Visuaalinen kryptogrammi

Visuaalinen salaus näyttää yleensä viimeiset kolme numeroa maksukortin takaosassa.

Yleisimmin käytetty termi on salauksen visuaalinen , mutta myös termit turvakoodi ( kortin turvakoodi tai SCC englanniksi) tai CVV ( kortin vahvistusarvolle ) tai CVC ( kortin varmennuskoodille ) vahvistuskoodi ( V-koodi tai V-koodi) ) tai Card Code Verification (CCV). Kaikki nämä ehdot viittaavat menetelmiin, joita käytetään maksukorttitapahtumien turvaamiseen ja paremman suojan maksukorttien vilpillistä käyttöä vastaan.

Koodityypit

Suojakoodeja on erityyppisiä:

• CVV1 tai CVC1 on salattu kortin magneettinauhalla ja sitä käytetään henkilökohtaisiin tapahtumiin. CVC1: n tai CVV1: n tarkoituksena on varmistaa, että kortin magneettinauhalle tallennetut tiedot ovat oikeita ja että kortin myöntänyt pankki on tuottanut ne. Tämä arvo esitetään jokaisessa tapahtumassa, ja kortin myöntänyt pankki vahvistaa sen. CVC1: n tai CVV1: n rajat ovat, että jos koko magneettinauha kopioidaan, kortin voi kopioida esimerkiksi kaupan epärehellinen työntekijä elektronisella työkalulla (englanninkielinen skimming).
• CVV2 tai CVC2 tai CVx2. Kauppiaat pyytävät tätä suojakoodia usein etätapahtuman turvaamiseksi, joko Internetin, postin, faksin tai puhelimen kautta. Monissa Länsi-Euroopan maissa tämän maksukortin vilpillisen käytön lisääntymisen jälkeen on nyt pakollista antaa tämä koodi kun tapahtuma on kaukainen
• Kontaktittomat maksukortit tarjoavat omat sähköisesti tuotetut koodinsa, kuten iCVV tai dynaaminen CVV.

Näitä koodeja ei pidä sekoittaa luottokortin numeroon, joka yleensä näkyy maksukortissa helpotuksena. Luottokortin numero riippuu omasta validointijärjestelmästään Luhnin kaavan nimisellä algoritmilla, jota käytetään määrittämään, onko kortin numero voimassa.

Näitä koodeja ei myöskään pidä sekoittaa 3D-suojatun PIN- koodin tai salasanan nimellä MasterCard SecureCode tai "Verified by Visa". Näitä koodeja ei tulosteta tai korosteta kortille, vaan ne syötetään manuaalisesti tapahtuman yhteydessä.

Koodin sijainti

Turvakoodi (CVV2 tai CVC2) on 3 tai 4 numeron ryhmä, joka on painettu maksukortin takaosaan allekirjoitukselle varatun tilan oikealle puolelle, mutta sitä ei ole koodattu magneettinauhassa.

• MasterCard- , Visa-, Diners Club- , Discover- (Yhdysvallat) ja JCB (Japani) -korteilla on kolminumeroinen turvakoodi. Tämä koodi ei ole helpotus, kuten maksukortin numero, se on aina viimeiset 3 numeroa, jotka on painettu kortin takaosaan allekirjoitukselle varatun tilan oikealle puolelle. Uusilla Visa- ja MasterCard-luottokorteilla on tämä koodi erillisessä paikassa allekirjoituspaikan oikealla puolella, jotta kortin allekirjoitus ei ylitä 3 numeroa. Näillä koodeilla on eri nimi maksukortin myöntäjästä riippuen:
  • "CVC2" (kortin vahvistuskoodi) MasterCardissa,
  • "CVV2" (kortin vahvistusarvo) Visa,
  • "CID2" (kortin tunnusnumero) Discoverissa (Yhdysvallat).

• American Express -maksukorteissa on nelinumeroinen turvakoodi, joka on painettu kortin etupuolelle kortin numeron yläpuolelle. Tätä numeroa ei ole kohokuvioitu kuten kortin numeroa. Tätä koodia kutsutaan American Expressissä:
  • "CID" (yksilöllinen korttikoodi)

Järjestelmän edut

Koska turvakoodi ei sisälly magneettinauhaan, sitä ei yleensä sisälly kauppiaiden kasvotusten tapahtumiin. Yhdysvalloissa muutamat yritykset, kuten Sears tai Staples, tarvitsevat tämän koodin.

Eurooppalaisten American Express -korttien suojakoodin käyttö etätapahtumiin alkoi vuonna 2005. Tämä lisää pankin ja kortinhaltijan suojaustasoa siinä mielessä, että pahantahtoinen kauppias ei voi yksinkertaisesti kaapata tietoja magneettinauha uudelleenkäyttöä myöhempää etämaksua varten. Tätä varten kauppiaan tulisi merkitä CVV2-koodi tapahtuman yhteydessä, jolloin hän haluaa kaapata magneettinauhan tiedot, mikä herättäisi kortinhaltijan epäilyn.

Yhdysvalloissa Visa kieltää kauppiaita pitämästä CVV2-koodia tapahtuman jälkeen. Siten, vaikka tapahtumatiedosto varastettaisiin, CVV2-koodeja ei näy siellä, varkaat eivät voi käyttää korttinumeroita vilpillisten tapahtumien suorittamiseen.

PCI DSS -standardi (DSS = tietoturvastandardi) ja PCI = Maksukorttiteollisuus kieltää myös turvakoodin ja muiden valtuutukseen liittyvien arkaluontoisten tietojen tallentamisen.Tämä koskee kaikkia yrityksiä, jotka tallentavat, käsittelevät ja välittävät maksukorttitietoja.

CSC-turvakoodin antamisen tarkoituksena on tarkistaa, että kuluttajalla on kortti hallussaan. Tämän koodin tunteminen osoittaa, että kuluttaja on nähnyt kortin. Tähän mennessä ei tunneta mitään ohjelmistoa, joka sallisi tämän järjestelmän " murtamisen ".

Rajat

• Käyttö turvakoodi ei suojaa phishing tekniikoita , joissa kortin haltija on tehty uskoa, että hän on siirtymässä hänen turvakoodi ja muut tiedot hänen kortin väärennös päällä. Tietojenkalastelun lisääntyminen on heikentänyt turvakoodin tehokkuutta petosten vastaisena menettelynä. On myös huijauksia, joissa tietojenkalastelun tekijä on jo saanut käyttäjän kortin numeron (esimerkiksi hakkeroimalla kauppiaan tietokantaa) lähettämällä heille nämä varastetut tiedot väärän turvallisuuden tunteen antamiseksi heille ennen kuin pyydetään heitä täyttämään suojausta pyytävä lomake koodi, jota ei ole kirjattu varastettuun tietokantaan.
• Koska kauppiaan ei tarvitse rekisteröidä turvakoodia (sen tapahtuman jälkeen, johon turvakoodia käytettiin, on valtuutettu ja suoritettu), kauppias, jonka on käytettävä säännöllisesti korttia tilauksessa, ei pysty tarjoamaan tätä suojausta koodi ensimmäisen tapahtuman jälkeen.
• Jotkut korttitoimittajat eivät vielä käytä turvakoodia - vaikka MasterCard ja Visa alkoivat vastaavasti vuonna 1997 vuonna 2001. Kuitenkin tapahtumiin, joissa ei ole turvakoodia, tehdään todennäköisesti enemmän petostentorjuntatarkastuksia. koodi ratkaistaan ​​todennäköisemmin kortinhaltijan hyväksi.
• Kauppiaan ei ole pakko pyytää turvakoodia tapahtuman suorittamiseksi, joten kortti on aina vaarassa käyttää väärin, jos sen numero on tietojenkalastelun tekijän käsissä.

Kortinhaltijan turvallisuus

Visuaalisen salausohjelman tuntemus yhdessä pankkikortin etuosassa olevan 16-numeroisen numeron tuntemuksen kanssa antaa kortin omistajalle, mutta myös kaikille kolmansille osapuolille, myös rikollisille, mahdollisuuden tehdä verkko-ostoksia haltijan pankkitililtä.

Siksi on suositeltavaa oppia tämä kryptogrammi ulkoa, ennen kuin se katoaa kevyellä "naarmuuntumisella" veitsen, tapin tai kompassin kärjellä, ja velvollisuutena olla vahingoittamatta tietokoneen sirua tai magneettinauhaa.

Luodaan kortin turvakoodit

Koodien CVC1, CVV1, CVC2 ja CVV2 arvot luodaan karttaa luodessa. Nämä arvot lasketaan salaamalla kortin numero (PAN, Ensisijainen tilinumero englanniksi), viimeinen voimassaolopäivä ja palvelukoodi salauksenavaimella (jota usein kutsutaan kortin vahvistusavaimeksi tai englanniksi CVK), joka tiedetään vain kortin myöntäneelle pankille. kortti ja muuntaa sitten tulos desimaalimuodoksi.

Dynaamiset salauskortit

Operaatio

Vuonna 2015 markkinoille ilmestyi dynaamisia salauskortteja. Staattinen kryptogrammi, joka on painettu kortin takaosaan, korvataan korttiin integroidulla mini- e-paperinäytöllä , joka pystyy näyttämään kolme tai neljä numeroa. Salaus näkyy pysyvästi, mutta muuttuu automaattisesti, tyypillisesti 20 minuutin välein: sen laskee siru, jonka virtalähde on erittäin ohut miniakku, jotka molemmat on integroitu myös kortin sydämeen.

Ennakoitavat seuraukset käyttäjille

Ihmisille, joilla on hyvä näkö

Tämä tekniikka ei muuta ostotottumuksia, se ei vaadi laajennusten asentamista selaimeen ja toimii saumattomasti nykyisillä kauppiasivustoilla. Tämän tyyppinen kortti antaa mahdollisuuden torjua tehokkaasti verkkopetoksia: Jos korttitiedot varastetaan (erityisesti valokuvalla kortin etu- / takaosasta häikäilemättömässä myyntipisteessä), se muuttuu nopeasti käyttökelvottomaksi, koska kryptogrammi muuttuu säännöllisesti .

Näkövammaisille

Nykyisessä muodossaan tällaiseen laitteeseen ei olisi täysin pääsyä sokeille tai erittäin näkövammaisille (eli noin 1 300 000 ihmistä Ranskassa), jotka suljettaisiin siten verkkokaupan mahdollisuuksista, joihin he nyt laajasti käyttävät.

Käynnissä olevat kokeet

Useat pankit ovat ilmoittaneet käynnistävänsä tätä tekniikkaa koskevia pilottihankkeita vuonna 2015 ja kohdistavansa käyttöönottoa vuonna 2016. Teknologiaa tarjoavat ranskalaiset yritykset Oberthur Technologies (”Motion Code”) ja Gemalto (“DCV”).

Huomautuksia ja viitteitä

1. Trombi.com-kysely sanasta, jota ranskalaiset käyttivät osoittamaan 3 numeroa maksukortinsa takana.
2. http://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/doc/pci_dss_v1-2.pdf
3. Urban Legends -sivut: Visa Fraud Investigation Scam
4. (in) "  z / OS Integrated Cryptographic Service Facility -sovellusohjelmoijan opas  " , IBM,Maaliskuu 2002, s.  209
5. (in) "  z / OS Integrated Cryptographic Service Facility -sovellusohjelmoijan opas  " , IBM,Maaliskuu 2002, s.  258
6. "  Tarjoilija kaapasi pankkikortit. Häikäilemätön työntekijä kaapasi laitoksen asiakkaiden pankkikorttinumerot ja nosti salausohjelman ennen kuin myi ystävilleen jälleen yhteystietoja, joiden avulla he voivat tehdä ostoksia verkossa.  "
7. Kohti dynaamista kryptogrammipankkikorttia, jotta "Arkistoitu kopio" olisi vähemmän helppoa (versio 23. heinäkuuta 2018 Internet-arkistossa )
8. Sokeus, näkövammaiset: sokeita ja näkövammaisia ​​palvelevan Valentin Haüyn yhdistyksen verkkosivuston tiedot
9. "  BPCE testaa dynaamisen salauskortin  "
10. "  BNP Paribas on kiinnostunut dynaamisesta koodipankkikortista  "
11. "  Societe Generale kokeilee uuden sukupolven erittäin turvallista korttia verkkokauppoihin  "
12. (in) "  Getin Bank esittelee maailman ensimmäisen DCVC-kortin  "

Aiheeseen liittyvät artikkelit

• 3D-suojattu
• Maksukortti

Ulkoinen linkki

• Pankkikoodit