Dlaczego karty kredytowe mają wydrukowany swój numer i kod CVC, tak aby wszyscy mogli je zobaczyć?

Ostatecznie to nie Ty ponosisz ryzyko oszustwa, więc nie Ty ustalasz tolerancję ryzyka. Trzycyfrowy kod, cały numer karty, chip i pin, chip i podpis, podpis na pokwitowaniu, informacje na pasku magnetycznym itd. Twój bank powie ci, że wszystkie one są naprawdę tajne i powinieneś je chronić, ale wytatuowałby ci je na twarzy, gdyby mógł.

Nazwa gry to najniższe możliwe tarcie transakcji w stosunku do akceptowalnych kosztów oszustwa.

Dlaczego trzycyfrowy numer jest wydrukowany na karcie? Ponieważ przypuszczalnie masz kartę w ręku, kiedy chcesz jej użyć. Ten “tajny” kod został stworzony w celu zwalczania i/lub zapobiegania oszustwom niskiego poziomu, związanym głównie z leniwym skimmingiem paska magnetyczneg o oraz z dawnymi czasami, kiedy paragony były odciskami karty. Numer ten nie jest częścią danych paska magnetofonowego, a jego zadaniem jest zachowanie tajemnicy przed paskiem magnetofonowym i osobami, które mogłyby znaleźć się w posiadaniu dużej liczby paragonów z odciskami (w początkach istnienia kart kredytowych) lub bazy danych wypełnionej numerami kart kredytowych. To był tylko kiedykolwiek przeznaczony do zaoferowania niski poziom dowód obecności karty do zwalczania przypadków, w których duże ilości numerów kont zostały podjęte; to nie uwierzytelnia lub bezpieczne transakcje, to nie jest suma kontrolna, to tylko numer, który nie jest w mag-strip lub odcisku. Co ciekawe, choć nie zaskakujące, numer ten nie jest po prostu losowy, jest on uzyskiwany z głównego numeru konta kryptograficznie w sposób znany tylko wystawcy karty.

Dlaczego bank nie stara się bardziej chronić tego numeru? Ponieważ bank chce, abyś mógł używać karty bez konieczności pamiętania numeru.

Dlaczego czterocyfrowy “tajny” numer American Express znajduje się z przodu karty, a nie jest nawet bezpiecznie ukryty na odwrocie, kto wie; ale najwyraźniej numer nie jest przeznaczony do zabezpieczenia przed kimkolwiek, kto mógłby mieć fizyczny dostęp do karty.

Dlaczego karta nie jest naga, ale do brandingu z informacjami bezpiecznie przechowywanymi gdzie indziej? Ponieważ dwa miejsca to więcej miejsc i możesz nie używać karty, jeśli będziesz musiał odkopać kawałek papieru, który został wysłany do ciebie oddzielnie z oczywistym, nigdy nie zamierzonym do zabezpieczenia trzycyfrowym kodem wydrukowanym na nim.

Zachętą dla banku jest to, abyś używał karty. Jeśli nie używasz karty lub używasz karty konkurencji, bank nie zarabia żadnych pieniędzy.

Jeśli chcesz zabezpieczyć swoje metody płatności lepiej niż poziom, który jest wygodny dla banku, możesz to zrobić. Zdrapać numery, wyciągnąć mag strip, cokolwiek; choć prawdopodobnie zmiana karty jest naruszeniem umowy z klientem. Bank tego nie robi, bo go to nie obchodzi.

Kod zabezpieczający ](https://money.stackexchange.com/q/5126/10997) nie jest tajnym kodem PIN. Jego celem jest “udowodnienie”, że posiadasz fizyczną kartę w momencie dokonywania zakupu. Jest on używany tylko wtedy, gdy sprzedawca nie może potwierdzić, że posiadasz fizyczną kartę w swoim posiadaniu. Używa się go przy zakupach na stronie internetowej, ale także w sklepach fizycznych, gdy karta nie może zostać zeskanowana i numer musi zostać wpisany ręcznie.

Powodem, dla którego jest on wydrukowany na karcie, jest to, że ktoś inny niż Ty może potrzebować go odczytać. Jeśli wręczysz ją kasjerowi, który z jakiegoś powodu nie może jej zeskanować i musi wpisać numer, może on odwrócić kartę i wpisać kod zabezpieczający, udowadniając komputerowi, że ma kartę w swoim posiadaniu. Nie był on przeznaczony do zapamiętywania, a jeśli użytkownicy kart zapamiętają kod, traci on swoją skuteczność jako dowód fizycznego posiadania karty.

Można argumentować, że kod wydrukowany na karcie sprawia, że karta jest mniej bezpieczna i niektórzy sugerowali zeskrobanie kodu z karty po jego zapamiętaniu, ale to naprawdę zapobiega tylko specyficznemu rodzajowi oszustwa związanego z kartami kredytowymi, które nie jest tak powszechne jak inne metody oszustwa.

W przypadku braku prawdziwego kodu PIN, coraz powszechniejsze staje się używanie kodu pocztowego jako kolejnej walidacji, ponieważ jest to numer, który właściciel karty już zapamiętał i nie jest wydrukowany na karcie.

Głównym celem kodu bezpieczeństwa jest uniemożliwienie ponownego użycia zhakowanych informacji o karcie. Głównym sposobem osiągnięcia tego celu jest wymóg, aby procesory płatnicze nie przechowywały tego kodu

Handlowcy, dostawcy usług i inne podmioty zaangażowane w przetwarzanie kart płatniczych nie mogą nigdy przechowywać wrażliwych danych uwierzytelniających po autoryzacji. Obejmuje to 3- lub 4-cyfrowy kod bezpieczeństwa wydrukowany na przedniej lub tylnej stronie karty, dane przechowywane na pasku magnetycznym lub chipie karty (zwane również “Full Track Data”) - oraz osobiste numery identyfikacyjne (PIN) wprowadzone przez posiadacza karty. W tym rozdziale przedstawiono cele PCI DSS i związane z nimi 12 wymagań Źródło - slajd 11

Pytasz, dlaczego numer karty i kod bezpieczeństwa są wydrukowane na karcie. W obu przypadkach, przejrzyjmy trochę historii:

Numer karty

Numer karty (zwany w branży PAN) to tylko identyfikator, nie ma powodu, by był tajny. Jest on potrzebny do każdej transakcji, aby można było… obciążyć odpowiednie konto, niezależnie od tego, czy:

• w fizycznym punkcie sprzedaży (POS), przy użyciu starej metody “imprinter” (nie wiem, czy to jeszcze gdziekolwiek jest w użyciu). Z tego powodu numer jest faktycznie wytłoczony, a nie tylko wydrukowany (wraz z innymi danymi wymaganymi do transakcji: datą ważności, nazwiskiem posiadacza karty).

• w punkcie sprzedaży, za pomocą terminala POS (“automatu do kart kredytowych”), który albo odczytuje pasek magnetyczny, albo chip karty, które w obu przypadkach podają PAN i resztę danych bez żadnego uwierzytelniania czy szyfrowania.

• telefonicznie lub papierowo (co w branży nazywane jest “MOTO”: zamówienie pocztowe / telefoniczne), kiedy to wystarczy odczytać dane przez telefon lub wpisać je na formularzu zamówienia.

• w internecie, gdzie trzeba odczytać numer z karty i wpisać go do formularza. Jak możesz cokolwiek zamówić, jeśli nie potrafisz odczytać numeru karty?

PAN nigdy nie był uważany za tajemnicę. Jest to po prostu numer konta, dokładnie tak jak numer konta widnieje na papierowych czekach, aby wiedzieć, z jakiego konta należy pobrać pieniądze.

Niektórzy ludzie uważają, że klucz (ostatnia cyfra) jest (słabym) zabezpieczeniem, podczas gdy w rzeczywistości służy on tylko do ochrony przed błędami przy wprowadzaniu danych (zmiana cyfr, zamiana cyfr…).

Obecnie ludzie zaczynają myśleć, że PAN powinien być tajny, co doprowadziło do wprowadzenia “tokenizacji”: zamiast wysyłania rzeczywistego numeru karty, wysyłany jest inny numer karty, który jest ograniczony do określonego kanału (i ewentualnie urządzenia), lub nawet do pojedynczej transakcji.

Tak jest np. w przypadku Apple Pay: kiedy rejestrujesz swoją kartę z jej prawdziwym PAN, bank odsyła token (“fałszywy” PAN), który jest używany zamiast niego i może być użyty tylko do płatności dokonywanych za pomocą Apple Pay na danym urządzeniu. Jeśli kiedykolwiek ktoś przechwyci ten PAN, nie będzie mógł nic z nim zrobić: nie zostanie zaakceptowany, aby dodać kartę do Apple Pay, nie zostanie zaakceptowany w sklepie, online, przez telefon, ani nigdzie indziej.

Czy to naprawdę przydatne? W idealnym świecie, gdzie wszystkie transakcje są uwierzytelniane w inny sposób, to naprawdę nie powinno mieć znaczenia, PAN sam w sobie powinien być bezużyteczny. W praktyce, ponieważ istnieją kanały, które pozwalają na użycie całkiem niezbyt bezpiecznych metod uwierzytelniania, jest to dodatkowa linia obrony.

Zauważ, że potrzeba tokenizacji jest prawdopodobnie nieco ważniejsza po wprowadzeniu bezdotykowości: możesz odczytać PAN dowolnej karty zbliżeniowej, nawet jej nie dotykając, to tylko kwestia zbliżenia się wystarczająco blisko.

Kod bezpieczeństwa

Kod bezpieczeństwa wydrukowany na odwrocie karty (lub na awersie, w przypadku kart American Express) nie był pierwotnie obecny. Został on dodany w celu uniknięcia następujących scenariuszy oszustwa:

• paragon z karty kredytowej z pełnym numerem karty (oraz nazwą i terminem ważności) został wyrzucony i odebrany przez kogoś innego (było to szczególnie prawdziwe, gdy w użyciu były imprintery, ale było to również prawdziwe zanim sieci kart ostatecznie zdecydowały, że zabronione jest drukowanie pełnego PAN na paragonie klienta).

• karta jest “machnięta” w celu zapisania zawartości paska magnetycznego, który zawiera PAN, datę ważności, nazwę posiadacza karty i inne…). Dzięki temu osoby, które miały fizyczny dostęp do kart (kelnerzy, kasjerzy…) mogły dość szybko i niezauważenie zapisywać duże ilości kart.

Aby temu przeciwdziałać, dodano nowy kod, który nie znajduje się na paragonie (ponieważ nie jest wytłoczony), nie ma go również na ścieżce magnetycznej.

Ten kod jest wymagany tylko w przypadku MOTO i zakupów internetowych, gdzie nie można sprawdzić, czy użytkownik rzeczywiście ma kartę (tzw. transakcja “card not present”), a chcemy być nieco bardziej pewni, że użytkownik ma kartę.

Jest to rzeczywiście dość łatwe do obejścia: wystarczy wykonać pełną kopię karty (obie strony) lub zanotować wszystkie dane. Ale w wielu z powyższych scenariuszy, to tylko trochę utrudniało nieuczciwemu użytkownikowi zrobienie tego niezauważenie.

(Wprowadzenie terminali ręcznych również bardzo pomaga, ponieważ użytkownik może mieć oczy - i ręce - na karcie przez cały czas, ale szczególnie w restauracjach w USA nie jest to jeszcze standardowa praktyka).

Kod zabezpieczający pomaga również w przypadku, gdy strona przechowuje dane karty kredytowej i ktoś zdoła uzyskać do nich dostęp: teoretycznie nikt nie może przechowywać kodu zabezpieczającego, więc haker uzyskałby tylko PAN i datę ważności, i nie byłby w stanie użyć jej ponownie, ale w praktyce o wiele za dużo osób nadal przechowuje kod zabezpieczający. Branża jest goni za nimi (jest to jeden z aspektów inicjatywy PCI DSS), ale przed nami jeszcze długa droga.

Prawdziwa ochrona pochodzi z nowych środków uwierzytelniania (3D Secure), które pozwalają na inny sposób weryfikacji, niż tylko te dane. W zależności od banku (lub nawet karty), mogą one obejmować:

• hasło
• hasło jednorazowe (OTP) wysyłane SMS-em lub w inny sposób
• uwierzytelnianie biometryczne (odcisk palca, rozpoznawanie twarzy, skan tęczówki oka…)
• faktyczne rozmawianie z chipem na karcie za pomocą czytnika kart podłączonego do komputera (nie jestem pewien, czy to faktycznie zostało gdziekolwiek wdrożone) …

Zauważ, że kod bezpieczeństwa jest używany tylko dla transakcji online/MOTO (transakcje “bez obecności karty”). Transakcje dokonywane kartą obecną będą albo używały:

• innego kodu zabezpieczającego, który znajduje się na pasku magnetycznym (choć jest on łatwy do skopiowania)
• komunikacji z chipem (na kartach, które go posiadają), dzięki czemu karta uwierzytelnia się sama.

Proste, zamiar za system kredytowy jest wykorzystanie zaufania między wymiany różnych stron w odpowiednim czasie. Jednak świat cybernetyczny jest daleki od kuloodporności. Większość exploitów jest zazwyczaj w obrębie samego projektu, a nie czegokolwiek innego. Moja rada dla każdego, kto patrzy na uzyskanie gdzieś w życiu za pomocą komputerów, trzymać się zbywalnych umiejętności, takich jak ekran i logika pokładzie napraw zamiast cyber kradzieży. Jest o wiele więcej możliwości pokazania światu tego, co wymaga czasu, aby to zrozumieć, np. inżynierii elektrycznej, zamiast nękania innych poprzez branie od nich (kradzież kart kredytowych). Wygląda na to, że cyberbezpieczeństwo w przyszłości będzie polegać na myślących maszynach, które będą podejmować powtarzalne decyzje, a ludzie będą mogli zdecydować, który kierunek jest bardziej korzystny na dłuższą metę.

Wcześniej istniał system “Verified by Visa”, w którym karta kredytowa Visa miała hasło, które przechowywał konsument. Hasło to nie znajdowało się na karcie. System “Verified by Visa” był stosowany w transakcjach internetowych. Handlowcy mieli możliwość oferowania tego systemu.