Visa PayWave è sicuro?

17

Recentemente (beh, qualche mese o anche un anno fa), la mia banca, qui in Australia, ha introdotto questa tecnologia PayWave sulle sue carte di debito Visa. Dicono che è sicuro, ma tutti parlano delle loro politiche, che richiedono di notare che c'è un problema (dal website ):

Visa payWave-enabled cards are backed by Visa's Zero Liability Policy1 and are as secure as any other Visa chip card. They carry the same multiple layers of security, which ensures that you are not responsible for fraudulent or unauthorised transactions.

Ovviamente non ha lo stesso livello di sicurezza, in quanto non è necessario utilizzare il PIN o la firma. Beh, per gli acquisti sotto i $ 100, ma anche questo è un sacco di soldi per alcune persone (qualsiasi importo è molto per me), quindi è un po 'strano dire che sotto c'è un acquisto "di basso valore" per chiunque . Se un senzatetto ha trovato / rubato la mia carta, non li vedo comprare qualcosa sopra questo.

Qualcuno con cui stavo parlando ha persino suggerito che una persona potrebbe camminare per strada con una di queste macchine PayWave nella borsa, e sbatterla contro le borse di altre persone nella speranza di trovare una scheda compatibile.

Sembra che stiano sacrificando la sicurezza per convenienza e sottovalutando l'ingenuità dei ladri. Non riesco a trovare alcuna informazione che non sia pubblicitaria o altrimenti di parte, e non ho alcuna esperienza in questo campo per distinguere tra una preoccupazione legittima e la paranoia. Visa PayWave è sicuro come afferma?

    
posta AlbeyAmakiir 21.11.2012 - 23:32
fonte

4 risposte

10

Il segreto della sicurezza delle transazioni con carta di credito è che per legge (in molte giurisdizioni) l'emittente della carta è responsabile di transazioni fraudolente dopo un certo limite, non il titolare della carta. Dal momento che già assumono la maggior parte della responsabilità, la maggior parte (tutti?) Fa semplicemente il salto per dire che il titolare della carta non è responsabile in nessuna circostanza per frode.

Ciò significa che la sicurezza delle carte è semplicemente un compromesso costi-benefici per l'emittente. Vale la pena il costo per l'emittente di cancellare una certa quantità di frode se in cambio ottengono un ritorno ragionevole per la politica. Da qui il limite di $ 100; Visa è fiducioso che all'interno di tale intervallo, possano rilevare le frodi in modo abbastanza affidabile da far valere la pena rimuovere alcune misure di sicurezza.

Pertanto, indipendentemente dal fatto che sia sicuro o meno è il loro problema, non il tuo. Ovviamente devi segnalare transazioni sospette. Ciò rende una cattiva idea mantenere aperto un account che non controlli. Ma è sempre stato così.

Questo è davvero il modo in cui dovrebbe essere. Se la parte responsabile della sicurezza è quella nella posizione migliore per implementarla, allora il livello di sicurezza che si tende tende ad essere appropriato per il valore della cosa che viene protetta.

    
risposta data 22.11.2012 - 07:24
fonte
9

I produttori di carte di credito Visa e altri utilizzano lo standard EMV per autenticare le transazioni con carta di credito / debito. L'articolo Wiki lo spiega meglio di me, ma questo è un argomento molto tecnico - ci vorrà del tempo per leggere e capire.

Dovresti anche vedere le risposte a simili domande su NFC / RFID / EMV.

In sostanza, gli attacchi di clonazione dimostrati ti portano una singola transazione entro il limite senza PIN (da $ 80 a $ 100 nella maggior parte dei casi). Ci sono probabilmente delle difficoltà significative nella gestione della guerra (NFC-guerra?) Tra la popolazione generale - meno di tutto viene pagato senza essere catturato. AFAIK nessuno ha dimostrato la possibilità di clonare un terminale di pagamento.

E infine - scambiamo sempre la sicurezza per comodità. Hai due serrature sulla tua porta di casa? Tre? Otto? Camminate in un'imbottitura protettiva? Indossi un giubbotto antiproiettile a scuola?

Il compromesso qui è una riduzione del tempo di transazione da ~ 15 secondi a ~ 2 secondi. Aggiungilo a milioni di persone e migliaia di miliardi di transazioni e stai cercando risparmi di tempo significativi. Vale la pena rischiare ulteriormente? Gli emittenti delle carte sembrano pensarla così e hanno promesso pubblicamente di rimborsare i clienti per le perdite causate da problemi di sicurezza.

    
risposta data 22.11.2012 - 01:42
fonte
3

Questo è un documento di marketing, con alcune parole di donnola:

They carry the same multiple layers of security

Ciò che intendono è questo:

  • Le carte contactless hanno lo stesso livello di resistenza alla manomissione attorno al chip come carte a contatto diretto.
  • I protocolli di comunicazione a livello di dati ( EMV ) sono gli stessi per entrambe le interfacce fisiche.

Ciò che stanno tralasciando è:

  • Se è possibile effettuare una transazione senza digitare un PIN, chiunque può spostarsi con un terminale portatile (ad esempio uno smartphone con NFC e software e chiavi appropriati, o un terminale emesso da una banca) e avviare una transazione.

È la combinazione di consentire transazioni con un singolo fattore di autenticazione (essendo in prossimità del dispositivo fisico) e che il fattore di autenticazione sia debole (non è nemmeno quello che si ha, ma ciò che è vicino), che introduce una significativa debolezza.

In effetti, con PayWave, o qualsiasi altro schema che riduce allo stesso modo l'autenticazione della forza per comodità, l'onere è su di voi per contestare eventuali addebiti. A seconda della giurisprudenza nel vostro paese, potrebbe essere facile o difficile contestare le spese (gli Stati Uniti sono piuttosto favorevoli al consumatore in questo senso, le banche hanno molto più influenza nei paesi europei).

Prima di restituire la tua carta con rabbia, considera che solo avendo una carta di credito, stai già assumendo un rischio maggiore. La tua carta di credito può essere utilizzata online da qualcuno che non è mai stato fisicamente vicino: basta trovare il numero di 16 cifre e (per la maggior parte ma non tutti i commercianti) la data di scadenza e il 3- o il 4- numero di cifre che si trovano nei database di tutti i commercianti da cui sono stati effettuati gli acquisti (non sono tenuti a memorizzarli, ma molti lo fanno). Effettuare già acquisti con una carta di credito non richiede la fornitura di dati veramente riservati come un PIN; i pagamenti senza contatto non sono nuovi in questo senso.

    
risposta data 22.11.2012 - 21:16
fonte
1

PayWave è una tecnologia di comunicazione near field ed è quasi sicuro come la morale di un confratello. Per la stragrande maggioranza delle transazioni andrà bene, ma è ancora un rischio enorme. Lo eviterei a tutti i costi.

Per ulteriori informazioni prova a cercare su google "NFC Hacks" o "RFID Hacks" ci sono state alcune buone presentazioni a BlackHat USA quest'anno su NFC e RFID i proxiemics sono stati completamente cancellati.

Opinione personale: bastone con denaro e monete.

    
risposta data 22.11.2012 - 00:10
fonte

Leggi altre domande sui tag