在哪些方面,芯片比条纹更安全?
#1 楼
您无法克隆该芯片。磁条上有一个秘密号码,如果有人知道该号码,他们可以声称是该卡的所有者。但是,如果有坏人刷卡,他们便知道号码,并可以制作自己的卡,即“克隆”。事实证明,这对于磁条卡是一个主要的实际问题。
芯片中还包含一个秘密号码。但是,它已安全地嵌入到芯片中。当您使用卡时,芯片会执行公开密钥操作,以证明它知道此秘密号码。但是,它永远不会透露该秘密号码。如果将芯片卡放在坏人机器中,他们可以冒充您的一笔交易,但将来却无法冒充您。
以上所有方法都假定芯片的实现是好。已知某些芯片具有泄漏机密代码的实现缺陷。但是,芯片和引脚现在已经相当成熟,因此我希望其中大多数问题都可以解决。
评论
虽然很难对芯片卡中通常使用的一种芯片进行反向工程,但并非不可能。只是您需要价值数千美元的实验室设备以及知道如何使用它的专家,而具有100美元硬件和逐步说明的任何人都可以克隆磁条。
– Philipp
2014年1月23日14:59
@Philipp对于大多数犯罪来说,克隆卡是不够的,您还必须在所有者不注意和阻止的情况下进行克隆。如果您已经偷了该卡以便将其带到芯片扫描实验室进行复制,那么为什么需要复制?
–aaaaaaaaaaaa
2014年1月23日下午16:38
当前,至少在美国,目前支持芯片的信用卡不使用加密货币。我的智能手机可以使用NFC窃取Visa卡中芯片上的所有信息(包括磁条上的所有信息)。
–wingedsubmariner
2014年1月23日在17:44
您可以克隆一个芯片,如此问题security.stackexchange.com/questions/46319/…中所述,它比使用大多数设备无法承受的设备更为琐碎。与磁条复制相比,它花费了更多的精力和设备,但仍然可以以不到1000美元的价格完成。
–欧文
2014年1月23日18:00
此外,芯片和引脚系统还具有非技术安全优势。例如,如果您在餐厅付款,则使用磁条卡,通常会在服务员带来支票后将其交给服务员。然后,他通常会在收银机上处理您的交易,这意味着您的卡会离开您的视线约一分钟,如果餐厅员工中的任何人都是骗子,则有足够的时间来克隆您的卡。使用芯片卡,需要便携式POS设备,或者客户去收银机,该卡一直在他或她的视线范围内。
– Boluc Papuccuoglu
2014年1月24日,0:07
#2 楼
该芯片对传递给它的数据执行加密操作,该操作需要知道芯片内受严格保护的密钥,因此攻击者无法轻易复制该卡。这就是说,关于定时或功率攻击的成功研究论文,但这是在实验室条件下得出的,在野外可能并不是真正的担忧。
在英国,几乎所有的银行卡都是芯片和密码-这确实导致了最常见的欺诈类型之一:磁条被撇去,细节在没有芯片和引脚基础设施的国家/地区使用。
评论
+1国外的磁条欺诈。一段时间以来,有些自动提款机只检查磁条。我认为现在已解决
–paj28
2014年1月23日14:16
IIRC芯片还支持传统模式,该模式使用像磁条一样的CVV1(不进行加密)。
–鲍勃
2014年1月23日下午16:32
同样,中间人的攻击早已被证明。我们都拥有如此强大的移动设备,它将变得更加容易。
–Richard Le Mesurier
2014年1月23日21:00
是否可以获得没有磁条的芯片和密码卡?
– Gerrit
2014年1月24日,11:26
@gerrit强大的磁铁会破坏磁条,所以就干掉它:)
–棘轮怪胎
2014年1月24日13:43
#3 楼
磁条包含用于识别卡的确切信息。该芯片保留了一条不共享的信息,但可以用来证明它具有该信息。因此,磁条很笨,可以被复制,但是由于芯片没有透露其秘密,供应商无法在使用时简单地复制它。
磁条上写着“我是信用卡ABC”。当销售点询问数量时。带有芯片的销售点说:“您对这个随机值有何反应?”芯片给出的响应可以使销售点验证,但是由于下一个销售点将使用不同的随机值,因此该响应对小偷是无用的。
#4 楼
已经给出的其他答案是正确的,但是我想给出以下答案,而部分被问询的人没有技术背景要求:使用磁条信用卡时,该设备会对卡说:“我的用户将输入PIN进行验证,让我阅读您的试条,以便我进行检查。”。
(
编辑:
好的,上面的段落并不是实际发生的事情,但是POS(或其他)设备可以读取(或能够读取)测试条中包含的所有信息,这意味着您可以制造出一种用于所有意图和目的的卡。复制。
)
使用芯片信用卡时,设备对卡上的芯片说:“我的用户提供了4567作为PIN,对吗?”
现在,由于该芯片比磁条(实际上仅存储数据)更智能,因此可以回答此问题。这样,PIN可以保持隐藏。
评论
这是不正确的。 PIN不会存储在磁条上(尽管芯片可以验证PIN是正确的)。磁条的问题是在没有PIN的情况下克隆要使用的卡,不会泄漏PIN。
–user22393
2014年1月23日在18:36
+1进行编辑-新的解释很好。
–Richard Le Mesurier
2014年1月23日在21:09
如果设备对卡说“用户输入了PIN 1234”,而卡上说“这是正确的”,那么该PIN究竟如何保持隐藏?
–劳伦斯·多尔(Lawrence Dol)
2014年1月24日,0:36
@SoftwareMonkey该设备是该引脚的输入设备,您不能对其进行隐藏,以防止暴力破解导致芯片在尝试3次后自行禁用
–棘轮怪胎
2014年1月24日,9:16
@iconoclast:的确如此,但是我认为,前提是POS设备至少与卡一样难操作。我不知道构建一个记录所有密码的“邪恶” POS终端是多么可行,但是您仍然需要窃取持卡人可能会注意到的卡(与磁贴情况相反,在该情况下您可以快速复制卡,但所有者没有注意到)。
–埃米尔·斯特尔克(Emil Styrke)
2014年1月27日12:00
#5 楼
您可能需要澄清一下问题-以下是为什么它更安全的发卡机构的答案:如果磁条卡被盗,小偷就很容易欺诈地使用它-真正检查签名的频率(实际上是在美国,我经常在签字之前就将卡交还给我,即使在不需要额外ID的情况下也是如此。
如果芯片和密码卡被盗然后被欺诈使用,仅凭卡就不足以满足使用-当然是一件好事-但这使所有者有责任保护密码(请检查条款和条件)。
说所有者在使用现金点后,小偷就在PIN上浏览了PIN,卡就被盗了。 ,那么小偷至少可以逃脱使用卡的麻烦-并且现在可以提取现金,而不仅仅是伪造签名所允许的购买商品。
然后当然有一个简单的恐吓问题(或更糟的是) )盗窃的受害者交出了PIN码。从头开始
[受害人的银行]巴克莱(Barclays)退还了她所损失的640英镑,但是如果人们对自己的Pin不小心,一些银行可能会
不愿退款。 br />代码。
编辑:广义的“银行”到“发卡行”
评论
如果发问者有某种特定的方式来澄清他们的问题,您可以在要求澄清的问题上留下评论吗?评论是提出澄清要求的地方,而不是答案。具有讽刺意味的是,目前尚不清楚您会以何种方式发现问题,因此请对此有所了解!
–doppelgreener
2014年1月23日在23:28
@JonathanHobbs,很公平,但是我并不是要澄清一下。我从另一个角度回答了这个问题,同时承认OP问题意味着“对用户来说更安全”
–克里斯H
2014年1月24日8:37
您可以检查一个ID,但收银员不知道签名是有效的还是属于该人。
–布赖恩
2014年1月27日15:40
不幸的是,EMV(芯片和PIN协议)具有许多缺陷,从历史上看,这意味着该卡已足够。例如,由于未验证从芯片到PIN输入设备的“ all OK” 0x9000信号答复,因此卡上的“ PIN okay”响应可能会受到MITM攻击(来源:cl.cam.ac。英国/~sjm217/papers/oakland10chipbroken.pdf)。我没有跟踪诸如此类的EMV中的漏洞的当前状态,但是从历史上看,银行一直不愿修复这些漏洞。 (在少数成功质疑的案件中,更便宜的付款)。
–宇宙O窃
15年6月17日在23:17
评论
曾经在条纹上放一块强磁铁吗?@ratchetfreak不会使芯片更安全(尽管无法使用)吗?
我今天早上在听NPR谈论这个话题。显然,除美国外,世界上大多数地区已经远离磁条。
@BanksySan安全性是隐私,完整性,可用性。
@比利时的吉姆(Jim)银行提出了挑战,您需要芯片和特殊的设备+密码才能获得响应