Якими будуть кредитні карти майбутнього?
- Пароль і відгук
- Карта на вимогу
- Будьте ласкаві ваші пальчики
- Кванти нам допоможуть
- поспішаємо повільно
У матеріалі «Карткові фокуси: кримінальний бізнес на банкоматах» ми розповіли про те, як легко втратити гроші на банківському рахунку, потрапивши на вудку кардерів. Причина тому - архаїчна система захисту банківських карт родом з 1970-х років. Інформація на магнітній доріжці записана «відкритим текстом», а єдиним ключем служить короткий PIN-код, який нескладно вкрасти.
Зрозуміло, фінансова індустрія, щодня втрачає від рук шахраїв великі гроші, намагається впроваджувати більш досконалі методи захисту транзакцій. Поки найуспішнішим проектом тут є карти з чіпом (стандарт EMV). Після їх поширення в європейських країнах і Канаді кількість злочинів з використанням клонованих карт в цих регіонах різко знизилося. А кардери перенесли свою активність в США і Азію, де картки з чіпами поки менш поширені.
Хоча система EMV є великим кроком вперед в захисті банківських карт, вона теж далека від ідеалу і не може захистити від усіх загроз. Особливо якщо враховувати, як швидко вдосконалюються з часом кримінальні технології скіммінгу. Тому цілком можливо, що через кілька років ми будемо користуватися трохи іншими банківськими картами.
Які є варіанти? Давайте подивимося.
Пароль і відгук
Найпростіше рішення проблеми слабкого захисту - додати ще один рівень безпеки. Так, наприклад, працює стала вже звичною в Інтернеті схема двофакторної аутентифікації.
І це вже використовується при покупках в Інтернеті. В ході онлайн-платежу користувач вводить не тільки код CVV2, надрукований на зворотному боці карти, але і додатковий одноразовий пароль. Пароль приходить на телефон у вигляді SMS-повідомлення або створюється виданими банком спеціальним пристроєм - токеном. Двухфакторная аутентифікація використовується подекуди і для офлайнових транзакцій, особливо якщо мова йде про великі суми грошей.
Схожим чином працюють банківські карти з вбудованими дисплеями. Тут у звичайній кредитці поміщається цілий комп'ютер з маленьким рідкокристалічним екраном і цифровою клавіатурою. Крім генерації одноразових паролів він також може зберігати в пам'яті історію здійснених операцій, показувати баланс рахунку і так далі.
Хоча перших експериментів з інтерактивними картами вже більше п'яти років, їх сьогодні пропонують своїм клієнтам лише окремі банки в Європі, США і розвинених країнах Азії.
Карта на вимогу
Ще більш екзотично виглядає розробка американської компанії Dynamics. На цій карті магнітна доріжка не записана постійно, а динамічно генерується електронним обладнанням. Генерується за командою користувача, який спочатку повинен ввести пароль на вбудованій клавіатурі.
Ні пароля - немає інформації на магнітній смузі, немає і транзакції. Більш того, немає навіть номера карти: частина цифр 16-значної послідовності не надрукували, як зазвичай, на пластиці, а відображаються на дисплеї тільки після введення пароля. За заявою творців, коли вбудований в карту батареї вистачить на три роки.
Будьте ласкаві ваші пальчики
Парольний захист може бути скільки завгодно потужної, але втрачає будь-який сенс, якщо забудькуватий користувач не може правильно зберегти секрет. Все, напевно, чули історії невдалих персонажів, записуючих PIN-коди прямо на кредитки і благополучно їх втрачають.
Радикальне рішення парольного питання пропонують системи біометричної аутентифікації. Норвезька компанія Zwipe разом з MasterCard, наприклад, зараз проводить в Європі пілотне впровадження карти з вбудованим сканером відбитків пальців. Все, що потрібно для здійснення платежу, - це прикласти палець до контактної майданчику на карті, ніякої PIN вже не потрібен.
Кванти нам допоможуть
Незважаючи на десятиліття трудомістких досліджень, практично застосовні квантові комп'ютери як і раніше залишаються для нас недосяжною мрією. Зате є надія, що незвичайні властивості квантового світу знадобляться для виготовлення ідентифікаторів, які практично неможливо підробити.
По крайней мере, так вважають нідерландські дослідники з університету Твенте і технологічного університету Ейндховена, які запропонували ідею квантової захисту банківських карт і посвідчень особи. Їх розробка, поки що існує лише у вигляді лабораторної моделі, отримала назву quantum-secure authentication (QSA).
На крихітну ділянку звичайної пластикової карти наносять найтонший шар частинок оксиду цинку (ніякої магії - по суті звичайні цинкові білила). Потім по цій ділянці «стріляють» з лазера окремими фотонами світла. Фотони потрапляють в шар наночасток і потім випадковим чином багаторазово перевідбивається всередині. Ця «бомбардування» змінює оптичні властивості шару частинок і таким чином формує унікальний ключ.
Будь додатковий фотодетектор в системі порушить квантовий стан хоча б частини фотонів і таким чином «зіпсує» всю картину
Якщо тепер на карту посвітити певною послідовністю коротких лазерних імпульсів (питання), то у відповідь можна отримати певну картину відображення (відповідь). Комбінація унікальних пар «питання-відповідь» для кожної карти зберігається в банківській інформаційній системі і використовується для перевірки автентичності ключа.
Квантова захист спрацьовує при спробі зловмисника перехопити питання і відповідь в ході здійснення транзакції. Будь додатковий фотодетектор в системі порушить квантовий стан хоча б частини фотонів і таким чином «зіпсує» всю картину.
Альтернативний спосіб підробки карти шляхом аналізу точного розміру, положення і інших властивостей наночастинок з подальшим створенням точної копії практично не реалізовується через дуже високої складності процесу.
Розробники QSA стверджують, що, не дивлячись на складність концепції, вона легко і відносно недорого може бути реалізована на практиці за допомогою доступних вже сьогодні технологій.
поспішаємо повільно
Малоймовірно, що загальне впровадження банками описаних вище систем - справа найближчого майбутнього. Фінансова індустрія досить консервативна, а масове впровадження нових технологій - річ дуже витратна.
Тому, можливо, першість у розвитку платіжних інновацій буде за альтернативними, небанківськими сервісами. Такими, наприклад, як платіжні системи Apple Pay або Google Wallet. Або за перспективними новачками - стартапами начебто Coin, Wocket і Plastc. Про них ми розповімо окремо.
Крім того, дуже важливо, щоб всі переваги хитромудрих рішень не зводилися нанівець недосконалістю впровадження, як це зараз подекуди йде з чіповими картами. Адже в чому нині основна проблема: якщо старовинний банкомат або платіжний термінал не може прочитати захищений чіп, то він задовольняється магнітної доріжкою, залишеної саме для сумісності зі старим обладнанням. І вся захист йде нанівець.
Які є варіанти?