视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
对于我们的美国读者来说,使用信用卡付款意味着要刷磁条。 但是对于欧洲和其他许多国家/地区的人们来说,这意味着将您的芯片卡插入读卡器并输入PIN。 长期以来,人们一直吹捧这种所谓的芯片和PIN解决方案,它在大多数方面都优于美国刷卡技术。 但是,该计划的实施方式存在一些严重的问题。
罗斯·安德森(Ross Anderson)今年在黑帽(Black Hat)展示了他的团队研究芯片和PIN卡的历史。 对于一个设计得更难作弊的系统,安德森说的话令人惊讶。
缺陷之列
芯片和PIN码快速更新:消费者在购物时插入他们的卡。 然后,他们输入自己的PIN码,该密码会通过设备上的卡进行确认-当它起作用时,PIN码永远不会离开阅读器。 然后,卡与银行对话以授权交易,然后进行销售。 在纸上,听起来很棒。
安德森(Anderson)经历了他和他的团队发现的几个不可靠的漏洞,以及其他一些首先在野外发现然后由安全专家进行反向工程的漏洞。
许多攻击都针对商人用来进行交易的设备和ATM。 他的团队发现,实际上没有按照他们声称要遵循的安全规范制造几种设备。 他说,只要付出最小的努力,他们就可以窃听设备并在销售过程中提取PIN。
其他攻击包括将安德森所说的“邪恶电子设备”安装到读取器上以捕获交易数据。 在一种情况下,诈骗者甚至在将其恶魔商品贩卖给商人之前,将其恶意商品安装到读卡器中。
但是还有许多其他攻击,例如将电子技术直接嵌入到芯片和PIN卡中,将卡连接到隐藏的设备上,从而使小偷可以使用任意随机代码授权卡,甚至还包括在不同位置“重播”交易的攻击。
技术上优越,实际上有问题
我问安德森,在发现了芯片和引脚的所有缺陷之后,他是否仍然认为它优于刷卡。 他毫不含糊:芯片和PIN卡在技术上是优越的,仅仅是因为它们比刷卡更难克隆。
更大的问题在于如何在欧洲推出芯片和PIN。 安德森解释说,为了让欧洲商人转换,银行向商人承诺,他们将对欺诈性收费负责。 使用刷卡,欺诈性费用就可以简单地转回给商家。 安德森称这是“转移责任”。
听起来不错,但现实却很残酷。 安德森说,欺诈行为的受害者经常被银行指责,他们指责银行以某种方式暴露了自己的个人识别码。 在其他情况下,银行只是改变主意并向商户冲销费用。 在极端情况下,银行和信用卡公司拒绝对已知的骗子提起诉讼,显然是出于尴尬。
似乎没有人想对芯片和PIN欺诈负责。 安德森问道:“如果银行不为欺诈支付费用,为什么他们会破坏直觉来确保其安全?”
安德森还批评了芯片和PIN文档的作者没有清晰的视野,并使文档呈螺旋形失控。 他称这是一场公地悲剧,并指出,没有人主动提出编写更新版本,而该更新版本实际上可以对该标准进行必要的安全更改。
来到美国
我们的美国读者对刷卡感到满意,可能想知道为什么这对他们来说根本不重要。 原因很简单:芯片和PIN卡已准备好引入该国。 安德森说,银行将在2015年实现过渡。
在这个国家,事情可能不会那么糟糕。 一方面,只有一些银行选择芯片和PIN方案,而另一些银行将推出芯片和签名卡。 该认证计划已在新加坡使用,旨在提供更大的消费者保护。 安德森还指出,美联储在美国银行业中的作用也提供了更大的消费者保护-假设它在不久的将来不会受到严重侵蚀。
他说,Black Hat的听众也可以扮演一个角色。 他说:“这不是一个单一的协议;它是构建支付协议的一个庞大,随机,狡猾的工具包。” “您可以想出真正安全的东西,或者真的很血腥的东西。”
希望我们能得到前者。
