Visa payWave und MasterCard PayPass haben eine ähnliche Beschreibung – die Karte ist mit einer Antenne ausgestattet, die sie verwendet, um mit dem Terminal zu kommunizieren. Für kleine Einkäufe (etwa weniger als 50 US-Dollar) wird die Transaktion autorisiert, indem die Karte nahe (etwas wie nicht mehr als zwei Zoll) an das Terminal gebracht wird.
Was ist nun, wenn meine Karte in meiner Tasche ist und jemand in einer Menschenmenge mit einem betrügerischen Gerät, das sich wie ein Terminal verhält, in meine Nähe kommt? Was ist, wenn ich meine Karte verliere und jemand sie abholt und für viele kleine Einkäufe verwendet? Wie wird die Tatsache angesprochen, dass die Nähe der Karte zum Terminal die einzige Voraussetzung für die Transaktion ist und keine weitere Teilnahme des Karteninhabers erforderlich ist, um eine Transaktion zu autorisieren?
Sie sind nicht. Abgesehen von den Daten, die mit dem RFID -Chip übertragen werden, ist der Schutz im Grunde genau derselbe wie bei Ihrem Magnetstreifen: NONE .
Aber Sie haben dies als "Chipkarte" gekennzeichnet. Nicht verwirren, eine Chipkarte ist etwas anderes. Chipkarten werden in Europa und an vielen anderen Orten verwendet, wo Privatsphäre und Sicherheit für die Menschen von Bedeutung sind. Diese Art von Karten ist sehr sicher und sehr gut geschützt . Der Chip auf der Karte ist eigentlich ein Smartcard- Prozessor, der verschlüsselte Daten überträgt, die nur mit einer separat eingegebenen PIN verwendet werden können. Das Stehlen der Karte oder das Kopieren der Daten auf dem Chip, selbst wenn es möglich ist, bringt dem Dieb nichts Verwertbares, ähnlich wie das Stehlen Ihrer Geldautomatenkarte, ohne ihre PIN zu kennen, sie völlig nutzlos macht. An vielen Orten in Europa akzeptieren sie die amerikanischen Karten nur mit Magnetstreifen nicht.
Viele Karten bieten jedoch einen Null-Haftungsschutz, und Sie können betrügerische Gebühren jederzeit anfechten. Lassen Sie also die Einzelhändler die Schäden des unsicheren amerikanischen Bankensystems erleiden, und vielleicht werden sie die Banken dazu drängen, das europäische Chipkartensystem zu übernehmen.
Aus technischer Sicht gibt es zwei Hauptversionen von kontaktlosen Zahlungskarten – für MasterCard gibt es PayPass M/Chip und PayPass MagStripe. Ich glaube, die Mag Stripe-Version darf nur in den USA verwendet werden, wo es weniger Chipkarten gibt, während M/Chip auf Karten mit EMV-Chips verwendet wird. ( Referenz )
Ich glaube, dass die aktuellen Versionen von PayPass M/Chip Krypto auf dem Chip ausführen und dynamische Hashes erzeugen, was bedeutet, dass die Transaktionen nicht wiedergegeben werden können. Dieser Wert heißt CVC3 und kann je nach Emittent statisch oder dynamisch berechnet werden. ( ref ) Ich denke, dynamisch ist jetzt gebräuchlicher, aber ich bin kein Experte. Nur dynamisch generierte CVC3-Werte können natürlich nicht wiedergegeben werden.
Ich habe viele Leute gehört, die die Frage nach jemandem in einer Menschenmenge mit einem PayPass-Terminal gestellt haben. Ich kann nicht glauben, dass irgendein Händler dies zulassen würde – denn MasterCard und VISA und wahrscheinlich ihre Bank wären sehr, sehr verärgert und würden den Händler schnell schließen. Da der Betrug von einem Händler und nicht von einem Kunden durchgeführt wird, denke ich, dass er schnell gefunden und gestoppt werden würde. Vielleicht bin ich naiv, aber es scheint, dass dies eine schreckliche Methode wäre, Betrug zu begehen.
Aus Bankensicht ist Ihre Haftung zumindest in Australien auf einen bestimmten Nominalbetrag beschränkt, vorausgesetzt, Sie melden Ihre Karte als verloren oder gestohlen (ich bin kein Anwalt – wenden Sie sich an Ihre Bank). Die Transaktionsbeträge sind hier auf 100 $ begrenzt. Ich gehe davon aus, dass Banken / MasterCard / VISA die Zahlen ausgeführt haben und immer noch der Meinung sind, dass die Möglichkeit weiterer Transaktionen und der damit verbundenen Transaktionsgebühren die Risiken überwiegt.
Darüber hinaus sehen wir jetzt auch, dass VISA-Transaktionen mit geringem Wert keine PIN oder Unterschrift erfordern – daher gibt es diese Art von Problem jetzt für Nicht-Paypass-Transaktionen.
Unabhängig davon bin ich mir ziemlich sicher, dass VISA und MasterCard irgendwann die Aufnahme von PayPass/Paywave in neu ausgestellte Karten vorschreiben werden.
Vermischen Sie Sicherheit nicht mit RFID. Eine kontaktbehaftete Chipkarte ist NICHT mehr oder weniger sicher als eine kontaktlose. Sie müssen es sich als Transportschicht vorstellen, die in keiner Weise sicher ist. Die Sicherheit liegt woanders: Protokoll, Krypto, Schlüssel, etc...
Kontaktlose EMV-Karten (die mittlerweile fast alle neu ausgegebenen Karten umfassen sollten) verwenden einen Offline-Transaktionszähler , um die Sicherheit zu erhöhen. Dieser Zähler wird in der Karte geführt und jedes Mal erhöht, wenn eine kontaktlose Transaktion von der Karte bestätigt wird.
Zumindest einige Emittenten verwenden diesen Zähler, um die Anzahl der kontaktlosen Transaktionen zu begrenzen, bevor die Karte für eine Kontakttransaktion verwendet werden muss, die normalerweise eine Verifizierung des Karteninhabers durch PIN-Eingabe oder Unterschrift erfordern würde.
Dies begrenzt das Risiko auf die Anzahl der erlaubten kontaktlosen Transaktionen multipliziert mit dem Höchstbetrag pro Transaktion.
Ich glaube, Kontakt hat einen Weg, auf dem er von Natur aus sicherer ist. Die Karte muss in das Lesegerät eingeführt werden. Was wäre, wenn ein Dieb Geld aus Ihrer Brieftasche nehmen könnte, indem er einfach mit seiner Hand in die Nähe Ihrer Tasche fährt? Ohne eine ordnungsgemäße PDOL-Implementierung scheint dies möglich zu sein.
Ellie Kesselmann
scharfer Zahn
Ellie Kesselmann