it-swarm.com.de

Warum hat meine Debitkarte einen Streifen UND einen Chip?

Kürzlich habe ich eine neue Debitkarte erhalten, die sowohl einen Magnetstreifen als auch einen Chip hat (wie auch meine vorherige Karte).

Ich weiß, dass der Magnetstreifen leicht kopiert werden kann, während das Chipsystem (noch?) Nicht kompromittiert wurde. Ich nehme an, der Streifen ist immer noch für Legacy-Zwecke vorhanden, obwohl ich in den letzten Jahren kein Terminal oder Geldautomaten gesehen oder gehört habe, der keine Chip-Zahlung akzeptiert hat.

Für mich ist das so, als würde man ein neues schickes Schloss für die Vordertür kaufen, während die Hintertür unverschlossen bleibt. Ist diese Analogie richtig, d. H. Ist eine Karte mit einem Streifen UND einem Chip nicht sicherer als eine Karte mit nur einem Streifen? Und wenn ja, warum sollte meine Bank ein solches Sicherheitsrisiko zulassen? Warum nicht den Streifen ganz loswerden?

Ps: Wenn es darauf ankommt, lebe ich in den Niederlanden.

EDIT: Aus Gründen der Klarheit mache ich mir hauptsächlich Sorgen um das folgende Szenario:

Ein Dieb überfliegt einen Geldautomaten (wahrscheinlich (?) Chipzahlung), kann aber trotzdem den Streifen bekommen, weil die Karte in den Geldautomaten geht. Angenommen, er liest meine PIN auch. Dann fabriziert er eine neue Karte und leert mein Bankkonto.

10
Kvothe

Die Details hängen von der Bank, dem Kartentyp und dem Land ab, daher variieren sie stark, aber das generische Modell ist das folgende:

  • Der Magnetstreifen enthält meistens eine computerlesbare Kopie der auf der Karte eingeprägten Informationen: Kontonummer, Name des Inhabers, Ablaufdatum.
  • Der Chip enthält einen geheimen Schlüssel, der zum "Signieren" von Transaktionen verwendet wird (nicht unbedingt eine echte Signatur; häufig eine MAC ).
  • Der Chip kennt den PIN Code und weigert sich zu arbeiten, bis der PIN Code präsentiert wurde; er sperrt sich auch, wenn zu viele falsche PIN Codes werden angezeigt.

Wenn ein Zahlungsterminal den Magnetstreifen verwendet, muss er mit der Bank sprechen, einen sicheren Tunnel mit der Bank einrichten und die PIN vom Benutzer eingegebener Code, und überprüfen Sie, ob auf dem Konto des Eigentümers genügend Geld vorhanden ist.

Wenn ein Zahlungsterminal den Chip verwendet, wird der Code PIN) nur an den Chip gesendet, und es besteht überhaupt keine Notwendigkeit, mit der Bank zu sprechen. Die gesamte Transaktion kann sein Offline durchgeführt. Natürlich ist es für große Beträge immer noch eine gute Idee, mit der Bank zu sprechen, um zu erfahren, ob so viel Geld auf dem Konto des Käufers vorhanden ist, aber kleine Transaktionen können ohne Netzwerk effizient durchgeführt werden.

Somit werden der Magnetstreifen und der Chip auf zwei verschiedene Arten verwendet, und beides bedeutet nicht, dass die Sicherheit auf die Sicherheit des schwächeren der beiden gesenkt wird. Aus Sicht der Bank sind Chips besser, weil sie effizienter sind (kein Netzwerkanruf erforderlich) und schwerer zu klonen sind (Statistiken zeigen eine Betrugsrate geteilt durch etwa 10). Dies führt häufig zu finanziellen Vorteilen für Händler, die auf chipbewusste Terminals umsteigen.


In allen oben genannten Fällen kann es Varianten geben. Zum Beispiel enthält eine Karte im Magnetstreifen eine verschlüsselte Version des Codes PIN - aber es hat gewonnen '). t muss im Zahlungsterminal überprüft werden. Stattdessen muss das Terminal mit einem regionalen Bunker-Server sprechen, der den Entschlüsselungsschlüssel kennt und die Überprüfung durchführen kann. Bei einigen anderen Kartentypen ist es ziemlich klar, dass der Magnetstreifen nichts weiß Informationen zum PIN Code, z. B. den Chip-freien American Express-Karten (von vor einigen Jahren), bei denen Sie Ihren PIN Code durch Telefonieren bei Ihrer Bank ändern können).

In jedem Fall sollen nicht alle Sicherheitsmerkmale einer Debit- oder Kreditkarte Sie schützen . Sie schützen die Bank . Aus Sicht der Bank sind Sie der Feind (unabhängig davon, was sie in ihren Anzeigen behaupten).

10
Thomas Pornin

Es ist eine Frage der Haftung:

  • Wenn ein Händler Chip & Pin verwendet und sich die Transaktion als Betrug herausstellt, zahlt der Kartenaussteller den Betrug (vorausgesetzt, der Händler war nicht fahrlässig).
  • Wenn ein Händler den Magnetstreifen verwendet und sich die Transaktion als Betrug herausstellt, zahlt der Händler für den Betrug.

Bei der Einführung von Chip & Pin hätte ein Händler theoretisch die geschäftliche Entscheidung treffen können, die neuen Kartenterminals nicht zu bezahlen und nur die Betrugshaftung zu akzeptieren. In der Praxis haben sich alle für Chip & Pin entschieden, genau das, was die Kartenschemata wollten.

7
paj28

Sie haben den Magnetstreifen für Abwärtskompatibilität. Die erhöhte Oberfläche der Anzahl einiger Karten stellt sicher, dass auch ältere manuelle Wischsysteme funktionieren, wenn der Strom ausfällt.

1
user8230

Abhängig von der Bank und dem Kartentyp kann es mehrere Gründe geben, warum ein Magnetstreifen auf der Karte vorhanden ist:

  • Abwärtskompatibilität: Es gibt alte Terminals, die keine Chips akzeptieren können. Außerdem ist die Chipkartenverarbeitung (noch) nicht gut als Magnetstreifenkartenverarbeitung standardisiert und auch komplizierter, so dass ein Terminal möglicherweise nur bestimmte Arten von Chips akzeptieren kann.

  • Der Magnetstreifen kann als Backup verwendet werden, falls der Chip fehlerhaft wird. Die Details variieren von Bank zu Bank. Einige haben möglicherweise Richtlinien, um den Betrag und die Häufigkeit der Verwendung der Karte auf diese Weise zu begrenzen oder sie sogar ganz zu verbieten. Normalerweise erfordert das Verfahren, dass der Chip zuerst ausprobiert werden muss. Nur wenn er nicht verarbeitet werden kann, kann ein Magnetstreifen verwendet werden. Gemäß den Bankrichtlinien muss der Karteninhaber einen solchen Fall melden oder eine Haftung übernehmen.


Was Ihr Anliegen beim Lesen betrifft PIN vom Magnetstreifen, normalerweise PIN jeglicher Form ist nicht im Streifen enthalten. Die primäre Verwendung von PIN dient zur Authentifizierung des Karteninhabers, dh nur der Karteninhaber kennt die PIN und kann die Transaktion ausführen (die PIN wird auch von der Bank sicher gespeichert). und sollte unwiederbringlich sein). Wenn die PIN auf dem Magnetstreifen enthalten ist, kann jeder mit geeigneter Ausrüstung den Streifen lesen/überfliegen und ihn erhalten.

0
lenin