Компания Visa и американский банк PNC запустили пилотный проект, направленный на тестирование новой технологии безопасности банковских карт. Это новые карты, на которых нет привычного кода CVV2.Точнее он есть, но… постоянно меняется. Просто вместо кода нанесённого краской, в карту вмонтирован экран на электронных чернилах, на котором отображается код, генерируемый по специальному алгоритму. Подобные экраны используются для создания устройств для чтения электронных книг или в часах — они потребляют очень мало энергии и можно предположить, что в карте есть ещё и источник питания, который позволяет использовать карту на протяжении её срока действия.
В чём заключается безопасность такой карты?
Одна из самых главных проблем онлайн-мошенничества заключается в том, что для проведения платежа злоумышленнику не нужно обладать самой картой. У него должны быть реквизиты: номер карты, срок действия и код безопасности CVV2.
Сейчас единственной защитой от такого вида мошенничества является использование технологии 3D Secure, когда держателю карты для подтверждения платежа нужно ввести дополнительный код, который отправляется ему по SMS.
Однако далеко не все сайты в интернете (в т. ч. и очень крупные интернет-магазины) поддерживают эту технологию, что приводит к тому, что такой вид мошенничества всё ещё очень распространён.
Соответственно, если код будет генерироваться, то совершить оплату без наличия самой карты будет невозможно.
Это не первая попытка встроить экран на карточку
Интересно, что нечто подобное было разработано уже больше десяти лет назад. Ещё в 2006 году я читал о разработке компаний Innovative Card Technologies и eMue Technologies, которые разработали карту не только с экраном, но даже с клавиатурой.
Вместо кода CVV2 на этом экране отображался код, который предполагалось использовать как пароль для подтверждения онлайн операций (аналогично коду 3D Secure) и даже вместо кодового слова при телефонном звонке клиента в банк. Для того чтобы отобразить такой код нужно было набрать пин-код на клавиатуре, расположенной на самой карте.
Как я понимаю дальше каких-то экспериментов дело не зашло, хотя технология постоянно совершенствовалась.
Настолько ли хороша идея генерировать код CVV2
Безусловно, генерируемый код — это гораздо лучше чем код, нанесённый на саму карту. Но у такого решения есть ряд недостатков.
- Если карта утеряна, то нашедший сможет ею воспользоваться. Т.е. ситуация точно такая же как с технологией бесконтактной оплаты.
- Непонятно что происходит с кодом 3D Secure. Теперь он просто избыточен.
- Стоимость таких карт в несколько раз выше чем стоимость обычных карт. А это значит, что банки вряд ли будут переходить на использование новых карт.
Идея генерировать код безопасности — отличная. Но мне кажется, что этот код вообще нужно отвязать от карты. Это должно быть либо отдельное устройство (брелок, кольцо с экраном) или приложение для телефона (похоже на Google Authenticator). Хотя я, конечно, понимаю почему Visa тестирует именно такой вариант карты: очевидно, что сохранение привычного дизайна карты и отсутствие привязки к дополнительным устройством — это тоже очень важно.
Друзья, ставьте лайк, чтобы порекомендовать эту статью другим читателям; и подпишитесь на канал, чтобы не пропустить следующей публикации.