Domanda:
Perché i chip sono più sicuri delle bande magnetiche?
Thomas
2014-01-23 19:05:33 UTC
view on stackexchange narkive permalink

Dopo il recente hack di Target, si è parlato di passare dalle carte di credito con bande magnetiche alle carte con chip.

In che modo i chip sono più sicuri delle strisce?

hai mai messo un forte magnete su una striscia?
@ratchetfreak Cosa succederebbe?
@thefourtheye cancella la striscia magnetica
@ratchetfreak Questo non renderebbe il chip più sicuro (anche se inutilizzabile)?
Questa mattina stavo ascoltando NPR parlare di questo argomento. Apparentemente la maggior parte del mondo a parte gli Stati Uniti si è allontanata dalle bande magnetiche.
@BanksySan La sicurezza è privacy, integrità, * disponibilità *.
@agweber Potrebbe essere vero. Sono nei Paesi Bassi (un piccolo paese tra Germania e Francia) e abbiamo ancora le strisce magnetiche sulle carte, mentre non dovrebbero più essere utilizzate, per dare ai negozi il tempo di acquistare macchine di pagamento alternative.
Per inciso, come viene utilizzato un chip nelle transazioni online? È sicura quanto una transazione di persona? Quello che vedo è che può essere utilizzata una banda magnetica di backup, ma ciò sembra controproducente per l'intera ragione per avere un chip in primo luogo. https://www.citi.com/credit-cards/template.do?ID=chip-technology-questions
Tieni presente che le carte di debito (ad es. "Maestro") sono più sicure delle normali carte di credito (MasterCard) perché richiedono la verifica ONLINE del PIN.
@Jim: le transazioni online non sono presenti con carta. Non funzionano su nessuno dei due, funzionano solo sul numero della carta e in genere il venditore deve pagare una commissione più alta a causa del più alto grado di rischio associato alle transazioni con carta non presente.
Queste carte * stanno * arrivando negli Stati Uniti!
@Jim in Belgio la banca lancia una sfida e hai bisogno del chip e di un dispositivo speciale + PIN per ottenere la risposta
@agweber Potrebbe essere vero davvero. Non mi sono trasferito in tutto il mondo, ma qui in Norvegia usiamo i chip come standard de facto da alcuni anni ormai.
@11684 In tutti i paesi che conosco, le carte bancarie hanno ancora una banda magnetica che può essere utilizzata dagli ATM. Ma è più difficile sfogliare in un negozio poiché la carta in genere rimane per lo più fuori dalla macchina quando si utilizza il chip.
È davvero difficile credere che gli Stati Uniti stiano ancora utilizzando carte senza chip. Penso di ricordare vagamente che i miei genitori li hanno avuti quando ero un ragazzino.
Tuttavia, anche Chip & Pin è stato violato: - http://www.theregister.co.uk/2012/09/13/chip_and_pin_security_flaw_research/ - http://www.nbcnews.com/id/49020916/ns/technology_and_science- security / t / criminals-crack-european-chip-and-pin-cash-card-security / #. UuFNyk4o6Xk - http://www.zdnet.com/chip-and-pin-crack-code-released-as- open-source-3040090637 / - http://www.zdnet.com/chip-and-pin-is-broken-say-researchers_p2-3040022674/
Bene, tutto è hackerabile se vuoi ottenere meta. È più simile a quanto sia difficile hackerare la ricompensa che vale il mio tempo per hackerarlo.
La difficoltà di sfilarlo rispetto allo sfioramento di una striscia magnetica è come la differenza tra correre 5 KM start to run e iron man.
È più simile alla differenza tra una piacevole passeggiata di 1 km e la vittoria di una sfida iron-man.
ma non è sempre così - la clonazione della banda magnetica probabilmente è iniziata abbastanza difficile, ma il costo del kit si riduce, le persone automatizzano il processo ... chip e pin dovrebbero essere intrinsecamente più difficili della banda magnetica, ma non in modo proibitivo a lungo termine. E ovviamente c'è sempre l'attacco chiave inglese obbligatorio: https://xkcd.com/538/
Negli anni '90 lavoravo in un club che emetteva tessere associative. Per qualche ragione il card writer che avevamo a quel tempo era in grado di scrivere gli stessi dati usati sulle carte bancarie (non ricordo i dettagli ma mi sembra di ricordare che fosse multi-traccia?). Ho letto la mia carta di credito e ho riscritto gli stessi dati su una tessera associativa che potevo utilizzare per prelevare contanti dal mio conto. È stato un grande trucco da festa.
Cinque risposte:
paj28
2014-01-23 19:45:05 UTC
view on stackexchange narkive permalink

Non puoi clonare il chip.

Una striscia magnetica contiene un numero segreto e se qualcuno conosce quel numero può affermare di essere il proprietario della carta. Ma se un malintenzionato fa scorrere la carta, allora conosce il numero e può creare la propria carta, cioè la "clonazione". Questo si è rivelato essere un grosso problema pratico con le carte magnetiche.

Un chip contiene anche un numero segreto. Tuttavia, è integrato in modo sicuro nel chip. Quando si utilizza la carta, il chip esegue un'operazione di chiave pubblica che dimostra di conoscere questo numero segreto. Tuttavia, non rivela mai quel numero segreto. Se metti una carta scheggiata in una macchina malvagia, questi possono impersonarti per quella transazione, ma non possono impersonarti in futuro.

Tutto quanto sopra presuppone che l'implementazione del chip sia buona . Alcuni chip sono noti per avere difetti di implementazione che perdono il codice segreto. Tuttavia, chip e pin ora sono abbastanza maturi, quindi mi aspetto che la maggior parte di questi problemi sia stata risolta.

Sebbene sia difficile decodificare uno dei chip che di solito vengono utilizzati nelle schede chip, non è impossibile. È solo che hai bisogno di attrezzature da laboratorio del valore di diverse migliaia di dollari ed esperti che sappiano come usarlo, mentre una striscia magnetica può essere clonata da chiunque abbia hardware da $ 100 e istruzioni dettagliate.
L'anno scorso al Chaos Communication Congress si è tenuto un discorso interessante sul reverse engineering delle carte chip, sfortunatamente in tedesco: http://www.youtube.com/watch?v=xlpudEdVv7A
IIRC il chip supporta anche una modalità legacy che utilizza un CVV1 come la banda magnetica (nessuna crittografia in corso).
@Philipp Per la maggior parte dei crimini non è sufficiente poter clonare la carta, devi anche farlo senza che il proprietario se ne accorga e la blocchi. Se hai già rubato la carta per portarla al tuo laboratorio di scansione dei chip per copiarla, perché dovresti averne bisogno?
@eBusiness non potevo semplicemente copiarlo. Potrei anche leggere e persino manipolare i dati riservati memorizzati su di esso.
Le attuali carte di credito abilitate al chip, almeno qui negli Stati Uniti, non usano la crittografia. Il mio smartphone può utilizzare NFC per rubare tutte le informazioni che si trovano sul chip della mia carta Visa (che include tutto ciò che è sulla banda magnetica).
Puoi clonare un chip, come indicato in questa domanda http://security.stackexchange.com/questions/46319/why-emv-cards-cannot-be-cloned/, ed è più banale che usare apparecchiature fuori dalla portata dei più . Ci vuole molto più impegno e attrezzatura rispetto a una copia con banda magnetica, ma può comunque essere fatto per meno di $ 1000.
Inoltre, ci sono vantaggi di sicurezza non tecnici per il sistema chip & pin. Ad esempio, se stai pagando il tuo pasto in un ristorante, se usi una carta magnetica, di solito la passi al cameriere dopo che ha portato l'assegno. Quindi di solito elabora la tua transazione al registratore di cassa, il che significa che la tua carta lascia la tua vista per un minuto o giù di lì, tempo sufficiente per clonare la tua carta se qualcuno nel personale del ristorante è un truffatore. Con una chip card, è necessario un dispositivo POS portatile, oppure il cliente si reca alla cassa, la carta è sotto i suoi occhi per tutto il tempo.
@Bob questo è vero. Ma questo deve essere abilitato dall'emittente della carta. Tuttavia, il chip non può essere clonato. Tuttavia, se abilitato, si potrebbe creare una striscia magnetica con quelle informazioni o semplicemente usarlo online. Questo è un rischio elevato per le carte di pagamento senza contatto poiché il proprietario potrebbe non accorgersi che la sua carta viene copiata.
Nel Regno Unito, il chip-and-pin è uno standard da secoli. Avrai problemi a pagare con una carta americana senza chip in molti posti. Le transazioni online vengono eseguite con una risposta di sfida al chip della carta, richiedendo un lettore di carte (gratuito), la carta da essere presente e tu di conoscere il PIN. Inoltre, le carte di credito sono più sicure delle carte di debito, poiché la banca ha un'assicurazione per frode e rimborsi sul credito, ma se ci sono transazioni fraudolente della tua carta di debito, sei responsabile.
@OrangeDog Sono d'accordo con la maggior parte della tua risposta, ma un paio di punti: i lettori di schede non sono gratuiti; i commercianti in genere li noleggiano (a circa £ 30 al mese) anche se PayPal Here è un'alternativa interessante. I consumatori non sono responsabili per frode con carta di debito (a condizione che non siano stati negligenti) ma hai ragione sul fatto che le carte di credito sono più sicure, perché durante la controversia su una carta di debito sei fuori tasca, mentre su una carta di credito l'emittente della carta è di tasca.
@Philipp Almeno i chip usati qui in Germania sono molto sicuri. L'unico trucco che conosco con le schede di generazione attuale è quello di macinare (è la parola corretta qui) la scheda, scattare foto di tutti gli strati del chip con un microscopio, incollarli semiautomaticamente insieme su un PC e utilizzare un software per ricreare in modo semi-automatico i dati da queste immagini.Pro: Puoi anche pagare senza conoscere il PIN poiCon: la carta viene distrutta, il proprietario se ne accorgerà! Anche molto molto costoso e richiede tempo. I ladri qui copiano semplicemente la banda magnetica precedente e usano il clone in qualche paese del terzo mondo o negli Stati Uniti!
I lettori di carte @paj28 per l'autenticazione bancaria online sono gratuiti (almeno tutti i miei lo erano). Non mi riferivo ai terminali mercantili.
Le macchine di supporto per l'online banking di @paj28 sono generalmente gratuite dalla banca, anche se se perdi / rompi, immagino che la banca potrebbe chiedere soldi per uno nuovo. Dettagli del sistema qui: https://en.wikipedia.org/wiki/Chip_Authentication_Program
Non è possibile clonare il chip, ma il numero della carta è ancora impresso sulla carta. Quindi puoi comunque copiare le credenziali della carta e utilizzarle per un acquisto online. L'unico modo per fermarlo è interrompere la stampa del nome e di altri dettagli sulla carta.
Rory Alsop
2014-01-23 19:58:16 UTC
view on stackexchange narkive permalink

Il chip esegue un'operazione crittografica sui dati che gli vengono trasmessi che richiede la conoscenza della chiave che è fortemente protetta all'interno del chip, quindi un utente malintenzionato non può copiare facilmente la carta.

Detto questo, ci sono sono stati alcuni documenti di ricerca di successo su tempismo o attacchi di potenza, ma questi provengono da condizioni di laboratorio e probabilmente non sono una vera preoccupazione in natura.

Nel Regno Unito praticamente tutte le carte bancarie sono chip e pin, il che portare a uno dei nostri tipi più comuni di frode: la banda magnetica viene scremata e i dettagli utilizzati in un paese senza infrastruttura di chip e pin.

+1 per frode con banda magnetica all'estero. È stato anche il caso per un po 'di tempo che alcuni bancomat controllavano solo le strisce magnetiche. Penso che ora sia stato risolto
IIRC il chip supporta anche una modalità legacy che utilizza un CVV1 come la banda magnetica (nessuna crittografia in corso).
Anche l'attacco man-in-middle è stato dimostrato qualche tempo fa. Diventerà molto più facile con dispositivi mobili così potenti che tutti portiamo.
È possibile ottenere un chip e una pin card * senza * banda magnetica?
@gerrit un forte magnete corrompe la banda magnetica, quindi fai da te :)
Il problema è che è abbastanza facile creare una falsa macchina con chip e pin per registrare il PIN e leggere la striscia e le informazioni stampate sulla carta. Puoi quindi creare una carta clone da utilizzare nelle macchine statunitensi e hai il PIN.
ISTR un ricercatore nel Regno Unito che frigge deliberatamente le patatine e poi prova le carte in fori nel muro - che sono tornati a utilizzare i dati della banda magnetica senza alcuna lamentela ..... ma questo è stato qualche tempo fa.
Funziona anche fuori dall'estero, puoi danneggiare il chip, e dopo 3 tentativi con il chip rotto, ti chiederà di usare la banda magnetica (in circa l'80% delle macchine che ho usato in NA). Quindi in questo momento non aggiunge quasi nessuna sicurezza aggiuntiva, ma alla fine / si spera che elimineranno completamente la banda magnetica
@Spooks, alla tua banca viene detto che è stata utilizzata la banda magnetica, quindi puoi utilizzarla come parte di un sistema di data mining per rilevare le auto rubate.
@Spooks alcuni commercianti nel Regno Unito sono * molto * riluttanti ad accettare transazioni con banda magnetica proprio per questo motivo. (che può essere un problema per gli stranieri con carte senza chip.
AJ Henderson
2014-01-23 21:55:24 UTC
view on stackexchange narkive permalink

La banda magnetica contiene le informazioni esatte utilizzate per identificare la carta. Il chip contiene un'informazione che non condivide, ma che può usare per dimostrare di avere quell'informazione.

Quindi, una banda magnetica è stupida e può essere copiata, ma poiché il chip non Non rivelare il suo segreto, un venditore non può semplicemente copiarlo quando lo usi.

Una banda magnetica dice "Sono carta di credito ABC". quando il punto vendita chiede il numero. Con un chip il punto vendita dice "qual è la tua risposta a questo valore casuale?" e il chip fornisce una risposta che il punto vendita può convalidare, ma poiché il punto vendita successivo utilizzerà un valore casuale diverso, la risposta è inutile per un ladro.

Boluc Papuccuoglu
2014-01-23 20:59:42 UTC
view on stackexchange narkive permalink

Altre risposte già fornite sono corrette, ma vorrei dare quanto segue come risposta senza necessità di background tecnico da parte della persona che chiede:

Quando si utilizza una carta di credito a banda magnetica, il il dispositivo sta dicendo alla carta: "Il mio utente inserirà un PIN per la verifica, fammi leggere la tua striscia così posso controllarla".

( MODIFICA :

OK, il paragrafo precedente non è ciò che accade realmente. Ma il POS (o altro) dispositivo legge (o è in grado di leggere) tutte le informazioni contenute nella striscia. Ciò significa che puoi fabbricare una scheda che è a tutti gli effetti e ne propone una copia.)

Quando si utilizza una carta di credito con chip, il dispositivo dice al chip sulla carta: "Il mio utente ha fornito 4567 come PIN, è è corretto? "

Ora, poiché il chip è più intelligente di una striscia magnetica (che in effetti è solo un archivio di dati), può rispondere a questa domanda. In questo modo, il PIN può rimanere nascosto.

Questo non è corretto. Il PIN non è memorizzato sulla striscia magnetica (anche se è giusto che il chip possa autenticare il PIN). Il problema con la striscia magnetica è la clonazione della carta da utilizzare senza PIN, senza perdita del PIN.
Sì, è vero, colpa mia. Ma il succo della mia risposta è questo: il dispositivo LEGGE (o può leggere) TUTTE LE INFORMAZIONI memorizzate sulla banda magnetica. Mentre con un chip puoi nascondere le informazioni da qualsiasi dispositivo e chiedere al chip le informazioni di autenticazione.
Il dispositivo afaik non verifica un PIN con banda magnetica. I PIN magstripe vengono inviati online alla banca per la convalida. La banda magnetica non contiene informazioni sufficienti sulle tracce per convalidare un PIN (almeno non MasterCard né Visa)
+1 per la modifica: la nuova spiegazione è buona.
Se il dispositivo dice alla carta "l'utente ha inserito il PIN 1234" e la carta risponde, "è corretto", come, esattamente, il PIN rimane nascosto?
@SoftwareMonkey il dispositivo è il dispositivo di input per il pin da cui non puoi nasconderlo, per evitare la forza bruta il chip si disabilita da solo dopo 3 tentativi
Quindi qualcuno può ancora rubare la carta fisica e ottenere il PIN dal sistema POS? Non c'è sicurezza per fermare quello scenario? Ad esempio, se un cassiere esegue la carta per te, e "si dimentica" di restituirla, e ha un modo per leggere la memoria del POS?
@iconoclast: In effetti, ma penso che il presupposto sia che il dispositivo POS sia difficile almeno quanto la carta da manipolare. Non so quanto sarebbe fattibile costruire un terminale POS "malvagio" che registri tutti i codici pin, ma devi comunque rubare la carta che il titolare della carta probabilmente noterà (contrariamente al caso della striscia magnetica in cui puoi copiare rapidamente il tessera senza che il proprietario se ne accorga).
I terminali POS comuni (legittimi) di @EmilStyrke, per chip e pin avranno kill switch interni e membrane protettive per disabilitarli in caso di manomissione. Tuttavia, lo spirito degli standard è spesso mal implementato dall'industria delle carte, al punto che queste protezioni vengono banalmente aggirate. L'autenticazione di un terminale C&P mai visto prima come legittimo e non modificato, purtroppo, rimane irrisolto (non distribuito), ma l'opinione degli utenti lo guida poiché la maggior parte degli utenti si fiderà implicitamente di tali terminali senza ulteriori pensieri sulla verifica di sigilli di manomissione / segni di protezione (comunque impraticabile).
Chris H
2014-01-23 22:03:30 UTC
view on stackexchange narkive permalink

Potresti voler chiarire la tua domanda: ecco una risposta sul motivo per cui è più sicuro l'emittente della carta :

Se una carta magnetica viene rubata, è abbastanza facile da usare per il ladro in modo fraudolento - quanto spesso le firme vengono realmente controllate (infatti negli Stati Uniti spesso mi è stata restituita la carta prima di firmare, anche dove non è richiesto un documento d'identità aggiuntivo).

Se una carta chip&pin viene rubata e poi utilizzata in modo fraudolento, la carta da sola non è sufficiente per l'uso - una buona cosa ovviamente - ma questo pone l'onere del proprietario di proteggere il pin (controllare T&Cs). la carta è stata rubata subito dopo che il proprietario ha utilizzato un bancomat in cui il ladro ha sfogliato il PIN, quindi il ladro ha almeno le stesse probabilità di farla franca usando la carta - e ora può ritirare contanti invece di acquistare solo merci come firma falsa consentirebbe.

Poi, ovviamente, c'è la semplice questione di intimidire (o peggio) la vittima di un furto affinché consegni il PIN.

Ecco un arte della BBC icle - siamo su chip&pin nel Regno Unito - una citazione verso la fine

[La banca della vittima], Barclays, ha restituito i £ 640 che aveva perso, ma alcune banche può essere riluttante a pagare i rimborsi se le persone sono state incuranti con i loro codici PIN.

modifica: da "banca" generalizzata a "emittente della carta"

Se c'è un modo particolare in cui il richiedente dovrebbe chiarire la sua domanda, potresti lasciare un commento sulla domanda richiedendo tale chiarimento? I commenti sono il luogo per richieste di chiarimento, piuttosto che per risposte. Ironia della sorte, non è chiaro in che modo trovi la domanda poco chiara, quindi per favore sii chiaro su questo!
@JonathanHobbs, è abbastanza giusto, ma non stavo chiedendo chiarimenti di per sé. Stavo rispondendo alla domanda da un altro punto di vista pur riconoscendo che il problema OP significava "più sicuro per l'utente"
Potresti controllare un documento d'identità, ma il cassiere non sa che una firma è valida o che appartiene alla persona.
Sfortunatamente, EMV (il protocollo Chip & PIN) ha numerosi difetti che storicamente significavano che la carta * era * sufficiente. Ad esempio, la risposta "PIN okay" dalla scheda può essere banalmente soggetta ad un attacco MITM, poiché il segnale di risposta "tutto OK" 0x9000 dal chip al dispositivo di immissione del PIN non è autenticato (fonte: http: // www. cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf). Ho perso traccia dello stato attuale delle vulnerabilità in EMV come queste, ma storicamente le banche sono state riluttanti a risolverle. (Meno costoso da pagare nella manciata di casi contestati con successo.)


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...