Přejít na hlavní obsah

Odpozorovat PIN platební karty není tak složité

AnotaceMatyasBezpečností čipových platebních karet a dalšími tématy týkajícími se autorizace elektronických transakcí a autentizace uživatelů v počítačových systémech se ve své nové knize zabývají pracovníci Fakulty informatiky. Vedoucím autorského týmu je přední odborník na aplikovanou kryptografii a bezpečnost doc. Václav Matyáš z katedry počítačových systémů a komunikací. Bezpečností různých autentizačních metod se zabývají na fakultě už od konce 90. let minulého století.

Na začátku roku 2003 byla v Česku představena první čipová karta, která měla nahradit karty s magnetickým proužkem, a platby kartami se tak měly stát bezpečnějšími. Jsou opravdu čipové karty bezpečnější?

Data v čipu na kartě je možné na rozdíl od magnetického proužku jen velmi těžko vyčíst, a jejich zkopírování tak není jednoduché. Magnetický proužek můžete načíst během krátké chvilky, odeslat data do zahraničí, kde vám s ní jiní mohou bez problémů platit. U čipové karty je navíc k provedení transakce třeba znát PIN, nestačí jen podpis. V případě umístění čipu do karty tedy o zvýšení bezpečnosti určitě jde. Došli jsme ale k tomu, že celý další systém počínaje čtecím zařízením – které pokud je nekryté, je možné PIN snadno odpozorovat – přes způsob ověřování, konče systémem bank zase tak dramatické zvýšení bezpečnosti neznamená.

Se svým týmem doktorandů jste provedl experiment, jehož cílem bylo zjistit, jaká jsou rizika při zadávání PINu a především jak lehce je možné PIN odpozorovat.
Ano, experiment vznikl z diskuzí na univerzitě v Cambridge před čtyřmi lety. V té době se v Británii začínalo se zaváděním čipových karet a my jsme diskutovali o tom, jestli je bezpečnější platit kartou s podpisem nebo s PINem. Náš vlastní experiment na fakultě začal před dvěma lety a měl dvě fáze. Týmy sestavené z našich studentů se snažily odpozorovat PIN, který zákazníci zadávali při placení čipovou kartou v jednom z největších brněnských hypermarketů. V další části se pokoušeli při placení kartou napodobit podpis držitele karty a kartou tak zaplatit, aniž by byla jejich.

„V případě umístění čipu do karty o zvýšení bezpečnosti jde. Celý další systém zase tak dramatické zvýšení bezpečnosti neznamená,“ říká Václav Matyáš z FI. Foto: Petra Nováková.
„V případě umístění čipu do karty o zvýšení bezpečnosti jde. Celý další systém zase tak dramatické zvýšení bezpečnosti neznamená,“ říká Václav Matyáš z FI. Foto: Petra Nováková.

K jakým výsledkům jste došli?
Odpozorovat PIN jsme byli schopni i ve více než polovině případů, a to šlo v našem případě o neškolené pozorovatele – o studenty informatiky, tedy ne o „profesionály“. Někdy záleží hodně na typu zařízení, do nějž zadáváte PIN, takzvaném PINpadu. Některé z nich nejsou opatřeny krytem, takže pro lidi stojící za vámi u pokladny v přeplněném obchodě je možné odpozorovat PIN, který zadáváte, velmi jednoduše.
U napodobení podpisu se ukázalo, že velmi záleží na poctivosti kontroly pracovníkem daného obchodu. Nejde jen o kontrolu podpisu samotného, obchodník by měl také sledovat chování zákazníka platícího kartou, a to zvláště při placení vysokých částek. V hypermarketu se totiž ukázalo, že prodavači by falešný podpis odhalili v minimálním počtu případů, a to jak u desetikorunových nákupů, tak i u transakcí v řádech tisíců.  

Na co bychom si tedy při placení kartou měli vždycky dávat pozor?
Z hlediska bezpečnosti má smysl pořídit si více karet a každou používat pro specifický účel a pro ostatní účely ji blokovat. Dobré je mít také zvláštní kartu pro platby na internetu. Důležité je podepsat dobrou smlouvu k platební kartě a případně si zařídit výhodné pojištění proti ztrátě. Dobré je vybrat si banku, která vám ihned po ztrátě zablokuje kartu. Některé banky vám totiž blokaci garantují například až od půlnoci nebo až od 24 hodin po ztrátě, což je dlouhá doba při případném zneužití.

Pracujete na vývoji nového speciálního zařízení, které by umožnilo bezpečnější platby.
Spolupracujeme s nejmenovanou firmou na projektu, který řeší to, jak se k užívání platebních systémů přistupuje. Námi vyvíjené zařízení by nenechávalo kontrolu na bance nebo obchodníkovi či na počítači, v němž se může vyskytnout škodlivý software, ale ponechalo by kontrolu co nejvíce v rukou klienta. Řešíme tím tedy problém nedůvěryhodnosti prostředí. Při placení kartou v obchodě se vám totiž také může stát, že schválíte vyšší částku, než se vám objeví na displeji PINpadu. V případě využití našeho zařízení bychom mohli kontrolovat komunikaci mezi svou čipovou kartou a počítačem nebo platebním terminálem sami. Jako nejpravděpodobnější vidím, že by zařízení mohlo být integrované do mobilu. Prozatím existují podobná zařízení ve formě „kalkulaček“, které se využívají pouze při přihlašování a jednoduchých operacích, ale složitější platební a jiné transakce nepodporují.

Katedra počítačových systémů a komunikací FI
Hlavními oblastmi působení katedry jsou kryptografie, bezpečnost počítačových systémů a práva, biometriky, autentizační protokoly a čipové karty. Katedra zajišťuje výuku v oblastech programování, operačních systémů, počítačových sítí, databází a informačních systémů, softwarového inženýrství a dalších.

Hlavní novinky