Новости высоких технологий

[dil]

Visa и MasterCard разработали карты со встроенными дисплейчиками и цифровой клавиатуркой. В частности, для генерации одноразовых паролей при проведении оффлайновых транзакций, что практически исключает риск мошеннического использования карты в интернетах с использованием стыренных данных, написанных на самой карте, включая CVV.

У Visa это называется CodeSure. При использовании этой технологии для авторизации оплаты нужно не только физически иметь карту, но и знать пин, иначе не получить из карты этот самый одноразовый пароль.

А MC, оказывается, уже в прошлом году запустил такие карты в Сингапуре: https://www.bbc.com/news/technology-20250441

Оригинал этой записи в личном блоге.

Comments

[e1am0]

вопрос когда это будет повсеместно и какие косяки при этом вылезут

[dil]

Повсеместно это зависит от банков, вот chip-and-pin до сих пор не везде есть.
Но по слухам это собираются внедрить в течение ближайших 3-4 лет.
Косяков лично я в такой схеме пока не вижу. Ну, кроме физической поломки карты, но в этом случае она и в банкомате не будет работать, всё равно менять придётся.

[kranov.livejournal.com]

>Косяков лично я в такой схеме пока не вижу.
платишь рупь васечкину, а зеус инжектом в браузере переводит тыщу петрову. И меч и щит для этой фигни пройденный этап.

[dil]

Это отдельный вопрос доверия сайту, на котором оформляется транзакция. Такие финты и сейчас вполне возможны, они не являются персональными косяками новой схемы.

[kranov.livejournal.com]

я про вирус на клиентском компе, меняющим отображаемое в браузере, т.е. смс с назначением платежа суммой и одноразовым паролем надежнее.

[dil]

В моём интернет-банке такое практически невозможно. Получателя платежа можно выбрать только из списка зарегистрированных. Чтобы добавить нового получателя, надо ввести код подтверждения, который высылается оффлайновым методом - по почте или смс.

В целом отправка кода пожтверждения платежа по смс безопаснее, но гораздо менее надёжна: мобильная сеть может оказаться недоступна или перегружена как раз в тот момент, когда надо провести платёж.

[olegnet.ya.ru]

а у нас ноборот, везде побеждает paypass: не нужно набирать ничего для мелких сумм, как в метро поднес и всё (тот же mifare, кажется).
для интернета давно уже придумали при транзакции отправлять на сайт "родного" банка набирать код, пришедший смской.
3d secure кажется, называется.

[dil]

Это у меня уже есть: http://dil.dreamwidth.org/1109420.html
3d-secure тоже есть, но там пароль всегда один и тот же, и если знать его и данные карты, то она сама не нужна, а тут пароли одноразовые и требуется присутствие карты.

[olegnet.ya.ru]

тебе же кроме пароля нужно набрать прилетевший прямо сейчас в смске код
или у тебя такого банк не делает?

[olegnet.ya.ru]

всмысле, те же одноразовые пароли и внешний девайс :)

[dil]

Не делает. Сейчас в 3d-secure используется вообще статический пароль. Хотя его можно поменять при желании.

[olegnet.ya.ru]

а это у тебя виза или мастер, или оба? есть подозрение, что разница в этом месте

[dil]

Мастер. Но я подозреваю, что это зависит не от типа карты, а от конкретной реализации, используемой конкретным банком. У моего банка оно на самом деле даже не им самим реализовано, а какой-то дополнительной компанией, канадской, кажется.

[ruslan_lv]

Прикольно. Теперь можно смело фоткать новый дезигн карточки )))