最近、以前のカードと同様に、磁気ストライプとチップの両方を備えた新しいデビットカードを受け取りました。
チップシステムはまだ侵害されていませんが、磁気ストライプは簡単にコピーできます。ストライプはレガシー目的のためにまだ残っていると思いますが、ここ数年、私はチップの支払いを受け付けない端末やATMを見たことも聞いたこともありません。
私に関する限り、これは、バックドアのロックを解除したまま、フロントドアに新しいファンシーロックを購入するようなものです。その類推は正しいですか?つまり、ストライプとチップを備えたカードは、ストライプのみを備えたカードよりも安全ではありませんか?もしそうなら、なぜ私の銀行はそのようなセキュリティリスクを許容するのですか?ストライプを完全に取り除くのはどうですか?
Ps:それが重要である場合、私はオランダに住んでいます。
編集:明確にするために、私は主に次のシナリオについて心配しています:
泥棒はATMをスキム(おそらく(?)チップ決済)しますが、カードがATMに入るので、ストライプを取得できます。彼が私のPINも読んだとします。その後、新しいカードを作成し、私の銀行口座を空にします。
詳細は銀行、カードの種類、国によって異なるため、かなり異なりますが、一般的なモデルは次のとおりです。
決済端末が磁気ストリップを使用する場合、銀行と通信する必要があります、銀行との安全なトンネルを確立し、PINユーザーが入力したコードで、所有者のアカウントに十分な金額があることを確認します。
一方、決済端末がチップを使用する場合、PINコードはチップにのみ送信され、銀行と話す必要はほとんどありません。トランザクション全体はもちろん、大量の場合は、銀行に相談して購入者の口座にその金額が存在するかどうかを確認することをお勧めしますが、ネットワークがなくても小さな取引を効率的に行うことができます。
したがって、磁気ストライプとチップは2つの異なる方法で使用されます。両方を使用しても、セキュリティが2つのうち弱い方のセキュリティに低下するという意味ではありません。銀行の観点から見ると、チップの方が効率的であり(ネットワークコールを処理する必要がない)、複製が難しいためです(統計では詐欺率を約10で割った値を示しています)。これは、チップ対応端末に切り替える商人に与えられる経済的利点にしばしば変換されます。
上記のすべてのバリエーションがあります。たとえば、someカードには、磁気ストライプにPINコードの暗号化されたバージョンが含まれていますが、これは含まれません。決済端末で確認する必要があります。代わりに、端末は、復号化キーを知っていて確認を行うことができる地域のバンカー化されたサーバーと通信する必要があります。他の一部のカードタイプでは、磁気ストライプが何も知らないことは明らかですPINコード、たとえば(数年前の)チップレスAmerican Expressカード)についてPINコードを銀行に電話することで変更できます。
いずれにせよ、デビットカードやクレジットカードのすべてのセキュリティ機能は、あなたを保護することを意図したものではありません。それらは銀行を保護します。銀行の観点から見ると、あなたは敵です(彼らが広告で主張することに関係なく)。
それは責任の問題です:
チップ&ピンが最初に導入されたとき、理論的には、商人は新しいカード端末の代金を支払わずに、単に不正行為の責任を受け入れるというビジネス上の決定を下した可能性があります。実際には、誰もがチップ&ピンに移行することを決定しました。これはまさにカードスキームが望んでいたことです。
彼らは後方互換性のための磁気ストリップを持っています。一部のカードの数の隆起した表面は、電源が切れた場合にレガシーの手動スワイプシステムでも機能することを保証します。
銀行、カードの種類によって異なりますが、カードに磁気ストライプが存在する理由はいくつかあります。
下位互換性:古い端末はチップを受け入れることができません。また、チップカードの処理は、磁気ストライプカードの処理(まだ)として十分に標準化されておらず、さらに複雑であるため、端末は特定のタイプのチップのみを受け入れることができる場合があります。
磁気ストライプは、チップに障害が発生した場合のバックアップとして使用できます。詳細は銀行によって異なります。カードの使用量や頻度をこのように制限したり、完全に拒否したりすることもできます。通常、手順ではチップを最初に試す必要があります。処理できない場合のみ、磁気ストライプを使用できます。銀行のポリシーにより、カード所有者はこのようなケースを報告するか、責任を負う必要があります。
磁気ストライプからのPINの読み取りに関する懸念については、通常、どのような形式のPINもストライプに含まれていません。 PINの主な用途は、カード所有者を認証することです。つまり、カード所有者だけがPINを知っており、トランザクションを実行できます(PINも銀行によって安全に保存されます)。復元できないはずです)。 PINが磁気ストライプに含まれている場合、適切な機器を持っている人なら誰でも、ストライプを読み取ったり、スキムしたりして取得できます。