Bezpieczeniejsze karty płatnicze

[KopalniaWiedzy.pl 357]

Visa pracuje nad nową generacją kart kredytowych, które będą samodzielnie generowały hasła jednorazowe. Karty powstają we współpracy z australijską firmą Emue Technologies. Wiadomo, że będą one wyposażone w procesor, klawiaturę i wyświetlacz. Zasilająca kartę bateria zapewnia trzyletnią pracę.

Po wpisaniu przez użytkownika numer PIN wbudowany w kartę procesor wygeneruje i wyświetli hasło jednorazowe o długości do 8 znaków. Visa PIN Card, bo tak będzie nazywała się nowa karta, ma być "krokiem milowym w ochronie przed defraudacjami". Będzie ona szczególnie przydatna w miejscach, w których dokonuje się transakcji bez pośrednictwa czytników kart, np. podczas zakupów online czy zamawianiu towarów przez telefon. To właśnie możliwość korzystania z kart bez używania czytników spowodowała gwałtowny wzrost przypadków defraudacji. Obecnie wystarczy ukraść kartę by bez przeszkód dokonywać np. zakupów w Internecie. W przypadku Visa PIN Card złodziej będzie musiał znać też numer PIN, by z niej skorzystać.

Nie wiadomo, kiedy nowe karty trafią na rynek. Można przypuszczać, że na ich pojawienie się nie trzeba będzie długo czekać, gdyż projekt pilotażowy testujący karty ma rozpocząć się wkrótce.

[mikroos 70]

Eee, po co sama karta miałaby to generować? Nie lepiej przysyłać sms-em? Byłoby jeszcze bezpieczniej, bo nawet fizyczne wejście w posiadanie karty nie dawałoby dostępu do pieniędzy na koncie.

[patrykus 11]

Nie daje takiego dostępu, trzeba znać pin

[mikroos 70]

Ale ja mówię o porównaniu opisanej w artykule technologii z moim pomysłem. Owszem, PIN trzeba znać, ale tak naprawdę artykuł mówi o pomyśle na "drugą warstwę" zabezpieczenia: oprócz PIN-u musisz zdobyć jeszcze drugą formę weryfikacji. Zgodnie z moim pomysłem, poza posiadaniem karty i wklepaniem PIN-u musiałbyś jeszcze być w posiadaniu telefonu.

[patrykus 11]

Być może pomysłodawcy biorą pod uwagę takie możliwości jak nie posiadanie telefonu, wyładowana bateria, lub nie posiadanie go przy sobie? Visa to duża międzynarodowa firma i jeśli załóżmy 0,5% jej klientów nie posiada telefonów komórkowych to może to dla nich oznaczać znaczne straty. Ponadto jeśli chodzi o twój pomysł z komórką, myślisz że jeśli ktoś jest w stanie wyciągnąć komuś kartę z portfela to nie będzie potrafił ukraść telefonu? Standardowa sytuacja: kradziona jest torebka. Zazwyczaj w środku jest i portfel i telefon. Zresztą gdyby istniał taki system złodzieje kradli by i karty i telefony. Dla tego najważniejsza w tym pomyśle jest idea wprowadzania pinu. Bo o ile telefon i kartę można ukraść z pinem nie jest już tak łatwo. Jasne, dodatkowe zabezpieczenie w postaci telefonu na pewno w niewielkim stopniu utrudniło by dostęp do pieniędzy, jednak nie wiadomo czy ten zysk wynagrodziłby trudności  związane z jego korzystaniem o których wspomniałem na początku. Na koniec kwestia techniczna i chyba najważniejsza. Jeśli dobrze zrozumiałem według ciebie karta po wpisaniu do niej pinu miałaby wysyłać kod tymczasowy do telefonu w postaci smsa (bądź innej), ale to z kolei oznaczało by konieczność zainstalowania w niej modułu komunikacyjnego (gsm, bluetooth,  itp) a to raczej nie jest współcześnie do zrealizowania w przestrzeni jaką dysponuje karta kredytowa.   

[mikroos 70]

Wyświetlacz LCD, klawiatura i generator liczb losowych także nie są obecnie dostępne, a jednak da się je zrobić. Natomiast moduł komunikacyjny do Bluetooth jest obecnie naprawdę malutki - zobacz sobie od spodu obudowę dowolnego laptopa, czasem moduł BT jest do niej "wkręcany" od zewnątrz. Moduł GSM też nie byłby z pewnością duży, choć rzeczywiście, byłby jeden kłopot - ładowanie tego ustrojstwa. Ja tylko rzucam luźny pomysł, bo moim zdaniem tak byłoby bezpieczniej. Kto wie, może za parę lat będzie to możliwe

[Mariusz Błoński 195]

Eee, po co sama karta miałaby to generować? Nie lepiej przysyłać sms-em? Byłoby jeszcze bezpieczniej, bo nawet fizyczne wejście w posiadanie karty nie dawałoby dostępu do pieniędzy na koncie.

 

Przesyłanie haseł jednorazowych SMS-em jest już stosowane. Np. w mBanku w momencie dokonywania transakcji na koncie otrzymuję hasło SMS-em.

Ta karta rozwiązuje jednak inny problem. Co w sytuacji, gdy np. robię zakupy w sklepie on-line. Skąd bank ma wiedzieć, że w danej chwili potrzebuję hasła jednorazowego? Mam zadzwonić do banku? Nierealne. Strona sklepu ma najpierw identyfikować, który bank wydał kartę, a następnie ma wysyłać do niego żądanie, by do właściciela karty został wysłany SMS? Trudne do wykonania.

Jeśli będą istniały takie karty, to istniejące już sklepy internetowe będą musiały dokonać jednej drobnej zmiany w swoich systemach. Oprócz danych samej karty (co jest stosowane obecnie i nie jest żadnym zabezpieczeniem w przypadku kradzieży karty) muszą dać możliwość wpisania PIN. Całość idzie do uwierzytelniania i już.

Oczywiście istnieje coś podobnego, CVV. Problem jednak w tym, że jest on generowany na stronie banku-wystawcy karty. A więc wymaga więcej zachodu (musisz łączyć się ze swoim bankiem), wymaga posiadania przy sobie loginu i hasła (mało osób pamięta takie rzeczy) i niesie ze sobą olbrzymie ryzyko w przypadku korzystania z komputera innego niż własny.

Nowa karta Visy rozwiązuje te problemy.

Oczywiście i tak się okaże, że nie jest całkowicie bezpieczna. Ale dodatkowe bezpieczeństwo zapewnia.

[mikroos 70]

Przesyłanie haseł jednorazowych SMS-em jest już stosowane. Np. w mBanku w momencie dokonywania transakcji na koncie otrzymuję hasło SMS-em.

Wiem, mam

 

Ta karta rozwiązuje jednak inny problem. Co w sytuacji, gdy np. robię zakupy w sklepie on-line. Skąd bank ma wiedzieć, że w danej chwili potrzebuję hasła jednorazowego?

Wystarczy, żeby Visa uruchomiła serwis w necie, który by ułatwiał takie transakcje. Logowałoby się za pomocą numeru karty i PIN-u, a dalej już jak w mBanku: definiujesz konkretną transakcję, z podaniem odbiorcy zapłaty i kwoty. Wtedy dostajesz jednorazowe hasło, działające wyłącznie dla tej jednej transakcji.

 

Strona sklepu ma najpierw identyfikować, który bank wydał kartę, a następnie ma wysyłać do niego żądanie, by do właściciela karty został wysłany SMS? Trudne do wykonania.

Dlaczego? Każda transakcja i tak musi przecież przejść przez Visę, bo to ona realizuje przelewy stojące za transakcjami kartowymi.

 

Oprócz danych samej karty (co jest stosowane obecnie i nie jest żadnym zabezpieczeniem w przypadku kradzieży karty) muszą dać możliwość wpisania PIN.

Czyli i tak, i tak będzie potrzebny kontakt z Visą, bo choć PIN będzie zapisany w karcie (co jest moim zdaniem zagrożeniem samo w sobie), operator karty będzie musiał skontaktować się z bankiem posiadacza karty oraz sklepu i dokonać rozliczenia.

 

Przypomina mi się jeszcze jedna kwestia. Nie wiem, czy kiedykolwiek zwróciliście uwagę na klawiaturki do wpisywania kodu przy wejściach do pomieszczeń. Po niecałym roku pojawiają się na nich ślady, dzięki którym bardzo łatwo można odgadnąć hasło. Jeśli połączymy to z faktem, że w przypadku takiej karty jest ono zapisane wewnątrz urządzenia, stwarza to dodatkowe ryzyko.

 

Mnie osobiście to rozwiązanie w ogóle nie przekonuje i jeśli już miałbym szukać jeszcze innej opcji, to proponowałbym karty wirtualne mniej więcej na wzór eKARTY w mBanku - tyle, że powinna je "wydawać" (a raczej: jednorazowo generować i "ładować" tylko kwotą potrzebną do zrealizowania transakcji) bezpośrednio Visa.

[este perfil es muy tonto 9]

a ja ostatnio przez posiadanie taniej studenckiej debetowej Visy bez CVV nie mogłem se biletu lotniczego przez neta kupić i źle mi z tym:///w ogóle wkurzające niekiedy te zabezpieczenie,ma człek ledwo kilkaset zeta na koncie ale go bronią przed złodziejami utrudniając tylko życie

[syzu 0]

Rzeczywiście. Musi być sposób taki aby karty były kompatybilne z dzisiejszymi terminalami. Jakie to ograniczające i oszczędne.

[Adrian Stachowiak 0]

Tak naprawdę wygląda to całkiem podobnie do systemu stosowanego a ABN Amro (Mastercard) w Holandii. Tutaj procedura wygląda następująco:

1. Kupujemy rzecz na stronie internetowej.

2. Strona sklepu przekierowuje nas na stronę banku.

3. Logujemy się do konta - podajemy numer konta oraz numer karty.

4. Bank generuje numer hasła.

5. Wkladamy karte do takiego 'kalkulatorka', wpisujemy tam PIN oraz ten numer hasła.

6. Na tej podstawie oraz za pomocą chipa na karcie 'kalkulatorek' generuje nam hasło.

7. Wpisujemy to hasło na stronie by zakończyć logowanie oraz transakcję.

 

I wyglada na to, że tak naprawdę to nowością tutaj bedzię po prostu wbudowany owy 'kalkulatorek' bezposrednio w kartę. Wiec nie wygląda to na coś naprawdę odkrywczego - ot zwykła konsolidacja i miniaturyzacja

 

A odnośnie smsów to tak nic chyba nie stoi na przeszkodzie by wprowadzić do tego systemu dodatkowy poziom zabezpieczenia. Wystarczy, że ten numer hasła generowany przez bank a który w tej chwili jest wyświetlany na stronie podczas logowanie był dostarczony w postaci sms na telefon komórkowy właściciela konta. Tyle, że nie słyszałem, by ktoś to wprowadził

[wilk 103]

To powyżej (ABN Amro), to akurat jest challenge-response, nie hasła jednorazowe, lecz idea w bardzo ogólnym zarysie podobna od strony płacącego. Natomiast dlatego karta sama to generuje, bo posiada kryptograficznie bezpieczny chip (oraz PRNG), którego (teoretycznie) nie można skopiować/odczytać. Zaś PIN zapewne nie jest w ogóle przechowywany w pamięci karty nawet w postaci skrótu (np. jakaś odmiana SHA), lecz jest tylko jednym z argumentów funkcji generującej hasło jednorazowe (obok timestampu i numeru karty).