クレジットカード番号、CVV、および有効期限は秘密と見なされますか?もしそうなら、物理的なクレジットカードは付随的であり、カードに関する情報は「あなたが知っている」ものです。 OTOH、それが秘密だと思わなければ、クレジットカードは「あなたが持っているもの」です。
ウィキペディアの3Dセキュアの説明から https://en.wikipedia.org/wiki/3-D_Secure
ワンタイムパスワードを組み込んだ3Dセキュアの最新バージョンは、ソフトウェアベースの強力な認証の形式です。ただし、静的パスワードを使用する従来のバリアントは、欧州中央銀行(ECB)の2013年1月の要件を満たしていません。
クレジットカードが「あなたが持っているもの」だと思うなら、静的なパスワード(あなたが知っているもの)がより良い第二の要素です。それが「あなたが知っていること」だと思うなら、OTPはより良い第2要素です。
これについて少し混乱しています。また、デビットカードについても同様の考慮事項があると思います。
「所有しているもの」ベースの認証の要件は、所有権を1つの特定のエンティティーに明確に割り当てることができることです。これは特に、この情報/デバイスを(簡単に)複製することができず、情報にアクセスするには元のデバイスにアクセスする必要があることを意味します。
ただし、クレジット番号、CVV、および有効期限は、簡単に複製できる静的な情報です。これらの情報をどこかに入力すると、あなただけが持っているものではなくなります。したがって、「何を持っているだけ」の認証として使用することはできません。ワンタイムパスワード(OTP)は異なります。名前が示すように、これらは1回だけで再利用できないため、特定の使用済みOTPへのアクセスは攻撃者にとって役に立たない。代わりに、OTPを生成するデバイスにアクセスする必要があります。
クレジットカードの場合:チップとピンの機能( [〜#〜] emv [〜#〜] )を使用して支払いまたはお金を受け取る場合、カードの複製できない部分を使用します。つまり、「あなただけが持っているもの」の部分です。代わりに、古い磁気ストライプまたはカードに書き込まれた情報(番号、CVV ...)のみを使用すると、簡単に複製できる情報を扱うことができます。つまり、この情報は「あなたが持っているものであり、他の人も持っている可能性がある」ため、カードの所有権を証明するために使用することはできません。
裏に書かれている数字は実はCV2です。カードには物理的に印刷されていますが、磁気ストリップやチップにはエンコードされていないため、「持っているもの」になるように設計されています。また、加盟店がCV2値を保存することは、カードプロセッサのルールによって禁止されています。
もちろん、実際にはカードに物理的にアクセスできるとは限りません。たとえルールに反する場合でも、番号をコピーしたり、書き留めたり、電子的に保存したりできるためです。そして、詐欺を試みる者は誰もが当然のようにルールを守らない。
対照的に、PANと有効期限は「知っているもの」であり、実際、これらの値は状況によってはカード発行会社から関係者に提供される場合があります。
さて、2要素を持つには、秘密を知っていることと、物理オブジェクトへの最近のアクセスを証明することが必要です。 「最近」の部分は、多くの方法で実装できます。たとえば、数秒ごとに表示を変更する内部クロックを持つトークンによって、またはチャレンジ/レスポンスメカニズムを介して実装できます。
最終的には、物理的なオブジェクトでさえ、単なる情報であると言えます。チップにハードコードされた秘密鍵です。しかし、セキュリティ上、情報とオブジェクトの違いは、情報は簡単にコピーできるが、オブジェクトはコピーできないことです。おもしろい事実:家の鍵はオブジェクトよりも多くの情報です。それらのコピーを作成するのは非常に簡単です。
MOTOトランザクションのみを実行する場合、カードは物理的に存在する必要さえありません。インターネット専用の「バーチャルカード」を発行している銀行の例があり、それらの「カード」は紙に印刷された一連の文字です。カード番号、有効期限、カード所有者名などです。カードリーダーで使用されるため、マグストリップ、チップ、またはエンボスの文字は必要ありません。
小売業者は、「カードが存在しない」トランザクションについて、カードプロバイダーと異なる関係を持っています。彼らの責任と取引コストは通常より高くなります。これは、特にチップとPINの場合、カードを提示しないトランザクションは、カードを提示するトランザクションよりも明らかに(明らかに)詐欺を起こしやすいためです。
これが、オンライン小売業者が最初の注文時に登録住所にしか配達しないことが多い理由です。または量が制限されます。または、彼らがいつかあなたに会うトランザクション(例えば、チケットの予約)に限定されます。
基本的に、それは秘密になりやすいので、小売業者はリスクを取るかどうかを選択し、取引環境に適した方法でそのリスクを軽減する必要があります。