Friday, February 29, 2008

PIN Entry Device Tidak Secure

Dari CSLG, University of Cambridge:

... In Chip & PIN card transactions, customers insert their card and enter their PIN into a PIN Entry Device (PED). We have demonstrated that two popular PEDs, the Ingenico i3300 and Dione Xtreme, fail to adequately protect card details and PINs. Fraudsters, with basic technical skills, can record this information and create fake cards which may be used to withdraw cash from ATMs abroad, and even some in the UK. These failures are despite the terminals being certified secure under the Visa approval scheme, and in the case of the Ingenico, the Common Criteria system. Our results expose significant failings in the entire evaluation and certification process...

Apakah perangkat yang sama dipakai juga di outlet-outlet yang menerima pembayaran dengan kartu di Indonesia?

2 comments:

iang said...

pin itu disimpen di kartu kan ya?

tuk ngakses internet bankin abn amro, mereka ngasih semacam PED itu.. dan alat ini bisa memverifikasi pin di kartu.

Andreas said...

kegagalan ingenico untuk melindungi card holder juga berarti kegagalan melindungi issuer dan acquiring bank. Bila mekanisme ini terlanjur diaplikasikan pada pola prabayar (prepaid micropayment)yang umumnya offline dan tanpa authorization (no pin entry) maka langkah yang paling mudah adalah memisahkan proses top up value dari proses deduction dengan tidak menggunakan mekanisme delta. kemudian untuk proses top-up ditambahakan kunci pembuka tersendiri yang kuncinya dihasilkan oleh random key generator oleh penerbit/issuer. Untuk Credit Card dan Debit Card lebih baik diterapkan mekanisme reciprocal authentication (lihat oath.org). monggo mas, mudah mudahan bisa membantu. Salam