Как Visa payWave и MasterCard PayPass защищены от несанкционированного использования?

Visa payWave и MasterCard PayPass имеют похожее описание - карта оснащена антенной, с помощью которой она разговаривает с терминалом. Для небольших покупок (что-то вроде менее 50 долларов) транзакция авторизуется, поднося карту близко (что-то вроде не более чем на два дюйма) к терминалу.

Что, если моя карта окажется в кармане, и кто-то приблизится ко мне в толпе с мошенническим устройством, ведущим себя как терминал? Что, если я потеряю свою карту, и кто-то поднимет ее и использует для множества мелких покупок? Каким образом тот факт, что карта находится рядом с терминалом, является единственным требованием для транзакции, и никакое другое участие предъявителя карты не требуется для авторизации адресованной транзакции?

См. соответствующий вопрос о безопасности чип-карт типа RFID (также называемого EMV) в большей степени, чем смарт-карты: money.stackexchange.com/questions/1080/… Я не уверен, касается ли этот вопрос чип-карт с тегами или не совсем...?
@Feral Oink: я никогда не видел payWave или PayPass без чипа, и обе платежные системы утверждают, что они использовали жесткую криптографию, и для этого в любом случае потребуется чип.
Я думал, что понял, как это работает, и теперь я еще больше запутался, чем раньше! Я прочитал то, что вы только что сказали, и из других источников.

Ответы (5)

Они не. По сути, за исключением данных, передаваемых с помощью чипа RFID , защита точно такая же, как и на вашей магнитной полосе: НЕТ .

Но вы пометили это как "чип-карта". Не путайте, чип-карта - это другое. Чип-карты используются в Европе и во многих других местах, где конфиденциальность и безопасность имеют большое значение для людей. Этот тип карт очень безопасен и очень хорошо защищен . Чип на карте на самом деле представляет собой процессор смарт-карт , который передает зашифрованные данные, которые можно использовать только с пин-кодом, который вы вводите отдельно. Кража карты или копирование данных на чипе, даже если это возможно, не дает ничего полезного для вора, точно так же, как кража вашей карты банкомата без знания ее пин-кода делает ее совершенно бесполезной. Во многих местах в Европе не принимают американские карты только с магнитной полосой.

Но многие карты обеспечивают защиту с нулевой ответственностью, и вы всегда можете оспорить мошеннические платежи. Итак, пусть розничные торговцы понесут ущерб от ненадежной американской банковской системы, и, может быть, они подтолкнут банки к переходу на европейскую систему чиповых карт.

Я всегда втайне надеялся, что такая беспроводная карта будет смарт-картой с микропроцессором, работающим по криптографически зашифрованному протоколу в эфире, так что, хотя кто-то может подслушать сигнал, он все равно не сможет «прочитать» карту и не сможет воспроизвести протокол, потому что протокол использует одноразовые вызовы (одноразовые номера).
Можете ли вы подкрепить заявление об отсутствии защиты связи RFID ссылкой? Потому что я думал, что Острозуб был прав.
Считыватели @DJClayworth RFID находятся в свободном доступе и довольно дешевы. Я уверен, что вы можете найти достаточно ссылок с помощью простого поиска в Google. В то время как считыватели смарт-карт также довольно дешевы, сами смарт-карты дороги, и их очень сложно реконструировать, определенно не на лету, пока у вас есть карта в заднем кармане. Они имеют собственную обработку и обеспечивают дополнительную безопасность за счет шифрования с открытым и закрытым ключом в дополнение к PIN-коду. Таким образом, даже без считывателей мозга для получения PIN-кода смарт-карты гораздо сложнее подделать, чем RFID-устройства (которые не имеют обработки).
Устройства @sharptooth RFID не имеют возможности обработки, поскольку у них нет источника питания. Ответ RFID передается за счет энергии считывателя (кассового аппарата), поэтому карту нужно подносить очень близко к нему. То, что вы описываете, делается на смарт-картах и ​​требует дополнительного источника питания. Поскольку вы вряд ли прикрепите Duracell к своей кредитной карте, смарт-карты требуют физического контакта со считывателями.
@littleadv: Беспроводные смарт-карты имеют источник питания — это система индукционного питания, использующая антенну и питаемая магнитным полем считывателя.
@sharptooth - ты снова путаешь термины. Чипы RFID не являются смарт-картами. У них нет никакой вычислительной мощности. Они используют электрическую энергию, полученную от магнитного поля считывателя, для односторонней передачи предварительно записанного постоянного фрагмента данных. Это точно так же, как использовать вашу карточку сотрудника, чтобы открыть дверь, пропустив ее мимо считывателя. Тот же тип чипа и тот же тип операции. Ничего умного там нет. «Смарт-карта» — это название карты, внутри которой находится процессор , которая поддерживает двустороннюю связь и выполняет собственную обработку данных.
@littleadv: Хорошо, вы заявляете, что «беспроводная» карта Visa/MC не имеет процессора для запуска криптографического протокола?
@littleadv - Вы в чем-то правы - RFID-чип ссылается на базу данных, содержащую информацию о карте. Так что просто получить информацию от RFID-чипа недостаточно. Тем не менее, злоумышленнику легко получить учетную запись для использования этой информации, но гораздо сложнее получить от нее прибыль. Но возможна атака в стиле Anonymous, когда они создают фиктивные транзакции для лолзов .
@Chad - RFID-карты подвержены классической атаке «Человек посередине», точно так же, как и магнитные полосы.
@sharptooth да, я об этом и говорю. Данные, передаваемые картой, могут быть уже зашифрованы, но зашифрованы они при записи на нее, а не самой картой. Основное различие между смарт-картой и чипами RFID заключается в том, что смарт-карта выдает разную информацию при каждом считывании, а RFID предоставляет постоянную информацию. Таким образом, не имеет значения, зашифровано оно или нет, его можно просто скопировать и повторно передать как есть.
@littleadv - они есть, но фактическая информация об учетной записи находится в базе данных, а не на магнитной полосе, на которой все аккуратно закодировано и готово к использованию. Вам нужно будет получить информацию от RFID. Затем запросите базу данных, чтобы получить необработанную информацию о карте.
@Chad - не имеет значения, где находится фактическая информация, если вы можете обмануть читателя, заставив его думать, что вы держите настоящую карту. Если вы идете за покупками - вам все равно, лишь бы пройти мимо кассы.
Имейте в виду, я изменил тег «бесконтактный платеж», пока он был здесь.
@littleadv payWave и PayPass используют смарт-карты, а не простые RFID-метки. Они содержат постоянную память и ЦП для выполнения криптографических операций с данными транзакций. Пока есть атаки на некоторые бесконтактные схемы, просто скопировать карту не получится.

С технической точки зрения есть две основные версии бесконтактных платежных карт - для MasterCard это PayPass M/Chip и PayPass MagStripe. Я считаю, что версия Mag Stripe может использоваться только в США, где меньше чиповых карт, а M/Chip используется на картах с чипами EMV. ( ссылка )

Я считаю, что текущие версии PayPass M/Chip выполняют криптографию на чипе и создают динамические хэши, что означает, что транзакции не могут быть воспроизведены. Это значение называется CVC3 и может быть статическим или вычисляться динамически в зависимости от вашего эмитента. ( ссылка ) Я думаю, что динамическая сейчас более распространена, но я не эксперт. Естественно, только динамически сгенерированные значения CVC3 не могут быть воспроизведены.

Я слышал, что многие люди задают вопрос о ком-то в толпе с терминалом PayPass. Я не могу поверить, что какой-либо продавец позволил бы этому случиться, потому что MasterCard, VISA и, возможно, их банк были бы очень, очень расстроены и быстро закрыли бы продавца. Поскольку мошенничество совершается продавцом, а не покупателем, я думаю, что оно будет быстро обнаружено и остановлено. Может быть, я наивен, но мне кажется, что это ужасный метод мошенничества.

С банковской точки зрения, по крайней мере в Австралии, при условии, что вы сообщаете о своей карте как об утерянной или украденной, ваша ответственность ограничивается некоторой номинальной суммой (я не юрист, проконсультируйтесь в своем банке). Суммы транзакций здесь ограничены 100 долларами. Я предполагаю, что банки / MasterCard / VISA просчитали цифры и все еще считают, что возможность большего количества транзакций и связанных с ними комиссий перевешивает риски.

Кроме того, теперь мы также видим, что транзакции VISA на небольшие суммы не требуют PIN-кода или подписи, поэтому такая проблема теперь существует для транзакций без оплаты.

Несмотря на все это, я почти уверен, что VISA и MasterCard в какой-то момент потребуют включения PayPass/Paywave во вновь выпущенные карты.

Не смешивайте безопасность с RFID. Контактная чип-карта НЕ более или менее безопасна, чем бесконтактная. Вы должны думать об этом как о транспортном уровне, который никоим образом не защищен. Безопасность находится в другом месте: протокол, криптография, ключи и т. д.

Бесконтактные карты EMV (которые к настоящему времени должны включать почти все вновь выпущенные карты) используют автономный счетчик транзакций для повышения безопасности. Этот счетчик поддерживается внутри карты и увеличивается каждый раз, когда карта подтверждает бесконтактную транзакцию.

По крайней мере, некоторые эмитенты используют этот счетчик, чтобы ограничить количество бесконтактных транзакций, прежде чем карта должна быть использована для контактной транзакции, которая обычно требует проверки держателя карты путем ввода PIN-кода или подписи.

Это ограничивает риск до количества разрешенных бесконтактных транзакций, умноженных на максимальную сумму за транзакцию.

Я считаю, что у контакта действительно есть один способ, который по своей сути является более безопасным. Карта должна войти в считывающее устройство. Что, если бы вор мог вытащить деньги из вашего кошелька, просто поднеся руку к вашему карману? Кажется, что без надлежащей реализации PDOL это возможно.

Я думал, что RFID похож на ближнее поле, то есть просто рядом со мной. Есть виды не такие?
Как Visa payWave и MasterCard PayPass защищены от несанкционированного использования?
СпросиСетьПолитика конфиденциальности1y, 0v