オンライン取引にクレジットカードのPINが必要ない理由
オンライン購入にクレジットカードのPINが必要なことは聞いたことがありません。どうしてこれなの?それはオンライン詐欺を劇的に減らすのではないでしょうか? PINが必要な場合も、物理的に盗まれたクレジットカードをオンライン取引で使用することはできませんでした。
脅威モデルについて考えてみましょう。今日、不正なWebサイト(または攻撃者に乗っ取られたWebサイト)がクレジットカード番号を吸い上げて不正な購入を行う可能性があります。
では、オンライン購入に必要なPINを実装します。
同じ不正なWebサイトが、PINも要求し、それらを使用して不正な購入を行います。
彼らがヨーロッパ(IIRC)で使用している方法では、PINをカード上のチップと組み合わせて使用します。これにより、Webサイトが攻撃者にその認証を放棄することができなくなります。私はそうではありません。実際の方法は確かですが、PINはチップ上の証明書のロックを解除し、証明書はトランザクションの署名に使用されると思います。