Что такое оффлайн пин

Что такое оффлайн пин

Зашифрованный оффлайн-ПИН — современный способ верификации банковской карты, основанный на современной системе шифрования данных. Оффлайн-ПИН используется для опознавания карты в терминале.

При помещении карты в терминал, устройство шифрует ПИН-код с помощью криптографического чипа и передает в EMV-чип карты на проверку. Проверка ПИН-кода осуществляется достаточно быстро. Более того, такой код надежно защищен от взлома.

Использование зашифрованного оффлайн-ПИНа доступно только при проведении платежа по EMV-чипу и требует наличия встроенного криптографического чипа в устройстве терминала.

RBK Money ― система платежей в России для проведения оплат в интернете. Через сервис RBK Money пользователь может пополнить баланс на телефоне, погасить коммунальные платежи, оплатить услуги провайдера, оплатить онлайн-покупки. Для начала использования системы пользователь должен пройти в ней регистрацию.

PayPass ― технология, которая позволяет проводить платежи в бесконтактной форме. Сервис разработала компания MasterCard Worldwide. Главная цель услуги ― быстрая и простая оплата покупки. В процессе расчета картой, которая поддерживает PayPass, ее нужно приложить к терминалу PayPass и подтвердить платеж.

FinCERT ― отдел по безопасности Центробанка, которых отслеживает и предоствражащет компьютерные атаки на банки. FinCERT собирает данные от банков о кибератаках, проводит анализ этой информации и предоставляет банкам данные о потенциальных угрозах, готовит рекомендации по борьбе с атаками. Подразделение работает

Статья отсюда проливает свет на эти вопросы. Сатья длинноватая. но инересующимся будет инересно

При оплате пластиковой картой для подтверждения того, что именно вы являетесь ее держателем, иногда нужно ввести ПИН-код, иногда поставить подпись на чеке, а порой строгий кассир требует и того, и другого. Портал Банки.ру решил выяснить, как определяется способ верификации карточного платежа, и в чем преимущество каждого из этих способов.

Бытующее среди держателей банковских карт мнение, что чипованная карта обязательно требует ввода ПИН-кода при оплате, а карта без чипа обходится подписью на чеке, в корне неверно. Возможны самые разные варианты. Все зависит от того, как настроил банк-эмитент настроил карту, а банк-эквайер — торговый терминал. Более того, представления эмитента и эквайера о безопасности и удобстве могут не совпадать. Из-за этого могут случаться неожиданности, не всегда приятные.

В соответствии со стандартами международных платежных систем есть пять CVM (Card Verification Method) — способов, которым держатель карты при совершении платежа подтверждает (верифицирует) свою личность.

Зашифрованный оффлайн-ПИН — самый современный и защищенный способ верификации. Платежный терминал запрашивает ПИН-код, плательщик набирает его на клавиатуре терминала. Полученный ПИН-код терминал зашифровывает с помощью встроенного криптографического чипа, и передает в EMV-чип карты на проверку. Такая верификация происходит быстро, а ПИН-код достаточно надежно защищен от кражи. Данный метод работает только при проведении платежа по EMV-чипу и требует наличия криптографического чипа в терминале.

Незашифрованный оффлайн-ПИН работает почти также как и зашифрованный, с той лишь разницей, что терминал передает ПИН-код в EMV-чип карты в открытом виде. Соответственно, криптографический чип не нужен, но риск компрометации ПИН-кода техническими средствами (например, если платежный терминал заражен вредоносной программой) возрастает.

Онлайн-ПИН — самый старый способ верификации с ПИН-кодом. Клиент набирает на клавиатуре ПИН-код, терминал из ПИН-кода и номера карты формирует ПИН-блок, зашифровывает его (причем используется шифр многократно менее стойкий, чем в случае зашифрованного оффлайн-ПИН), и передает для проверки в процессинговый центр банка-эмитента. Следует учесть, что эмитент ПИН-кодами выпущенных им карт не обладает. Он хранит лишь вычисленное на основе ПИН-кода и номера карты проверочное значение, которое и сравнивает с проверочным значением полученного ПИН-блока после его расшифровки.

По дороге к эмитенту ПИН-блок проходит множество промежуточных узлов, на каждом из которых он потенциально может быть скомпрометирован. Скорость выполнения этого метода верификации относительно невысока и сильно зависит от способа подключения торговой точки к процессинговому центру банка-эквайера. Естественно, онлайн-ПИН не работает в случае оффлайн-авторизации, когда у торговой точки нет подключения к банку-эмитенту. Для проверки ПИН-кода карты без чипа может использоваться только этот способ.

Читайте также:  Сравни ру курсы валют в москве

Проверка подписи выглядит нетехнологично и доставляет немало проблем магазину — из-за нее ему необходимо долгое время хранить чеки с подписями клиентов. Однако есть у этого метода верификации и несколько преимуществ. Во-первых, он не требует подключения терминала к эмитенту, то есть работает при оффлайн-авторизациях. Во-вторых, укравшему карту злоумышленнику, пусть даже он узнал ПИН-код, будет сложно выдать себя за держателя карты — нужно достоверно изобразить подпись, образец которой обязательно должен иметься на обороте карты. Увы, далеко не всегда кассиры удосуживаются сверить подпись. Не все даже проверяют наличие образца на карте.

Этот вид верификации позволяет достаточно легко опротестовать авторизацию, в отличие от методов с вводом ПИН-кода: если подпись на чеке не совпадет с подписью держателя, банк будет вынужден вернуть ему деньги. Конечно же, вкупе с невнимательностью многих кассиров, это оставляет широкие возможности для мошенничества со стороны особо хитроумных держателей карт. Но банки тоже не лыком шиты: опротестовав авторизацию с верификацией по подписи, держатель может, к примеру, столкнуться с требованием предъявить банку все чеки за все оплаты за последние три месяца.

No-CVM означает отсутствие верификации вообще, и используется в тех случаях, когда сумма авторизации невысока и нет нужды запрашивать верификацию. Чаще всего он применяется для бесконтактных платежей при сумме менее 1000 рублей.

Важно понимать, что онлайн-ПИН и оффлайн-ПИН могут использоваться при оплате одной и той же картой, в зависимости от обстоятельств, и, по сути, это разные ПИН-коды — один проверяется в чипе карты, другой в процессинговом центре банка-эмитента. Чтобы не морочить держателю карты голову, банки-эмитенты эти коды всегда делают одинаковыми. Но есть разница при смене ПИН-кода: оффлайн-ПИН меняется через банкомат, онлайн-ПИН могут поменять в банке, по звонку держателя. При первой возможности они синхронизируются. Обычно банки предлагают держателям лишь один из способов смены ПИН-кодов.

Итак, есть пять методов верификации, и современная чиповая карта обладает ими всеми. Метод, который будет использоваться при совершении очередной оплаты, определяется настройками как EMV-чипа, так и терминала — оба устройства должны "договориться" о том, какой из приемлемых для обеих сторон методов они будут использовать.

Для этого в чип карты загружается CVM-список — файл, определяющий, какие способы верификации поддерживает карта, и какие более предпочтительны. К примеру, в этом списке может значиться, что предпочтительным способом является шифрованный оффлайн-ПИН. В случае отказа от него должен применяться незашифрованный оффлайн-ПИН. В случае отказа от него применяется онлайн-ПИН, далее в случае отказа запрашивается подпись, при отказе от которой операция отклоняется. В терминале есть аналогичный CVM-список, и при выполнении операции он сравнивается со списком в чипе. В результате применяется наиболее предпочтительный из способов, указанных как допустимые в обоих списках.

Рекомендации Visa и MasterCard касательно порядка приоритета способов верификации несколько различаются: так, если Visa рекомендует ставить онлайн-ПИН выше, чем проверку подписи, у MasterCard подпись имеет более высокий приоритет, а в картах Maestro способ No-CVM должен отсутствовать.

На практике CVM-список, загруженный в терминал, зависит как от технических возможностей самого терминала, так и от политики банка-эквайера, а CVM-список в чипе карты банк-эмитент полностью определяет из собственных соображений об удобстве держателей и безопасности операций.

Банки.ру запросили несколько крупных банков об их предпочтительных методах верификации. Пресс-служба Альфа-Банка ответила, что "все ЧИПовые карты, которые эмитирует Альфа-Банк всегда требуют ввода ПИН-кода в случаях, если операция совершается в банкомате; операция, совершается в POS-терминале, ПИН-код требуется и ПИН-пад (клавиатура терминала — Прим.ред.) исправен; операция совершается бесконтактным способом и сумма операции больше 1000 рублей (или соответствующего эквивалента, если операция совершается в валюте, отличной от рублей РФ); в иных случаях, если операция совершается в POS-терминале и банк-эквайер установил обязательную верификацию держателя карты путем ввода ПИН-кода".

Читайте также:  Амнистия по долгам банкам

Отметим, что это наиболее частый случай, отечественные банки ПИН-кодам доверяют больше. Начальник управления пластиковых карт ВТБ24 Александр Бородкин также заявил, что "все карты, эмитируемые ВТБ24, требуют введения ПИН-кода".

Но есть у нас банки, предпочитающие проверку подписи. "У клиентов Банка Авангард есть возможность выбора приоритета верификации по подписи или ПИН-коду, изменить приоритет можно в любом банкомате Банка, — рассказала порталу Банки.ру начальник процессингового центра Банка Авангард Людмила Хлыстун. — По умолчанию у наших карт действительно установлен приоритет верификации по подписи. Это связано с тем, что, к сожалению, в российских торговых сетях до сих пор часто не обеспечены условия для защищенного ввода ПИН-кода при оплате покупок. Есть риск, что его могут увидеть посторонние люди. Но если клиент не часто сталкивается с ситуациями незащищенного ввода ПИН-кода, то он может установить для своей карты приоритет верификации по ПИН-коду".

Аналогично поступает и Тинькофф Банк. "Для вновь выпущенных карт мы по умолчанию устанавливаем как приоритет подписи, так и ввода ПИН-кода, — сообщили нам в пресс-службе банка. — При этом клиенты Тинькофф Банка могут сами выбрать приоритетный способ подтверждения операций по картам: с помощью подписи или посредством ввода ПИН-кода — для этого нужно позвонить в колл-центр, сообщить о своем намерении и совершить контактную операцию по чипу в банкомате или ТСП (торгово-сервисном предприятии — Прим. ред).".

Что на самом деле лучше — ПИН-код или подпись — вопрос непростой. Когда в магазине вы вводите ПИН-код, его может увидеть много кто, например, покупатель, стоящий за вами в очереди. Терминал, скорее всего, передаст ваш ПИН-код в банк вполне безопасно, а вот подглядеть ПИН-код глазами или камерой совсем не сложно.

Мало кто знает, но во многих случаях покупатель может отказаться от ввода ПИН-кода, если, например, считает это небезопасным, или просто забыл его. Для этого при запросе ПИН-кода надо просто нажать кнопку отмены ввода на клавиатуре терминала. Обычно она хорошо заметна, так как окрашена в красный цвет. В этом случае терминал должен предложить вам следующий по приоритету после ПИН-кодов метод верификации — то есть, проверку подписи. У кассира на дисплее терминала появится сообщение, что клиент от ввода ПИН-кода отказался.

Не каждый банк позволяет своим клиентам такие вольности. Альфа-Банк сообщил, что "для карт, которые эмитирует Альфа-Банк, такой сценарий не поддерживается, т.к. в случае отказа от ввода ПИН-кода держателем карты, карта запретит проведение такой операции".

Решил написать пост, прочитав этот:

Так как у некоторых пользователей таких карт до сих пор есть вопросы по безопасности и использованию. А так же наивная вера в защиту ПИН-КОДА.

1. Самое главное, что надо понимать — эти карты НЕ ПРЕДНАЗНАЧЕНЫ, что бы хранить на них деньги. Их главная задача — удобство при расчете. Чтобы не таскать с собой наличку, сдача, нет мелочи и прочее. Поэтому эти карты ни кто и не защищал (и не будет защищать) мега-супер-пупер защитой. Это надо понимать.

Поэтому первое правило — не держите на этих картах всю зарплату, сбережения и прочее. Банально? Но как выясняется, многие так делают. А потом, удивляются — ах, куда ушли все деньги.

Вам пришла зарплата на карточку? Сняли всю сумму, оставили только на текущие расходы. Одну тысячу, две, пять — каждому свое. Заканчивается сумма — пополнили. Благо терминалов и банкоматов, которые принимают наличность сейчас очень много.

Но хранить там всю зарплату, ходить с этой картой везде, светить свой пин-код.

Своруют, потеряете, ограбят и прочее — вы рискуете малой суммой. Знаю случаи, когда люди жизнь отдавали за карточку, так как там были все их сбережения. А если там малая сумма — отдали без проблем.

2. Именно поэтому Visa и Mastercard без особых сомнений ввели бесконтактную оплату. Ибо само предназначение этих карт — быстрая оплата услуг, а не защита ваших сбережений! И возмущаться тут бессмысленно — см.пунк 1. Не храните крупные суммы на этих карточках, используйте их только для оплаты услуг. И пополняйте при необходимости.

Читайте также:  Отдавать долг в четверг

3. Про якобы защиту пин-кодом. Так как задача этих карточке не защита ваших сбережений, а удобство оплаты, то пин-код предназначен не для защиты ваших денег, а для идентификации доступа к ним! Смекаете разницу?

А теперь самое главное — идентификация вас, как владельца карты, может быть любой. Раньше была при помощи подписи, потом пин-код, сейчас вообще бесконтактная без пин-кода до суммы в 1000р. Но приоритет идентификации задает банк/ПО терминала/сам клиент. В разных банках по разному, но общий порядок у многих банков следующий (я сейчас коротко, кому интересно — гуглите более полную информацию): пин-код оффлайн, пин-код онлайн, подпись.

То есть, если по какой-то причине пин-код не проходит (не ошибка, а именно невозможность введения пин-кода), то система переходит на следующий уровень.

И если пользователь карты забыл пин-код, он может сам отказаться от ввода пин-кода и провести идентификацию при помощи своей подписи.

Как это происходит? Легко.

Приходите вы в магазин со своей (конечно же!) картой. Набрали полную корзину товара, подходите к кассе. Вставляете карточку, система просит ввести пин-код. Но от волнения вы его забыли. Или, вокруг столько сомнительных личностей и камеры сверху, что вы боитесь скомпрометировать свой пин-код. Вы отказываетесь от ввода пин-кода оффлайн (нажимаете cancel на клавиатуре). Система предлагает ввести пин-код онлайн. Вы опять отказываетесь (cancel). Иногда это надо сделать два раза. И после этого ПЛАТЕЖ ПРОХОДИТ и печатается чек, в котором стоит строка "подпись клиента ________". (супер да?). Система перешла к следующему варианту идентификации — подпись клиента.

По правилам, продавец обязан потребовать от вас ввода подписи, сверить с подписью на специальном поле на карточке (у многих она есть?) и только после отдать покупку. 99% продавцов про это не знают.

Смысл понятен? Ваша карта НЕ ЗАЩИЩЕНА ПИН-КОДОМ! Это ТОЛЬКО средство идентификации, от которого можно отказаться! И провести идентификацию путем подписи.

Я сам так пробовал (со своими картами естественно). В 99% случаев это срабатывало без особых проблем. Вставили карту, требует ввести пин-код, три раза cancel, оплата прошла, чек вышел, продавец отдает вам товар, чек и карту. Все!

То есть, любой человек, завладевший вашей карточкой может спокойно ею рассчитаться в магазине без ввода пин-кода (если это не запрещено банком-эмитентом. Я пока знаю только один такой банк, это Альфа-банк. Не сочтите за рекламу, сам не пользовался. Там, по крайне мере раньше, было запрещено проведение платежей путем идентификации по подписи, если клиент отказался от ввода пин-кода).

Итог. Карты Visa и Mastercard не предназначены для хранения ваших сбережений. Это только удобный способ безналичной оплаты товара. Соответственно там нет защиты, а только идентификация. Поэтому не пользуйтесь этими карточками для хранения крупных сумм, держите там суммы, которые вам необходимы для текущих расходов.

Пин-код вовсе не гарантирует защиту ваших денег, он не для этого предназначен, а только для идентификации вас, как владельца карты. И эта идентификация может быть обойдена.

З.Ы. Некоторые упоротые личности могут начать кричать, нафиг я про это написал, дескать раскрыл тайну, что пин-код можно обойти и прочее. Пипл, это не тайна, это стандартные правила для держателей банковский карт. Просто их мало кто читает. А много кто верит в защиту пин-кода, а потом удивляется, как это с его сворованной карточки ушли все деньги. Там же была зашита! Так вот, ни какой защиты там нет. Есть только идентификация, которую можно обойти. И все про это должны знать.

Ссылка на основную публикацию
Adblock detector