自从网上商务成为现实,在网上购买任何东西时,只要知道信用卡号码、到期日和CVC代码就可以了。随着MFA被全球越来越多的银行采用,情况正在慢慢改变,但在过去的20年里,大多数网店的情况并非如此。即使在网上购物成为现实之前,你仍然可以通过电话拼出你的卡的细节来购买商品。
那么,为什么银行和信用卡公司决定继续把那些所谓的秘密密码直接印在卡本身呢?这样一来,任何人都可以直接拍下卡片的照片或者记住这些数字,然后诈骗账户所有人。这对于像服务员这样的人来说尤其容易,因为他们经常会在你付账的时候把卡拿出来几分钟。
最终你不承担欺诈风险,所以你你不设置风险承受能力。三位数密码、整卡号、芯片和针脚、芯片和签名、收据上的签名、磁条里的信息等等。你的银行会告诉你,这些都是真正的秘密,你应该保护它们,但如果可以的话,会把它们纹在脸上。
游戏的名称是相对于可接受的欺诈成本而言,尽可能降低交易摩擦。
为什么卡上印着三位数的号码?因为大概是你想用卡的时候,卡在你手里。这个 “秘密 "代码的出现是为了打击和/或预先阻止低级别的欺诈行为,主要是与懒惰的磁条撇取和过去的收据是卡的印记有关。这个号码并不是磁条数据的一部分,只是为了对磁条和那些可能发现自己拥有大量印记收据的人(在信用卡的早期)或充满信用卡号码的数据库保密。它只是为了提供低水平的卡的存在证明,以打击大量账号被盗用的情况;它不能验证或保证交易安全,它不是校验,只是一个不在磁条或印记上的数字。有趣的是,虽然并不奇怪,但这个数字并不是简单的随机的,它是以一种只有发卡机构才知道的方式从主账号中加密得出的。
为什么银行不更努力地保护这个号码呢?因为银行希望你在使用银行卡时不用记住号码。
为什么美国运通的四位 "秘密 "号码在卡的正面,连背面都没有安全地藏起来,谁知道呢;但很明显,这个号码并不是为了让任何可能接触到这张卡实物的人安全。
为什么卡不是裸卡,而是为了烙印,信息安全地存储在别的地方?因为两个地方就是_更多的地方,如果你需要挖出那张单独邮寄给你的纸,上面印有明显的从未想过要安全的三位数密码,你可能就不会使用这张卡了。
银行的激励是让你使用这张卡。如果你不使用这张卡,或者你使用竞争对手的卡,银行就赚不到钱。
如果你想让你的支付方式比银行所能接受的水平更安全,你可以自由地这样做。把数字刮掉,把磁条拉掉,什么都可以;不过可能改卡是违反你的会员协议的。银行不会这么做,因为银行不管。
安全码](https://money.stackexchange.com/q/5126/10997)的目的不是一个秘密的PIN码。其目的是 “证明 "您在购买时拥有实体卡。只有当商家无法确认您持有实体卡时,才会使用该密码。在网站上购买东西时使用,但在实体店无法扫描卡,需要手动输入号码时也会使用。
印在卡上的原因是,除了您以外的人可能需要阅读它。如果你把卡交给收银员,而他们因为某些原因无法扫描卡,必须输入号码,他们可以翻开卡,输入安全码,向电脑证明他们持有这张卡。它本来就不是用来记忆的,如果用卡人真的记住了密码,就失去了作为实体持卡证明的效力。
你可以说,把密码印在卡上会使卡的安全性降低, 有人建议在你记住密码后把密码从卡上刮下来 但这其实只能防止一种特殊的信用卡诈骗,而这种诈骗方式并不像其他诈骗方式那样常见。
在没有真正的PIN码的情况下,使用账单邮编作为另一种验证方式越来越普遍,因为这是一个卡主已经记住的数字,而且没有印在卡上。
安全代码的主要目的是防止被黑客攻击的卡信息被重复使用。实现这一目的的主要方式是要求支付处理商不存储该代码
商家、服务提供商和其他参与支付卡处理的实体在授权后决不能存储敏感的认证数据。这包括印在卡正面或背面的3位或4位安全代码、存储在卡的磁条或芯片上的数据(也称为 “全跟踪数据")–以及持卡人输入的个人识别码(PIN)。本章介绍了PCI DSS的目标和相关的12项要求 来源–幻灯片11 。
你问的是为什么卡号和防伪码会印在卡上。在这两种情况下,我们来回顾一下历史。
卡号(业内称为PAN)只是一个标识符,没有理由保密。任何交易都需要它,这样才能将费用……记入相关账户,无论是。
-在实体销售点,使用老式的 “打印机 "方法(不知道现在是否还在使用)。这就是为什么号码实际上是压印的,而不仅仅是打印的原因(还有交易所需的其他细节:到期日、持卡人姓名)。
在销售点,使用POS终端("信用卡机器"),它要么读取磁条,要么读取卡的芯片,两者都提供PAN和其余数据,而不需要任何认证或加密。
通过电话或纸质方式(业内称为 "MOTO":邮购/电话订购),您只需在电话中读取详细信息或将其写在订单表格上。
在互联网上,你需要从卡上读出号码,然后输入表格。如果你不能读取卡号,你怎么能订购任何东西?
PAN从来没有被认为是秘密。它只是一个账号,就像你的账号出现在纸质支票上一样,可以知道钱应该从哪个账户取走。
有些人认为密钥(最后一位数字)是一个(糟糕的)安全功能,而实际上它只是用来防止输入错误(数字改变、数字交换……)。
如今,人们开始认为PAN应该是秘密的,这导致了 "标记化 "的引入:不发送实际的卡号,而是发送另一个卡号,这个卡号要么被限制在一个特定的渠道(可能还有设备),要么甚至被限制在一次交易中。
这就是Apple Pay的例子:当你用真实的PAN注册你的卡时,银行会发回一个令牌("假的 "PAN),这个令牌只能用于在该设备上用Apple Pay进行支付。如果有人截获了这个PAN,他们将无法用它做任何事情:它将不会被接受为Apple Pay添加一张卡,不会被商店、在线、电话或其他任何地方接受。
这真的有用吗?在一个完美的世界里,所有的交易都会通过其他方式进行认证,这真的不应该重要,一个PAN本身应该是没有用的。在实践中,由于有一些渠道允许使用非常不安全的认证方式,所以这是一道额外的防线。
请注意,随着非接触式的引入,标记化的需求可能会稍微重要一些:你甚至不需要接触任何非接触式卡,就可以读取它的PAN,这只是一个足够接近的问题。
印在卡背面的安全码(对于美国运通卡来说,印在正面)原本是没有的。加入这个代码是为了避免以下的欺诈情况。
为了应对这种情况,我们增加了这个新的代码,它不在收据上(因为它没有压印),也不在磁道上。
这个代码只有在MOTO和网购时才需要,因为在这种情况下,你无法看到用户是否真的有卡(所谓的 "卡不在 "交易),你想更确定用户是否有卡。
这确实很容易规避:你只需要把卡的全部复印件(两面)或者把所有数据都记下来就可以了。但在上面的很多情况下,这让一个不诚实的用户在不被发现的情况下,只是增加了一点难度。
(手持终端的引入也有很大的帮助,因为用户可以随时把眼睛–和手–放在卡上,但特别是在美国的餐厅,这还不是标准做法)。
安全码还可以在网站存储了你的信用卡数据,而有人设法获取这些数据的情况下提供帮助:理论上,没有人被允许存储安全码,所以黑客只会得到PAN和到期日,而无法再次使用它,但是,在实践中,太多的人仍然存储安全码。这个行业是 追求这些(这是PCI DSS倡议的一个方面),但仍有很长的路要走。
真正的保护来自于新的认证措施(3D安全),它允许在数据之外的另一种验证模式。根据银行(甚至是卡)的不同,它们可能涉及到。
请注意,安全代码只用于**在线/MOTO交易("卡不存在 "交易)。存在卡的交易将使用……
-另一个安全码,在磁条上(虽然这很容易复制) -与芯片通信(在有芯片的卡上),这样卡就能验证自己。
简单来说,信用体系背后的意图是利用不同方之间的信任及时交换。然而,网络世界远非弹丸之地。大多数的漏洞通常是在设计本身,而不是别的什么。我的建议是,对于任何想利用电脑在生活中有所成就的人,坚持学习屏幕与逻辑板维修等市场化技能,而不是网络盗窃。有更多的机会向世界展示什么需要时间去了解,即电气工程,而不是骚扰他人,从他们(信用卡盗窃)。看来,未来的网络安全将依靠会思考的机器来处理重复性的决策,从那里人们可以决定哪个方向更有利于长远发展。
