信用卡号、CVV 和有效期是否被视为秘密?如果是这样,那么实体信用卡是附带的,有关卡的信息是“你知道的”。OTOH,如果您不认为这是秘密,那么信用卡就是“您所拥有的”。
来自 Wikipedia 上的 3D Secure 描述https://en.wikipedia.org/wiki/3-D_Secure
3D Secure 的最新变体包含一次性密码,是一种基于软件的强身份验证形式。但是,具有静态密码的旧变体不符合欧洲中央银行 (ECB) 2013 年 1 月的要求。
如果您认为信用卡是“您所拥有的”,那么静态密码(您所知道的)是更好的第二个因素。如果您认为这是“您所知道的”,那么 OTP 是更好的第二个因素。
我对此有点困惑。我也认为借记卡也会有类似的考虑。
基于“您拥有什么”的身份验证的要求是所有权可以明确分配给单个特定实体。这特别意味着无法(轻松)克隆此信息/设备,并且对信息的访问需要对原始设备的访问。
但信用号、CVV 和到期日是可以轻松克隆的静态信息。一旦你在某处输入了这些信息,它们就不再是你所拥有的了。因此,它们不能用作“(仅)您拥有的”身份验证。一次性密码 (OTP) 是不同的。顾名思义,这些都是一次性的,不能重复使用,因此对特定已使用OTP 的访问对攻击者没有用处。相反,需要访问生成 OTP 的设备,即“您拥有什么(仅)”。
对于信用卡:当您使用芯片和密码功能 ( EMV ) 付款或取款时,您使用的是卡的不可克隆部分,即“只有您拥有的”部分。相反,如果您只使用旧磁条或卡片上写的信息(编号、CVV...),您将处理可轻松复制的信息。这意味着此信息是“您拥有的,其他人也可能拥有的”,因此不能用于证明卡的所有权。
背面写的数字其实就是CV2。它被设计成“你拥有的东西”,因为它物理地印在卡上,但没有编码在磁条或芯片上。卡处理器的规则也禁止任何商家存储 CV2 值。
当然,在现实中,它不一定能证明对卡的物理访问,因为即使违反规则,该号码也可以被复制、写下或以电子方式存储;根据定义,任何企图欺诈的人都不会遵守规则。
相比之下,PAN 和到期日期是“你知道的”,实际上这些值在某些情况下可以由发卡机构提供给相关方。
现在,要拥有 2 因素,您应该既知道秘密又证明您最近访问过物理对象。“最近”部分可以通过多种方式实现,例如通过具有每隔几秒改变指示的内部时钟的令牌,或通过质询-响应机制。
最终可以说,即使是物理对象也只是信息:硬编码在芯片中的密钥。但是在安全方面,信息和对象之间的区别在于信息可以很容易地复制,而对象则不能。有趣的事实:你家的钥匙比物品更能提供信息,因为复制它们很容易。
如果您只想进行 MOTO 交易,则该卡甚至不需要物理存在。有一些银行发行仅供互联网使用的“虚拟卡”的例子,这些“卡”只是打印在纸上的一堆字母:卡号、有效期、持卡人姓名等。因为它们不应该是用于读卡器,无需磁条、芯片或浮雕字母。
对于“无卡”交易,零售商与卡提供商有不同的关系。他们的责任和交易成本通常更高。这是因为无卡交易(显然)比有卡交易更容易发生欺诈,尤其是使用芯片和 PIN 时。
这就是为什么在线零售商通常只会在第一次订购时将货物送到您的注册地址;或数量有限;或仅限于他们将在某个时间与您会面的交易(例如机票预订)。
基本上,因为很容易获得秘密,零售商必须选择是否承担风险,并以适合其交易环境的任何方式降低风险。