Warum wurde keine Verschlüsselung mit öffentlichem Schlüssel oder Einmalpasswort eingeführt, um Online-Kartenbetrug zu bekämpfen?

Das von Ihnen beschriebene Konzept ist allgemein als "Zwei-Faktor-Authentifizierung" bekannt. Die Theorie und die potenziellen Vorteile liegen auf der Hand; jemand, der Ihre Karte verwenden möchte, muss nicht nur die Karte, sondern auch Zugriff auf Ihr mobiles Gerät haben. Ich kann mir mehrere potenzielle Probleme mit diesem System in einer Point-of-Sale-Situation vorstellen:

• Massives Upgrade der Geräte-Firmware erforderlich – jedes CC-Lesegerät im Land muss aktualisiert werden, um die Eingabe des Bestätigungscodes zu unterstützen. Für einige ist dies so einfach wie ein Firmware-Upgrade, um einen weiteren Schritt in den Prozess einzufügen. Andere Lesegeräte, einschließlich einiger brandneuer, verfügen nicht über die erforderliche Tastatur (weil CC-Transaktionen derzeit nicht erfordern, dass der Benutzer einen solchen Code eingibt). Dies ist eine größere Sache als bei Debitkarten, da Debitkarten entweder als Geldautomatenkarten (PIN) oder als Kreditkarten (Signatur, falls vorhanden) konzipiert wurden. Wenn also ein Einzelhändler nicht das Bedürfnis verspürte, ein Upgrade durchzuführen, um den Debitkartenprozess zu unterstützen, musste er dies auch nicht tun. Sie könnten die Karte wie eine Kreditkarte verwenden. Jetzt fordern Sie Einzelhändler auf, für eine relativ große Prozessänderung erneut ein Upgrade durchzuführen.

• Sie benötigen jetzt zwei Geräte, um auf Ihr Geld zuzugreifen - Zusätzlich zu Ihrer Karte benötigen Sie Ihr mobiles Gerät, um den Bestätigungscode zu erhalten. Erstens hat nicht jeder ein mobiles Gerät, also erfordert ein System wie dieses im Grunde, dass jeder US-Karteninhaber ein mobiles Gerät haben und dafür bezahlen muss, selbst wenn dies das einzige ist, wofür es jemals verwendet wird. Zweitens muss Ihr Handy, selbst wenn dieses System Opt-in ist, an Ihrer Seite sein, aufgeladen sein und ein Signal empfangen, damit Sie mit Ihrer Kreditkarte bezahlen können. Wenn Sie all das durchmachen, warum wechseln Sie nicht einfach zu etwas, das in Ihrem Telefon enthalten ist, wie Google Wallet, oder einer Online-Banking-App, die Ihnen ähnliche scanbare Einmalcodes gibt?

• Die mobile Kommunikation ist nicht 100 % zuverlässig - Textnachrichten sind dafür bekannt, dass sie mehrere Minuten oder sogar Stunden nach dem Senden angezeigt werden. Wenn man bedenkt, was nötig ist, um die Textnachricht von einem Mobilgerät zum anderen zu übertragen, und wie viele SMS pro Minute das Mobilfunknetz unterstützen muss, ist es verblüffend, dass das System überhaupt funktioniert. Aber das technische Wunderwerk des US-Mobilfunknetzes ist wenig Trost, wenn die SMS, die Sie zum Abschluss der Kreditkartentransaktion benötigen, nicht auf Ihrem Telefon erscheint, die Leitung länger wird und die Leute Sie anschreien Sie müssen nur bezahlen und gehen.

• Die Zwei-Faktor-Authentifizierung ist selbst für Kreditkarten nichts Neues - Für große Einkäufe, die am wahrscheinlichsten betrügerisch sind, müssen Sie die Kreditkarte und Ihre Unterschrift haben. Für Debitkartentransaktionen müssen Sie die Karte und Ihre PIN haben. In beiden Fällen sind die beiden Faktoren etwas, das Sie haben (die Karte), und etwas, das Sie wissen (Ihre PIN oder wie Sie Ihren Namen eindeutig signieren). Die Änderung, die Sie vorschlagen, verwandelt einfach das, was Sie wissen, in ein zweites Ding, das Sie haben.

• Es ist ein Rückschritt in Sachen Komfort - In den letzten Jahren haben Kreditkartenaussteller und Einzelhändler damit begonnen, Kreditkartentransaktionen ohne Unterschrift unter einem bestimmten Betrag zu akzeptieren. Das ermöglicht die „Swipe and Go“-Transaktion, die den Checkout-Prozess erheblich beschleunigt, was wiederum den Umsatz des Einzelhändlers in Spitzenzeiten erhöht. Jetzt schlagen Sie vor, dem Prozess nicht nur einen Code hinzuzufügen, sondern darauf zu warten, dass Ihnen dieser Code gegeben wird, bevor Sie ihn eingeben können.

Meistens haben diese mit einer Kosten-Nutzen-Abwägung zu tun.

Die Banken wären diejenigen, die solche Systeme aufbauen. Und am Ende des Tages, wenn ihre IT-Abteilungen die Situation überhaupt nicht analysieren, passiert nichts.

Wenn sie eine Analyse der Menge an Transaktionsbetrug machen, die ihren Kunden widerfährt (und sie haben diese immer noch nicht), dann würde ich vermuten, dass die CIOs, die damit konfrontiert wurden, so etwas wie „es kostet“ sehen unsere Bank $500.000 pro Jahr an Betrug... wir könnten dieses System für $3.000.000 kaufen."

Und dann, wenn sie die Budgetentscheidungen treffen, ist einfach nicht genug vorhanden, oder sie haben andere Projekte mit höheren Prioritäten.

Daten, die über das Netzwerk gesendet werden, werden verschlüsselt. Das Hauptproblem ist, wenn die Karte verloren geht oder überflogen wird, kann sie missbraucht werden, und das passiert einige Male.

Die Einmal-Passwort-Authentifizierung ist viel besser, sie kann jedoch nicht über Nacht für alle Anwendungsfälle eingeführt werden, es dauert einige Zeit, bis jede Lieferkette auf ein neueres System umgestellt ist. Daher wird es Überstunden passieren. Und selbst mit Einmalpasswort gibt es Fälle, in denen eine SIM-Karte gestohlen/geklont, ein Konto gehackt und ein Einmalpasswort eingegeben wurde ... oder die Telefonnummer in der Datenbank des Unternehmens gehackt und in eine neue Nummer geändert wird, Benachrichtigungen und Einmalcodes neu empfangen werden Nummer ...

In der heutigen Welt ist es also immer der Kampf zwischen der besten Methode zur Minimierung von Betrug und wie immer ein Kampf zwischen Gut und Böse

Ich stimme zu, dass es Kosten gibt, aber man kann sich vorstellen, dass die Kosten heutzutage weit unter das Risiko gefallen sind, das die Banken tragen. Es gibt eine Google-Bestätigung in zwei Schritten , die theoretisch einen hohen Prozentsatz des einfachen Betrugs eliminieren sollte. Meine Frau kann meine Karte und alle Details haben, die ein Ehepartner wissen würde, aber auch ohne mein Smartphone in der Hand keine Transaktion.

Wenn Google dies als kostenlose Sicherheitsmaßnahme für die eigene Website anbieten kann, scheint eine Partnerschaft mit den großen Kartenunternehmen eine natürliche Entwicklung zu sein.

(Nach weiterem Nachdenken ist dies ein Kommentar, da ich auch überrascht bin, dass er nicht abgehoben hat.)