Capisco che il codice PIN associato a una determinata carta non è memorizzato sulla carta stessa in alcun modo. Quindi mi chiedo allora, quando uso le mie carte, come sembra essere in grado di verificare il PIN abbastanza rapidamente e tuttavia a volte richiede molto tempo per completare la transazione. Ho sempre pensato che il ritardo fosse nell'ottenere una connessione con i server finanziari, ma i tempi sembrano indicare il contrario. Il PIN viene verificato senza accesso a quei server?
In effetti, in molti casi, il PIN è nella scheda. Ci sono molte situazioni possibili, non tutte ben documentate, e sono soggette ad evoluzione nel tempo.
Alcune carte non hanno il codice PIN sulla carta in alcun modo; almeno, questo era il caso delle carte Amex circa 15 anni fa, perché si poteva cambiare il PIN con una telefonata.
Alcune carte hanno una copia crittografata del PIN sulla banda magnetica. Questo può essere decrittografato in alcune strutture protette che hanno una copia della chiave di decifrazione pertinente; un bancomat o un punto vendita potrebbero mantenere una connessione live a una di queste strutture e richiedere ancora del tempo per contattare la banca che gestisce effettivamente l'account.
Le carteSmart , con un chip, conoscono il codice PIN e possono verificarlo. Questo è il punto principale delle smart card: il chip è antimanomissione , quindi può contenere segreti; questi segreti possono essere sbloccati tramite autenticazione con un codice PIN; il chip si bloccherà automaticamente se vengono presentati troppi valori PIN errati. Quando la carta è una smart card, la verifica del PIN è veloce quanto il chip della scheda può farlo, normalmente una frazione di secondo.
(Una smart card a prova di manomissione non impedisce al protocollo generale di fare qualcosa di stupido che annulla la sicurezza, ad esempio, vedi questo recente articolo che descrive un caso reale di frode a causa di un difetto di protocollo.)
Is the PIN verified without access to those servers?
Il modo in cui il PIN viene verificato dipende molto dalla tua carta e dal terminale. Di seguito spiegherò come funziona con Chip / EVM , poiché sono molto popolari in tutto il mondo e la magstripe non è più realmente usata. (Tranne che in luoghi come gli Stati Uniti dove, a partire dalla prima revisione di questo post, è appena iniziato a essere gradualmente eliminato.)
Il terminale richiede il metodo di verifica del titolare della carta (CVM) Elenco della carta e quindi la confronta con la configurazione. Ad esempio la tua carta potrebbe contenere una lista come questa (semplificata):
Il terminale quindi lo confronta con la configurazione e inizia con la massima priorità. Se il terminale, ad esempio, non supporta il PIN offline, passerà al metodo di verifica successivo e verificherà il PIN con il bank sulla rete.
In termini di PIN offline (ovvero, senza confrontarlo sulla rete), ci sono due modi principali:
La verifica crittografata funziona utilizzando il PIN fornito dal titolare della carta e crittografandolo con la chiave pubblica delle carte prima di inviarlo alla carta, dove viene decifrato e verificato. La verifica in testo semplice funziona inviando il PIN direttamente alla scheda.
Il PIN online viene sempre crittografato.
Quindi riassumendo: dipende molto dalla tua carta e dai terminali come viene verificato il PIN.
Ma ovviamente il PIN non è l'unica cosa che viene verificata quando paghi con carta. A seconda della carta e del terminale, potrebbe essere necessario autorizzare l'acquisto con la banca.
Le carte Visa Electron, per esempio, hanno sempre bisogno di un'autorizzazione online della transazione per assicurarsi di non andare in scoperto. Quindi, ad esempio, quando voli su un aereo, potrebbero non funzionare.
Ma dipende anche dal terminale: a seconda del paese, della categoria dei commercianti e dell'importo che il terminale potrebbe non aver bisogno di richiedere un'autorizzazione per l'acquisto. Nel giorno in cui avevi bisogno di usare dial-up questo era abbastanza importante perché ci sarebbe voluto parecchio per verificare ogni acquisto di $ 6 in un negozio di alimentari. Al giorno d'oggi non è così importante, ma potrebbe ancora essere utilizzato.
Entrambi gli aspetti, la verifica del PIN e l'autorizzazione non sono collegati tra loro, quindi il tempo necessario per il tuo acquisto può variare parecchio.
Se la tua carta e il terminale supportano il PIN offline e hai raggiunto il limite minimo, potrebbero non aver bisogno di contattare la banca. Questo può accelerare molto l'acquisto. Ma se hai superato il limite massimo, la carta potrebbe non contattare la banca per verificare il tuo PIN, ma autorizzare la transazione.
Per riassumere: dipende dalla carta e dal terminale se il PIN è verificato con la banca. Può accadere rapidamente a causa della connessione internet veloce o perché la carta stessa verifica il PIN. Ma in ogni caso la banca potrebbe essere contattata per autorizzare l'acquisto (per assicurarsi di avere abbastanza soldi nell'account) che aggiunge un po 'di tempo.
Leggi altre domande sui tag credit-card