Sicurezza delle carte di credito senza contatto

No, le transazioni contactless non sono più sicure delle transazioni di contatto. L'intera attività contactless ha molto più a che fare con l'agevolazione dei pagamenti sul punto vendita (e, eventualmente, consentire sviluppi futuri del business delle smart card) piuttosto che aumentare la sicurezza.

Ridotte implementazioni iniziali degli Stati Uniti a parte , abbiamo un paio di cose che succedono qui:

Le transazioni
1. inferiori a un determinato importo sono autorizzate in modalità nocvm , ovvero senza metodo di verifica delle carte: è ciò che hai osservato
Le transazioni
2. su un determinato importo (a seconda del Paese, ecc.) saranno richieste per una verifica dei pin online (ovvero il PIN viene crittografato nel pad PIN e inviato tramite la rete all'emittente per l'autenticazione), mentre le carte contatto-EMV in genere esegue una verifica PIN offline in cui il POS chiede al chip EMV della scheda se il PIN è OK.
   • si tratta più di un diverso tipo di compromesso di usabilità che di sicurezza: il pin offline consente autorizzazioni offline sul POS in cui le transazioni devono essere super veloci. Entrambi i PIN online hanno i loro unici (e difficili da eseguire) vettori di attacco.
3. con contactless la scheda non ha la possibilità di verificare l'autenticità dell'host emittente (la verifica ARPC non viene eseguita). È una misura di sicurezza dello schema EMV che non ho mai compreso appieno e con contactless è scomparso quindi suppongo di non essere l'unico :) ma ancora, è 1 misura di sicurezza in meno

A parte i tag EMV extra, per quanto ne so questo è l'unico impatto di EMV + CLESS vs EMV vecchia scuola. Magstripe + CLESS, o che consente il fallback EMV con CLESS, produce quel video di YouTube dall'inizio del post ed è completamente ridicolo.

EDIT 1: holy cow link sembra che il ridicolo sia ancora attivo. Non solo rivela i dati della carta, ma anche la cronologia delle transazioni. Voglio dire, è su Google Play, e un sacco di altri. Non testarlo con schede di produzione .

Non capisco, Visa / MC ha attraversato così tanti problemi sul mercato statunitense con la prima NFC, hanno attraversato una montagna di guai a causa delle prime carte magstripe. Infine, EMV è qui ed è sicuro, quindi lo aggiornano con la capacità NFC ripristinando sostanzialmente la sicurezza fino ai livelli di magstripe.

Visa non fa mai finta che contactless sia più sicuro di chip e PIN. Dicono solo:

• è più sicuro del contante. Beh, se qualcuno riceve i soldi, li useranno liberamente, mentre la carta contactless è limitata per transazione e al giorno. Inoltre puoi avere la banca per bloccarla, dichiarare che è stata rubata e in alcuni casi puoi provare che non potresti essere nel luogo in cui è stata effettuata la spesa. In questo senso è più sicuro del contante

• utilizza la stessa tecnologia di chip e PIN. Non falso Semplicemente la procedura non richiede mai l'inserimento del PIN, quindi non è più qualcosa che hai (la carta) e qualcosa che conosci (il codice) ma solo qualcosa che hai.

Quindi non dicono nemmeno che sia sicuro come chip e PIN, semplicemente una lettura rapida può far pensare che lo vogliano.

Ora per quello che ci penso.

È sicuro come chip e PIN? No. Perché avere la scheda è sufficiente per poterlo utilizzare, mentre CHIP e PIN richiedono inoltre la conoscenza del codice PIN. E la banca lo sa, e questo è il motivo per cui limita l'importo che può essere utilizzato senza contatto sia per transazione che per giorno.

Quindi qual è il senso del pagamento senza contatto? Semplicità. Le banche guadagnano denaro su ogni transazione con le carte. Inoltre, la tipologia di utilizzo della carta è ora un dato prezioso che può essere utilizzato per fornire pubblicità mirata. E le banche sanno come possono usarle o venderle. Quindi vogliono davvero che tu usi la tua carta anche per operazioni a basso costo in cui non dovresti digitare un PIN.

Ciò che rende possibile l'operazione è che non è davvero interessante per un utente malintenzionato. Il rapporto guadagno / rischio non è molto alto, semplicemente perché il guadagno è limitato per transazione e al giorno. Quindi, a partire dal 2018, non sono a conoscenza di grossi attacchi a carte contactless - al di là dell'uso di una carta persa per piccole spese. Quindi la maggior parte delle banche accetta di rimborsarti per un giorno di spese, se perdi la tua carta, perché costa meno (alla banca) del guadagno globale previsto.

Dipende dal tipo di pagamento senza contatto. Apple Pay è più sicuro dei pagamenti con chip e PIN, perché richiede l'autenticazione delle impronte digitali e perché genera un numero di carta una tantum per ogni transazione che non può essere riutilizzata per un'altra transazione, anche se viene divulgata.