Visa payWave 和 MasterCard PayPass 如何防止未經授權的使用?
Visa payWave 和 MasterCard PayPass 有類似的描述 - 卡配備了用於與終端對話的天線。對於小額購買(例如少於 50 美元),交易是通過將卡靠近終端(例如不超過兩英寸)來授權的。
現在,如果我的卡在我的口袋裡,並且有人在人群中靠近我,並使用表現得像終端的欺詐設備怎麼辦?如果我失去了我的卡並且有人撿起它並用於許多小額購買怎麼辦?靠近終端的卡是交易的唯一要求,並且不需要持卡人的其他參與來授權交易,這一事實如何?
他們不是。基本上,除了使用RFID晶片傳輸的數據之外,保護與磁條上的保護完全相同:無。
但是,您將此標記為“晶片卡”。不要混淆,晶片卡是不同的東西。晶片卡在歐洲和許多其他人們關心隱私和安全的地方使用。這種類型的卡非常安全,並且受到很好的保護。卡上的晶片實際上是一個智能卡處理器,它傳輸加密數據,這些數據只能與您單獨輸入的密碼一起使用。即使可能,竊取卡片或複制晶片上的數據也不會為小偷提供任何有用的資訊,就像在不知道密碼的情況下竊取您的 ATM 卡會使它完全無用一樣。在歐洲很多地方,他們不會接受只有磁條的美國卡。
但是,許多卡提供零責任保護,您可以隨時對欺詐性收費提出異議。所以,讓零售商遭受不安全的美國銀行系統的損害,他們可能會推動銀行採用歐洲晶片卡系統。
從技術 POV 來看,有兩個主要版本的非接觸式支付卡 - 對於 MasterCard,有 PayPass M/Chip 和 PayPass MagStripe。我相信 Mag Stripe 版本可能只是在美國使用,那裡的晶片卡較少,而 M/Chip 用於具有 EMV 晶片的卡。(參考)
我相信目前版本的 PayPass M/Chip 確實在晶片上執行加密並產生動態雜湊,這意味著無法重播交易。此值稱為 CVC3,可以是靜態的,也可以是動態計算的,具體取決於您的發行者。( ref ) 我認為動態現在更常見,但我不是專家。自然,只有動態生成的 CVC3 值不能被重放。
我聽過很多人問這個問題,關於在人群中使用 PayPass 終端的人。我不敢相信任何商家會允許這種情況發生——因為萬事達卡和 VISA 以及他們的銀行可能會非常非常沮喪,並會迅速關閉商家。由於欺詐是由商家而不是客戶進行的,我認為它會很快被發現並停止。也許我很天真,但這似乎是一種可怕的欺詐方法。
從銀行的角度來看,至少在澳大利亞,如果您報告您的卡失去或被盜,您的責任僅限於一些名義金額(我不是律師 - 請諮詢您的銀行)。此處的交易金額限制為 100 美元。我假設銀行 / 萬事達卡 / VISA 已經執行了這些數字,並且仍然覺得有更多交易和相關交易費用的可能性超過了風險。
此外,我們現在還看到不需要 PIN 或簽名的小額 VISA 交易——因此這種問題現在存在於非支付通行證交易中。
無論如何,我很確定 VISA 和 MasterCard 會在某個時候強制要求將 PayPass/Paywave 包含在新發行的卡中。