web-dev-qa-db-ja.com

「カードが存在しない」トランザクションでは、クレジットカード番号、有効期限、およびCVVは「所有しているもの」または「知っていること」と見なされますか?

クレジットカード番号、CVV、および有効期限は秘密と見なされますか?もしそうなら、物理的なクレジットカードは付随的であり、カードに関する情報は「あなたが知っている」ものです。 OTOH、それが秘密だと思わなければ、クレジットカードは「あなたが持っているもの」です。

ウィキペディアの3Dセキュアの説明から https://en.wikipedia.org/wiki/3-D_Secure

ワンタイムパスワードを組み込んだ3Dセキュアの最新バージョンは、ソフトウェアベースの強力な認証の形式です。ただし、静的パスワードを使用する従来のバリアントは、欧州中央銀行(ECB)の2013年1月の要件を満たしていません。

クレジットカードが「あなたが持っているもの」だと思うなら、静的なパスワード(あなたが知っているもの)がより良い第二の要素です。それが「あなたが知っていること」だと思うなら、OTPはより良い第2要素です。

これについて少し混乱しています。また、デビットカードについても同様の考慮事項があると思います。

19
user93353

「所有しているもの」ベースの認証の要件は、所有権を1つの特定のエンティティーに明確に割り当てることができることです。これは特に、この情報/デバイスを(簡単に)複製することができず、情報にアクセスするには元のデバイスにアクセスする必要があることを意味します。

ただし、クレジット番号、CVV、および有効期限は、簡単に複製できる静的な情報です。これらの情報をどこかに入力すると、あなただけが持っているものではなくなります。したがって、「何を持っているだけ」の認証として使用することはできません。ワンタイムパスワード(OTP)は異なります。名前が示すように、これらは1回だけで再利用できないため、特定の使用済みOTPへのアクセスは攻撃者にとって役に立たない。代わりに、OTPを生成するデバイスにアクセスする必要があります。

クレジットカードの場合:チップとピンの機能( [〜#〜] emv [〜#〜] )を使用して支払いまたはお金を受け取る場合、カードの複製できない部分を使用します。つまり、「あなただけが持っているもの」の部分です。代わりに、古い磁気ストライプまたはカードに書き込まれた情報(番号、CVV ...)のみを使用すると、簡単に複製できる情報を扱うことができます。つまり、この情報は「あなたが持っているものであり、他の人も持っている可能性がある」ため、カードの所有権を証明するために使用することはできません。

36
Steffen Ullrich

裏に書かれている数字は実はCV2です。カードには物理的に印刷されていますが、磁気ストリップやチップにはエンコードされていないため、「持っているもの」になるように設計されています。また、加盟店がCV2値を保存することは、カードプロセッサのルールによって禁止されています。

もちろん、実際にはカードに物理的にアクセスできるとは限りません。たとえルールに反する場合でも、番号をコピーしたり、書き留めたり、電子的に保存したりできるためです。そして、詐欺を試みる者は誰もが当然のようにルールを守らない。

対照的に、PANと有効期限は「知っているもの」であり、実際、これらの値は状況によってはカード発行会社から関係者に提供される場合があります。

3
Qwerky
  1. カード番号や暗証番号など、すべての情報は多かれ少なかれ秘密にされているはずです。カード所有者の名前も含みます。
  2. 静的な(つまり、複数回使用できる)情報は「所有しているもの」と見なすことはできず、すべて「知っていること」です。
  3. 「あなたが持っているもの」は、複製するのが容易ではない物理的なものにすぎません。あなたが持っていることの証明は、通常、そのような物理オブジェクトを使用して生成されたワンタイムパスワードです。例:
    • ハードウェアトークンの表示(トークンを持っていることの証明)
    • セキュアエレメント、チップとの通信(リーダーにチップカードがあることの証明)
    • サーバー側で生成され、サイドチャネル経由で配信されるワンタイムパスワード(そのチャネルにアクセスできることの証明)。 3Dセキュアでは、オブジェクトは携帯電話(具体的にはSIMカード)であり、チャネル(電話番号)にアクセスできます。チャネルはかなり安全で、アクセスはかなり制限されているため、ワンタイムパスワードを読み取るためにチャネルにアクセスできることは、SIMカードを物理的に持っていることの十分な証拠であると想定できます。

さて、2要素を持つには、秘密を知っていることと、物理オブジェクトへの最近のアクセスを証明することが必要です。 「最近」の部分は、多くの方法で実装できます。たとえば、数秒ごとに表示を変更する内部クロックを持つトークンによって、またはチャレンジ/レスポンスメカニズムを介して実装できます。

最終的には、物理​​的なオブジェクトでさえ、単なる情報であると言えます。チップにハードコードされた秘密鍵です。しかし、セキュリティ上、情報とオブジェクトの違いは、情報は簡単にコピーできるが、オブジェクトはコピーできないことです。おもしろい事実:家の鍵はオブジェクトよりも多くの情報です。それらのコピーを作成するのは非常に簡単です。

MOTOトランザクションのみを実行する場合、カードは物理的に存在する必要さえありません。インターネット専用の「バーチャルカード」を発行している銀行の例があり、それらの「カード」は紙に印刷された一連の文字です。カード番号、有効期限、カード所有者名などです。カードリーダーで使用されるため、マグストリップ、チップ、またはエンボスの文字は必要ありません。

3
Agent_L

小売業者は、「カードが存在しない」トランザクションについて、カードプロバイダーと異なる関係を持っています。彼らの責任と取引コストは通常​​より高くなります。これは、特にチップとPINの場合、カードを提示しないトランザクションは、カードを提示するトランザクションよりも明らかに(明らかに)詐欺を起こしやすいためです。

これが、オンライン小売業者が最初の注文時に登録住所にしか配達しないことが多い理由です。または量が制限されます。または、彼らがいつかあなたに会うトランザクション(例えば、チケットの予約)に限定されます。

基本的に、それは秘密になりやすいので、小売業者はリスクを取るかどうかを選択し、取引環境に適した方法でそのリスクを軽減する必要があります。

1
jeminar