it-swarm.dev

Perché i chip sono più sicuri delle strisce magnetiche?

Dopo il recente hack Target ci sono stati talk sul passaggio da carte di credito con strisce magnetiche a carte con un chip.

In che modo i chip sono più sicuri delle strisce?

182
Thomas

Non puoi clonare il chip.

Una striscia magnetica contiene un numero segreto e se qualcuno conosce quel numero può rivendicare di essere il proprietario della carta. Ma se un cattivo passa la carta, allora conosce il numero e può creare la propria carta, ad esempio "clonazione". Questo si è rivelato essere un grosso problema pratico con le carte a strisce.

Un chip contiene anche un numero segreto. Tuttavia, è integrato in modo sicuro nel chip. Quando si utilizza la scheda, il chip esegue un'operazione a chiave pubblica che dimostra che conosce questo numero segreto. Tuttavia, non rivela mai quel numero segreto. Se metti una carta scheggiata in una macchina dei cattivi, possono impersonarti per quella transazione, ma non possono impersonarti in futuro.

Tutto quanto sopra presuppone che l'implementazione del chip sia buona. Alcuni chip sono noti per avere difetti di implementazione che perdono il codice segreto. Tuttavia, chip e pin ora sono piuttosto maturi, quindi mi aspetto che molti di questi problemi siano stati risolti.

228
paj28

Il chip esegue un'operazione crittografica sui dati passati ad esso che richiede la conoscenza della chiave che è fortemente protetta all'interno del chip, quindi un attaccante non può facilmente copiare la carta.

Detto questo, ci sono stati alcuni articoli di ricerca di successo sui tempi o sugli attacchi di potere, ma questi provengono da condizioni di laboratorio e probabilmente non rappresentano una vera preoccupazione in natura.

Nel Regno Unito praticamente tutte le carte bancarie sono chip e pin, il che porta a uno dei nostri tipi più comuni di frode: il magstripe è scremato e i dettagli utilizzati in un paese senza infrastruttura chip e pin.

70
Rory Alsop

La striscia magnetica contiene le informazioni esatte utilizzate per identificare la carta. Il chip contiene un'informazione che non condivide, ma che può utilizzare per dimostrare di avere tali informazioni.

Pertanto, una banda magnetica è stupida e può essere copiata, ma poiché il chip non rivela il suo segreto, un fornitore non può semplicemente copiarlo quando lo si utilizza.

Una striscia magnetica dice "Sono la carta di credito ABC". quando il punto vendita chiede il numero. Con un chip il punto vendita dice "Qual è la tua risposta a questo valore casuale?" e il chip fornisce una risposta che il punto vendita può validare, ma poiché il prossimo punto vendita utilizzerà un valore casuale diverso, la risposta è inutile per un ladro.

34
AJ Henderson

Altre risposte già fornite sono corrette, ma vorrei fornire quanto segue come risposta senza background tecnico richiesto da parte della persona che chiede:

Quando usi una carta di credito a banda magnetica, il dispositivo sta dicendo alla carta: "Il mio utente inserirà un PIN per verificare, fammi leggere la tua striscia in modo da poterla controllare".

( EDIT :

OK, il paragrafo sopra non è ciò che realmente accade. Ma il dispositivo POS (o altro) legge (o è in grado di leggere) tutte le informazioni contenute nella striscia. Ciò significa che è possibile produrre una carta che è a tutti gli effetti una copia. )

Quando si utilizza una carta di credito con chip, il dispositivo dice chip sulla carta: "Il mio utente ha fornito 4567 come PIN, è corretto?"

Ora, poiché il chip è più intelligente di una banda magnetica (che in effetti è solo un archivio di dati), può rispondere a questa domanda. In questo modo, il PIN può rimanere nascosto.

16

Potresti voler chiarire la tua domanda - ecco una risposta sul perché è più sicuro emittente della carta :

Se una carta magstripe viene rubata, è abbastanza facile per il ladro usarla in modo fraudolento - con quale frequenza le firme vengono realmente controllate (in effetti negli Stati Uniti ho spesso mi è stata restituita la carta prima che io firmassi, anche se non è richiesto un documento di identità in più).

Se una chip card viene rubata e utilizzata in modo fraudolento, la carta da sola non è sufficiente per l'uso - una buona cosa ovviamente - ma ciò spinge il proprietario a proteggere il pin (controlla i T&C). Supponiamo che la carta sia stata rubata subito dopo che il proprietario ha utilizzato un bancomat in cui il ladro ha navigato sul PIN, quindi è altrettanto probabile che il ladro riesca a cavarsela utilizzando la carta - e ora può prelevare denaro invece di acquistare semplicemente un oggetto contraffatto la firma lo permetterebbe.

Quindi ovviamente c'è la semplice questione di intimidire (o peggio) la vittima di un furto nel consegnare il PIN.

Ecco un articolo della BBC - siamo su chip & pin nel Regno Unito - una citazione da vicino alla fine

[La banca della vittima], Barclays, ha restituito £ 640 che aveva perso, ma alcune banche possono essere riluttanti a pagare rimborsi se le persone sono state trascurate con i loro codici PIN.

modifica: da "banca" generalizzata a "emittente della carta"

7
Chris H