Le custodie / portafogli di protezione RFID sono necessarie per le carte di pagamento?

Decidere se una misura di sicurezza è utile significa che è necessario bilanciare il costo della misura con il vantaggio di utilizzarlo. In questo caso il costo, a parte un po 'di soldi per comprare le maniche, è quello di dover togliere le carte dalle maniche ogni volta che vengono utilizzate.

Quindi vale la vera minaccia che proteggono? Dipende da cosa c'è da rubare. Nel caso delle carte di pagamento non vale la pena proteggerle perché, per poterle rubare, devono avere un terminale di punto vendita e un conto con una banca. Se hanno iniziato a scremare i soldi dagli incauti verranno catturati. La maggior parte dei sistemi di pagamento contactless limita la quantità di denaro in modo che nessun singolo attacco ne valga la pena. Finora non ci sono attacchi di clonazione che potrebbero funzionare con un sistema contactless, quindi non è una preoccupazione - ancora. Per quanto riguarda il pagamento involontario, è improbabile che accada, poche persone accidentalmente toccano il loro portafoglio a un sistema di pagamento e, se lo fanno, possono probabilmente ottenere un rimborso.

Come per altri tipi di carte, ci sono alcuni attacchi che potrebbero funzionare. È possibile clonare alcune carte di ingresso dell'edificio e trasportare carte contactless con un dispositivo di scansione portatile, ma ciò è molto raro e difficile da attuare nella pratica.

Quindi per la maggior parte delle persone i manicotti sono una soluzione in attesa di un problema. Questo potrebbe cambiare con l'arrivo di nuovi attacchi, ma per ora è per la folla di cappello di latta.

Vorrei dire in anticipo che tutti gli altri che hanno pubblicato qui sono sostanzialmente corretti. Ho pensato di postare una prospettiva diversa, dato che sono un utente della tecnologia di schermatura RFID.

Ogni carta nel mio portafoglio ha un chip RFID. Carte di credito, carte bancomat, carta di trasporto, chiave di ufficio, patente di guida, diamine anche la mia carta sconto caffè. Inoltre, il mio passaporto ha RFID.

Ho acquistato un portafoglio protetto da ID Stronghold , in pelle nera con ogni busta di carta allineata individualmente con materiale di schermatura (presumibilmente in alluminio, sebbene il fabbricante non abbia specificato). Questo è importante in quanto alcuni portafogli proteggono solo gli slot esterni e non quelli individuali, quindi sono potenzialmente vulnerabili se il tuo portafoglio è aperto, o abbastanza spesso / pieno da lasciare un'apertura. Ho anche un passaporto bi-fold con slot per schede, realizzato in rete di acciaio inossidabile (non ricordo quale marca fosse però.) Posso verificare che le carte nel mio portafoglio non possono essere lette e degli scanner che ho testato, tuttavia il tuo chilometraggio può variare - come questo articolo discute, l'uso e l'efficacia di diversi marchi e modelli possono essere diversi.

Ho 3 dubbi sui chip RFID.

1. frodi con carta di credito come precedentemente discusso, è la minaccia più ovvia e molto reale, anche se non ancora così diffusa (vorrei suggerire principalmente perché ci sono ancora modi più semplici per ottenere i dati della carta di credito).
2. Spese per carte accidentali. Anche se questo sembra poco plausibile perché l'RFID è presumibilmente limitato per operare a pochi centimetri dal lettore, ma questo è stato mostrata come un'assunzione non valida e un incidente di questo è discusso su questo podcast di Security Now (c'è una trascrizione se preferisci, cerca "contactless" e vai direttamente alla sezione pertinente).
3. Furto d'identità. Mentre questo è in gran parte teorico al momento, questo è il caso più preoccupante.

Questa tecnologia non è nuova e non sono i vettori di attacco . Con il numero di carte e documenti di identificazione che portano la RFID a crescere e il costo di un potenziale attacco in diminuzione, possiamo solo aspettarci che questo tipo di incidenti diventi sempre più frequente.

In definitiva, devi decidere cosa pensi che la tua esposizione sia per questo tipo di rischio. Mentre sono d'accordo che la schermatura potrebbe ancora essere importante solo per il paranoico tra di noi, direi che il costo è minimo. Il mio portafoglio non costava più di un normale portafoglio e (anche se sono d'accordo sul fatto che le maniche singole sono probabilmente meno pratiche) avere la schermatura incorporata rende l'utilizzo non meno conveniente.

Hai buone ragioni per essere confuso riguardo a quali "minacce" questi prodotti sono in realtà mirate a proteggere contro: non uno spot che ho visto per questi articoli fornisce in realtà un'identificazione chiara e univoca della minaccia esatta che dovrebbe essere in gioco qui. Ogni pubblicità che ho incontrato dimostra semplicemente un cattivo ragazzo che porta in giro un dispositivo (invisibile) in una borsa o qualcosa che cattura onde animate di qualche tipo provenienti dal portafoglio o dalla borsa di una persona ignara. Naturalmente, questo suggerirebbe che la schermatura è destinata a proteggere dagli attacchi che coinvolgono le carte senza contatto. Ma le pubblicità si prendono anche cura di in realtà non dire questo ovunque . E il modo in cui l'annunciatore parla e come si sviluppano gli "scenari" trasmette l'impressione che le tutte carte di pagamento siano vulnerabili ad avere informazioni di pagamento da loro silenziosamente rubate da un misterioso aggressore.

Non essere specifici riguardo alla minaccia, ovviamente, ha senso dal punto di vista aziendale: la maggior parte delle persone non ha ancora carte di credito e di debito che utilizzano la tecnologia di pagamento contactless. (Le carte come le carte del sistema di transito sono probabilmente un'altra storia). Se ti capita di capire che la tua protezione conta solo se hai nuove carte di pagamento senza contatto, stai limitando notevolmente il tuo mercato. Quindi, anche se questa sarebbe l'unica cosa onesta e responsabile da dire, c'è un incentivo per le aziende che sono disposte a usare tattiche senza scrupoli e che temono la paura di lasciare l'impressione che tutti siano vulnerabili ad attacchi come questi. Quando ciò non è certamente remoto.

E questo ci porta alla domanda se anche se si dispone di carte di pagamento che effettueranno transazioni senza contatto, questi prodotti offrono vantaggi in termini di sicurezza. A proposito, prenderò nota di due cose. Innanzitutto, le smartcard con capacità di pagamento EMV contactless, come altre smartcard EMV, sono specificamente progettati per non essere clonabili anche quando un utente malintenzionato può sottrarre informazioni dal segnale senza contatto durante una transazione. O anche da segnali raccolti da molte transazioni. Questo è il vantaggio intrinseco dell'utilizzo di un tipo di pagamento che autenticazione dinamica , piuttosto che autenticazione statica (come fanno le tradizionali carte a banda magnetica).

In secondo luogo, il nome "contactless" è in realtà una sorta di termine improprio nella maggior parte dei casi. Spesso le carte semplicemente non funzionano per autorizzare un pagamento a meno che non siano prese da un portafoglio, da una borsa o da un altro spazio di archiviazione in cui si trovano e toccate fisicamente direttamente contro il lettore. Altre carte (come la mia carta di transito, ad esempio) funzioneranno attraverso il materiale di un portafoglio ma non attraverso la copertura aggiuntiva di, ad esempio, una giacca invernale. Le raffigurazioni nelle pubblicità degli attrezzi nascosti dei cattivi che sono in grado di catturare informazioni da una carta nascosta nel fondo di una borsa o nella tasca del cappotto sono ... improbabili.

Ora, nel 2013 alcuni ricercatori nel Regno Unito sono stati in grado di raccogliere alcuni dati della carta tanto lontano quanto circa 45 centimetri / 18 pollici, ben oltre i 2 centimetri o giù di lì le carte dovrebbero idealmente essere leggibili a. Tuttavia, le circostanze esatte di come si sono verificate tali osservazioni sono un po 'vaghe, e sembra che probabilmente non sarebbero riusciti a fare transazioni reali se avessero tentato di farlo. In ogni caso, Visa sostiene che ciò non sarebbe stato possibile. (Vedi la domanda "Può un truffatore con un terminale contactless fasullo rubare soldi dalla mia carta sfiorandomi contro di me?" In quelle FAQ.)

In sintesi, il rischio tecnico ri. rubare informazioni sulle carte di pagamento o eseguire con successo transazioni false sembra essere da basso a inesistente nelle consuete implementazioni di carte di pagamento senza contatto. Tuttavia, se davvero, vuoi davvero essere al sicuro e ti farebbe sentire più a tuo agio probabilmente potresti mettere un po 'di lamina metallica di qualche tipo nel tuo portafoglio, nella borsa o in un altro dispositivo che trasporta la carta. Risparmia $ 25,00 + che alcuni di questi annunci stanno citando per acquistare prodotti che consistono in qualcosa di più di piccoli sacchetti realizzati in alluminio da 10 centesimi. :)