※ 引述《prussian (prussian)》之铭言： : ※ 引述《supermars (讨论时冷静占上风)》之铭言： : : 恩，磁条本体跟NFC模拟磁条是两码子是喔XD : : 依照你这句话，我是否可解读成你这是想要开战火的意思吗? : 可能我的说法有问题，我再试着重复说一遍好了 : 看这样能不能比较好懂 : 摸拟 磁条这种几十年前的产物 叫作先进 我是持保留啦 何尝不可叫做先进? 在手机行动支付上实际上能做到的就是只有Samsung Pay而已， 你认为因为是十几年前的产物所以不先进? 不知道能否举例在手机的行动支付当中，有哪个手机品牌在行动支付上面比SAMSUNG PAY 抢先推出? 如果要避免误会的话并非质疑你的"专业"、而是你用词的问题就是在一股鄙视的态度。 反观，在三大PAY当中就是只有SP能做到MST磁条模拟行动支付而「让用户有多一个选择」 。 : : 首先，你要先证明刷卡者是盗刷集团啊! : : 不然依照您这样担心受怕的思维，磁条可是最容易被盗刷&COPY复制卡片的呢XD : : 你又怎知拿出实体卡片就一定是真卡? : : 您知道这个安全性问题的重点不在实体磁条还是模拟磁条吗XD : : 原PO是遇到实体卡与模拟MST的疑惑、并非指控原PO为盗刷集团， : : 同时，你知道不论是NFC或MST透过手机支付後都看不到完整实体卡片的号码吗? : 所以店员如果无法证明这种没看过的东西是正牌的， : 安全起见不给刷也是很合理的。 这就是消费者与店员之间沟通的问题啊，你要扯到盗刷那是资安方面的问题。 但你内文就完全导向资安方面问题，而且认定店家"一定是怕被盗刷"为前提。 你能【假设店家是因为怕被盗刷】，我为何不能假设店家对SP的资讯不足? : 如果真的是盗刷，店家是要自己吞下去的啊。 : NFC 一开始也是一堆不给刷，不过後来大家都知道NFC很安全 : MST 一样需要要说服店家它很安全 : MST这种方式下，磁条卡交易该作的，验证卡片和持卡人真伪都无法作。 : 所以店员不晓得模拟磁条的方式能不能接受， : 警觉一点的店员拒绝给你试是很合理的。 : 只要***大气一点说，「凡是证明是我家手机MST刷的， : 因此被盗刷的损失通通由我负」 : 店家一定会很乐意刷的。 [发问] 现在NFC感应跟晶片卡被盗刷的时候是否有同样的保障条件? 如果银行端没有区分盗刷的种类，那麽你这样的假设我是觉得没有什麽意义啊! 而且也跟店家给不给用三星PAY的MST消费之理由无直接/绝对的关系。 店家会怕加密过的盗刷、却不怕一般磁条的盗刷(?) 你会这样想还蛮令人玩味的阿~ : 然後下一次变成 要证明手机不是山寨的 XD (how?) : 晶片卡和感应卡的传输过程中，除了明码卡号和到期日等，还会用公私钥签章验证讯息， : 证明目前交易的卡号，的确属於目前正在用合法钥匙讲话的这张晶片卡， : 而钥匙本身不会在交易传输过程中传输。 : 所以即使被侧录到一次交易讯息，也无法直接复制成可用的卡片。 : 而因为有密码学背书验证传输卡号的正确性合法性， : 所以晶片卡、感应卡可以让你自己插卡机、拍卡机， : 连卡都不用验还可以小额免签名。因为数学帮店家验证过卡片了。 : 所以现在知道的店家都很放心让你自己感应 : 磁条讯号就是只有卡号到期日。要如何证明卡号是真的还是侧录来的? : tokenization透过网路送到後端可以加强验证， : 确认这个虚拟卡号的确是先前发出的token，而且目前还是有效的。 : 但是如果 MST 只是模拟传了一个实体卡的卡号呢? : 卡机及 POS 无法分辨它是实体卡还是模拟讯号。 : 而因为是实体卡卡号，不会被当成 token 走验证过程 : 事实上也没 token 资料可以验证。 : 那如果这个复制实体卡来的卡号，好死不死又是被非法侧录的呢? : MST 的原开发者 LoopPay 变成星形之前自己曾经卖过的商品 : LoopPay Card : https://www.looppay.com/products/#looppay-card : https://youtu.be/QFQfxfeIv6M : 基本上就是复制磁条，再原样原卡号用MST发送 : 以店家的角度，就跟白卡没什麽两样。 : 你要如何证明MST发送的卡号，真的是你的，不是你买来的? : 店家可以睁一只眼闭一只眼让你刷，不代表他就一定要让你刷。 : 这就像你自己买白卡买磁条读卡机录制机自己写白卡 : 卡号是你的没错，可以挑战说服店家看看要不要让你刷白卡 这个问题很简单啊，同一个店家是怕盗刷，会怕行动支付加密过的盗刷、 却不怕一般磁条盗刷吗? 这段怎麽看都是你【觉得】店家拒绝的原因「一定是」怕盗刷... 至於拿个白卡录制的行为，我想应该没几个人会想这样玩吧... 我拿的就是Samsung Pay本身的MST模拟磁条技术的行动支付， SAMSUNG PAY官网的Q&A就指出 Samsung Pay的安全性如何？ Samsung Pay使用代码化技术和Samsung KNOX，以确保您的付款资讯。此外，在您付款前 将确认您的指纹或4位数密码。 你还会觉得两者安全性一模一样的话，或是店家只怕行动支付盗刷不怕实体磁条卡片盗刷 的话... 还真的无法理解你的辩解阿! : 喔对了，Tokenization 之所以叫token， token 是会变动有时效的 : 你看到手机上写虚拟卡号 123456******7890 不代表它只有一组卡号 : 事实上每一组****** 是有使用时效、次数、和总金额限制的。 : 这一点不管是applepay se, HCE 的云端，***的MST都是类似的tokenization : 所以HCE才会有需要连网 reload 的限制 : 而 *** 因为磁条讯号更危险，只有卡号明码没有额外签章验证， : 所以更严格限制一组 token 只能用一次60秒 再说一次好了... 店家怕被盗刷那就全面禁止磁条刷卡就好啦(包含实体卡)，提供刷卡服务干啥XD 同时也不是每个店家都因为怕被盗刷才不给用SAMSUNG PAY的MST手机行动支付... 就我的经验来看「都是不知道可以这样做」，所以【每一次在我苦口婆心解说试验後】 都可以成功刷过。 以上都是我个人的【实际经验】，而不是「店家一定是怕盗刷」的你的想法，请勿再次 扭曲带风向。 : : 盗刷集团用的方式并非你"想的那样单纯"唷~ : : 照你的言论来看问题点完全不在NFC感应、晶片、磁条上阿... : : 还是你以为伪卡集团那麽笨? : : 或是... : : 你以为NFC感应或晶片就完美不会被盗刷吗? : 可以请教一下感应或晶片有盗刷的实例吗? 磁条倒是很多 : 喔你底下也说没实例了，了解~~ : 磁条读卡机不会分是卡片或 MST，所以只要教会MST吐实体卡号 : 技术上假冒正卡是完全可行的 : 而也不需要手机ROOT，弄个 LoopPay Card 就有得发讯 : (虽然现在应该买不到了 QQ 你前面一下说ROOT现在又说不需要ROOT ?! 磁条很多那是单纯磁条实体卡片阿，你这麽黑三星PAY好像也没有举例过实际案例呀~ (至少在两篇文章内都没提到，两篇文章内给人的感觉就只有满满的诋毁三星而已XD) : : 与其想的那麽多，倒不如鸟的手机不要给别人知道密码解锁後消费吧XD : : 或是，信用卡背後签名与食记签名的人不同的盗刷手法~ : : 贴心提醒一下~千万不要为了反而反唷~ : : 推 hms5232: 我认为上篇作者根本没搞懂MST技术 06/06 00:02 : : 他写文的感觉让我觉得他是讨厌三星为前提引申出来的假议题回文~ : : 嘛~那是我个人的感觉。 : 嘛~那是你个人的感觉~ : : → nadoka: 磁条伪卡是真的很多 但手机伪卡到现在还是科幻情节吧 06/06 00:03 : : 传统磁条一直都是盗刷集团下手的目标，比较常看到的新闻都是在讲加油站员工的情节。 : : 其他盗刷，都是网路上资安方面钓鱼网站之类的偷你卡号~ : : 好像还没看过感应式手机行动支付(三大PAY)或是实体卡片的插入式晶片or实体卡片感应 : : 被盗刷的新闻。 : 所以没说手机是用NFC盗刷啊。我一直在说磁条讯号不是吗? : 事实上接触式和非接触式晶片就像上面说的，有数学保护。 : 手机pay NFC 到卡机之间走EMV 非接触方式，手机必须和感应卡讲一样的话 : 所以NFC 虚拟卡一样有钥匙验明正身 : MST到卡机之间走几十年历史的磁条，一样无法自己验明正身 : 必须靠店员转卡片看雷射标签和签名来验身 : 所以说无法让店员验身的发讯机器，对店员来说和白卡是同等地位 : 而 *** 手机有没有公信力，能不能验身，要问 *** 啊 : 怎麽不是 *** 去说服店家，而是听一个不知道哪来的客人说法呢? : : 推 hms5232: 三大Pay都是代码化或HCE技术 感应或MST後刷卡机要回去 06/06 00:09 : : → hms5232: 银行解密 有的甚至连你手机的型号都会记录 不符就不过 06/06 00:09 : : 推 nadoka: MST的卡号也是虚拟卡号吧 不管怎样都须要走解密 06/06 00:10 : : → hms5232: 加上使用前还要密码或生物验证 基本上我认为比实体卡安全 06/06 00:10 : : 会不会记住手机型号到不是很确定，不过安全性方面基本上不用想太多~ : : 当初参加01活动时就有说明到SP的安全性 : : https://www.wanghenry.com/2017/07/SAMSUNG-PAY.html : : (倒数第二张图) : 业配当然不会跟你说我家 MST 不安全啊 : 以下和上面讨论的店家验证方式没有直接相关， : 是属於使用者端侧录 MST 的攻击方式 : 不过既然提到安全性问题 : 我们来看一下第三方的说法好了 : 反正你都说我为反而反了，不差这一个是吧 : 那就来看看模拟磁条讯号为什麽危险 讲了那麽多...磁条盗刷的行为...还是看你我他等消费者是不是正人君子不是吗... 我的手机跟手表就是真实卡号，店家就是给刷【磁条】信用卡，单纯对【手机能变成 磁条刷卡】这项技术抱持着怀疑而已啊XD 你可以想的那麽多顺便牵扯活动中产品经理郑在业配所以不会跟你说危险blahblah... : 为什麽即使 *** 限制使用方式限制得很严格还是危险 : 韩国研究 : Eavesdropping one-time tokens over magnetic secure transmission in Samsung Pay : 论文 : https://www.usenix.org/system/files/conference/woot16/woot16-paper-choi.pdf : 投影片 : https://www.usenix.org/sites/default/files/conference/protected-files/woot16_slides_choi.pdf : 影片 : https://youtu.be/7VsHbrtPs0c : "可以在两公尺范围接收到 MST 发出的磁场讯号" 这就像行动网路讯号&家里WIFI路由器理想值的网路速度一样好吗... 拿这个数据出来诋毁Samsung Pay的磁条技术还真的是很妙， 2M可接收到磁场讯号...你有没有实际试试看阿XD 2M = 200cm...比大部分的台湾人身高还要高的距离OTZ : "透过网路传送到他方，抢在受害者刷卡之前使用接收到的token 卡号交易是可行的" : "因为消费者常常在等待刷卡时就先开启 MST 晃啊晃的" : "从 MST '背後'的角度收到的讯号最强最远" 即便你说的"理论"是这样，你以为NFC感应跟晶片插卡就0风险吗XD? 更别说原本的内文是在说店员不给刷三星PAY，你也可以断定店家就是怕磁条的风险... 磁条的风险当然比晶片跟感应来的高， 但是三星PAY又不是仅支援MST阿..他是「比其他两大PAY」多了一项MST的消费选择.. 懂吗XD 至於店员不给刷是因为怕骇客、怕盗刷、怕伪卡.. 我只觉得「你偏见太重了」.. : MST NFC : 卡号 明码 明码 : 验证卡片合法 无 公钥签章 : 验证卡号合法 token token : 侧录讯号 2M 4~10cm : 侧录资料 : 交易可行性 Y ? --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.162.45.239 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobilePay/M.1528305439.A.B50.html 所以这串文原本的内容就是"他住在偏乡地区只有磁条式刷卡机被拒绝刷" 有NFC的刷卡机三大PAY都能用感应，但遇到MST传统刷卡机时，三星PAY就是能刷而已~ 同时，你这内容应该就是前一篇文章内提到的差不多，且时间点都是在2016年! 安全性一直都会修正补洞而现在已经是2018年6月了。 骇客只要有心各种安全都能破、就像icloud被骇客破解窃取照片的事件一样。 你是说谁在硬凹? 所以我有说这是沟通端的应对阿~ 但..该版友就拿有的没的来说嘴(摊手) 查一下关键字也跳出Apple Pay被盗刷的新闻 http://news.ltn.com.tw/news/world/breakingnews/2169048 是真是假各位自行判断，该篇文章是在2017年8月。 === 有关该名版友提出的SP破解一事，也有网页做出完整的解释 https://kknews.cc/zh-tw/tech/p4mxqrj.html 再次证实该名版友就只是看到影子就开枪而已XD 总之骇客有心要骇+盗刷没什麽办不到的，跟本串原文原PO遇到店家不给刷的理由 不同。 但该名版友铁了心就是找了各种资料来歪楼，哈~ 那就是歪国人消费者与店家之间沟通的问题了。 毕竟消费者不是坏人就不是坏人，有意图之人就是有意图之人。 而不是以偏概全+自我认定一定是某种理由而拒绝~ 黑对啦，先把话题带歪，再来攻击对方的不是。 然後就可以把矛头指向反应者、而不是带歪者? 你没有感受到他的攻击? 我有感受到所以我发文纠正他的偏颇资讯~~ 因为他的认为就是因为怕骇客所以店家不给刷，同时代向Samsung Pay MST多麽的遭， 还特地找资料为自己的逻辑辩解。 可惜事实并非他想酸的那样。 你是不是没看到原文写的内容XD 原本就只是很正常的店家不理解行动支付竟然可以这样刷而拒绝，因为大家知道的 Apple Pay只能NFC感应支付。 甚至有店家还在认为自己要有POS系统才能用行动支付，这又是另一个不懂的真实案例。 而不是该版友内心对三星的不满转而攻击行动支付的不是... ※ 编辑: supermars (36.228.107.201), 06/07/2018 14:09:23