it-swarm.com.de

Werden bei einer Transaktion "Karte nicht vorhanden" die Kreditkartennummer, das Ablaufdatum und der CVV als "Was Sie haben" oder "Was Sie wissen" betrachtet?

Wird die Kreditkartennummer, der CVV und das Ablaufdatum als geheim angesehen? Wenn ja, dann ist die physische Kreditkarte zufällig und die Informationen über die Karte sind etwas "Sie wissen". OTOH, wenn Sie nicht glauben, dass es ein Geheimnis ist, dann ist die Kreditkarte ein "was Sie haben".

Aus der 3D Secure-Beschreibung auf Wikipedia https://en.wikipedia.org/wiki/3-D_Secure

Die neueste Variante von 3D Secure, die Einmalkennwörter enthält, ist eine Form der softwarebasierten starken Authentifizierung. Die Legacy-Variante mit statischem Passwort entspricht jedoch nicht den Anforderungen der Europäischen Zentralbank (EZB) vom Januar 2013.

Wenn Sie der Meinung sind, dass eine Kreditkarte ein "was Sie haben" ist, ist ein statisches Passwort (was Sie wissen) ein besserer zweiter Faktor. Wenn Sie denken, es ist ein "Was Sie wissen", dann ist ein OTP ein besserer zweiter Faktor.

Ich bin etwas verwirrt darüber. Ich denke auch, dass es ähnliche Überlegungen für Debitkarten geben wird.

19
user93353

Eine Voraussetzung für die "was Sie haben" -basierte Authentifizierung ist, dass das Eigentum eindeutig einer einzelnen bestimmten Entität zugewiesen werden kann. Dies bedeutet insbesondere, dass diese Informationen/Geräte nicht (einfach) geklont werden können und dass der Zugriff auf die Informationen den Zugriff auf das Originalgerät erfordert.

Kreditnummer, CVV und Ablaufdatum sind jedoch statische Informationen, die leicht geklont werden können. Sobald Sie diese Informationen irgendwo eingegeben haben, sind sie nicht mehr das, was nur Sie haben. Daher können sie nicht als "Was (nur) Sie haben" -Authentifizierung verwendet werden. Einmalkennwörter (OTP) sind unterschiedlich. Wie der Name schon sagt, sind diese einmalig und können nicht wiederverwendet werden. Daher ist der Zugriff auf ein bestimmtes bereits verwendetes OTP für den Angreifer nutzlos. Stattdessen muss man Zugriff auf das Gerät haben, das das OTP generiert, d. H. "Was (nur) Sie haben".

Bei der Kreditkarte: Wenn Sie mit der Chip- und Pin-Funktion ( EMV ) bezahlen oder Geld erhalten, verwenden Sie den nicht klonbaren Teil der Karte. dh der Teil "was nur du hast". Wenn Sie stattdessen nur den alten Magnetstreifen oder die auf der Karte angegebenen Informationen (Nummer, CVV ...) verwenden, handelt es sich um leicht klonbare Informationen. Dies bedeutet, dass diese Informationen "das sind, was Sie haben und andere möglicherweise auch haben" und daher nicht zum Nachweis des Eigentums an der Karte verwendet werden können.

36
Steffen Ullrich

Die Nummer auf der Rückseite ist eigentlich der CV2. Es ist als "etwas, das Sie haben" konzipiert, da es physisch auf die Karte gedruckt, aber nicht auf dem Magnetstreifen oder im Chip codiert ist. Nach den Regeln der Kartenverarbeiter ist es jedem Händler auch untersagt, den CV2-Wert zu speichern.

In der Realität ist dies natürlich nicht unbedingt ein Beweis für den physischen Zugriff auf die Karte, da die Nummer kopiert, notiert oder elektronisch gespeichert werden kann, auch wenn dies gegen die Regeln verstößt. und jeder, der Betrug versucht, wird sich per Definition nicht an die Regeln halten.

Im Gegensatz dazu sind PAN und Ablaufdatum "etwas, das Sie wissen", und tatsächlich können diese Werte unter bestimmten Umständen vom Kartenaussteller an interessierte Parteien weitergegeben werden.

3
Qwerky
  1. Alle Informationen sollen mehr oder weniger geheim sein, einschließlich der Kartennummer, Ihrer PIN usw. Sogar der Name des Karteninhabers.
  2. Keine statischen (dh mehr als einmal verwendbaren) Informationen können als "was Sie haben" betrachtet werden, sie sind alle "was Sie wissen".
  3. "Was du hast" könnte nur etwas Physisches sein, das nicht einfach zu duplizieren ist. Der Beweis dafür, dass Sie das haben, was Sie haben, ist normalerweise ein einmaliges Passwort, das mit einem solchen physischen Objekt generiert wurde. Beispiele:
    • eine Angabe eines Hardware-Tokens (Nachweis, dass das Token vorhanden ist)
    • eine Kommunikation mit sicherem Element, Chip (Nachweis, dass sich eine Chipkarte in einem Lesegerät befindet)
    • ein einmaliges Passwort, das auf der Serverseite generiert und über den Seitenkanal übermittelt wird (Nachweis des Zugriffs auf diesen Kanal). In 3D-Secure ist das Objekt Ihr Mobiltelefon (genauer gesagt Ihre SIM-Karte), mit dem Sie auf den Kanal (Ihre Telefonnummer) zugreifen können. Der Kanal ist einigermaßen sicher und der Zugriff darauf ist einigermaßen eingeschränkt. Daher kann davon ausgegangen werden, dass der Zugriff auf den Kanal zum Lesen des Einmalkennworts ein ausreichender Beweis dafür ist, dass Sie die SIM-Karte physisch besitzen.

Um einen 2-Faktor zu haben, sollten Sie sowohl die Geheimnisse kennen als auch Ihren jüngsten Zugriff auf das physische Objekt nachweisen. Der "aktuelle" Teil kann auf viele Arten implementiert werden, z. B. durch das Token mit interner Uhr, die die Anzeige alle paar Sekunden ändert, oder über einen Challenge-Response-Mechanismus.

Letztendlich kann man sagen, dass sogar das physische Objekt nur Information ist: die geheimen Schlüssel, die in Chips fest codiert sind. In Bezug auf die Sicherheit besteht der Unterschied zwischen Informationen und Objekt darin, dass Informationen leicht kopiert werden können, während ein Objekt dies nicht kann. Unterhaltsame Tatsache: Schlüssel für Ihr Haus sind mehr Informationen als Objekte, da es recht einfach ist, Kopien davon zu erstellen.

Wenn Sie nur MOTO-Transaktionen ausführen möchten, muss die Karte nicht einmal physisch vorhanden sein. Es gibt Beispiele für Banken, die "virtuelle Karten" nur für die Internetnutzung ausgeben, und diese "Karten" sind nur eine Reihe von Buchstaben, die auf Papier gedruckt sind: Kartennummer, Ablaufdatum, Name des Karteninhabers usw. Weil dies nicht der Fall sein soll Bei Verwendung im Kartenleser werden keine Magnetstreifen, Chips oder geprägten Buchstaben benötigt oder verwendet.

3
Agent_L

Einzelhändler haben unterschiedliche Beziehungen zum Kartenanbieter für Transaktionen mit "Karte nicht vorhanden". Ihre Haftung und Transaktionskosten sind in der Regel höher. Dies liegt daran, dass Transaktionen ohne Karte (offensichtlich) viel anfälliger für Betrug sind als Transaktionen mit Karte, insbesondere mit Chip und PIN.

Aus diesem Grund liefern Online-Händler häufig erst bei der ersten Bestellung an Ihre registrierte Adresse. oder wird in der Menge begrenzt sein; oder auf Transaktionen beschränkt sein, bei denen sie Sie irgendwann treffen (z. B. Ticketbuchungen).

Grundsätzlich müssen Einzelhändler, da es leicht zu geheim zu halten ist, entscheiden, ob sie das Risiko eingehen und dieses Risiko auf eine Weise mindern möchten, die zu ihrem Handelsumfeld passt.

1
jeminar