Eldobható kártyaszám - ez lehet a legbiztonságosabb?

A Pénzcentrum is épp a minap adott hírt arról, hogy kutatóknak sikerült feltörniük több, chippel is ellátott, RFID azonosításra alkalmas hitelkártyát is.

Néhány mozdulattal feltörték a hitelkártyát (2008. február 21. 16:00)

James Kadirire és Ayoub Shirvani legújabb publikációja azt vizsgálta, hogyan lehetne a csalás esélyét csökkenteni az online vásárlási tranzakciók esetén. Ma még ez úgy zajlik, hogy a vásárlás során a plasztik adatait a neten keresztül küldik a böngészőből az e-kereskedő oldala felé. Annak ellenére, hogy nyilvánvalóan minden biztonsági intézkedést megtesznek, számos ponton sérülékeny ez a módszer.

Az írás szerint a folyamat legvédtelenebb része a vásárló ellenőrzése. Ez ugyanis a legtöbb oldal esetében úgy történik, hogy a hitelkártya számát kell elküldeni a tranzakció jóváhagyásához. Mivel másképp nem történik azonosítás, ez gyakorlatilag annyit jelent, hogy bárki, akinek a kezébe kerülnek adataink vásárolhat számlánk terhére az interneten keresztül.

Ugyanakkor nem csupán ez az egyetlen problémás része a vásárlási folyamatnak, ugyanis a webbolt üzemeltetője vélhetően eltárolja az általunk küldött adatokat egy adatbázisban, amelyből akár egy rosszhiszeműen eljáró alkalmazott, de egy hacker is kinyerheti az adatokat.

Egy megoldás már született, több mint 10 évvel ezelőtt. A Secure Electronic Transaction (SET) protokoll lényege annyi lett volna, hogy a hitelkártya elküldött adatait speciális módszerrel kódolták volna. A módszert azonban senki sem alkalmazza, mivel az túlságosan bonyolult.

Az új ötlet, az eldobható kártyaszám (DCCN) révén a biztonsági kockázatok nagy részét ki lehetne kerülni. Az eldobható kártyaszámot még "off-line" generálnák egy előzetesen egymással megosztott kulcs alapján, vagyis az interneten csupán kódolt adatok cserélhetnének gazdát, ezzel pedig jelentős mértékben csökkenteni lehetne a visszaélések kockázatát.