web-dev-qa-db-ja.com

非接触型クレジットカードのセキュリティ

英国では、最近、非接触型カード決済(カードをリーダーにかざすことによって支払う)の使用が大幅に増加しています。これ以前は、カードで支払う主な方法は、カードをマシンに挿入してPINを入力する「チップとPIN」を使用することでした。

銀行やカード発行会社は、非接触方式の方がチップやPINよりも安全であると主張していますが、これがどのように真実であるかを確認するのに苦労しています。

Visaは、実施されているセキュリティ対策について単につやを示しているようです。

Visa非接触型決済はどの程度安全ですか?

確かに非常に安全で、現金を運ぶよりもはるかに安全です。 Visa非接触型カードは、Chipと同じ安全なテクノロジーを使用しており、PINなので、支払いにそれを使用するときに完全に自信を持つことができます。 ソース

支払い時に第2要素認証(PINエントリ)はありません。誰か他の人のカードを持っている場合、1日に10回、取引限度額の£20まで支払うことができます。

私はまた、誰かがドアの周りのキンブルタグセンサーを変更し、店を出るときに自動的にカードを読み取る可能性があるという超妄想的な考えを持っていました。それはおそらく純粋なSFです。

私の質問は次のとおりです。非接触型決済は、ChipやPINよりもどのように安全ですか?

credit-cardnfc
7
Burgi

いいえ、非接触型トランザクションは、接触型トランザクションほど安全ではありません。非接触型ビジネス全体では、セキュリティを強化することよりも、販売時点での支払いを容易にすること(そして、スマートカードビジネスの将来の発展を可能にすること)に多くのことが関係しています。

ばかげた初期の米国の実装はさておき 、ここでいくつかのことが起こっています:

  1. 特定の金額未満のトランザクションはnocvmモードで承認されます。つまり、カードの検証方法はありません-これは観察したことです
  2. (国などに応じて)特定の金額を超えるトランザクションは、オンラインPIN確認を求められます(PINはPINパッドで暗号化されて送信されます認証のためにネットワークを介して発行者に送られます)、一方、EMVカードは通常、オフラインでPIN POSがカードのEMVチップにPIN =大丈夫です。
    • これは、セキュリティ上の問題とは異なるユーザビリティのトレードオフです。オフラインのピンにより、トランザクションを超高速にする必要があるPOSでオフライン認証が可能になります。オンラインPINには、それぞれ独自の(実行が難しい)攻撃ベクトルがあります。
  3. 非接触では、カードは発行ホストの信頼性を検証する機会がありません(ARPC検証は行われません)。これは、EMVスキームのセキュリティ対策の1つであり、私が完全に理解したことはありませんでした。非接触でそれがなくなったので、私だけではなかったと思います:)しかし、それでも、セキュリティ対策は1つ少なくなります

余計なEMVタグは別として、私が知る限り、これがEMV + CLESSと旧式のEMVの唯一の影響です。 Magstripe + CLESS、またはCLESSでEMVフォールバックを許可すると、結果として 投稿の最初からのそのyoutubeビデオ になり、完全にばかげています。

編集1:聖なる牛 https://play.google.com/store/apps/details?id=nfc.credit.card .reader.pro2 とんでもないことがまだ続いているようです。カードデータだけでなく、取引履歴も明らかにします。私はそれがグーグルプレイにあることを意味します、そしてそれは他の多くの人です。 製品カードでテストしないでください。

わかりません、Visa/MCは初期のNFCでアメリカ市場で多くの問題を経験しました、彼らは初期のマグストライプカードのためにトラブルの山を経験しました。最後に、EMVがここにあり、安全です。その後、基本的にセキュリティを磁気ストライプレベルに戻すことにより、NFC機能でアップグレードします。

7
bbozo

Visaは、非接触型の方がチップとPINの方が安全であると偽ることはありません。彼らはただ言う:

  • 現金よりも安全です。まあ、誰かがあなたの現金を手に入れたら、彼らはそれを自由に使うでしょうが、非接触カードはトランザクションごとに、そして1日ごとに制限されています。さらに、銀行にそれをブロックしてもらい、盗まれたと宣言したり、場合によっては、費用が発生した場所に行けなかったことを証明したりできます。その意味では、現金よりも安全です

  • チップとPINと同じテクノロジーを使用しています。間違いではない。簡単な手順では、PINを入力する必要はありません。そのため、PINを持っているもの(カード)や知っているもの(コード)ではなく、持っているものだけです。

だから彼らはそれがチップとPINほど安全であるとさえ言っておらず、単に素早い読み取りは彼らがそれを意味していると思わせることができます。

さて、私が考えていることについて。

チップやPINと同じくらい安全ですか?いいえ。カードを持っているだけで十分ですが、CHIPとPINには、さらにPINコードの知識が必要です。そして銀行はそれを知っており、それが、トランザクションごとと1日ごとに非接触で使用できる量を制限する理由です。

それでは、非接触型決済の意味は何ですか?シンプルさ。銀行は、すべてのカード取引でお金を稼ぎます。さらに、カード使用の類型は、ターゲット広告を提供するために使用できる貴重なデータになりました。そして銀行はそれをどのように使用または販売できるかを知っています。したがって、PINを入力しないような安価な操作でも、カードを使用してほしいと彼らは本当に思っています。

この操作を可能にするのは、攻撃者にとってそれほど興味深い操作ではないということです。ゲイン/リスク比はそれほど高くはありません。単に、ゲインがトランザクションごとおよび1日ごとに制限されているためです。そのため、2018年の時点では、非接触型カードへの大規模な攻撃については認識していません。紛失したカードを小額の費用で使用する以外に、そのため、ほとんどの銀行は、カードを紛失した場合、1日分の費用を返金することを受け入れます。これは、カードの費用が(銀行にとって)世界的な予想利益よりも少ないためです。

2
Serge Ballesta

非接触型決済の種類によって異なります。 Apple Payはチップよりも安全であり、PIN支払いは指紋認証が必要であり、トランザクションごとに1回限りのカード番号を生成するためです。 t開示されていても、別のトランザクションに再利用されます。

0
Mike Scott