¿Por qué no se ha introducido el cifrado de clave pública o la contraseña de un solo uso para combatir el fraude con tarjetas en línea?

Con todos los robos de identidad y fraudes con tarjetas del mundo. A pesar de que se han implementado algunas medidas de contraseña de un solo uso en el sistema bancario donde el titular de la tarjeta verifica la transacción con un código enviado a su teléfono móvil. ¿Por qué no está muy extendido y no se utiliza para verificar todas las transacciones en línea?

El cifrado no es el lugar donde la información confidencial siempre se ve comprometida, necesita supercomputadoras para descifrar incluso un cifrado de 128 bits, pero sucede. Los bancos tienen la prerrogativa de hacerlo, de lo contrario pierden dinero. Otros negocios no están tan presionados para hacerlo. Pero poco a poco todo el mundo se está poniendo en línea e implementándolos. Esto no puede suceder de la noche a la mañana, porque se necesitan recursos para ser asignados para hacer esto, lo que cuesta dinero.
¿Cuáles son las otras transacciones que desea proteger? Las tarjetas de crédito y débito cuentan con sus propios sistemas de seguridad y detección de fraude. Los proveedores que se vinculan a esos sistemas están protegidos por esos sistemas.

Respuestas (4)

El concepto que está describiendo se conoce generalmente como "autenticación de dos factores". La teoría y los beneficios potenciales son obvios; alguien que desee usar su tarjeta debe tener no solo la tarjeta, sino también acceso a su dispositivo móvil. Puedo pensar en varios problemas potenciales con este sistema en una situación de punto de venta:

  • Se requiere una actualización masiva del firmware del equipo : todos los lectores CC del país deberán actualizarse para admitir la entrada del código de confirmación. Para algunos, esto es tan simple como una actualización de firmware para agregar otro paso en el proceso. Otros lectores, incluidos algunos nuevos, no necesitan el teclado (porque las transacciones CC actualmente no requieren que el usuario ingrese ningún código de este tipo). Este es un asunto más importante que las tarjetas de débito, porque las tarjetas de débito fueron diseñadas para usarse como tarjetas de cajero automático (PIN) o como tarjetas de crédito (firma, si es así). Por lo tanto, si un minorista no sintió la necesidad de actualizarse para respaldar el proceso de la tarjeta de débito, no tuvo que hacerlo; podrían usar la tarjeta como una tarjeta de crédito. Ahora, está pidiendo a los minoristas que actualicen nuevamente para un cambio de proceso relativamente grande.

  • Ahora necesita dos dispositivos para acceder a su dinero : además de tener que tener su tarjeta, debe tener su dispositivo móvil para recibir el código de confirmación. En primer lugar, no todo el mundo tiene un dispositivo móvil, por lo que exigir un sistema como este básicamente requiere que todos los titulares de tarjetas de EE. UU. tengan y paguen por un dispositivo móvil, incluso si es lo único que se usa. En segundo lugar, incluso si este sistema es opcional, su teléfono móvil debe estar a su lado, cargado y recibiendo una señal para que pueda pagar cualquier cosa con su tarjeta de crédito. Si va a pasar por todo eso, ¿por qué no simplemente cambia a algo contenido en su teléfono, como Google Wallet, o una aplicación de banca en línea que le dará códigos escaneables de un solo uso similares?

  • Las comunicaciones móviles no son 100% confiables : los mensajes de texto son conocidos por aparecer varios minutos o incluso horas después de que se envían. Cuando piensas en lo que se necesita para enviar el mensaje de texto de un dispositivo móvil a otro, y cuántos mensajes de texto por minuto tiene que soportar la red móvil, es alucinante que el sistema funcione. Pero, la maravilla técnica que es la red celular de los EE. UU. es poco consuelo para usted cuando el mensaje de texto que necesita para cerrar la transacción de la tarjeta de crédito no aparece en su teléfono, y la línea se hace más larga y la gente le grita. solo pagas y te vas.

  • La autenticación de dos factores no es nada nuevo, incluso para las tarjetas de crédito : para compras grandes, las que tienen más probabilidades de ser fraudulentas, debe tener la tarjeta de crédito y su firma. Para transacciones con tarjeta de débito tienes que tener la tarjeta y tu pin. En ambos casos, los dos factores son algo que tienes (la tarjeta) y algo que sabes (tu PIN< o cómo firmar tu nombre de manera única). El cambio que estás proponiendo simplemente cambia lo que sabes por una segunda cosa que tienes.

  • Es un paso atrás en conveniencia : en los últimos años, los emisores de tarjetas de crédito y los minoristas comenzaron a aceptar transacciones con tarjetas de crédito sin firma por debajo de una cierta cantidad. Eso permite la transacción de "deslizar y listo" que acelera considerablemente el proceso de pago, lo que a su vez aumenta los ingresos del minorista durante las horas pico. Ahora, está proponiendo no solo agregar un código al proceso, sino también tener que esperar a que se le proporcione ese código antes de poder ingresarlo.

Gran respuesta, sin embargo, la pregunta original tenía más que ver con las transacciones en línea, eliminando así cualquier actualización de hardware con el comerciante. ¿Por qué el banco no puede simplemente recibir un mensaje de texto de confirmación en todas las transacciones en línea? Ya requieren confirmación por mensaje de texto al enviar transferencias BACS. Por curiosidad, ¿cuál es tu profesión?
Soy un desarrollador de software, actualmente en el campo de la videovigilancia.
El mayor problema de hacerlo solo para transacciones en línea es saber cuáles de ellas están en línea. Dado que muchas tiendas son "clic y ladrillo", la identificación del proveedor que se envía como parte de una consulta de crédito no siempre se puede usar para determinar si la transacción se realizó en línea o en persona. Todas estas transacciones son procesadas de la misma manera por la red de crédito en cuestión. Además, el factor de conveniencia sigue siendo un factor; aún tendría que esperar un mensaje de texto, y si hubiera problemas de red, su sesión podría agotarse antes de que lo reciba.

En la mayoría de los casos, estos tienen que ver con una compensación entre costo y beneficio.

Serían los bancos los que están montando este tipo de sistemas. Y al final del día, si sus departamentos de TI no están haciendo ningún análisis de la situación... entonces no pasa nada.

Si están haciendo un análisis de la cantidad de transacciones fraudulentas que les suceden a sus clientes (y todavía no los tienen), entonces supongo que los CIO a los que se les han presentado estos están viendo algo como "cuesta nuestro banco $500,000 por año en fraude... podríamos comprar este sistema por $3,000,000".

Y luego, cuando toman las decisiones presupuestarias, simplemente no hay suficiente para todos, o tienen otros proyectos con prioridades más altas.

Hay encriptación de los datos que se envían a través de la red. La cuestión clave es que si la tarjeta se pierde o se extravía, se puede usar de forma indebida y esto es lo que sucede bastantes veces.

La autenticación de contraseña única es mucho mejor, sin embargo, no se puede implementar de la noche a la mañana en todos los casos de uso, se necesita tiempo para que todos en la cadena de suministro se actualicen a un sistema más nuevo. Por lo tanto, sucederá horas extras. E incluso con una contraseña de un solo uso, hay casos en los que se robó/clonó una tarjeta SIM, se pirateó una cuenta y se ingresó una contraseña de un solo uso... o se pirateó el número de teléfono en la base de datos de la empresa y se cambió a un nuevo número, alertas y códigos de un solo uso recibidos en nuevos número ...

Entonces, en el mundo de hoy, siempre es la lucha entre cuál es la mejor manera de minimizar el fraude y es una batalla como siempre entre el bien y el mal.

Estoy de acuerdo en que hay un costo, pero uno se imagina que hoy en día, el costo ha caído muy por debajo del riesgo que corren los bancos. Existe la verificación de dos pasos de Google que, en teoría, debería eliminar un alto porcentaje del fraude simple que se está produciendo. Mi esposa puede tener mi tarjeta y todos los detalles que un cónyuge conocería, pero sin mi teléfono inteligente en la mano también, no hay transacción.

Si Google puede ofrecer esto como una medida de seguridad gratuita para el sitio web de uno, parecería que una asociación con las principales compañías de tarjetas sería una evolución natural.

(En una reflexión más profunda, este es un comentario, ya que también me sorprende que no haya despegado).

¿Por qué no se ha introducido el cifrado de clave pública o la contraseña de un solo uso para combatir el fraude con tarjetas en línea?
RespuestasAquíPolítica de privacidad1y, 0v