------------

> Kartenzahlung mit Karte irgendwo dranhalten oder gar einstecken und dann
> noch PIN eingeben? Habe ich seit der Einführung von Apple Pay nicht mehr
> gemacht. Für Android gibts sicher ähnliches.

Klar. Google Pay und Samsung Pay. Was im Prinzip des gleiche ist wie Apple Pay: Token-Basiertes Payment, bei dem Geräte eine nicht kopierbare DAN bekommen (Device Account Number), zu dem die teilnehmende Bank immer eine gewisse Anzahl Token rüberwachsen läßt , mittels derer jeweils genau eine Transaktion autorisiert wird. Und die eben nur genau mit diesem Gerät funktionieren. Die Token werden aufgefüllt wenn Internet da ist, sprich das bezahlen geht auch 100 Meter unter der Erde solange das Bezahlterminal online ist. Was eh für jede Transaktionsart gebraucht wird aus Ritsch-Ratsch.

ChMu schrieb:
--------------------------------------------------------------------------------
[viel text ohne meinen text gelesen zu haben|

Ich zitiere mich:
> Einfaches Beispiel: zahl mit Karte

Deine ganze Argumentation basiert darauf, dass ich iPhone an iPhone halte. Mein Beispiel ist aber: Eigene Karte an fremdes iPhone.

MikeMinh schrieb:
--------------------------------------------------------------------------------
> abgesichert durch Fingerabdruck oder FaceID, ohne
> Betragsbeschränkung. (OK ich lebe nicht in D, aber denkt trotzdem mal über
> den rein deutschen Tellerrand hinweg).

Meine KK hat keinen Fingerabdruckscanner oder ne Kamera. Ist einfach nur ne Stinknormale Kreditkarte.

Leute lest doch erstmal auf was ihr Antwortet - bevor Ihr antwortet.

Wenn iPhone-an-iPhone dann ist doch klar, dass man über sein eigenes Gerät die Transaktion authorisieren kann. Ich rede hier aber explizit von: KREDITKARTE (ALSO NIX SMARTPHONE) AN FREMDES IPHONE.

ChMu schrieb:
--------------------------------------------------------------------------------
> MikeMinh schrieb:
> ---------------------------------------------------------------------------
> -----
> > Mal wieder ist D weit zurück, sieht man deutlich an den Antworten von
> > Leuten die gar nicht wissen wie Karten-Payments eigtl. funktionieren.
>
> Deutschland ist die letzte einsame Bargeld Bastion. Es gibt Geschaefte,
> welche KEINE Karten Loesung akzeptieren, ohne Bargeld geht nicht viel in
> dem Land. Ungewoehnlich wenn man von ausserhalb kommt aber normal dort. Und
> Telefon Zahlung ist noch mal so was neumodisches. Das es nichts anderes ist
> als eine Karte, wird nicht akzeptiert.

Österreich und Schweiz verhalten sich da ähnlich Bargeld-affin.

Und naja, es gibt schon auch noch viele andere Länder. Persönlich kenne ich es vom Nahen Osten. Ohne Bargeld geht auch da vieles nicht.

> > Im Artikel wird von Einschnitten für Gerätehersteller gesprochen, es
> geht
> > nicht um deren Hardware sondern um die von denen angebotene
> Dienstleistung
> > zur Zahlungsabwicklung, da liegt das Geld.
>
> Richtig.

Ich glaube, das war schon so gemeint. Es geht nicht darum, dass SumUp seine Geräte verkaufen möchte, sondern dass SumUp durch die iPhone-Nutzung sein Geschäftsmodell (einfacher Empfang von Kartenzahlungen für Jedermann) kannibalisiert wird.

peterbruells schrieb:
--------------------------------------------------------------------------------
> MikeMinh schrieb:
> ---------------------------------------------------------------------------
> sprich das
> bezahlen geht auch 100 Meter unter der Erde solange das Bezahlterminal
> online ist. Was eh für jede Transaktionsart gebraucht wird aus
> Ritsch-Ratsch.

Jein. Mit den alten Karten zum Stecken ging es auch vorher ohne Internetverbindung. Das macht aber schon lange keiner mehr, weil die Kartenunternehmen solche Verträge den Zahlungsdienstleistern/Terminalanbietern mWn gar nicht mehr anbieten.

tomate.salat.inc schrieb:
--------------------------------------------------------------------------------
> MikeMinh schrieb:
> ---------------------------------------------------------------------------
> -----
> > abgesichert durch Fingerabdruck oder FaceID, ohne
> > Betragsbeschränkung. (OK ich lebe nicht in D, aber denkt trotzdem mal
> über
> > den rein deutschen Tellerrand hinweg).
>
> Meine KK hat keinen Fingerabdruckscanner oder ne Kamera. Ist einfach nur ne
> Stinknormale Kreditkarte.
>
> Leute lest doch erstmal auf was ihr Antwortet - bevor Ihr antwortet.
>
> Wenn iPhone-an-iPhone dann ist doch klar, dass man über sein eigenes Gerät
> die Transaktion authorisieren kann. Ich rede hier aber explizit von:
> KREDITKARTE (ALSO NIX SMARTPHONE) AN FREMDES IPHONE.

Ja, und in deiner Kreditkarte ist ein Chip. Und das Lesegerät macht dann ein Challenge-Response-Verfahren mit dem Chip. Da ist nix mit Kartendaten kopieren. Das, was du von der Karte auslesen kannst, ist exakt für die eine Transaktion ausreichend.

tomate.salat.inc schrieb:
--------------------------------------------------------------------------------
> ChMu schrieb:
> ---------------------------------------------------------------------------
> -----
> [viel text ohne meinen text gelesen zu haben|
>
> Ich zitiere mich:
> > Einfaches Beispiel: zahl mit Karte
>
> Deine ganze Argumentation basiert darauf, dass ich iPhone an iPhone halte.
> Mein Beispiel ist aber: Eigene Karte an fremdes iPhone.

Dann kannst du mit dem iPhone immer noch nicht die fremde Karte auslesen. Das iPhone sendet einen Code an die Karte, die Karte antwortet daraufhin mit einem anderen Code. Der ist dann für die Transaktion gültig. Bei der nächsten Abfrage kommt was anderes raus. Online wird dann überprüft, ob das zusammen passt. So ganz einfach gesagt.

Schau dir mal dieses Video an. Da wird ganz gut erklärt, wie die einzelnen Schritte bei kontaktlosen Zahlungsvorgängen ablaufen:
https://www.youtube.com/watch?v=RvqOADqwvAM