Visa payWave и MasterCard PayPass имеют похожее описание - карта оснащена антенной, с помощью которой она разговаривает с терминалом. Для небольших покупок (что-то вроде менее 50 долларов) транзакция авторизуется, поднося карту близко (что-то вроде не более чем на два дюйма) к терминалу.
Что, если моя карта окажется в кармане, и кто-то приблизится ко мне в толпе с мошенническим устройством, ведущим себя как терминал? Что, если я потеряю свою карту, и кто-то поднимет ее и использует для множества мелких покупок? Каким образом тот факт, что карта находится рядом с терминалом, является единственным требованием для транзакции, и никакое другое участие предъявителя карты не требуется для авторизации адресованной транзакции?
Они не. По сути, за исключением данных, передаваемых с помощью чипа RFID , защита точно такая же, как и на вашей магнитной полосе: НЕТ .
Но вы пометили это как "чип-карта". Не путайте, чип-карта - это другое. Чип-карты используются в Европе и во многих других местах, где конфиденциальность и безопасность имеют большое значение для людей. Этот тип карт очень безопасен и очень хорошо защищен . Чип на карте на самом деле представляет собой процессор смарт-карт , который передает зашифрованные данные, которые можно использовать только с пин-кодом, который вы вводите отдельно. Кража карты или копирование данных на чипе, даже если это возможно, не дает ничего полезного для вора, точно так же, как кража вашей карты банкомата без знания ее пин-кода делает ее совершенно бесполезной. Во многих местах в Европе не принимают американские карты только с магнитной полосой.
Но многие карты обеспечивают защиту с нулевой ответственностью, и вы всегда можете оспорить мошеннические платежи. Итак, пусть розничные торговцы понесут ущерб от ненадежной американской банковской системы, и, может быть, они подтолкнут банки к переходу на европейскую систему чиповых карт.
С технической точки зрения есть две основные версии бесконтактных платежных карт - для MasterCard это PayPass M/Chip и PayPass MagStripe. Я считаю, что версия Mag Stripe может использоваться только в США, где меньше чиповых карт, а M/Chip используется на картах с чипами EMV. ( ссылка )
Я считаю, что текущие версии PayPass M/Chip выполняют криптографию на чипе и создают динамические хэши, что означает, что транзакции не могут быть воспроизведены. Это значение называется CVC3 и может быть статическим или вычисляться динамически в зависимости от вашего эмитента. ( ссылка ) Я думаю, что динамическая сейчас более распространена, но я не эксперт. Естественно, только динамически сгенерированные значения CVC3 не могут быть воспроизведены.
Я слышал, что многие люди задают вопрос о ком-то в толпе с терминалом PayPass. Я не могу поверить, что какой-либо продавец позволил бы этому случиться, потому что MasterCard, VISA и, возможно, их банк были бы очень, очень расстроены и быстро закрыли бы продавца. Поскольку мошенничество совершается продавцом, а не покупателем, я думаю, что оно будет быстро обнаружено и остановлено. Может быть, я наивен, но мне кажется, что это ужасный метод мошенничества.
С банковской точки зрения, по крайней мере в Австралии, при условии, что вы сообщаете о своей карте как об утерянной или украденной, ваша ответственность ограничивается некоторой номинальной суммой (я не юрист, проконсультируйтесь в своем банке). Суммы транзакций здесь ограничены 100 долларами. Я предполагаю, что банки / MasterCard / VISA просчитали цифры и все еще считают, что возможность большего количества транзакций и связанных с ними комиссий перевешивает риски.
Кроме того, теперь мы также видим, что транзакции VISA на небольшие суммы не требуют PIN-кода или подписи, поэтому такая проблема теперь существует для транзакций без оплаты.
Несмотря на все это, я почти уверен, что VISA и MasterCard в какой-то момент потребуют включения PayPass/Paywave во вновь выпущенные карты.
Не смешивайте безопасность с RFID. Контактная чип-карта НЕ более или менее безопасна, чем бесконтактная. Вы должны думать об этом как о транспортном уровне, который никоим образом не защищен. Безопасность находится в другом месте: протокол, криптография, ключи и т. д.
Бесконтактные карты EMV (которые к настоящему времени должны включать почти все вновь выпущенные карты) используют автономный счетчик транзакций для повышения безопасности. Этот счетчик поддерживается внутри карты и увеличивается каждый раз, когда карта подтверждает бесконтактную транзакцию.
По крайней мере, некоторые эмитенты используют этот счетчик, чтобы ограничить количество бесконтактных транзакций, прежде чем карта должна быть использована для контактной транзакции, которая обычно требует проверки держателя карты путем ввода PIN-кода или подписи.
Это ограничивает риск до количества разрешенных бесконтактных транзакций, умноженных на максимальную сумму за транзакцию.
Я считаю, что у контакта действительно есть один способ, который по своей сути является более безопасным. Карта должна войти в считывающее устройство. Что, если бы вор мог вытащить деньги из вашего кошелька, просто поднеся руку к вашему карману? Кажется, что без надлежащей реализации PDOL это возможно.
Элли Кессельман
острозубый
Элли Кессельман