14. huhtikuuta 2009

Kysymys sirukorttien suunnittelun tietoturva-ajattelusta

YLEnanto kirjoittaa, että sirukorteilla tehtäviä ostoksia on veloitettu, vaikka asiakas ei ole näpytellyt pin-koodiaan lukulaitteeseen. Selityksenä on ilmeisesti (toivottavasti!) se, että lukulaitteet ovatkin lukeneet automaattisesti myös kortin magneettiraidan ja tehneet veloituksen sillä.

Kysymys: Mitä järkeä on laittaa korttiin sirua ja pyytää pin-koodia ostoksia tehdessä, mikäli samalla kortilla on samat tiedot ja ne ovat luettavissa ja käytettävissä ilman pin-koodia kortin suojaamattomalta magneettiraidaltakin?

Olen aikaisemminkin kirjoittanut sirukorttien tietoturvaongelmista ja niiden typerästä suunnittelusta mm. täällä.

5 kommenttia:

  1. "Mitä järkeä on laittaa korttiin sirua ja pyytää pin-koodia ostoksia tehdessä, mikäli samalla kortilla on samat tiedot ja ne ovat luettavissa ja käytettävissä ilman pin-koodia kortin suojaamattomalta magneettiraidaltakin?"

    Vieläkin on kauppoja, joissa ei pysty maksamaan sirukortilla. Sen takia magneettiraita on ihan hyödyllinen.

    VastaaPoista
  2. Miksi ylipäätään laittaa siru korttiin, kun sen tuoma turva voidaan ohittaa lukemalla magneettijuovalta?

    VastaaPoista
  3. Ilkka Ahmavaara:

    Yritys vastaukseksi:

    Kortin "siruun" saadaan tallennettua moninkertainen määrä tietoa sen omistajasta toisin kuin magnettijuovalle, johon ei paljoa mahdu yli välttämättömän?

    VastaaPoista
  4. "Miksi ylipäätään laittaa siru korttiin, kun sen tuoma turva voidaan ohittaa lukemalla magneettijuovalta?"

    Tarkoitus on, että jossain vaiheessa siirrytään pelkästään sirukorttiin. Nykyinen yhdistelmäkortti on välivaihe kahden keskenään yhteensopimattoman tekniikan välillä.

    Käsittääkseni, jos joku vie tililtä rahat magneettiraidan kautta, niin kortin omistaja ei ole itse vastuussa. Ainakin kaupassa asioidessa kauppias on vastuussa mikäli ei ole pyytänyt asiakasta näyttämään henkilöllisyystodistusta

    VastaaPoista
  5. > Nykyinen
    > yhdistelmäkortti
    > on välivaihe kahden
    > keskenään
    > yhteensopimattoman
    > tekniikan välillä.

    Jep. Huono sellainen.


    > Käsittääkseni, jos joku
    > vie tililtä rahat
    > magneettiraidan kautta,
    > niin kortin omistaja ei
    > ole itse vastuussa.

    Näin on ainakin luottokortin kanssa, mutta entäpä Visa Electronia käytettäessä? Riski siirtyy kuluttajalta kaupalle luottokorttiyhtiön sijasta, se on toki kuluttajan kannalta kiva juttu, mutta ongelmia se ei ratkaise lainkaan.

    VastaaPoista