Frage:
Warum sind Chips sicherer als Magnetstreifen?
Thomas
2014-01-23 19:05:33 UTC
view on stackexchange narkive permalink

Nach dem letzten Target-Hack wurde über den Wechsel von Kreditkarten mit Magnetstreifen zu Karten mit Chip gesprochen.

Inwiefern sind Chips sicherer als Streifen?

Hast du jemals einen starken Magneten auf einen Streifen gelegt?
@ratchetfreak Was würde passieren?
@thefourtheye löscht den Magnetstreifen
@ratchetfreak Würde das den Chip nicht sicherer machen (wenn auch unbrauchbar)?
Ich habe heute Morgen gehört, wie NPR über dieses Thema gesprochen hat. Anscheinend hat sich der größte Teil der Welt außer den USA von Magnetstreifen entfernt.
@BanksySan Sicherheit ist Datenschutz, Integrität, * Verfügbarkeit *.
@agweber Das mag wahr sein. Ich bin in den Niederlanden (winziges Land zwischen Deutschland und Frankreich) und wir haben immer noch Magnetstreifen auf Karten, die nicht mehr verwendet werden sollten, um den Geschäften die Zeit zu geben, alternative Zahlungsautomaten zu kaufen.
Wie wird ein Chip bei Online-Transaktionen verwendet? Ist es genauso sicher wie eine persönliche Transaktion? Was ich sehe ist, dass ein Backup-Magnetstreifen verwendet werden kann, aber das scheint kontraproduktiv für den ganzen Grund, überhaupt einen Chip zu haben. https://www.citi.com/credit-cards/template.do?ID=chip-technology-questions
Beachten Sie, dass Debitkarten (z. B. "Maestro") sicherer sind als normale Kreditkarten (MasterCard), da sie eine ONLINE-Überprüfung der PIN erfordern.
@Jim - Online-Transaktionen sind nicht vorhanden. Sie arbeiten auch nicht ab, sondern nur an der Kartennummer. In der Regel muss der Anbieter eine höhere Gebühr zahlen, da das Risiko bei Transaktionen ohne Karte höher ist.
Diese Karten * kommen * in die USA!
@Jim in Belgien stellt die Bank eine Herausforderung und Sie benötigen den Chip und ein spezielles Gerät + PIN, um die Antwort darauf zu erhalten
@agweber Könnte tatsächlich wahr sein. Ich bin nicht auf der ganzen Welt umgezogen, aber hier in Norwegen verwenden wir die Chips seit einigen Jahren als De-facto-Standard.
@11684 In allen mir bekannten Ländern haben Bankkarten immer noch einen Magnetstreifen, der von Geldautomaten verwendet werden kann. Es ist jedoch schwieriger, in einem Geschäft zu überfliegen, da die Karte bei Verwendung des Chips normalerweise größtenteils außerhalb der Maschine bleibt.
Es ist wirklich kaum zu glauben, dass die USA immer noch Karten ohne Chip verwenden. Ich glaube, ich erinnere mich vage daran, dass meine Eltern diese hatten, als ich ein kleines Kind war.
Chip & Pin wurde jedoch auch gehackt: - http://www.theregister.co.uk/2012/09/13/chip_and_pin_security_flaw_research/ - http://www.nbcnews.com/id/49020916/ns/technology_and_science- Sicherheit / t / Kriminelle-Crack-europäische-Chip-und-Pin-Cash-Card-Sicherheit / #. UuFNyk4o6Xk - http://www.zdnet.com/chip-and-pin-crack-code-released-as- open-source-3040090637 / - http://www.zdnet.com/chip-and-pin-is-broken-say-researchers_p2-3040022674/
Nun, alles ist hackbar, wenn Sie Meta erhalten möchten. Es ist eher so, als ob es schwierig ist zu hacken. Die Belohnung ist meine Zeit wert, es überhaupt zu hacken.
Die Schwierigkeit, dies abzuziehen, im Vergleich zum Abschöpfen eines Magnetstreifens, ist wie der Unterschied zwischen dem Start von 5 km und dem Iron Man.
Es ist eher der Unterschied zwischen einem 1-km-Spaziergang und dem Gewinn einer Iron-Man-Herausforderung.
Aber ist das nicht immer so? Das Klonen von Magnetstreifen begann wahrscheinlich ziemlich hart, aber die Kosten für das Kit sinken, die Leute automatisieren den Prozess ... Chip & Pin sollten von Natur aus härter sein als Magnetstreifen, aber auf lange Sicht nicht unerschwinglich. Und natürlich gibt es immer den obligatorischen Schraubenschlüsselangriff: https://xkcd.com/538/
In den 90er Jahren arbeitete ich in einem Club, der Mitgliedskarten ausstellte. Aus irgendeinem Grund war der Kartenschreiber, den wir damals hatten, in der Lage, die gleichen Daten zu schreiben, die auf Bankkarten verwendet wurden (ich kann mich nicht an die Details erinnern, aber ich erinnere mich, dass es sich um eine Mehrspurigkeit handelte?). Ich las meine Bankkarte und schrieb dieselben Daten auf eine Mitgliedskarte zurück, mit der ich Bargeld von meinem Konto abheben konnte. Es war ein großartiger Partytrick.
Fünf antworten:
#1
+228
paj28
2014-01-23 19:45:05 UTC
view on stackexchange narkive permalink

Sie können den Chip nicht klonen.

Ein Magnetstreifen enthält eine Geheimnummer. Wenn jemand diese Nummer kennt, kann er behaupten, der Besitzer der Karte zu sein. Aber wenn ein Bösewicht die Karte klaut, kennt er die Nummer und kann seine eigene Karte erstellen, d. H. "Klonen". Dies hat sich als ein großes praktisches Problem bei Magnetstreifenkarten herausgestellt.

Ein Chip enthält auch eine Geheimnummer. Es ist jedoch sicher in den Chip eingebettet. Wenn Sie die Karte verwenden, führt der Chip eine Operation mit öffentlichem Schlüssel durch, die beweist, dass er diese Geheimnummer kennt. Diese Geheimnummer wird jedoch nie preisgegeben. Wenn Sie eine abgebrochene Karte in einen Bösewicht-Computer stecken, können sie sich für diese eine Transaktion als Sie ausgeben, aber sie können sich in Zukunft nicht als Sie ausgeben.

Bei alledem wird davon ausgegangen, dass die Implementierung des Chips gut ist . Es ist bekannt, dass einige Chips Implementierungsfehler aufweisen, durch die der Geheimcode verloren geht. Allerdings sind Chip und Pin jetzt ziemlich ausgereift, daher gehe ich davon aus, dass die meisten dieser Probleme behoben wurden.

Während es schwierig ist, einen der Chips, die normalerweise in Chipkarten verwendet werden, rückzuentwickeln, ist dies nicht unmöglich. Es ist nur so, dass Sie Laborgeräte im Wert von mehreren tausend Dollar und Experten benötigen, die wissen, wie man sie verwendet, während ein Magnetstreifen von jedem mit 100-Dollar-Hardware und schrittweisen Anweisungen geklont werden kann.
Auf dem Chaos Communication Congress im vergangenen Jahr gab es einen interessanten Vortrag über das Reverse Engineering von Chipkarten, leider auf Deutsch: http://www.youtube.com/watch?v=xlpudEdVv7A
IIRC Der Chip unterstützt auch einen Legacy-Modus, der ein CVV1 wie den Magnetstreifen verwendet (keine Krypto läuft).
@Philipp Für die meisten Verbrechen reicht es nicht aus, die Karte klonen zu können. Sie müssen dies auch tun, ohne dass der Besitzer es bemerkt und blockiert. Wenn Sie die Karte bereits gestohlen haben, um sie zum Kopieren in Ihr Chip-Scan-Labor zu bringen, warum benötigen Sie dann eine Kopie?
@eBusiness Ich konnte es nicht einfach kopieren. Ich konnte auch vertrauliche Daten lesen und sogar manipulieren, die darauf gespeichert waren.
Die aktuellen Chip-fähigen Kreditkarten, zumindest hier in den USA, verwenden keine Krypto. Mein Smartphone kann NFC verwenden, um alle Informationen zu stehlen, die sich auf dem Chip meiner Visa-Karte befinden (einschließlich aller Informationen auf dem Magnetstreifen).
Sie können einen Chip klonen, wie in dieser Frage http://security.stackexchange.com/questions/46319/why-emv-cards-cannot-be-cloned/ angegeben. Dies ist trivialer als die Verwendung von Geräten, die für die meisten unerreichbar sind . Es erfordert viel mehr Aufwand und Ausrüstung als eine Magnetstreifenkopie, kann aber dennoch für weniger als 1000 US-Dollar durchgeführt werden.
Das Chip & Pin-System bietet auch nicht technische Sicherheitsvorteile. Wenn Sie beispielsweise für Ihr Essen in einem Restaurant bezahlen und eine Magnetstreifenkarte verwenden, geben Sie Ihre Karte normalerweise dem Kellner, nachdem er den Scheck gebracht hat. In der Regel verarbeitet er Ihre Transaktion dann an der Registrierkasse. Dies bedeutet, dass Ihre Karte etwa eine Minute lang nicht sichtbar ist. Sie haben ausreichend Zeit, um Ihre Karte zu klonen, wenn jemand im Restaurantpersonal ein Gauner ist. Bei einer Chipkarte wird ein tragbares POS-Gerät benötigt, oder der Kunde geht zur Registrierkasse, wobei die Karte die ganze Zeit in Sichtweite ist.
@Bob das ist wahr. Dies muss jedoch vom Aussteller der Karte aktiviert werden. Der Chip kann jedoch nicht geklont werden. Wenn diese Option aktiviert ist, kann ein Magnetstreifen mit diesen Informationen erstellt oder einfach online verwendet werden. Dies ist ein hohes Risiko für kontaktlose Zahlungskarten, da der Eigentümer möglicherweise nicht bemerkt, dass seine Karte kopiert wird.
In Großbritannien ist Chip-and-Pin seit Ewigkeiten Standard. Sie werden an vielen Orten Probleme haben, mit einer amerikanischen Karte ohne Chip zu bezahlen. Online-Transaktionen werden mit einer Challenge-Response auf den Chip der Karte durchgeführt. Dazu ist ein (kostenloser) Kartenleser erforderlich, die Karte muss vorhanden sein und Sie müssen die PIN kennen. Kreditkarten sind auch sicherer als Debitkarten, da die Bank gegen Betrug und Rückerstattung von Krediten versichert ist. Wenn Ihre Debitkarte jedoch zweifelhafte Transaktionen enthält, sind Sie haftbar.
@OrangeDog Ich stimme den meisten Ihrer Antworten zu, aber ein paar Punkte: Kartenleser sind nicht kostenlos; Händler mieten diese normalerweise (für etwa £ 30 pro Monat), obwohl PayPal hier eine interessante Alternative ist. Verbraucher haften nicht für Debitkartenbetrug (sofern sie nicht fahrlässig gehandelt haben), aber Sie haben Recht, dass Kreditkarten sicherer sind, da Sie während des Streits auf einer Debitkarte aus eigener Tasche sind, während auf einer Kreditkarte der Kartenaussteller ist aus der Tasche.
@Philipp Zumindest die hier in Deutschland verwendeten Chips sind sehr sicher. Der einzige Hack, den ich bei Karten der aktuellen Generation kenne, besteht darin, die Karte zu schleifen (das ist hier das richtige Wort), alle Schichten des Chips mit einem Mikroskop zu fotografieren, sie halbautomatisch auf einem PC zusammenzukleben und eine Software zu verwenden Pro: Sie können sogar bezahlen, ohne die PIN zu kennen. Dann wird die Karte zerstört, der Besitzer wird es bemerken! Auch sehr sehr teuer und zeitaufwändig. Diebe hier kopieren einfach den alten Magnetstreifen und verwenden den Klon in einem Land der 3. Welt oder in den USA!
@paj28-Kartenleser für die Online-Banking-Authentifizierung sind kostenlos (zumindest alle meine). Ich bezog mich nicht auf Händlerterminals.
@paj28 Online-Banking-Hilfsautomaten sind normalerweise kostenlos von der Bank. Wenn Sie sie jedoch verlieren / brechen, könnte die Bank Geld für einen neuen verlangen. Details zum System hier: https://en.wikipedia.org/wiki/Chip_Authentication_Program
Sie können den Chip nicht klonen, aber die Kartennummer ist immer noch auf der Karte aufgedruckt. Sie können also die Kartenanmeldeinformationen weiterhin kopieren und für einen Online-Kauf verwenden. Die einzige Möglichkeit, dies zu stoppen, besteht darin, den Druck des Namens und anderer Details auf der Karte zu beenden.
#2
+70
Rory Alsop
2014-01-23 19:58:16 UTC
view on stackexchange narkive permalink

Der Chip führt eine kryptografische Operation für an ihn übergebene Daten durch, die die Kenntnis des Schlüssels erfordert, der innerhalb des Chips stark geschützt ist. Daher kann ein Angreifer die Karte nicht einfach kopieren.

Das heißt, es gibt Es gab einige erfolgreiche Forschungsarbeiten zu Timing- oder Power-Angriffen, aber diese stammen aus Laborbedingungen und sind in freier Wildbahn wahrscheinlich keine wirkliche Sorge.

In Großbritannien sind so ziemlich alle Bankkarten Chip und Pin - was auch der Fall ist führen zu einer unserer häufigsten Arten von Betrug: Der Magnetstreifen wird überflogen und die Details in einem Land ohne Chip- und Pin-Infrastruktur verwendet.

+1 für Magnetstreifenbetrug im Ausland. Es war auch eine Weile so, dass einige Geldautomaten nur Magnetstreifen überprüften. Ich denke das ist jetzt behoben
IIRC Der Chip unterstützt auch einen Legacy-Modus, der ein CVV1 wie den Magnetstreifen verwendet (keine Krypto läuft).
Auch der Man-in-Middle-Angriff wurde vor einiger Zeit bewiesen. Mit solch leistungsstarken Mobilgeräten, die wir alle tragen, wird es viel einfacher.
Ist es möglich, einen Chip und eine PIN-Karte * ohne * Magnetstreifen zu bekommen?
@gerrit ein starker Magnet korrumpiert den Magnetstreifen, also einfach diy es :)
Das Problem ist, dass es ziemlich einfach ist, eine gefälschte Chip- und Pin-Maschine zum Aufzeichnen der PIN zu erstellen und den Streifen und die gedruckten Informationen auf der Karte zu lesen. Sie können dann eine Klonkarte für US-Maschinen erstellen und haben die PIN.
ISTR, ein Forscher in Großbritannien, brät absichtlich die Chips und probiert dann die Karten in Löchern in der Wand aus - die ohne Beanstandung auf die Verwendung der Magnetstreifendaten zurückgegriffen haben ..... aber das war vor einiger Zeit.
Funktioniert auch außerhalb des Auslandes, Sie können den Chip beschädigen und nach 3 Versuchen mit dem kaputten Chip werden Sie aufgefordert, den Magnetstreifen zu verwenden (in etwa 80% der Maschinen, die ich in NA verwendet habe). In diesem Moment fügt es fast keine zusätzliche Sicherheit hinzu, aber irgendwann / hoffentlich werden sie den Magnetstreifen vollständig auslaufen lassen
@Spooks, Ihrer Bank wird mitgeteilt, dass der Magnetstreifen verwendet wurde, sodass er als Teil eines Data-Mining-Systems zur Erkennung gestohlener Autos verwendet werden kann.
@Spooks Einige Händler in Großbritannien zögern aus diesem Grund * sehr *, Magnetstreifen-Transaktionen durchzuführen. (was für Ausländer mit Nicht-Chip-Karten ein Schmerz sein kann.
#3
+34
AJ Henderson
2014-01-23 21:55:24 UTC
view on stackexchange narkive permalink

Der Magnetstreifen enthält die genauen Informationen zur Identifizierung der Karte. Der Chip enthält eine Information, die er nicht teilt, die er jedoch verwenden kann, um zu beweisen, dass er über diese Informationen verfügt.

Somit ist ein Magnetstreifen dumm und kann kopiert werden, aber da der Chip dies nicht tut Ein Verkäufer kann es nicht einfach kopieren, wenn Sie es verwenden.

Auf einem Magnetstreifen steht "Ich bin Kreditkarte ABC". wenn die Verkaufsstelle nach der Nummer fragt. Mit einem Chip sagt die Verkaufsstelle: "Wie reagieren Sie auf diesen zufälligen Wert?" und der Chip gibt eine Antwort, die die Verkaufsstelle validieren kann, aber da die nächste Verkaufsstelle einen anderen zufälligen Wert verwendet, ist die Antwort für einen Dieb nutzlos.

#4
+16
Boluc Papuccuoglu
2014-01-23 20:59:42 UTC
view on stackexchange narkive permalink

Andere bereits gegebene Antworten sind korrekt, aber ich möchte Folgendes als Antwort ohne technischen Hintergrund für einen Teil der fragenden Person geben:

Wenn Sie eine Magnetstreifen-Kreditkarte verwenden, wird die Das Gerät sagt zur Karte: "Mein Benutzer gibt eine PIN zur Überprüfung ein. Lassen Sie mich Ihren Streifen lesen, damit ich ihn überprüfen kann."

( BEARBEITEN :

OK, der obige Absatz ist nicht das, was tatsächlich passiert. Das POS-Gerät (oder ein anderes Gerät) liest jedoch alle im Streifen enthaltenen Informationen (oder kann sie lesen). Das bedeutet, dass Sie eine Karte herstellen können, die in jeder Hinsicht funktioniert und verwendet eine Kopie.)

Wenn Sie eine Chip-Kreditkarte verwenden, sagt das Gerät dem Chip auf der Karte: "Mein Benutzer hat 4567 als PIN angegeben ist es richtig? "

Da der Chip intelligenter ist als ein Magnetstreifen (der praktisch nur ein Datenspeicher ist), kann er diese Frage beantworten. Auf diese Weise kann die PIN verborgen bleiben.

Das ist nicht richtig. Die PIN wird nicht auf dem Magnetstreifen gespeichert (obwohl es richtig ist, dass der Chip die PIN authentifizieren kann). Das Problem mit Magnetstreifen ist das Klonen der Karte, die ohne PIN verwendet werden soll, ohne dass die PIN verloren geht.
Ja, das stimmt, mein Schlechtes. Der Kern meiner Antwort lautet jedoch: Das Gerät LEST (oder kann lesen) DIE GANZEN INFORMATIONEN, die auf dem Magnetstreifen gespeichert sind. Während Sie mit einem Chip die Informationen von allen Geräten zurückhalten und den Chip nach den Authentifizierungsinformationen fragen können.
Das Gerät afaik überprüft keine Magnetstreifen-PIN. Die Magnetstreifen-PINs werden zur Validierung online an die Bank gesendet. Der Magnetstreifen enthält nicht genügend Informationen zu den Tracks, um eine PIN zu validieren (zumindest nicht MasterCard oder Visa).
+1 für die Bearbeitung - die neue Erklärung ist gut.
Wenn das Gerät auf der Karte sagt "der Benutzer hat die PIN 1234 eingegeben" und die Karte zurück sagt "das ist richtig", wie genau bleibt die PIN verborgen?
@SoftwareMonkey das Gerät ist das Eingabegerät für den Pin, vor dem Sie es nicht verbergen können, um zu verhindern, dass sich der Chip nach 3 Versuchen selbst brutal deaktiviert
Kann also noch jemand die physische Karte stehlen und die PIN vom POS-System erhalten? Es gibt keine Sicherheit, um dieses Szenario zu stoppen? Zum Beispiel, wenn ein Kassierer die Karte für Sie laufen lässt und "vergisst", sie zurückzugeben, und eine Möglichkeit hat, den Speicher des POS zu lesen?
@iconoclast: In der Tat, aber ich denke, die Annahme ist, dass das POS-Gerät mindestens so schwer zu manipulieren ist wie die Karte. Ich weiß nicht, wie machbar es wäre, ein "böses" POS-Terminal zu bauen, das alle PIN-Codes protokolliert, aber Sie müssen immer noch die Karte stehlen, die der Karteninhaber wahrscheinlich bemerken wird (im Gegensatz zum Magnetstreifen-Fall, in dem Sie den schnell kopieren können Karte, ohne dass der Besitzer es bemerkt).
Gemeinsame (legitime) @EmilStyrke,-POS-Terminals für Chip & Pin verfügen über interne Kill-Schalter und Schutzmembranen, um sie bei Manipulationen zu deaktivieren. Der Geist der Standards wird jedoch von der Kartenindustrie oft nur unzureichend umgesetzt, so dass diese Schutzmaßnahmen trivial umgangen werden. Die Authentifizierung eines nie zuvor gesehenen C & P-Terminals als legitim und unverändert bleibt leider ungelöst (nicht bereitgestellt). Die Meinung der Benutzer führt jedoch dazu, dass die meisten Benutzer solchen Terminals implizit vertrauen, ohne weiter daran zu denken, Manipulationssiegel / Schutzmarken zu überprüfen (ohnehin unpraktisch).
#5
+7
Chris H
2014-01-23 22:03:30 UTC
view on stackexchange narkive permalink

Vielleicht möchten Sie Ihre Frage klären - hier ist eine Antwort, warum es sicherer ist, Kartenaussteller :

Wenn eine Magnetstreifenkarte gestohlen wird, ist es für den Dieb recht einfach, sie zu verwenden es betrügerisch - wie oft werden Unterschriften wirklich überprüft (in den USA wurde mir die Karte oft vor der Unterschrift zurückgegeben, auch wenn kein zusätzlicher Ausweis angefordert wird).

Wenn eine chip&pin-Karte gestohlen und dann betrügerisch verwendet wird, reicht die Karte allein nicht aus - eine gute Sache natürlich -, aber das verpflichtet den Besitzer, den Stift zu schützen (siehe T&Cs) Die Karte wurde gestohlen, kurz nachdem der Besitzer einen Geldautomaten benutzt hatte, an dem der Dieb mit der Schulter über die PIN gesurft war. Dann ist es mindestens genauso wahrscheinlich, dass der Dieb mit der Karte davonkommt - und kann jetzt Bargeld abheben, anstatt nur Waren als gefälschte Unterschrift zu kaufen würde erlauben.

Dann gibt es natürlich die einfache Sache, das Opfer eines Diebstahls einzuschüchtern (oder schlimmer noch), die PIN zu übergeben.

Hier ist eine BBC-Kunst Artikel - Wir sind auf Chip&pin in Großbritannien - ein Zitat gegen Ende

[Die Bank des Opfers], Barclays, gab die 640 Pfund zurück, die sie verloren hatte, aber einige Banken kann nur ungern Rückerstattungen zahlen, wenn Personen mit ihren Pincodes nachlässig umgegangen sind.

edit: generalisierte "Bank" an "Kartenaussteller"

Wenn es eine bestimmte Möglichkeit gibt, wie der Fragesteller seine Frage klären sollte, können Sie einen Kommentar zu der Frage hinterlassen, in der um diese Klärung gebeten wird? Kommentare sind eher der Ort für Klärungsanfragen als für Antworten. Ironischerweise ist unklar, auf welche Weise Sie die Frage unklar finden. Seien Sie sich also bitte darüber im Klaren!
@JonathanHobbs, fair genug, aber ich habe nicht um Klarstellung per se gebeten. Ich beantwortete die Frage aus einem anderen Blickwinkel und räumte ein, dass das OP-Problem "sicherer für den Benutzer" bedeutet.
Sie könnten einen Ausweis überprüfen, aber der Kassierer hat keine Kenntnis davon, dass eine Unterschrift gültig ist oder der Person gehört.
Leider weist EMV (das Chip & PIN-Protokoll) zahlreiche Mängel auf, was historisch bedeutete, dass die Karte * ausreichend * ist. Beispielsweise kann die Antwort "PIN okay" von der Karte trivial einem MITM-Angriff ausgesetzt werden, da das 0x9000-Signal "all OK" vom Chip an das PIN-Eingabegerät nicht authentifiziert ist (Quelle: http: // www. cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf). Ich habe den aktuellen Stand solcher Schwachstellen in EMV aus den Augen verloren, aber die Banken haben sich in der Vergangenheit gezögert, diese zu beheben. (In wenigen erfolgreich angefochtenen Fällen ist die Auszahlung billiger.)


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...