In una transazione "carta non presente", il numero della carta di credito, la data di scadenza e il CVV sono considerati "Cosa hai" o "Cosa sai"?

Un requisito per l'autenticazione basata su "ciò che hai" è che la proprietà può essere chiaramente assegnata a una singola entità specifica. Questo significa specificamente che questa informazione / dispositivo non può essere (facilmente) clonata e che l'accesso alle informazioni richiede l'accesso al dispositivo originale.

Ma numero di credito, CVV e amp; la data di scadenza sono informazioni statiche che possono essere facilmente clonate. Una volta che hai inserito queste informazioni da qualche parte, non sono più ciò che solo tu hai. Pertanto non possono essere utilizzati come autenticazione "what (only) you". Le password monouso (OTP) sono diverse. Come suggerisce il nome, queste sono una volta e non possono essere riutilizzate, quindi l'accesso a uno specifico OTP già usato non è di alcuna utilità per l'attaccante. Invece, è necessario avere accesso al dispositivo che genera l'OTP, ad esempio "cosa (solo) si ha".

Nel caso della carta di credito: quando paghi o ottieni denaro usando la funzionalità Chip and Pin ( EMV ) usi la parte non identificabile della carta, cioè la parte "che solo tu hai". Se invece usi solo la vecchia banda magnetica o le informazioni scritte sulla carta (numero, CVV ...) tratti informazioni facilmente clonabili. Ciò significa che questa informazione è "ciò che hai e anche altri potrebbero averlo" e quindi non può essere utilizzato per dimostrare la proprietà della carta.

Il numero scritto sul retro è in realtà il CV2. È progettato per essere "qualcosa che hai" perché è fisicamente stampato sulla carta ma non codificato sulla banda magnetica o nel chip. È inoltre vietato dalle regole dei processori di carte di qualsiasi commerciante di memorizzare il valore CV2.

Ovviamente in realtà non prova necessariamente l'accesso fisico alla carta in quanto il numero può essere copiato, annotato o memorizzato elettronicamente anche se è contrario alle regole; e chiunque cerchi di frode è per definizione che non giocherà secondo le regole.

Per contro il PAN e la data di scadenza sono "qualcosa che conosci" e in effetti questi valori possono essere dati in qualche caso dall'emittente della carta alle parti interessate.

1. Tutte le informazioni dovrebbero essere più o meno segrete, incluso il numero della carta, il PIN, ecc. Anche il nome del titolare della carta.
2. Nessuna statica (ovvero, utilizzabile più di una volta) le informazioni possono essere considerate "ciò che hai", sono tutte "ciò che sai".
3. "quello che hai" potrebbe essere solo qualcosa di fisico che non è facile da duplicare. La prova di avere ciò che hai è solitamente una password generata da un tempo usando questo oggetto fisico. Esempi:
   • un'indicazione di un token hardware (prova di avere il token)
   • una comunicazione con elemento sicuro, chip (prova di avere una chip card in un lettore)
   • una sola password generata sul lato server e consegnata tramite canale laterale (prova di avere accesso a quel canale). In 3d-secure l'oggetto è il tuo telefono cellulare (la tua scheda SIM, per essere precisi) che ti dà accesso al canale (il tuo numero di telefono). Il canale è ragionevolmente sicuro e l'accesso ad esso è ragionevolmente limitato, quindi si può presumere che l'accesso al canale per leggere l'unica password sia sufficiente per provare che si dispone fisicamente della scheda SIM.

Ora, per avere 2 fattori devi conoscere entrambi i segreti E dimostrare il tuo recente accesso all'oggetto fisico. La parte "recente" può essere implementata in molti modi, ad esempio dal token con l'orologio interno che cambia l'indicazione ogni pochi secondi o tramite il meccanismo di risposta alla sfida.

In definitiva si può dire che anche l'oggetto fisico è solo informazione: le chiavi segrete codificate in chip. Ma in sicurezza la differenza tra informazione e oggetto è che l'informazione può essere facilmente copiata, mentre un oggetto non può. Fatto divertente: le chiavi di casa sono più informazioni che oggetti, dato che è abbastanza facile crearne una copia.

Se vuoi fare solo transazioni MOTO, la carta non ha nemmeno bisogno di esistere fisicamente. Ci sono esempi di banche che emettono "carte virtuali" solo per uso di Internet, e quelle "carte" sono solo un gruppo di lettere stampate su un foglio: numero di carta, data di scadenza, nome del titolare della carta, ecc. Perché non dovrebbero essere utilizzato nel lettore di schede, non è necessario né utilizzato per nastri magnetici, chip o lettere in rilievo.

I rivenditori hanno diverse relazioni con il fornitore di carte per transazioni "non presenti". La loro responsabilità e i costi di transazione sono generalmente più alti. Questo perché le transazioni non presenti sulla carta sono (ovviamente) molto più soggette a frodi rispetto alle carte presenti, specialmente con Chip e PIN.

Questo è il motivo per cui i rivenditori online consegnano spesso al tuo indirizzo registrato solo al primo ordine; o sarà limitato in quantità; o essere limitato alle transazioni in cui ti incontreranno ad un certo punto (ad esempio prenotazioni di biglietti).

In sostanza, poiché è facile ottenere segreti, i rivenditori devono scegliere se correre il rischio e attenuare tale rischio in qualsiasi modo si adatti al loro ambiente di trading.