Morceau et PIN

Le morceau et le PIN est le nom d'une initiative gouvernement-soutenue dans le Royaume-Uni pour mettre en application la norme du EMV pour des paiements bloqués. Il y a également une initiative semblable dans le Republic Of Ireland appelé morceau et le PIN Irlande de .

Histoire

Jusqu'à l'introduction du morceau et du PIN, tout le crédit tête à tête ou transactions de la carte de débit a employé une raie magnétique ou l'impression mécanique pour lire et enregistrer des données de compte, et une signature pour la vérification. Sous ce système, le client remet leur carte au commis au point de vente , qui l'un ou l'autre " ; swipes" ; la carte par un lecteur magnétique ou fait une impression à partir du texte augmenté de la carte. Dans l'ancien cas, les détails de compte sont vérifiés et une glissade pour que le client signe est imprimée. Dans le cas d'une impression mécanique, les détails de transaction sont complétés et le client signe la glissade imprimée. Dans l'un ou l'autre cas, le commis vérifie que les allumettes de signature qui sur le dos de la carte pour authentifier la transaction.

Ce système a prouvé raisonnablement efficace, mais a un certain nombre de failles de sécurité, y compris la capacité de voler une carte dans le poteau, ou d'apprendre à la forge la signature sur la carte. Plus récemment, la technologie est devenue disponible sur le marché noir pour la lecture et l'écriture les raies magnétiques, laissant carde pour être facilement copiée et employée sans connaissance du propriétaire.

Comment cela fonctionne

Pour résoudre ceci, les banques et les détaillants remplacent l'équipement traditionnel de raie magnétique par cela basé autour des cartes à puce qui contiennent une puce incorporée et sont authentifiés automatiquement using un PIN . Quand un client souhaite payer des marchandises using ce système, la carte est placée dans un " ; Pad" de PIN ; borne (souvent par le client eux-mêmes) ou un lecteur modifié de grand-carte, qui accède au morceau sur la carte. Une fois que la carte a été vérifiée comme authentique, le client écrit un PIN à 4 chiffres, qui est vérifié contre le PIN stocké sur la carte ; si l'allumette deux, la transaction accomplit.

Le France a coupé la fraude de carte plus de 80% using un système semblable, mais incompatible. Le morceau et le PIN est le nom donné à l'initiative au R-U mais les pays dans le monde entier lancent leurs initiatives basées sur la norme du EMV , qui est un effort de groupe entre le Europay , le Mastercard et le VISA . Vers la fin du 2004 , 100 pays emploieront les systèmes compatibles basés sur cette norme, et la France vise à émigrer ses systèmes actuels pour être compatible avec les nouvelles cartes.

Noter ce " ; present" de détenteur de carte pas ; des transactions telles que l'Internet , le téléphone ou les achats vente par correspondance ne sont pas affectées par l'introduction du morceau et du système de PIN. Puisque ce sont également des secteurs importants de fraude, d'autres initiatives telles que le ont vérifié par Visa et Mastercard SecureCode - toutes les deux dont sont les réalisations du bloqué à trois dimensions du visa protocole-sont développées pour améliorer la sécurité dans ces situations, telles que des codes de sécurité additionnels imprimés sur le dos de la carte et des services d'authentification plus complexes.

Conversion

Le morceau et le PIN trialled dans le Northampton du mai 2003 , et en conséquence ont été déroulés dans tout le pays en 2004 avec des annonces dans la presse et la télévision nationale espionnant la sûreté de dans le slogan des nombres . Pendant les premières phases de déploiement, si une transaction magnétique frauduleuse de carte de coup était considérée pour s'être produite, le détaillant a été remboursé par la banque de publication, de même que le cas avant l'introduction du morceau et du PIN. Cependant, en date le du 2005 du 1er janvier , la responsabilité pour de telles transactions a été décalé au détaillant. Ceci a agi en tant qu'incitation pour que les détaillants améliorent leurs systèmes du point de vente (position) de , et la plupart des chaînes importantes de grand-rue améliorées à l'heure pour la date-limite d'EMV. Néanmoins, beaucoup de plus petites entreprises sont encore peu disposées à améliorer leur équipement, car il peut exiger un système complètement nouveau de position - un investissement qu'elles peuvent normalement réaliser seulement après plusieurs années.

De nouvelles cartes comportant les deux bandes magnétiques et morceaux sont publiées dans des nombres croissants par toutes les banques importantes. Ce remplacement des cartes réelles a été un thème principal, avec quelques banques déclarant simplement que les consommateurs recevront leur nouveau " de cartes ; quand leur vieil expires" de carte ; - en dépit de beaucoup de personnes ayant de vieilles cartes avec des dates de péremption d'échéance aussi en retard que le 2007 . Le commutateur d'émetteur de carte a perdu un contrat important avec le HBOS au VISA car elles n'étaient pas prêtes à publier les nouvelles cartes dès la banque ont voulu à. Ce changement a irrité beaucoup, car des cartes de l'électron du du visa généralement ne sont pas acceptées en ligne, à la différence du solo du commutateur.

Quand un client ne sait pas leur PIN, ou la vérification de PIN échoue, le caissier peut inciter une déviation de PIN, permettant à une signature d'accomplir la transaction. Cependant, cette option de déviation de PIN a été seulement programmée pour être disponible pendant l'enfance du morceau et du PIN dans le R-U. Le du 2006 du 14 février les banques ont décidé de décourager ce service. À partir de cette date dorénavant, la vérification de PIN devrait être employée pour tous les morceau et cartes permises par PIN. Si le client savent leur PIN alors le caissier peut inciter toujours une transaction de déviation de PIN (avec la signature), cependant, l'émetteur de carte/banque peut choisir de refuser la transaction.

Les détenteurs de carte qui sont incapables d'écrire un PIN en raison d'une incapacité mentale ou physique peuvent contacter leur banque à publier avec une soi-disant carte de morceau et de signature.

Dans le Republic Of Ireland , un PIN doit être employé avec le morceau et les cartes permises par PIN et ceci ont entré en vigueur le jour 2007 ( le 17 mars de rue Patrick de , 2007 ).

Avantages

Sous le vieux système, un client devrait remettre leur carte à l'aide pour chaque paiement. Dans certains environnements tels que des restaurants, par exemple, ceci a souvent signifié que la carte serait emportée du client à la machine à cartes. Ce n'est plus le cas avec l'introduction du morceau et PIN car on a présenté des garnitures sans fil de PIN qui peuvent être apportées à la table du client.

Critique

Sécurité diminuée pour des goupilles

Observation directe

Avant le morceau et le PIN de , le PIN d'une personne serait seulement écrit à une atmosphère dans une banque ou toute autre zone protégée. Cependant, l'utilisation des goupilles dans les supermarchés, les barres, et les forces de magasins le client de dactylographier leur PIN dans la vue plate de tous autres clients attendant derrière eux dans la file d'attente. En raison de la difficulté de protéger un PIN (les supermarchés élèvent souvent le clavier numérique, qui est évident de toutes les directions), il est relativement facile de gagner le PIN d'une autre personne en les observant acheter des épiceries. En outre, des garnitures contrefaites de PIN sont parfois utilisées dans les systèmes qui frappent à toute volée toujours la bande magnétique, permettant au fraudeur de copier la carte et de savoir le PIN pour l'usage en atmosphère de vieux-modèle qui lisent seulement la bande magnétique.

Observation indirecte

Caméras de sécurité qui sont installées pour décourager des voleurs à l'étalage et les voleurs opportunistes peuvent également compromettre la sécurité du morceau et du PIN de , parce que les magasins concentrent souvent un appareil-photo sur la caisse enregistreuse et le client ; par conséquent un enregistrement du client écrivant leur PIN peut être rejoué et analysé aux loisirs. La sécurité de PIN peut donc dépendre de la façon dont le magasin protège la transmission et le stockage de tels enregistrements.

Il y a également le facteur du tracassement de détenteurs de carte/pouvant se rappeler le code de goupille. Par conséquent on lui note parfois sur un morceau de papier dans leur pochette, est sauvé pendant qu'une entrée dans un téléphone portable entre en contact avec la liste, ou dans certains cas même écrit sur l'intérieur de la pochette. Si par exemple cette personne avait perdu la pochette ou l'avait volée, alors le code de goupille est avec la carte et le compte est facilement compromis.

Occasions de copier les raies magnétiques

En plus des données track-two sur la raie magnétique, les cartes d'EMV ont généralement des données identiques codées sur le morceau qui est lu en tant qu'élément du procédé normal de transaction d'EMV. Si un lecteur d'EMV est compromis dans la mesure où la conversation entre la carte et la borne est arrêtée, alors l'attaquant peut pouvoir récupérer les données track-two et le PIN, lui permettant de reconstruire une carte de raie magnétique qui peut alors être employée, par exemple, dans des terminaux qui permettent la chute au traitement de magstripe. Cette attaque est seulement possible où (a) le PIN en différé est présenté dans le plaintext par le dispositif d'entrée de PIN à la carte, où (b) la chute de magstripe est autorisée par l'émetteur de carte et (c) où la vérification géographique et comportementale ne peut être effectuée par l'émetteur de carte.

Dans le R-U et l'Irlande, le PIN en différé de plaintext est le mode de fonctionnement standard, et les cartes qui soutiennent le PIN en différé chiffré sont rares, en dépit d'être communes dans d'autres pays. Permettant la chute de magstripe des transactions à avoir lieu est un risque bien connu pour carder des émetteurs et a été autorisée tandis que les niveaux de fraude sont bas, afin de faciliter des détenteurs de carte. Si les niveaux de fraude de chute de magstripe se développent, cette option de traitement sera handicapée à ces émetteurs de carte où elle déjà n'est pas désactivée. En conclusion, les outils d'analyse géographiques et comportementaux de fraude sont en service dans beaucoup d'émetteurs de carte et sont capables de dépister et de diminuer des transactions soupçonneuses -- par exemple, une transaction carte-actuelle d'EMV à une atmosphère du R-U a suivi, deux heures plus tard, d'une transaction de chute de magstripe en l'Extrême Orient.

Cette attaque de conversation-serrage est la forme d'attaque on a rapporté que qui a lieu contre Shell en mai 2006, quand elles ont été forcées pour désactiver toute l'authentification d'EMV dans leurs stations-service.

Responsabilité diminuée pour des banques

Une critique commune du morceau et d'exécution de PIN est qu'elle a été faite pour réduire la responsabilité des banques dans les cas de la fraude par la carte de crédit, en mettant le fardeau de de la preuve sur le client pour montrer que leur PIN a été compromis, plutôt que sur la banque devant montrer que la signature ne s'est pas assortie. Plutôt qu'étant une seule opinion cynique, ceci est soutenu réellement par l'utilisation presque-universelle du " de limite ; Deadline" de décalage de responsabilité ; pour se rapporter au 1er janvier 2005 dans le paiement BRITANNIQUE carder l'industrie. Cependant, les institutions financiers sont encore liés par le le code d'opérations bancaires, qui déclare que le fardeau de la preuve est sur la banque pour prouver leurs réclamations de la négligence par opposition au consommateur devant prouver son innocence.

Avant morceau et goupille, si la signature d'un client était forgée, les banques étaient exposées et ont dû rembourser le client. Actuellement il n'y a aucun tel consommateur protecteur de loi de l'utilisation frauduleuse de leurs transactions de morceau et de goupille, seulement un code volontaire d'opérations bancaires. Les chercheurs Steven Murdoch et Sarre Drimer d'Université de Cambridge ont démontré dans une attaque d'exemple du programme un du chien de garde du BBC, pour illustrer que le morceau et le PIN n'est pas assez bloqué pour justifier une telle variation dans la responsabilité.

Voir également

Authentification à deux facteurs , un article selon les principes de sécurité derrière le morceau et PIN.
Programme d'authentification de morceau de , using les cartes Morceau-et-PIN à fixer en ligne et les opérations bancaires de téléphone

Random links: