Visa PayWave è sicuro?

Il segreto della sicurezza delle transazioni con carta di credito è che per legge (in molte giurisdizioni) l'emittente della carta è responsabile di transazioni fraudolente dopo un certo limite, non il titolare della carta. Dal momento che già assumono la maggior parte della responsabilità, la maggior parte (tutti?) Fa semplicemente il salto per dire che il titolare della carta non è responsabile in nessuna circostanza per frode.

Ciò significa che la sicurezza delle carte è semplicemente un compromesso costi-benefici per l'emittente. Vale la pena il costo per l'emittente di cancellare una certa quantità di frode se in cambio ottengono un ritorno ragionevole per la politica. Da qui il limite di $ 100; Visa è fiducioso che all'interno di tale intervallo, possano rilevare le frodi in modo abbastanza affidabile da far valere la pena rimuovere alcune misure di sicurezza.

Pertanto, indipendentemente dal fatto che sia sicuro o meno è il loro problema, non il tuo. Ovviamente devi segnalare transazioni sospette. Ciò rende una cattiva idea mantenere aperto un account che non controlli. Ma è sempre stato così.

Questo è davvero il modo in cui dovrebbe essere. Se la parte responsabile della sicurezza è quella nella posizione migliore per implementarla, allora il livello di sicurezza che si tende tende ad essere appropriato per il valore della cosa che viene protetta.

I produttori di carte di credito Visa e altri utilizzano lo standard EMV per autenticare le transazioni con carta di credito / debito. L'articolo Wiki lo spiega meglio di me, ma questo è un argomento molto tecnico - ci vorrà del tempo per leggere e capire.

Dovresti anche vedere le risposte a simili domande su NFC / RFID / EMV.

In sostanza, gli attacchi di clonazione dimostrati ti portano una singola transazione entro il limite senza PIN (da $ 80 a $ 100 nella maggior parte dei casi). Ci sono probabilmente delle difficoltà significative nella gestione della guerra (NFC-guerra?) Tra la popolazione generale - meno di tutto viene pagato senza essere catturato. AFAIK nessuno ha dimostrato la possibilità di clonare un terminale di pagamento.

E infine - scambiamo sempre la sicurezza per comodità. Hai due serrature sulla tua porta di casa? Tre? Otto? Camminate in un'imbottitura protettiva? Indossi un giubbotto antiproiettile a scuola?

Il compromesso qui è una riduzione del tempo di transazione da ~ 15 secondi a ~ 2 secondi. Aggiungilo a milioni di persone e migliaia di miliardi di transazioni e stai cercando risparmi di tempo significativi. Vale la pena rischiare ulteriormente? Gli emittenti delle carte sembrano pensarla così e hanno promesso pubblicamente di rimborsare i clienti per le perdite causate da problemi di sicurezza.

Questo è un documento di marketing, con alcune parole di donnola:

They carry the same multiple layers of security

Ciò che intendono è questo:

• Le carte contactless hanno lo stesso livello di resistenza alla manomissione attorno al chip come carte a contatto diretto.
• I protocolli di comunicazione a livello di dati ( EMV ) sono gli stessi per entrambe le interfacce fisiche.

Ciò che stanno tralasciando è:

• Se è possibile effettuare una transazione senza digitare un PIN, chiunque può spostarsi con un terminale portatile (ad esempio uno smartphone con NFC e software e chiavi appropriati, o un terminale emesso da una banca) e avviare una transazione.

È la combinazione di consentire transazioni con un singolo fattore di autenticazione (essendo in prossimità del dispositivo fisico) e che il fattore di autenticazione sia debole (non è nemmeno quello che si ha, ma ciò che è vicino), che introduce una significativa debolezza.

In effetti, con PayWave, o qualsiasi altro schema che riduce allo stesso modo l'autenticazione della forza per comodità, l'onere è su di voi per contestare eventuali addebiti. A seconda della giurisprudenza nel vostro paese, potrebbe essere facile o difficile contestare le spese (gli Stati Uniti sono piuttosto favorevoli al consumatore in questo senso, le banche hanno molto più influenza nei paesi europei).

Prima di restituire la tua carta con rabbia, considera che solo avendo una carta di credito, stai già assumendo un rischio maggiore. La tua carta di credito può essere utilizzata online da qualcuno che non è mai stato fisicamente vicino: basta trovare il numero di 16 cifre e (per la maggior parte ma non tutti i commercianti) la data di scadenza e il 3- o il 4- numero di cifre che si trovano nei database di tutti i commercianti da cui sono stati effettuati gli acquisti (non sono tenuti a memorizzarli, ma molti lo fanno). Effettuare già acquisti con una carta di credito non richiede la fornitura di dati veramente riservati come un PIN; i pagamenti senza contatto non sono nuovi in questo senso.

PayWave è una tecnologia di comunicazione near field ed è quasi sicuro come la morale di un confratello. Per la stragrande maggioranza delle transazioni andrà bene, ma è ancora un rischio enorme. Lo eviterei a tutti i costi.

Per ulteriori informazioni prova a cercare su google "NFC Hacks" o "RFID Hacks" ci sono state alcune buone presentazioni a BlackHat USA quest'anno su NFC e RFID i proxiemics sono stati completamente cancellati.

Opinione personale: bastone con denaro e monete.