Perché i servizi web popolari non mascherano il CVV?

32

I servizi web più popolari come PayPal, Google Wallet e altri non mascherano i numeri CVV, ad esempio: ( <input type="password"> ).

Come ho letto, il CVV è una funzionalità di sicurezza e sembra logico nasconderlo per nasconderlo da occhi indiscreti. Ma non ho visto nessun servizio web che maschera questo input.

    
posta Paul Annekov 30.03.2015 - 17:05
fonte

3 risposte

55

Risposta più probabile:

  • Non devono (non è un requisito PCI)
  • È meglio nell'interfaccia utente / supporto

Teniamo questo in prospettiva. Questo è il numero stampato sul retro della carta, proprio dove i cassieri con salario minimo sono incaricati di ispezionare visivamente durante l'esecuzione di una transazione POS. Il segreto assoluto degli astanti non è chiaramente il controllo previsto per il CSC !

Prestare attenzione piuttosto ai controlli aggressivi che PCI DSS impone per assicurarsi che non venga mai memorizzato da nessuno nella catena di elaborazione. Non si preoccupano dei twinies che si fanno surf sulla spalla, si preoccupano delle persone che rubano i database delle carte di credito anche con il CSC.

    
risposta data 30.03.2015 - 21:09
fonte
38

In primo luogo, è importante capire che la sicurezza non è binaria. Non è un concetto "on" o "off", ma un continuo o opzioni di gestione del rischio, e ogni decisione ha un costo. O il costo aggiuntivo dei controlli o della mitigazione mentre ci si sposta verso la parte "sicura" dello spettro, o il costo dello sfruttamento quando si accetta più rischi verso la fine "insicura".

Non c'è da nessuna parte questo è più vero e più evidente che nei sistemi che si occupano di carte di credito. Quando un'entità che si occupa di carte di credito prende una decisione sul rischio, vi è un compromesso tra l'accettazione del costo delle frodi quando il sistema è meno sicuro e l'accettazione del costo delle mancate entrate quando il sistema è più sicuro, poiché gli utenti sono impediti dall'effettuare transazioni legittime, sia perché il sistema non le consente, sia perché diventa più difficile da utilizzare.

Quindi, in qualsiasi sistema come questo, quando hai una domanda sul perché qualcosa non sembra sicuro come potrebbe essere, è generalmente sicuro che la risposta sia dovuta al costo della frode dovuta alla scelta in questione è inferiore al costo delle transazioni perse per l'alternativa più sicura. È incredibilmente critico per le vendite che i sistemi siano il più semplici possibile da usare, e anche piccole modifiche all'usabilità possono avere un drastico effetto sul numero di transazioni che vengono abbandonate e mai completate.

Per l'aspetto specifico nella tua domanda, perché non mascherano i CVV? Mi sembra che l'opportunità di ulteriori frodi qui sia piuttosto bassa, in quanto il CVV è solo uno dei pezzi di dati di cui avresti bisogno per commettere frodi, e il mascheramento riguarderebbe solo il più piccolo sottoinsieme di casi in cui un l'attore malintenzionato aveva richiesto tutti i dati tranne il CVV, ma poteva solo visualizzare il CVV sullo schermo e non dalla scheda stessa, o dalla tastiera mentre veniva inserita. Sospetto che il rischio aggiuntivo per gli utenti frustranti che entrano nel CVV in modo errato e non sia in grado di dirlo mentre è ancora piccolo, è significativamente più alto.

    
risposta data 30.03.2015 - 21:02
fonte
4

Se pensi all'utilizzo "previsto", il CVV si suppone semplicemente che tu abbia fisicamente la carta (quindi tu può vedere entrambi i lati).

Con quel punto di partenza, l'utente digiterà il numero della carta da un lato, quindi capovolgerà e digiterà il CVV.

Apprezzo che molte persone abbiano memorizzato il CVV e / o il numero di 16 cifre, quindi l'ipotesi di cui sopra potrebbe non essere valida, ma l'aspettativa è che avranno la carta visibile per copiare il numero (a differenza di un PIN o password che dovrebbe essere memorizzata nella loro testa), in modo che anche il surfista potrebbe vedere il CVV senza molto sforzo.

Per la mia carta "più usata", le 16 cifre sono piuttosto difficili da leggere sul davanti, il CVV è più facile da leggere a distanza.

    
risposta data 31.03.2015 - 11:56
fonte

Leggi altre domande sui tag