L'affermazione popolare è che una carta di pagamento chip-e-PIN è più sicura di una carta con striscia magnetica perché i dati della carta sono nascosti in profondità all'interno del chip e il terminale ATM o POS invia il PIN inserito nella carta per conferma (o rifiuto) invece di leggere il PIN corretto dalla carta e confrontarlo con quello che l'utente ha inserito. Pertanto, poiché i dati non sono esposti, non possono essere copiati e questo impedisce vari scenari di frode.
Ora conosci la tecnologia di pagamento contactless PayPass / payWave che ora è incorporata in numerose nuove schede chip-e-PIN. È possibile toccare brevemente il terminale con tale scheda e il campo del terminale induce corrente nel circuito della scheda, la scheda si accende e esegue uno scambio radio crittografato con il terminale - il tutto in frazioni di secondo. Questo è tutto ciò che serve se la somma di acquisto è abbastanza piccola (il che significa meno di 30 USD nella maggior parte dei casi). Nessun problema: il protocollo radio crittografato continua a consentire lo scambio di stile di convalida "è questo uno corretto".
Cosa succede se l'acquisto non è "abbastanza piccolo"? Ecco un video promozionale di YouTube che mostra cosa succede. L'acquirente tocca il terminale con la sua carta e toglie la carta. Il terminale richiede il PIN. L'acquirente inserisce il PIN e in qualche modo il terminale lo convalida.
In che modo la convalida del PIN è sicura nello scenario quando viene inserito il PIN quando la scheda non è più connessa al terminale?
Ok, avrebbe potuto ottenere il PIN dalla carta quando la carta era vicina al terminale e confrontarla dopo che l'acquirente ha inserito la sua versione. Ma ciò implica che la carta non riporti il PIN invece di eseguire la convalida "è corretto questo PIN" all'interno del suo chip.