Après le récent piratage de Target, on a parlé de passer des cartes de crédit à bande magnétique aux cartes à puce.
De quelles manières les puces sont-elles plus sûres que les rayures?
Après le récent piratage de Target, on a parlé de passer des cartes de crédit à bande magnétique aux cartes à puce.
De quelles manières les puces sont-elles plus sûres que les rayures?
Vous ne pouvez pas cloner la puce.
Une bande magnétique contient un numéro secret, et si quelqu'un connaît ce numéro, il peut prétendre être le propriétaire de la carte. Mais si un méchant glisse la carte, il connaît alors le numéro et peut créer sa propre carte, c'est-à-dire "cloner". Cela s'est avéré être un problème pratique majeur avec les cartes à bande magnétique.
Une puce contient également un numéro secret. Cependant, il est solidement intégré à la puce. Lorsque vous utilisez la carte, la puce effectue une opération de clé publique qui prouve qu'elle connaît ce numéro secret. Cependant, il ne révèle jamais ce nombre secret. Si vous placez une carte à puce dans une machine de méchants, ils peuvent se faire passer pour cette transaction, mais ils ne peuvent pas se faire passer pour vous à l'avenir.
Tout ce qui précède suppose que l'implémentation de la puce est bonne . Certaines puces sont connues pour avoir des failles d'implémentation qui fuient le code secret. Cependant, la puce et la broche sont maintenant assez matures, donc je pense que la plupart de ces problèmes ont été résolus.
La puce effectue une opération cryptographique sur les données qui lui sont transmises qui nécessite la connaissance de la clé qui est fortement protégée dans la puce - un attaquant ne peut donc pas copier facilement la carte.
Cela dit, il y a quelques articles de recherche réussis sur le timing ou les attaques de puissance, mais ceux-ci proviennent de conditions de laboratoire, et probablement pas un réel souci dans la nature.
Au Royaume-Uni, presque toutes les cartes bancaires sont à puce et à broche - ce qui mènent à l'un de nos types de fraude les plus courants: la bande magnétique est écrémée et les détails sont utilisés dans un pays sans infrastructure à puce et à broche.
La bande magnétique contient les informations exactes utilisées pour identifier la carte. La puce contient une information qu'elle ne partage pas, mais qu'elle peut utiliser pour prouver qu'elle a cette information.
Ainsi, une bande magnétique est stupide et peut être copiée, mais puisque la puce ne ne dévoilez pas son secret, un fournisseur ne peut pas simplement le copier lorsque vous l'utilisez.
Une bande magnétique indique "Je suis une carte de crédit ABC". lorsque le point de vente demande le numéro. Avec une puce, le point de vente dit "quelle est votre réponse à cette valeur aléatoire?" et la puce donne une réponse que le point de vente peut valider, mais comme le prochain point de vente utilisera une valeur aléatoire différente, la réponse est inutile pour un voleur.
Les autres réponses déjà données sont correctes, mais je voudrais donner la réponse suivante sans connaissances techniques requises de la part de la personne qui demande:
Lorsque vous utilisez une carte de crédit à bande magnétique, le l'appareil dit à la carte: "Mon utilisateur entrera un code PIN pour vérifier, laissez-moi lire votre bande pour que je puisse la vérifier".
( MODIFIER :
OK, le paragraphe ci-dessus n'est pas ce qui se passe réellement. Mais le POS (ou un autre) appareil lit (ou est capable de lire) toutes les informations contenues dans la bande. Cela signifie que vous pouvez fabriquer une carte qui est à toutes fins utiles et propose une copie.)
Lorsque vous utilisez une carte de crédit à puce, l'appareil dit à la puce de la carte: "Mon utilisateur a fourni 4567 comme code PIN, c'est c'est correct? "
Maintenant, parce que la puce est plus intelligente qu'une bande magnétique (qui n'est en fait qu'un magasin de données), elle peut répondre à cette question. De cette façon, le code PIN peut rester masqué.
Vous voudrez peut-être clarifier votre question - voici une réponse expliquant pourquoi il est plus sûr l'émetteur de la carte :
Si une carte à bande magnétique est volée, il est assez facile pour le voleur de l'utiliser de manière frauduleuse - à quelle fréquence les signatures sont réellement vérifiées (en fait, aux États-Unis, la carte m’a souvent été rendue avant de signer, même si aucune pièce d’identité supplémentaire n’est demandée).
Si une carte chip&pin est volée puis utilisée frauduleusement, la carte seule n'est pas suffisante pour être utilisée - une bonne chose bien sûr - mais cela incombe au propriétaire de protéger la broche (vérifiez les T&Cs). la carte a été volée juste après que le propriétaire a utilisé un distributeur automatique où le voleur a surfé sur l'épaule du NIP, le voleur est au moins aussi susceptible de s'en tirer en utilisant la carte - et peut maintenant retirer de l'argent plutôt que d'acheter des marchandises comme une signature falsifiée permettrait.
Ensuite, bien sûr, il y a la simple question d'intimider (ou pire) la victime d'un vol en lui donnant le code PIN.
Voici un art de la BBC icle - nous sommes sur chip&pin au Royaume-Uni - une citation de près de la fin
[La banque de la victime], Barclays, a rendu les 640 £ qu'elle avait perdues, mais certaines banques peut être réticent à payer des remboursements si les gens ont été négligents avec leurs codes PIN.
edit: généralisé "banque" à "émetteur de carte"