Küsimus:
Kas Visa PayWave on turvaline?
AlbeyAmakiir
2012-11-22 04:32:54 UTC
view on stackexchange narkive permalink

Hiljuti (noh, mõni kuu või isegi aasta tagasi) tutvustas minu pank siin Austraalias seda PayWave'i tehnoloogiat oma Visa deebetkaartidega. Nad väidavad, et see on turvaline, kuid kõik, millest nad räägivad, on nende eeskirjad, mis nõuavad, et märkaksite probleemi ( veebisaidilt):

Visa payWave-toega kaartide taga on Visa Zero Liability Policy1 ja need on sama turvalised kui mis tahes muu Visa kiipkaardiga. Neil on sama mitu turvakihti, mis tagab, et te ei vastuta petturlike või volitamata tehingute eest.

See ei kanna ilmselgelt samu turvakihte nagu teie peate kasutama oma PIN-koodi või allkirja. Noh, alla 100 dollari suuruste ostude puhul, kuid isegi see on mõnele inimesele palju raha (mis tahes summa on minu jaoks palju), nii et on natuke imelik öelda, et kõik selle alla kuuluvad "madala väärtusega" ostud > keegi . Kui kodutu leidis / varastas minu kaardi, ei näe ma, et ta midagi selle eest ostaks.

Keegi, kellega vestlesin, soovitas isegi inimesel tänaval kõndida ühe sellise PayWave'i masinaga nende kott ja põrutage see teiste inimeste kottide vastu lootuses leida ühilduv kaart.

Tundub, et nad ohverdavad mugavuse huvides turvalisuse ja alahindavad varaste leidlikkust. Tundub, et ma ei leia ühtegi teavet, mis ei oleks reklaam või oleks muul moel kallutatud ja mul pole selles valdkonnas üldse asjatundlikkust, et teha vahet õigustatud murel ja paranoial. Kas Visa PayWave on nii turvaline kui väidetakse?

Aww, veetsin selle küsimuse jaoks aega, et veenduda, et see on mõistlik, ja see on hääletatud. Mida ma valesti tegin?
Tehingutest teadlik on keeruline, kuid asun Hiinas ja minu pangad (üks sent Matsercardi ja teine ​​deebetkaardi eest) maksavad 60 senti kuus printsisumma eest teile automaatse teksti, mis näitab tehingu väärtust ja tasakaal. On suurepärane tagada, et lisaks sellele, kui teie kontole on juurdepääs teie kontolt ilma teie loata, on teil vaja korrigeerimist. Soovin, et minu NZ pank seda pakuks.
Neli vastused:
tylerl
2012-11-22 12:24:51 UTC
view on stackexchange narkive permalink

Krediitkaarditehingute turvalisuse saladus on see, et seaduse järgi (paljudes jurisdiktsioonides) vastutab petturlike tehingute eest teatud aja möödudes kaardi väljaandja, mitte kaardi omanik. Kuna nad võtavad juba suurema osa vastutusest, siis enamik (kõik?) Teevad lihtsalt hüppe, öeldes, et kaardi omanik ei vastuta pettuste eest mingil juhul.

See tähendab, et kaardi turvalisus on lihtsalt kulu - emitendi kasu kompromiss. Teatud pettuste mahakandmise eest tasub emitent kulusid, kui nad saavad vastutasuks poliisi eest mõistlikku tulu. Seega 100 dollari piir; Visa on kindel, et selles vahemikus suudavad nad pettused piisavalt usaldusväärselt tuvastada, et teatud turvameetmete eemaldamine tasuks vaeva näha.

Seetõttu on nende turvalisus nende probleem , mitte sinu oma. Ilmselt peate kahtlastest tehingutest tegelikult teatama . Seetõttu on halb mõte hoida avatud konto, mida te ei jälgi. Kuid see on alati nii olnud.

See peab tegelikult nii olema. Kui turvalisuse eest vastutav osapool on selle rakendamiseks kõige paremas olukorras, siis kipub teie saadav turvalisuse tase vastama turvatava asja väärtusele.

See on tihe kõne vastuste vahel, kuna häid väljavaateid on palju, kuid see saab märgi.
-1 See ei vasta tegelikult küsimusele ega räägi kaartide turvalisusest.
@Peanut Loe veidi lähemalt: Küsimus on "* Kas PayWave on nii turvaline, nagu väidetakse *" ja tegelikul vastusel pole absoluutselt midagi pistmist kaartide endi turvalisusega. Kuna Visa võtab vabatahtlikult 100% pettusevastutuse, peavad kaartide pettusevastased omadused olema ainult Visa, mitte kasutaja kaitsmine. Kasutaja on juba absoluutselt kaitstud. Seetõttu on kaardid sama turvalised, nagu väidetakse, ja oleksid ka edaspidi turvavarustuse täieliku puudumise korral.
@tylerl Veebisaidi tsitaat on see, et kaardid on "sama turvalised kui mis tahes muu Visa kiipkaart", mis, nagu teistes vastustes näidatud, ei pea paika nende kontaktivaba liidese tõttu. Ma arvan, et pole mõistlik öelda, et süsteem on sama turvaline, sest Visa on valmis teile pettusest teatamise korral hüvitama ja et nad on nõus pettusega, eriti kuna pangad on mõnevõrra kurikuulsad (vähemalt Ühendkuningriigis) pettuse korral kasulik, ehkki uue tehnoloogia tõttu võivad nad olla valmis maksma, et mitte lämmatada tarbijate usaldust tehnoloogia vastu.
scuzzy-delta
2012-11-22 06:42:52 UTC
view on stackexchange narkive permalink

Visa ja teised krediitkaarditootjad kasutavad krediit- / deebetkaarditehingute autentimiseks standardit EMV. Wiki artikkel selgitab seda paremini kui mina, kuid see on väga tehniline teema - selle lugemine ja mõistmine võtab aega.

Samuti peaksite nägema vastuseid sarnased küsimused NFC / RFID / EMV kohta.

Põhimõtteliselt toovad demonstreeritud kloonimisrünnakud teile ühe tehingu -PIN-i piir (enamikul juhtudel 80–100 dollarit). Ilmselt on kogu elanikkonna seas märkimisväärseid raskusi palatisse pääsemisega (sõjaga seotud NFC-dega?) - kõige vähem saab palka ilma, et teda tabataks. AFAIK pole keegi näidanud makseterminali kloonimise võimet.

Ja lõpuks - me vahetame turvalisuse tagamiseks alati mugavuse huvides. Kas teil on välisuksel kaks lukku? Kolm? Kaheksa? Kas kõnnite ringi kaitsva polsterdusega? Kas kannate koolis kuulivesti?

Siin on kompromissiks tehinguaja lühendamine ~ 15 sekundilt ~ 2 sekundile. Kui liita see kokku miljonite inimeste ja triljonite tehingute arvuga, näete märkimisväärset aja kokkuhoidu. Kas see on lisariski väärt? Tundub, et kaardi väljaandjad arvavad nii - ja on avalikult lubanud klientidele hüvitada turvaprobleemidest põhjustatud kahjud.

+1 hästi kirjeldatud alternatiivse perspektiivi jaoks teise vastusega.
Gilles 'SO- stop being evil'
2012-11-23 02:16:31 UTC
view on stackexchange narkive permalink

See on turundusdokument, kus on mõned nastiku sõnad:

Neil on sama mitu turvakihti

See tähendab, et:

  • Kontaktivabadel kaartidel on kiibi ümbruses sama tasemekindlus kui otsekontaktkaartidel.
  • Andmetasemel sideprotokollid ( EMV) on mõlema füüsilise liidese puhul ühesugused.

Mida nad välja jätavad, on järgmine:

  • kui saate teha tehingu PIN-koodi sisestamata , siis saab igaüks kaasaskantava terminaliga (nt NFC ja vastava tarkvara ja võtmetega nutitelefon või panga väljastatud terminal) ringi käia ja tehingu algatada.

See toob kaasa olulise nõrkuse kombinatsiooni tehingute lubamisest ühe autentimisteguriga (olles füüsilise seadme läheduses) ja nõrga autentimisteguriga (see pole isegi see, mis teil on, vaid see, mis lähedal on). / p>

Tõepoolest, PayWave'i või muu sarnase skeemiga vähendab tugevuse autentimist mugavuse huvides, on teie kohustus vaidlustada kõik tasud. Sõltuvalt teie riigi kohtupraktikast võib tasude vaidlustamine olla lihtne või keeruline (USA on selles osas tarbijale pigem soodne, pankadel on Euroopa riikides palju rohkem mõjuvõimu).

Enne tagastate oma kaardi vihasena, võtke arvesse, et lihtsalt krediitkaarti omades võtate juba suurema riski. Teie krediitkaarti saab võrgus kasutada keegi, kes pole kunagi füüsiliselt selle lähedal olnud: vaja on teada vaid 16-kohalist numbrit ja (enamiku, kuid mitte kõigi kaupmeeste) aegumiskuupäeva ning 3- või 4-numbrit kohaline number, mis asub iga kaupmehe andmebaasis, kellelt olete oste teinud (nad ei peaks neid salvestama, kuid paljud siiski salvestavad). Krediitkaardiga ostude sooritamine ei nõua tõeliselt konfidentsiaalsete andmete, näiteks PIN-koodi esitamist; kontaktivabad maksed pole selles osas uued.

grauwulf
2012-11-22 05:10:51 UTC
view on stackexchange narkive permalink

PayWave on lähedalasuv sidetehnoloogia ja see on peaaegu sama turvaline kui vennapoisi moraal. Valdava enamuse tehingute puhul on teil kõik korras, kuid see on siiski tohutu risk. Ma väldin seda iga hinna eest.

Lisateabe saamiseks proovige guugeldada "NFC Hacks" või "RFID Hacks". Sel aastal toimusid USA-s BlackHat'is mõned head ettekanded NFC-st ja RFID-proksiemika on täielikult hävitatud.

Isiklik arvamus: jääge sularaha ja mündi juurde.

Ah, paremad märksõnad. Aitäh. Leidsin just artikli, milles öeldakse, et Androidi NFC-d on häkitud, ja veel üks, mis ütleb, et nad plaanivad PayWave'i Androidi lisada. Suurepärane. <_ <
Ja androidile on saadaval rakendused RFID-krediitkaartide rajaandmete haaramiseks.
Tahaksin mainida, et ainult sularahas käimisega kaasnevad märkimisväärsed riskid
See on tõsi, ebamäärane delta. Iga tehinguga on seotud teatud riskitasemega. Küsimus on selles, millist riskitaset olete nõus aktsepteerima? Minu jaoks ületab seda riskitaset võimalus, et mind võidakse tänaval kõndides röövida ja ma ei tea, et rööv juhtus. Kui keegi minu panga häkkib, on selle inimese tabamiseks (loodetavasti) süsteemid. Kui keegi üritab mind tänaval röövida, saan ma vastu võidelda. Isegi kui mõned kaardid tühistavad vale tasu, on mul ikkagi kohustus seda teha. Vaidlust pole. On ainult ohvreid.


See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 3.0-litsentsi eest, mille all seda levitatakse.
Loading...