这真的让我扫兴
直到最近,使用电子芯片的借记卡是波兰最受欢迎的电子支付方法(我也会在其他欧洲国度注册)。它好像也很安全 – 为了进行任何购置(从ATM或商店),用户需要提供一个PIN码。虽然PIN不是特别长,指纹扫描仪,但它供给了额定的安全级别:首先是卡自身。
近来PayPass(或相似的)卡已经越来越受欢送,仿佛银行正在将这些卡推向大众。这些卡可以像上面描写的一般借记卡一样运行,但也能够使用它们来使用NFC进行付款。
这是一个大问题:当通过NFC进行付款时,用户不需要输入PIN码。
在我看来,使用这样的无线技术,PIN应当是一个明白的请求,因为它感到到技术不是特殊保险,物联网安全解决方案。其中一个例子是代办攻打,其中一个领有cell-phone的人在商店中取得一些商品并支付用度,而另一个占有cell-phone的用户则可以在拥挤的火车/巴士/车站上查找PayPass卡/等)。依据使用的技术,这些卡也可以从相称远的间隔读取。
这让我回到PIN的问题…为什么在应用NFC付款时老是不须要PIN,支付解决方案?
编纂:我确切意识到,使用NFC支付的金额是有限的*。然而,就便利而言(不需要将卡片放入/刷卡片)好像是交易安全性和一些方便…略微更方便。
我的意思是:就这样,你可以通过刷卡来支付小事情。大。然而在刷卡后输入一个4位数的销钉应该不算太多,对吧?而后你不需要限制你可以支付的金额。你依然可以把卡放在你的钱包里,全部事件也会一样快。事实上,幻想情形下,您当初可以拥有”PIN-less”限制,移动手机钱包,但许可NFC交易超过该数量…只要要PIN!仍是与PIN和NFC个别存在其他技术/平安问题?
*固然看来这个限制很轻易转变,但我还没有据说过银行(至少在波兰)实际上容许客户做出这样的改变。我晓得我试图直接调用我的银行,并被告诉这是不可能的…
对于危险加权好处,物联网模块。
要求NFC交易的PIN码会下降NFC的重要上风。没有PIN的NFC付款仅用于支付有限的金额,通常仅限于有限数目的交易和/或天天的有限交易总额。兴许其余银行详细划定实用;至少我被银行告诉我可能会被要求输入PIN码而没有到达任何制约。这样一来,发卡银行或信誉卡公司限度其风险(在欧盟,假如您不采用重大忽视行事,您就无奈承当超过150欧元的欺骗案件),并让你常常使用卡片并赚取利润为他们
非接触式付款和数字钱包的一些问题:
丧失或被盗 – 攻击者拜访设备可能答应访问秘密信息,并允许连续的欺诈交易,直到帐户被禁用和/或讹诈被捕捉。拉SIM卡可能会禁止most-stalwart锁定和/或锁定维护,甚至可以扫描SIM卡以克隆
诈骗 – NFC标签可以通过新的歹意标签进行从新编程,调换或推翻(例如笼罩)。 Windows Phone设备极易受到标签攻击的影响,例如web-based协定处置程序,但其他可能也是如斯
撇号 – 攻击者可以从未经用户懂得或批准的方式读取来自NFC的信息,通常是远程的
窃听 – 使用天线,袭击者可以收听NFC装备之间的交流。当然100厘米的距离是没有问题的
数据破坏 – 尺度的信标,干扰,烦扰跟拦阻(MIJI)技巧是可能的,由于NFC是基于射频
数据修正/插入 – 虽然比数据损坏更庞杂,但这些攻击是十分可能和实在的
中继或署理攻击 – NFCProxy和其别人已经表明,两个Android设备可以做良多事情来持续和/或存储以便稍后再播放