Ist die Sicherheit von Kreditkarten mit Chip nicht schlechter als mit Signatur?

(Ich würde erwarten, dass diese Frage doppelt vorhanden ist, konnte aber keine finden, die dem Punkt entspricht.)

Mir scheint, dass die Sicherheit von Kreditkartentransaktionen durch die Umstellung von Signieren auf Chipnutzung schlechter geworden ist. Bekanntlich fragen fast alle Anbieter in den USA beim Bezahlen nicht nach der PIN (angeblich weil Amerikaner sich keine PIN merken könnten), daher der Vergleich zu mir:

Vorher : Wenn ich die Karte verliere, muss der Finder meine Unterschrift fälschen (nicht allzu schwierig, aber kein Werbegeschenk); Wenn ich die Karte mit 'Check ID' markiere, besteht die Möglichkeit , dass er fehlschlägt.

Jetzt : Wenn ich die Karte verliere, kann sie jeder überall frei verwenden. Keine Grenzen, kein Risiko, erwischt zu werden.

Also haben wir ein neues System bekommen, das langsamer ist und den Missbrauch verlorener/gestohlener Karten erleichtert ?? Wieso den?

Mir ist bewusst, dass Sie das Kreditkartenunternehmen anrufen und die Karte als gestohlen melden können, aber das ist nicht immer so einfach. Wenn Sie unterwegs sind, kann Sie Roaming leicht 100 $ kosten, nur während Ihr Anruf in der Warteschleife liegt, und viele 1-800-Nummern sind nicht einmal von außerhalb der USA anrufbar. Jedenfalls ist das nicht der Punkt -

Warum sollte die Industrie Geld in ein System stecken, das das Stehlen und die schnelle Verwendung von Kreditkarten einfacher macht?

Nein, Chip-plus-Pin oder Chip-plus-Signatur sind beide stärker als Signatur allein. Chip-only ist es nicht, aber das ist immer noch stärker als Magnetstreifen-only, das es ersetzt.
Das ist nur theoretisch. In der Praxis wird „Mag-Stripe & Signatur“ durch „Chip-and-nothing“ ersetzt. Das ist mein Punkt.
Ist das eine berechtigte Frage oder bist du nur hergekommen, um zu streiten ?
@JoeTaxpayer, vielleicht hast du Recht und ich hätte nicht fragen sollen. Es geht nicht darum, wo die Antwort mein Leben oder meine Entscheidungen beeinflussen wird, aber ich würde wirklich gerne verstehen, warum. Ich habe das Gefühl, dass meine Karten weniger sicher geworden sind, und ich mache mir Sorgen (wenn auch nur geringfügig), und ich dachte, jemand kann mir sagen, was der Grund für diese scheinbar dumme Änderung ist. Also würde ich sagen, es ist hauptsächlich Neugier. Ich versuche nicht , zu argumentieren.
Fair genug - ich würde lesen Sind die neuen "Smart"- oder "Chip"-Kreditkarten vom Sicherheitsstandpunkt aus besser? was die Frage beantwortet, die Sie irgendwie stellen.
Ich habe dieses gelesen, bevor ich gepostet habe; Es ist sechs Jahre alt und die Realität schien jetzt anders zu sein als das, was 2010 geplant war. Aber möglicherweise gibt es keine bessere Antwort als diese, vielleicht ist die Gesamtmenge an Betrug, die ich betrachte, nur viel kleiner als der Copy-the-Mag-Strip Art, also ist es eine Art akzeptierter 'Kollateralschaden' ...
Siehe auch security.stackexchange.com/questions/49234/… auf der Sicherheitsseite gibt es viele Fragen dazu. Das Stehlen der eigentlichen Karte ist viel seltener als das Klonen des Magnetstreifens.
Chip-and-Nothing ist ein Risiko für den Anbieter, nicht für Sie; Sie akzeptieren dieses Risiko im Austausch für niedrigere Bearbeitungsgebühren. Tatsächlich haben Kreditkarten im Allgemeinen einen ziemlich guten Verbraucherschutz, zumindest in den USA, also ist dies nicht der Punkt, über den Sie sich Gedanken machen sollten.
Zu Ihrem letzten Punkt, viele Kreditkarten (alle drei von mir) haben eine Nicht-800-Nummer und akzeptieren Sammelanrufe für Probleme bei internationalen Reisen.
Denn selbst wenn ein Händler „Chip + nichts“ für EMV-Kartennutzung vs. Magnetstreifen + Signatur für alte Karten (unsachgemäß) implementiert, ist der Schritt „Signatur“ in fast allen Fällen funktional gleichbedeutend mit „nichts“. Niemand macht sich jemals die Mühe zu überprüfen, ob eine Unterschrift auf einer Karte vorhanden ist, geschweige denn, sie mit der Unterschrift des Käufers zu vergleichen, geschweige denn eine Transaktion abzulehnen, weil die beiden nicht ausreichend übereinstimmen. Selbst wenn ein Geschäft aufhört, Unterschriften zu verlangen, stehen die (nicht perfekten, aber immer noch signifikanten) Vorteile, die mit der Chipnutzung einhergehen, einem geringen bis gar keinem praktischen Verlust gegenüber.
Die USA begannen also endlich, Chipkarten zu verwenden, versäumten es aber, die PIN durchzusetzen?! Inzwischen sind wir alle auf Kontaktlos umgestiegen :)
@OrangeDog: richtig, sie sind der Kurve vorausgesprungen. Wir setzen die PIN nur bei kleinen Transaktionen nicht durch, sie tun es für alles ;-)
Ich habe nie verstanden, wie Signaturen als vertrauenswürdig angesehen werden können. Es ist nur ein Gekritzel auf einem Stück Papier, komm schon! Selbst wenn Leute die Unterschriften tatsächlich überprüft haben (was unglaublich selten vorkommt), geben sie Ihnen keine anständige Garantie dafür, dass die Unterschrift von der richtigen Person gemacht wurde. Ich werde jeden Tag eine Kryptosignatur nehmen, danke ;)
@JoeTaxpayer - wie zum Teufel macht das eine Frage "illegitim"? Ist die Frage nur legitim, wenn Sie sie ohne Kontext oder Grund aus Ihrem Arsch ziehen?
@ Davor - interessant. Auf meinen Legitimationskommentar nahm OP keinen Anstoß und antwortete freundlich, dann ich im Gegenzug. Was genau war Ihr Problem mit diesem Dialog? Seitdem, vor 12 Stunden, ist viel passiert, einschließlich einer +15-Antwort von einem Mitglied, das genau darauf eingeht.
@JoeTaxpayer - Ich stelle Ihnen eine einfache Frage. Was ist mit einem Kontext, der eine Frage illegitim macht?
@Davor Weil viele Fragen, die durch diese Stapel kommen, einfach nur Tiraden sind, die als Frage dünn verschleiert sind. JoeTaxpayer scheint dies anzugehen, indem er fragt, ob OP wirklich an der Antwort interessiert war oder ob es einfach ein verärgerter Kunde war, der die neue Karte nicht mag. Nicht zu sagen, dass eine der beiden Personen Recht hat oder Partei zu ergreifen, nur das zu sagen, was ich schon oft auf dieser Seite gesehen habe.
@OrangeDog, viele Geldautomaten und Debitkartensysteme in den USA verwenden immer noch Magnetstreifen und PIN. In dieser Situation ist Chip-and-Nothing sicherer als Chip-and-PIN: Viele Kartenleser verwenden denselben Steckplatz zum Lesen von Chips und Magnetstreifen, sodass ein Skimmer sowohl den Magnetstreifen als auch die PIN von einem Chip-and-PIN stehlen kann Transaktion, bekommt aber nur den Magnetstreifen von einer Chip-and-Nothing-Transaktion.
Es sollte beachtet werden, dass „Check ID“ oder „See ID“ auf den meisten gängigen Kreditkarten technisch nicht gültig ist (ohne Unterschrift) (siehe zB UNSIGNED CREDIT CARDS ) und Anbieter akzeptieren solche Karten auf eigenes Risiko.
Meiner Erfahrung nach geht niemand, der eine Karte gestohlen (oder ihre Daten kopiert) hat, jemals in einen Laden, um etwas zu kaufen. Sie gehen online und bestellen Dinge, bei denen man weder Pin noch Unterschrift braucht.
Wie andere bereits erwähnt haben, besteht der Hauptvorteil von Chipkarten darin, die Fähigkeit zum „Überfliegen“ von Daten zu verringern – es dient nicht dem Schutz vor verlorenen/gestohlenen Karten, was sowieso einen kleinen Prozentsatz des CC-Betrugs ausmacht. Allerdings bin ich verwirrt, was Sie mit Chipkarten meinen, die keine Unterschrift erfordern? Meine Chip-Kreditkarten erfordern eine Unterschrift für Einkäufe über einem kleinen Betrag (ich glaube, es sind 25 US-Dollar?), Genau wie meine Magnetstreifen-Karten früher, und meine Chip-Debitkarten erfordern eine PIN (oder eine Unterschrift, wenn ich den PIN-Bildschirm lösche) genauso wie mein Magnetstreifen.

Antworten (4)

Ein Vorteil der Chipkarten ist, dass die zum Einkaufen benötigten Karteninformationen nicht einfach abgeschöpft oder „gestohlen“ werden können. Ein weiterer Grund ist, dass es schwieriger ist, eine gefälschte physische Karte zu erstellen. Diese Vorteile bestehen immer noch unabhängig davon, welche Form der Verifizierung verwendet wird (oder sogar wenn keine Verifizierung verwendet wird).

Die von Ihnen beschriebene Art von Betrug, bei der Ihre Karte physisch verloren geht oder gestohlen wird, macht einen relativ kleinen Anteil des gesamten Betrugs aus (laut dieser Website 14 % ). Ein Grund, warum dies kein so großes Problem ist, ist, dass Sie, wenn Sie Ihre Karte verlieren oder ausgeraubt werden, oft wissen, dass die Karte kompromittiert ist, und Sie sie kündigen können. (Auch wenn Sie dafür eine Weile brauchen, sind Sie zumindest wachsam.) Die wirkliche Gefahr entsteht, wenn Ihre Karteninformationen ohne Ihr Wissen gestohlen werden, und dies ist mit einer Chipkarte schwieriger zu bewerkstelligen.

Es ist auch erwähnenswert, dass es für einen Betrüger mehr Möglichkeiten gibt, geschnappt zu werden, als auf frischer Tat bei der Eingabe der falschen PIN an der Verkaufsstelle erwischt zu werden. Die Kreditkartenunternehmen verfolgen weiterhin die Kartennutzung und achten auf ungewöhnliche Käufe, die auf Betrug hindeuten könnten. Außerdem machen Betrüger manchmal überraschend dumme Sachen, wie zum Beispiel die Karte verwenden, um etwas online zu kaufen und es sich selbst zuzusenden. Es ist also nicht richtig zu sagen, dass es "null Risiko gibt, erwischt zu werden". Sowohl mit Streifen- als auch mit Chipkarten können Sie die Person fangen, indem Sie sie über ihre Verwendung der Karte verfolgen.

Das größte Sicherheitsrisiko bei den neuen Karten besteht darin, dass viele Anbieter die Verwendung des Chips überhaupt nicht verlangen – sie lassen Sie immer noch durchziehen. Mit Änderungen der Kreditkartenhaftungsrichtlinien ist dies jedoch ein Risiko für die Anbieter, nicht für Sie.

Ja. Bei der Bewertung eines Sicherheitsverfahrens müssen Sie alle realistischen Bedrohungen berücksichtigen. Es ist durchaus möglich, dass ein neues Verfahren Sie anfälliger für Angriffe von X macht, aber dennoch eine gute Idee ist, weil es Sie in einem Ausmaß weniger anfällig für Y macht, das X mehr als wettmacht. Und ich würde hinzufügen, Signaturen nicht. bieten nicht wirklich viel Sicherheit. Ich sehe selten, dass Geschäfte meine Unterschrift überprüfen. Und wenn jemand Ihre Karte gestohlen hat, könnte er das Fälschen Ihrer Unterschrift üben.
„Das größte Sicherheitsrisiko bei den neuen Karten besteht darin, dass viele Anbieter die Verwendung des Chips überhaupt nicht verlangen – sie lassen Sie trotzdem durchziehen.“ Diese. Der Tag, an dem neue Zahlungskarten in den USA überhaupt nicht mehr mit Magnetstreifen ausgestattet sind, wird ein großer Tag für die Sicherheit von Finanzinformationen.
@halfinformed oder zumindest der Tag, an dem das Terminal beim Aussteller prüfen kann, ob die Karte einen Chip haben soll, und wenn ja, einen Durchzug verweigern kann. Bis dahin kann ein Angreifer eine Karte aus dem Magnetstreifen klonen und einfach das Bit „Ich habe einen Chip“ auf Null setzen, und die Meldung „BITTE KARTE EINLEGEN“ wird nicht angezeigt.
@halfinformed Ich persönlich zerstöre meinen Magnetstreifen absichtlich und verwende ihn nirgendwo, wo ich gezwungen wäre, ihn zu wischen. Für mich ist jeder Ort, der kein Chip-Lesegerät hat, lückenhaft.
„Die Kreditkartenunternehmen verfolgen immer noch die Kartennutzung und achten auf ungewöhnliche Käufe, die auf Betrug hindeuten könnten.“ Was großartig ist, bis es nicht mehr so ​​ist. Als ich vor ein paar Jahren umgezogen bin, hatte die Bank Aufzeichnungen darüber, dass ich die automatischen Zahlungen an meinem alten Standort eingestellt habe, und sie hatte Aufzeichnungen darüber, dass ich Benzin, Mahlzeiten und Hotelzimmer entlang meiner Route gekauft habe, aber als ich einige Möbel für die an einem neuen Ort, wurde es als betrügerisch gekennzeichnet, weil es sich um einen teuren Kauf weit weg von meinem Wohnort handelte, und ich brauchte 2 Stunden am Telefon mit Bankvertretern, um es zu klären! :(
@MasonWheeler: Hast du deine Bank tatsächlich vor dem Kauf über deine neue Adresse informiert? Wenn Sie dies nicht getan haben, bedeutet dies, dass das Betrugserkennungssystem tatsächlich hervorragend funktioniert. Ich hätte mich viel mehr geärgert, wenn die Bank diese Transaktion naiv durchgelassen hätte. Das Hinterlassen einer Aufzeichnung über das Stoppen automatischer Zahlungen ist nicht dasselbe, als würde man der Bank mitteilen, dass man umzieht.
Ihr Vorschlag ist also, den Körper gut zu verstecken, wenn Sie jemandes Kreditkarten stehlen, um ihn optimal zu nutzen?
@Cruncher Ich bin mir nicht sicher, warum Sie denken, dass es von Natur aus lückenhaft ist, keinen Chipleser zu haben. Die Betrugshaftung für Streifen wurde vor weniger als einem Jahr gesetzlich auf Einzelhändler verlagert, und einige Anbieter von Point-of-Sale-Software haben ihre Software immer noch nicht aktualisiert, sodass Geschäfte, die diese Anbieter verwenden, keine Wahl haben. Ich habe auch noch keine Smartphone- oder Tablet-basierten Kartenleser gesehen, die einen Chip verwenden. Sie würden sich von vielen Einzelhändlern ausschließen, darunter so ziemlich alle Tankstellen und Restaurants.
@hobbs das machen sie schon. Ich habe versucht, meine Chipkarte zu klauen, aber das Terminal hat sie abgelehnt und gesagt, ich müsse den Chip verwenden.
@Andy ja, aber es basiert auf Informationen auf der Karte , insbesondere dem Magnetstreifen.
Gestern Abend musste ich die Karte durchziehen und einstecken. Früher habe ich in diesem Geschäft nur eingesteckt, aber aus irgendeinem Grund, als ich die Karte einsteckte, wurde ich aufgefordert, sie herauszunehmen und zu wischen und dann wieder einzulegen.
@JustinLardinois: Ich habe seit ein paar Jahren einen Chipleser für mein Smartphone von iZettle (in Großbritannien).
@halfinformed Ich würde eigentlich sagen, dass es auch ein guter Schritt wäre, die erhabenen Buchstaben loszuwerden - Händler können immer noch Gebühren mit den alten "Klick-Klack" -Kartenmaschinen mit Rollenaufdruck einreichen, obwohl sie eine Unterschrift nehmen.
@AndrewAylett Nun, natürlich sind sie außerhalb der USA leicht erhältlich. Ich habe nur gesagt, dass Smart-Device-basierte Lesegeräte, die mir hier begegnet sind (fast immer Square), nur Magnetstreifen sind.

Ich habe nicht viel hinzuzufügen, außer dass Ihre Unterschrift nicht erforderlich ist, um eine Belastung zu bearbeiten. Unterschriften werden für den Fall aufbewahrt, dass Sie eine Belastung anfechten. Ihre Unterschrift wird nicht in einer magischen Datenbank mit Unterschriftenerkennungssoftware gespeichert. Wenn Sie einen Hai im Unterschriftsabschnitt einer Quittung zeichnen, wird die Belastung nicht an der Bearbeitung gehindert. Tatsächlich machen sich viele Händler nicht einmal die Mühe, die Unterschrift unterhalb eines bestimmten Schwellenwerts zu verlangen.

Hinter den Kulissen bietet der EMV-Chip viele Verarbeitungsverbesserungen; nämlich Verhinderung von Kartennummern-Skimming und -Duplizierung durch verschlüsselte Transaktionssignierung. Während das Erfordernis einer PIN eine zusätzliche Sicherheitsebene hinzufügt, verbessert die einfache Verarbeitung über einen Chip die Tools zur Verhinderung von Netzwerkbetrug auf eine Weise, die für den Benutzer fast vollständig transparent ist.

Wenn Ihre Brieftasche verloren geht und ein Betrüger Ihre physische Karte hält, gibt es keine Verbesserung der Betrugsbekämpfung. Auf jeden Fall haben Sie in den USA keine Betrugshaftung.

Hier ist eine Geschichte, die zeigt, dass Unterschriften nicht erforderlich sind, um eine Gebühr zu verarbeiten: tickld.com/x/…
Mein Vater unterschreibt das immer mit einem X und es war nie ein Problem.
@DamianYerrick Ich frage mich, warum ein Kunde in der Schlange ein anderes Wechselgeld gibt? Das ändert nichts daran, dass Signaturen für die Sicherheit nicht wichtig sind, aber die Geschichte nicht authentisch erzählt wird.

Einer der Hauptvorteile besteht darin, dass die Vervielfältigung aus wenigen Quellen kein Vektor mehr ist. Die beiden großen Beispiele, das kleinere zuerst, Card Skimming und Verletzungen wie die von Target. Der Chip generiert im Wesentlichen einen eindeutigen Transaktionscode, der im Chip generiert wird. Selbst wenn Sie also einen Chip-Skimmer installiert haben, müssten Sie den Händler dazu bringen, den Code zu verwenden, und es wäre nur einmal gut. Das Gleiche gilt, wenn Sie so etwas wie die Zielverletzung erhalten. Anstelle eines riesigen Stapels von Kartennummern erhalten Sie einen riesigen Stapel gebrauchter Codes, die nicht sehr nützlich sind, um an Geld zu kommen. Auch wenn das Risiko gestohlener Karten steigt, sollte dies ein großer Vorteil für die Banken sein.

Darüber hinaus implementieren einige Banken jetzt schnelle und kurzfristige Sperren, wie die Karten-App Discover It. Klicken Sie einfach in der App auf „Einfrieren“, wenn Sie sich nicht sicher sind, wo sich Ihre Karte befindet, und heben Sie die Sperrung auf, wenn Sie dies tun. Die Annahme hier ist, dass die Leute es eher einfrieren und dies früher tun, als wenn sie auf eine neue Karte in der Post warten müssen. Theoretisch hindert nichts einen Verbraucher daran, die Karte die ganze Zeit eingefroren zu lassen und sie aufzutauen, wenn er ein Geschäft betritt, außer der Unpraktikabilität.

Chip- und Signaturkarten ändern das Paradigma, das Sie in Ihrer Frage ansprechen, nicht wesentlich. Der Chip ändert, wie der Automat Ihre Kontonummer erhält und zur Authentifizierung überträgt, ändert jedoch nicht wesentlich die Interaktion mit dem Sachbearbeiter. Es dient ausschließlich dazu, "Skimming" und ähnliche Angriffe zum Stehlen von Kartennummern und zum Kartenfälschen zu reduzieren.

Insbesondere kann ein Angestellter immer noch gerne fragen, ob er die Karte sehen kann, um die Unterschrift zu überprüfen, wenn er dies wünscht, und/oder um einen Ausweis bitten, um die Karte zu verwenden. Einige Änderungen traten ungefähr zur gleichen Zeit wie die Einführung von Chip und Unterschrift auf, was bedeutete, dass Angestellte weniger wahrscheinlich um Unterschriften für bestimmte Einkäufe bitten werden (hauptsächlich Erhöhung des Dollarbetrags für Einkäufe ohne Unterschrift), aber diese Änderungen unterscheiden sich von den Einführung der EMV (Chip) Authentifizierung.

Ist die Sicherheit von Kreditkarten mit Chip nicht schlechter als mit Signatur?
AntwortenHierDatenschutz-Bestimmungen1y, 0v