En una transacción de "tarjeta no presente", ¿se considera el número de la tarjeta de crédito, la fecha de caducidad y el CVV como "Lo que tiene" o "Lo que sabe"?

Un requisito para la autenticación basada en "lo que tiene" es que la propiedad se puede asignar claramente a una única entidad específica. Esto significa específicamente que esta información / dispositivo no se puede clonar (fácilmente) y que el acceso a la información requiere acceso al dispositivo original.

Pero el número de crédito, CVV y amp; La fecha de caducidad es información estática que puede ser fácilmente clonada. Una vez que haya ingresado estos datos en algún lugar, ya no será más que solo usted . Por lo tanto, no se pueden usar como autenticación "lo que (solo) tienes". Las contraseñas de un solo uso (OTP) son diferentes. Como su nombre indica, estos son una sola vez y no se pueden reutilizar, por lo que el acceso a un ya usado OTP específico no sirve para el atacante. En su lugar, uno necesita tener acceso al dispositivo que genera la OTP, es decir, "qué (solo) tienes".

En el caso de la tarjeta de crédito: cuando paga o obtiene dinero utilizando la funcionalidad Chip y Pin ( EMV ) utiliza la parte no visible de la tarjeta, es decir, la parte "lo que solo tiene usted". Si, en cambio, utiliza solo la banda magnética antigua o la información escrita en la tarjeta (número, CVV ...), se trata de información fácilmente clonable. Esto significa que esta información es "lo que usted tiene y otros también podrían tener" y, por lo tanto, no se puede utilizar para demostrar la propiedad de la tarjeta.

El número escrito en la parte posterior es en realidad el CV2. Está diseñado para ser "algo que tienes" porque está impreso físicamente en la tarjeta pero no está codificado en la banda magnética o en el chip. Las reglas de los procesadores de tarjetas también lo prohíben a cualquier comerciante que almacene el valor CV2.

Por supuesto, en realidad no necesariamente prueba el acceso físico a la tarjeta, ya que el número se puede copiar, escribir o almacenar electrónicamente, incluso si está en contra de las reglas; y cualquiera que intente un fraude, por definición, no jugará según las reglas.

Por el contrario, el PAN y la fecha de caducidad son "algo que usted sabe" y, de hecho, el emisor de la tarjeta puede ceder estos valores en algunas circunstancias a las partes interesadas.

1. Se supone que toda la información es más o menos secreta, incluido el número de la tarjeta, su PIN, etc. Incluso el nombre del titular de la tarjeta.
2. Ninguna información estática (es decir, utilizable más de una vez) puede considerarse "lo que tienes", son todos "lo que sabes".
3. "lo que tienes" solo podría ser algo físico que no sea fácil de duplicar. La prueba de tener lo que tienes es, por lo general, una contraseña de un solo tiempo generada usando dicho objeto físico. Ejemplos:
   • una indicación de un token de hardware (prueba de tener el token)
   • una comunicación con elemento seguro, chip (prueba de tener una tarjeta con chip en un lector)
   • una contraseña de un solo uso generada en el lado del servidor y entregada a través del canal lateral (prueba de tener acceso a ese canal). En 3d-secure, el objeto es su teléfono móvil (su tarjeta SIM, para ser específicos) que le da acceso al canal (su número de teléfono). El canal es razonablemente seguro y su acceso está razonablemente limitado, por lo que se puede suponer que tener acceso al canal para leer la contraseña de un solo uso es una prueba suficiente de que tiene la tarjeta SIM físicamente.

Ahora, para tener dos factores, se supone que debes conocer los secretos Y probar tu acceso reciente al objeto físico. La parte "reciente" se puede implementar de muchas maneras, por ejemplo, mediante el token que tiene un reloj interno que cambia la indicación cada pocos segundos, o mediante un mecanismo de respuesta-respuesta.

En última instancia, se puede decir que incluso el objeto físico es solo información: las claves secretas codificadas en chips. Pero en seguridad, la diferencia entre información y objeto es que la información se puede copiar fácilmente, mientras que un objeto no puede. Dato curioso: las llaves de su casa son más información que objetos, ya que es muy fácil hacer una copia de ellos.

Si solo desea realizar transacciones MOTO, la tarjeta ni siquiera necesita que exista físicamente. Hay ejemplos de bancos que emiten "tarjetas virtuales" solo para uso de Internet, y esas "tarjetas" son solo un puñado de letras impresas en un papel: número de tarjeta, fecha de caducidad, nombre del titular de la tarjeta, etc. utilizado en el lector de tarjetas, no hay necesidad ni uso de letras mag, chip o letras en relieve.

Los minoristas tienen relaciones diferentes con el proveedor de la tarjeta para las transacciones de "tarjeta no presente". Su responsabilidad, y los costos de transacción son generalmente más altos. Esto se debe a que las transacciones con tarjeta no presente son (obviamente) mucho más propensas al fraude que las tarjetas presentes, especialmente con Chip y PIN.

Esta es la razón por la que los minoristas en línea a menudo solo realizan entregas a su dirección registrada en el primer pedido; o será limitado en cantidad; o limitarse a las transacciones en las que se encontrarán con usted en algún momento (por ejemplo, reservas de boletos).

Básicamente, debido a que es fácil obtener un secreto, los minoristas deben elegir si se arriesgan y mitigan ese riesgo de la forma que mejor se adapte a su entorno comercial.