Visuelt kryptogram

Visuelt kryptogram betegner vanligvis de tre siste sifrene på baksiden av betalingskortet.

Det mest brukte begrepet er kryptogram visuelt , men også begrepene sikkerhetskode ( kortsikkerhetskode eller SCC på engelsk), eller CVV (for kortverifiseringsverdi ) eller CVC (for kortverifiseringskode ) bekreftelseskode ( V-kode eller V-kode) ), eller kortkodeverifisering (CCV). Alle disse vilkårene refererer til metoder som brukes til å sikre betalingskorttransaksjoner og gir økt beskyttelse mot falske bruk av betalingskort.

Typer koder

Det finnes forskjellige typer sikkerhetskoder:

• CVV1 eller CVC1, er kryptert i kortets magnetstripe og brukes til personlige transaksjoner. Formålet med CVC1 eller CVV1 er å sikre at dataene som er registrert på magnetstripen på kortet er gyldige og er generert av den utstedende banken. Denne verdien presenteres i hver transaksjon og bekreftes av banken som utstedte kortet. Grensene for CVC1 eller CVV1 er at hvis hele magnetstripen kopieres, kan kortet dupliseres for eksempel av den uærlige ansatte i en butikk ved hjelp av et elektronisk verktøy (skimming på engelsk).
• CVV2 eller CVC2 eller CVx2. Denne sikkerhetskoden blir ofte bedt om av selgere for å sikre en ekstern transaksjon, enten via internett, post, faks eller telefon. I mange vesteuropeiske land er det nå obligatorisk å oppgi denne koden når transaksjonen er ekstern
• Kontaktløse betalingskort gir sine egne elektronisk genererte koder, for eksempel iCVV eller dynamisk CVV.

Disse kodene skal ikke forveksles med kredittkortnummeret som vanligvis vises i lettelse på betalingskortet. Selve kredittkortnummeret er underlagt sitt eget valideringssystem med algoritmen kalt Luhns formel som brukes til å bestemme om kortnummeret er gyldig.

Disse kodene skal heller ikke forveksles med 3-D Secure PIN- koden eller passordet som kalles "MasterCard SecureCode" eller "Verified by Visa". Disse kodene er ikke skrevet ut eller uthevet på kortet, men legges inn manuelt på tidspunktet for transaksjonen.

Kodeplassering

Sikkerhetskoden (CVV2 eller CVC2) er en gruppe på 3 eller 4 sifre trykt på baksiden av betalingskortet til høyre for plassen som er reservert for signaturen, men den er ikke kodet i magnetstripen.

• MasterCard , Visa, Diners Club , Discover (USA) og JCB (Japan) betalingskort har en tresifret sikkerhetskode. Denne koden er ikke i lettelse som nummeret på betalingskortet, det er alltid de tre siste sifrene som er trykt på baksiden av kortet til høyre for plassen som er reservert for signaturen. De nye Visa- og MasterCard-kredittkortene har denne koden et eget sted til høyre for signaturstedet, for å forhindre at de tre sifrene blir krysset av signaturen på kortet. Disse kodene har et annet navn, avhengig av utsteder av betalingskortet:
  • "CVC2" (kortvalideringskode) på MasterCard,
  • "CVV2" (kortverifiseringsverdi) hos Visa,
  • "CID2" (kortidentifikasjonsnummer) hos Discover (USA).

• American Express- betalingskort har en firesifret sikkerhetskode trykt på forsiden av kortet over kortnummeret. Dette nummeret er ikke preget som kortnummeret. Denne koden kalles på American Express:
  • "CID" (unik kortkode)

Fordeler med systemet

Ettersom sikkerhetskoden ikke er inkludert i magnetstripen, er den vanligvis ikke inkludert i en ansikt til ansikt-transaksjon hos en forhandler. Men i USA krever noen få selskaper som Sears eller Staples denne koden.

For American Express-kort i Europa begynte bruken av sikkerhetskoden for eksterne transaksjoner i 2005. Dette øker beskyttelsesnivået for banken og kortholderen, i den forstand at en ondsinnet selger ikke bare kan fange opp dataene fra magnetstripe for gjenbruk for påfølgende fjernbetaling. For dette bør selgeren notere CVV2-koden på tidspunktet for transaksjonen der han ønsker å fange opp dataene fra magnetstripen, noe som vil vekke mistanke hos kortholderen.

I USA forbyder Visa selgere å beholde CVV2-koden etter transaksjonen. Dermed, selv i tilfelle tyveri av en transaksjonsfil, der CVV2-kodene ikke vises der, vil tyver ikke kunne bruke kortnummerene til å utføre falske transaksjoner.

PCI DSS- standarden (DSS = datasikkerhetsstandard) og PCI = betalingskortindustrien forbyr også lagring av sikkerhetskoden samt andre sensitive data relatert til autorisasjonen. Dette for enhver enhet som registrerer, behandler, overfører betalingskortdata .

Hensikten med å gi en CSC-sikkerhetskode er å verifisere at forbrukeren har kortet i sin besittelse. Å kjenne denne koden beviser at forbrukeren har sett kortet. Til dags dato er ingen programvare som tillater å " knekke " dette systemet kjent.

Grenser

• Bruken av sikkerhetskoden beskytter ikke mot phishing- teknikker , der kortholderen får til å tro at han legger inn sikkerhetskoden og de andre dataene på kortet sitt på et falskt nettsted. Økningen i phishing har redusert effektiviteten til sikkerhetskoden som en bedrageribruk. Det er også svindel der phishing-forfatteren allerede har fått brukerens kortnummer (for eksempel ved å hacke en selgers database) ved å sende dem disse stjålne dataene for å gi dem en falsk følelse av sikkerhet før de ber dem om å fylle ut et skjema som ber om sikkerheten. kode som ikke ble registrert i den stjålne databasen.
• Ettersom sikkerhetskoden ikke trenger å bli registrert av selgeren (etter at transaksjonen som sikkerhetskoden ble brukt for er godkjent og fullført), er ikke en selger som trenger å bruke et kort for abonnement regelmessig ikke i stand til å gi denne sikkerheten koden etter den første transaksjonen.
• Noen kortleverandører bruker foreløpig ikke sikkerhetskoden - selv om MasterCard og Visa startet henholdsvis i 1997 i 2001. Imidlertid er det mer sannsynlig at transaksjoner uten sikkerhetskode vil bli gjenstand for mer kontroll mot svindel, påtrykt og falske transaksjoner uten sikkerhet. koden er mer sannsynlig å bli løst til fordel for kortholderen.
• Det er ikke obligatorisk for en forhandler å be om sikkerhetskoden for å fullføre en transaksjon, og derfor vil et kort alltid være i fare for å bli brukt svindel hvis nummeret er i hendene på phishing-forfatteren.

Sikkerhet fra kortholderen

Kunnskap om det visuelle kryptogrammet, sammen med kunnskapen om det 16-sifrede nummeret som vises på forsiden av bankkortet, tillater eieren av kortet, men også enhver tredjepart, inkludert kriminelle, å foreta online-kjøp fra innehaverens bankkonto.

Det anbefales derfor å lære dette kryptogrammet utenat før du får det til å forsvinne med en lett "riper" med en knivspiss, en tapp eller et kompass, med plikten til ikke å skade datamaskinbrikken eller magnetstripen.

Genererer kortsikkerhetskoder

Verdiene til kodene CVC1, CVV1, CVC2 og CVV2 genereres når kartet opprettes. Disse verdiene beregnes ved å kryptere kortnummeret (PAN, primært kontonummer på engelsk), utløpsdatoen og tjenestekoden med en dekrypteringsnøkkel (ofte kalt kortverifiseringsnøkkel eller CVK på engelsk) bare kjent for banken som utsteder og deretter konvertere resultatet til desimalformat.

Dynamiske kryptogramkort

Operasjon

I 2015 dukket dynamiske kryptogramkort på markedet. Det statiske kryptogrammet, trykt på baksiden av kortet, erstattes av en mini- e-papirskjerm integrert i kortet, som kan vise tre eller fire sifre. Kryptogrammet vises permanent, men endres automatisk, vanligvis hvert 20. minutt: det beregnes av en brikke drevet av et ultratynt mini-batteri, som begge er integrert i hjertet av kortet.

Forutsigbare konsekvenser for brukerne

For folk med godt syn

Denne teknologien endrer ikke kjøpsvaner, krever ikke installasjon av noe plugin i nettleseren, og fungerer sømløst på eksisterende handelssteder. Denne typen kort gjør det mulig å bekjempe effektivt mot svindel på nettet: hvis kortinformasjonen blir stjålet (spesielt ved foto av forsiden / baksiden av kortet av et skruppelløst salgssted), blir det raskt ubrukelig siden kryptogrammet endres regelmessig .

For synshemmede

Slik det ser ut, vil en slik enhet være helt utilgjengelig for blinde eller svært synshemmede mennesker (dvs. rundt 1 300 000 mennesker i Frankrike) som dermed vil bli ekskludert fra de online shoppingmulighetene de nå bruker mye til.

Pågående eksperimenter

Flere banker har kunngjort at de vil lansere piloter på denne teknologien i 2015 og er rettet mot distribusjoner i 2016. Teknologien tilbys av de franske selskapene Oberthur Technologies ("Motion Code") og Gemalto ("DCV").

Merknader og referanser

1. Trombi.com undersøkelse om ordet brukes av fransk å utpeke de 3 sifrene på baksiden av betalingskort.
2. http://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/doc/pci_dss_v1-2.pdf
3. Urban Legends Referansesider: Scam med visumbedrageri
4. (in) "  z / OS Integrated Cryptographic Service Facility Application Programmer's Guide  " , IBM,Mars 2002, s.  209
5. (in) "  z / OS Integrated Cryptographic Service Facility Application Programmer's Guide  " , IBM,Mars 2002, s.  258
6. "  Servitøren kapret bankkortene Den useriøse medarbeideren kapret bankkortnumrene til etablissementets kunder og hevet kryptogrammet før han solgte kontaktinformasjonen til vennene sine, som deretter tillot dem å kjøpe på nettet.  "
7. Mot et dynamisk kryptogram-bankkort for mindre tilgjengelighet "Arkivert kopi" (versjon 23. juli 2018 på Internett-arkivet )
8. Blindhet, synshemmede: data på nettstedet til Association Valentin Haüy som betjener blinde og synshemmede
9. "  BPCE tester det dynamiske kryptogramkortet  "
10. "  BNP Paribas er interessert i det dynamiske bankkortet  "
11. "  Societe Generale eksperimenterer med et nytt generasjon ultra-sikkert kort for online-kjøp  "
12. (in) "  Getin Bank introduserer verdens første DCVC-kort  "

Relaterte artikler

• 3-D Secure
• Betalingskort

Ekstern lenke

• Bankkryptogrammer