web-dev-qa-db-ja.com

Visa PayWaveは安全ですか?

最近(まあ、数か月または1年前でも)、私のオーストラリアの銀行は、このPayWaveテクノロジーをVisaデビットカードに導入しました。彼らはそれが安全であると主張します、しかし彼らが話すすべては彼らの方針であり、それはあなたに問題があることに気づくように要求します( website から):

Visa payWave対応カードは、Visaのゼロ責任ポリシー1に基づいており、他のVisaチップカードと同じように安全です。それらは同じ複数のセキュリティ層を備えており、不正または無許可のトランザクションに対してユーザーが責任を負わないようにします。

PINまたは署名を使用する必要がないので、セキュリティの同じレイヤーはありません。100ドル未満の購入の場合、それでも多くのお金が必要です。一部の人々(私には任意の金額が多いです)で、その下にあるものはすべてanyoneの「低価格」の購入であると言うのは少し変です私のカードを見つけた/盗んだ、彼らがそれ以上のものを購入しているのを見ていません。

私が話していた誰かは、これらのPayWaveマシンの1つをバッグに入れて通りを歩き、互換性のあるカードを見つけるために他の人のバッグにぶつけることを提案しました。

彼らは便宜上セキュリティを犠牲にしており、泥棒の独創性を過小評価しているようです。広告やその他の偏見のない情報を見つけることができないようで、正当な懸念とパラノイアの違いを理解するための専門知識がまったくありません。 Visa PayWaveは主張されているほど安全ですか?

19
AlbeyAmakiir

クレジットカード取引のセキュリティの秘密は、法律(多くの管轄区域では)によって、カード発行者がカード所有者ではなく、一定の制限後の不正取引に責任を負うことです。彼らはすでに責任の大部分を引き受けているので、ほとんど(すべて?)は、カード所有者が詐欺のいかなる状況下でも責任を負わないと言うために単純にジャンプします。

これは、カードのセキュリティが発行者にとっての費用対効果のトレードオフにすぎないことを意味します。イシュアがポリシーに対して妥当な利益を得るのと引き換えに、一定額の詐欺を帳消しにするコストは、発行者にとって価値があります。したがって、100ドルの制限。 Visaは、その範囲内で、特定のセキュリティ対策を削除する価値があるほどの信頼性で詐欺を検出できると確信しています。

したがって、それが安全かどうかはtheir問題であり、あなたの問題ではありません。明らかに、実際にはreport不審なトランザクションを実行する必要があります。このため、監視していないアカウントを開いたままにしておくのはよくありません。しかし、常にそうでした。

これは本来あるべき姿です。セキュリティの責任を負う当事者がそれを実装するのに最適な立場にある場合、得られるセキュリティのレベルは、保護されているものの価値に適したものになる傾向があります。 。

11
tylerl

Visaおよびその他のクレジットカードメーカーは、クレジットカード/デビットカードのトランザクションを認証するために [〜#〜] emv [〜#〜] 標準を使用しています。 Wikiの記事は私が説明できるよりもよく説明していますが、これは非常に技術的なトピックなので、読んで理解するには時間がかかります。

NFC/RFID/EMVについて answers to similarquestions も表示されます。

基本的に、実証されたクローン攻撃では、PINの制限(ほとんどの場合$ 80から$ 100)内でsingleトランザクションが発生します。一般の人々の間で、ウォードライビング(戦争NFC化?)に関わるかなりの困難がおそらくあるでしょう-少なくとも、捕まることなく、すべてが支払われています。私の知る限り、決済端末のクローンを作成する機能は誰も実証していません。

そして最後に、私たちは常にセキュリティを便宜上トレードオフしています。あなたの正面玄関に2つのロックがありますか?三? 8?あなたは保護パッドで歩き回っていますか?あなたは学校に防弾チョッキを着ていますか?

ここでのトレードオフは、トランザクション時間を15秒から2秒に短縮することです。何百万人と何兆ものトランザクションを合計すると、大幅な時間の節約になります。これは追加のリスクに値しますか?カード発行会社はそう考えているようです-そして、セキュリティ問題によって引き起こされる損失について顧客に払い戻すことを公に約束しました。

10
scuzzy-delta

これは、いくつかのイタチの言葉を含むマーケティング文書です。

彼らは同じ多層のセキュリティを持っています

彼らが意味することは、

  • 非接触カードは、直接接触カードと同じレベルのチップ周辺の改ざん耐性を備えています。
  • データレベルの通信プロトコル( [〜#〜] emv [〜#〜] )は、両方の物理インターフェイスで同じです。

彼らが残していないものは:

  • PINを入力せずにトランザクションを実行できる場合、誰でも携​​帯端末(たとえば、スマートフォンの [〜#〜] nfc [〜#〜] と適切なソフトウェアとキーを持ち歩くことができます。または銀行が発行した端末)と取引を開始します。

これは、単一の認証要素(物理デバイスの近くにある)でトランザクションを許可し、その認証要素が弱い(自分の持っているものではなく、近くにあるものである)ことを組み合わせたものであり、重大な弱点をもたらします。

確かに、PayWave、または同様に便利さのために強度認証を同様に減らす任意のスキームでは、負担を争うことはあなたの負担です。お住まいの地域の法学によっては、請求に異議を唱えるのは簡単または難しい場合があります(米国はこの点で消費者に有利であり、銀行はヨーロッパ諸国でより多くの影響力を持っています)。

怒ってカードを返却する前に、クレジットカードを持っているだけで、すでに大きなリスクを負っていることを考慮してください。クレジットカードは、物理的に身近なことがない人でもオンラインで使用できます。必要なのは、16桁の番号と、(ほとんどのすべての販売者ではなく)有効期限と3または4を確認することだけです。あなたが購入を行ったすべての商人のデータベースにある数字(それらはそれらを保存することになっているわけではありませんが、多くはそうです)。クレジットカードでの購入では、PINなどの真に機密データを提供する必要はありません。非接触型決済はこの点で新しいものではありません。

PayWaveは近距離無線通信技術であり、フラットボーイのモラルとほぼ同じくらい安全です。トランザクションの大部分については問題ありませんが、それでも大きなリスクがあります。私はそれを絶対に避けます。

詳細については、「NFCハック」または「RFIDハック」をググリングしてみてください。NFCで、BlackHat USAでいくつかの優れたプレゼンテーションがあり、RFIDプロキシミクスは完全に取り除かれました。

個人的な意見:現金とコインを使います。

1
grauwulf