Seguridad de tarjetas de crédito sin contacto

No, las transacciones sin contacto no son más seguras que las transacciones de contacto. Todo el negocio sin contacto tiene mucho más que ver con facilitar los pagos en el punto de venta (y posiblemente permitir desarrollos futuros del negocio de tarjetas inteligentes) que para aumentar la seguridad.

Aparte de las implementaciones de EE. UU. ridículas , tenemos algunas cosas que están sucediendo aquí:

1. las transacciones de menos de una cierta cantidad están autorizadas en el modo nocvm , lo que significa que no hay un método de verificación de la tarjeta; es lo que has observado
2. a las transacciones que superen una cierta cantidad (según el país, etc.) se les pedirá una verificación de pin en línea (lo que significa que el PIN está cifrado en el teclado PIN y se envía a través de la red al emisor para su autenticación), mientras que las tarjetas de contacto EMV normalmente hará una verificación de PIN fuera de línea donde el TPV solicita el chip EMV de la tarjeta si el PIN está bien.
   • esto es más de un tipo diferente de compromiso de usabilidad que de seguridad. El pin fuera de línea permite autorizaciones fuera de línea en el punto de venta donde las transacciones deben ser súper rápidas. Ambos PIN en línea tienen sus vectores de ataque únicos (y difíciles de ejecutar).
3. con contactless, la tarjeta no tiene la oportunidad de verificar la autenticidad del host emisor (la verificación ARPC no se realiza). Es una medida de seguridad del esquema EMV que nunca entendí completamente y con contactless desapareció, así que supongo que no fui la única :) pero aún así, es 1 medida de seguridad menos

Dejando de lado algunas etiquetas EMV adicionales, que yo sepa, este es el único impacto de EMV + CLESS en comparación con EMV de la vieja escuela. Magstripe + CLESS, o permitir el repliegue EMV con los resultados de CLESS en ese video de youtube desde el principio del post y está completamente ridículo.

EDIT 1: vaca santa enlace parece que la ridiculez sigue en pie. No solo revela los datos de la tarjeta, sino también el historial de transacciones. Quiero decir que está en Google Play, él y un montón de otros. No lo pruebes con las tarjetas de producción .

No entiendo, Visa / MC tuvo tantos problemas en el mercado de los EE. UU. con la NFC temprana, que atravesó una gran cantidad de problemas debido a las primeras tarjetas de banda magnética. Finalmente, EMV está aquí y es seguro, y luego lo actualizan con la capacidad de NFC al revertir la seguridad prácticamente hasta los niveles magstripe.

Visa nunca pretende que sin contacto sea más seguro que el chip y el PIN. Sólo dicen:

• es más seguro que el efectivo. Bueno, si alguien obtiene su dinero en efectivo, lo usará libremente, mientras que la tarjeta sin contacto está limitada por transacción y por día. Además, puede tener el banco para bloquearlo si declara que ha sido robado y, en algunos casos, puede demostrar que no pudo estar en el lugar donde se realizó el gasto. En ese sentido, es más seguro que el efectivo

• utiliza la misma tecnología que chip y PIN. No falso. Simplemente, el procedimiento nunca requiere ingresar el PIN, por lo que ya no es algo que tiene (la tarjeta) y algo que sabe (el código) sino solo algo que tiene.

Así que ni siquiera dicen que es tan seguro como el chip y el PIN, simplemente una lectura rápida puede hacer pensar que lo dicen en serio.

Ahora, por lo que pienso al respecto.

¿Es tan seguro como el chip y el PIN? No. Porque tener la tarjeta es suficiente para poder usarla, mientras que CHIP y PIN requieren además el conocimiento del código PIN. Y el banco lo sabe, y esa es la razón por la que limitan la cantidad que puede usarse sin contacto por transacción y por día.

Entonces, ¿cuál es el sentido del pago sin contacto? Sencillez. Los bancos ganan dinero en cada transacción con tarjeta. Además, la tipología de uso de su tarjeta ahora es un dato valioso que se puede utilizar para proporcionar publicidad dirigida. Y los bancos saben cómo pueden usarlo o venderlo. Así que realmente quieren que uses tu tarjeta incluso para operaciones baratas donde no escribirías un PIN.

Lo que hace posible la operación es que no es realmente interesante para un atacante. La relación ganancia / riesgo no es realmente alta, simplemente porque la ganancia es limitada por transacción y por día. Por lo tanto, a partir de 2018, no tengo conocimiento de ataques importantes en tarjetas sin contacto, más allá de usar una tarjeta perdida para pequeños gastos. Entonces, la mayoría de los bancos aceptarán reembolsarle por un día de gastos, si pierde su tarjeta, porque cuesta menos (para el banco) que la ganancia global esperada.

Depende del tipo de pago sin contacto. Apple Pay es más seguro que los pagos de chip y PIN, ya que requiere autenticación de huellas digitales y genera un número de tarjeta único para cada transacción que no puede reutilizarse para otra transacción, incluso si se revela.