aggregazione di carte di credito basata su standard aperti?

Naviga le tue risposte
0

Ultimamente, ci sono stati un paio di progetti che mirano a sostituire tutte le carte di credito nel tuo portafoglio con un singolo dispositivo intelligente che le manterrà tutte, sincronizzerà con il tuo smartphone, ecc. (Vale a dire Coin e Protean )

Ciò che specificamente non mi piace, tuttavia, è che ci sono così tanti punti di errore coinvolti:

  1. Entrambi richiedono l'immissione di informazioni sulle carte sul tuo smartphone, ed entrambi sembrano sincronizzare le informazioni della carta con i loro server. Promettono che "crittografano" tutti i dati. I problemi:
    1. Mi fido davvero di loro con la loro implementazione della crittografia correttamente?
    2. Mi fido davvero di loro che conserveranno le cose in sicurezza?
  2. Entrambi usano Bluetooth per comunicare con il telefono, il che sembra decisamente pericoloso.
    • Coin utilizza inoltre il Bluetooth per sviluppare una sorta di sensore di prossimità che non consente alla carta di elaborare transazioni a meno che il telefono non si trovi nelle vicinanze.
      1. Come stanno facendo questo? Se stanno semplicemente facendo una ricerca MAC Bluetooth, è incredibilmente semplice da parodia.
    • Il Bluetooth ha un certo numero di problemi di sicurezza.

Ci sono soluzioni là fuori (o anche nelle opere) che agiscono più come dispositivi TPM / smartcard che funzionano su standard comprovati e potrebbero contenere audit?

In particolare, non mi piace l'idea di avere così tanti punti di errore (Bluetooth, "crittografia" telefonica fornita da loro, backup online "crittografati" forniti da loro). Sono molto interessato all'idea di utilizzare un dispositivo sicuro con scheda singola, a condizione che sia protetto in modo verificabile e verificato.

    
posta Naftuli Kay 08.07.2014 - 01:14
fonte

1 risposta

1

Ti fidi dei venditori da cui acquisti? Sono tutti vincolati da PCI-DSS e le sanzioni per archiviarlo in modo insicuro possono essere piuttosto dure. Le versioni precedenti di Bluetooth presentavano problemi di sicurezza (2.3 e precedenti), ma se utilizzano le versioni correnti non sono noti problemi di sicurezza, quindi è possibile avere un accoppiamento affidabile.

È strong come avere un sistema basato su TPM, no, ma non è nemmeno così costoso o complicato da usare e non è in realtà meno sicuro di molte opzioni di "carta di credito archiviata" che molti consumatori usano ancora . Per molti, le transazioni CC sono valide solo se sono state fatte e contestare transazioni non valide è banalmente semplice, con responsabilità zero, quindi semplicemente non è visto come un rischio da molti.

Si noti inoltre che questi dispositivi funzionano SOLO su schede a banda magnetica, che sono intrinsecamente insicure per cominciare. Non è possibile utilizzarli con carte di credito basate su chip, quindi i mercati a cui si applicano non sono già particolarmente preoccupati per la sicurezza dei dati delle carte.

L'uso di un TPM, sebbene piacevole per noi, è eccessivo rispetto ai rischi esistenti nel sistema per le schede con cui questi dispositivi sono progettati per funzionare. Forniscono già un livello di sicurezza paragonabile o migliore rispetto al sistema esistente. Le tue carte potrebbero essere rubate o copiate, questo sistema fornisce un modo per sapere quando viene scansionata la tua carta e per collegarle tutte a un solo dispositivo (il tuo telefono) che sarà molto più rapido da notare se viene rubato. Utilizza un backup online opzionale, ma molti consumatori lo fanno già con i fornitori.

C'è un rischio di sicurezza nuovo abbastanza basso introdotto da questi dispositivi a condizione che stiano utilizzando una versione bluetooth recente e sicura e in particolare se proteggono i dati della carta di credito con una chiave memorizzata sulla carta stessa (in modo che il malware al telefono non possa accedere).

    
risposta data 08.07.2014 - 16:05
fonte

Leggi altre domande sui tag

Apache reindirizzamento alla porta non protetta Devo convalidare gli input del modulo di autenticazione?