Perché la mia carta di debito ha una striscia AND un chip?

10

Recentemente ho ricevuto una nuova carta di debito che ha sia una banda magnetica che un chip (come la mia precedente scheda).

So che la banda magnetica può essere facilmente copiata mentre il sistema di chip non è stato compromesso (ancora?). Suppongo che la striscia sia ancora lì per scopi legacy, anche se negli ultimi anni non ho visto né sentito parlare di un terminale o di un bancomat che non accetta pagamenti con chip.

Per quanto mi riguarda, è come comprare una nuova serratura fantasia per la tua porta d'ingresso lasciando la porta posteriore sbloccata. L'analogia è giusta, cioè una carta con una striscia AND chip non più sicura di una carta con solo una striscia? E se sì, perché la mia banca dovrebbe consentire un tale rischio di sicurezza? Perché non sbarazzarsi del tutto della striscia?

Ps: Se è importante, vivo nei Paesi Bassi.

EDIT: Per maggiore chiarezza, sono principalmente preoccupato per il seguente scenario:

Un ladro sfiora un bancomat (probabilmente (?) pagamento di chip), ma può ancora ottenere la striscia perché la carta va nell'ATM. Supponiamo che legga anche il mio PIN. Quindi fabbrica una nuova carta e svuota il mio conto in banca.

    
posta Kvothe 08.04.2014 - 21:01
fonte

4 risposte

10

I dettagli dipendono da banca, tipo di carta e paese, quindi variano molto, ma il modello generico è il seguente:

  • La striscia magnetica contiene, per lo più, una copia leggibile da computer delle informazioni impresse sulla carta: numero di conto, nome del titolare, data di scadenza.
  • Il chip contiene una chiave segreta che viene utilizzata per "firmare" (non necessariamente una vera firma, spesso un MAC ) transazioni.
  • Il chip conosce il codice PIN e rifiuta di lavorare fino a quando non viene presentato il codice PIN; si blocca anche se vengono presentati troppi codici PIN errati.

Quando un terminale di pagamento utilizza la striscia magnetica, deve parlare con la banca, stabilire un tunnel sicuro con la banca, inviare il codice PIN inserito dall'utente e verificare che l'account del proprietario abbia abbastanza soldi per questo.

D'altro canto, quando un terminale di pagamento utilizza il chip, il codice PIN viene inviato solo al chip, e non vi è quasi alcun bisogno di parlare con la banca. L'intera transazione può essere condotta offline. Ovviamente, per grandi quantità, è comunque una buona idea parlare con la banca per sapere se sul conto dell'acquirente ci sono molti soldi, ma piccole transazioni possono essere fatte in modo efficiente senza rete.

Quindi, la banda magnetica e il chip sono usati in due modi diversi, e avere entrambi non significa che la sicurezza sia abbassata alla sicurezza del più debole dei due. Dal punto di vista della banca, i chip sono migliori, perché sono più efficienti (non è necessario gestire una chiamata di rete) e più difficili da clonare (le statistiche mostrano un tasso di frode diviso circa 10). Questo è spesso tradotto in vantaggi finanziari concessi ai commercianti che passano ai terminali sensibili ai chip.

Ci possono essere varianti in tutto quanto sopra. Ad esempio, la scheda include nella banda magnetica una versione crittografata del codice PIN, ma non verrà verificata nel terminale di pagamento. Invece, il terminale dovrà parlare con un server bunkerato regionale che conosce la chiave di decodifica e può effettuare la verifica. Per alcuni altri tipi di carte, è abbastanza chiaro che la banda magnetica non sa nulla del codice PIN, ad es. le carte American Express senza chip (di alcuni anni fa) in cui è possibile modificare il codice PIN telefonando alla banca.

In ogni caso, tutte le funzionalità di sicurezza di una carta di debito o di credito non sono destinate a proteggere tu . Proteggono la banca . Dal punto di vista della banca, tu sei il nemico (indipendentemente da ciò che rivendicano nei loro annunci).

    
risposta data 08.04.2014 - 21:21
fonte
7

È una questione di responsabilità:

  • Se un commerciante utilizza chip & pin, e la transazione risulta essere una frode, l'emittente della carta paga per la frode (supponendo che il commerciante non sia stato negligente).
  • Se un commerciante utilizza la banda magnetica e la transazione risulta essere una frode, il commerciante paga per la frode.

Quando chip & Il primo pin fu introdotto, in teoria un mercante avrebbe potuto prendere una decisione commerciale di non pagare per i nuovi terminali di carte e solo per accettare la responsabilità delle frodi. In pratica, tutti hanno deciso di passare al chip & pin, che è esattamente quello che volevano gli schemi di carte.

    
risposta data 08.04.2014 - 21:12
fonte
1

Hanno la striscia magnetica per compatibilità all'indietro. La superficie rialzata dei numeri di alcune carte garantisce che anche i vecchi sistemi di scorrimento manuale funzionino in caso di spegnimento.

    
risposta data 05.07.2014 - 08:50
fonte
0

Dipende dal banco, tipo di carta, ci possono essere diversi motivi per cui esiste una striscia magnetica sulla carta:

  • Compatibilità con le versioni precedenti: ci sono vecchi terminali che non possono accettare chip. Inoltre, l'elaborazione di chip card non è ben standardizzata come l'elaborazione delle carte a banda magnetica (ancora), ed è anche più complicata, quindi un terminale potrebbe essere in grado di accettare solo alcuni tipi di chip.

  • La banda magnetica può essere utilizzata come riserva, nel caso in cui il chip diventi difettoso. I dettagli variano da banca a banca, alcuni potrebbero avere una politica per limitare l'importo, la frequenza di utilizzo della carta in questo modo, o addirittura non consentirla del tutto. Di solito la procedura richiede che prima venga processato il chip, e solo se non può essere processato si può usare la banda magnetica. La politica bancaria potrebbe richiedere al titolare della carta di segnalare tale caso o accettare la responsabilità.

Per quanto riguarda la tua preoccupazione riguardo alla lettura del PIN dalla banda magnetica, normalmente il PIN di qualsiasi forma non è contenuto nella striscia. L'uso principale del PIN è quello di autenticare il titolare della carta, ad esempio solo il titolare della carta conosce il PIN e può eseguire la transazione (il PIN viene anche memorizzato in modo sicuro dalla banca e deve essere irrecuperabile). Se il PIN è incluso sulla banda magnetica, chiunque abbia un'attrezzatura adeguata può leggere / sfogliare la striscia e prenderla.

    
risposta data 05.07.2014 - 10:11
fonte

Leggi altre domande sui tag