Магнитные карты

Магнитные карточки появились около 40 лет назад и первоначально предназначались для удобного обслуживания путешествующих бизнесменов, а затем стали использоваться для управления работой банкоматов. Впервые банкомат, работающий от карточки с магнитной полосой, был представлен в 1969 г. фирмой "Докьютел" (Docutel) в США. На сегодняшний день с магнитными картами работают все международные платежные системы. Существует много национальных и международных стандартов на магнитные карточки. Во-первых, карточка должна соответствовать спецификациям Международной организации по стандартизации (ISO), которыми устанавливаются размеры карты и то, как она должна себя вести при механических, физических, химических и других воздействиях. Спецификация 7811 предписывает определенные размеры карточек (в мм): длина – 85,6; ширина – 53,9; толщина – 0,76. На лицевой стороне карточки содержатся:

  • • имя держателя ( Cardholder);
  • • номер его банковского счета;
  • • шифр его отделения банка;
  • • наименование банка;
  • • символы электронной системы платежей, в которой используются карточки данного вида;
  • • голограмма – фирменный знак платежной системы. Цель нанесения голограммы – сделать внешний вид карты более привлекательным и защитить от подделки. Впервые голограмму применили в системе MasterCard в 1985 г.;
  • • срок пользования карточкой.

На обратной стороне карточки располагается магнитная полоса, а также возможны фотография держателя и образец его подписи (ряд платежных систем допускает расположение этих реквизитов на лицевой стороне карточки, например, MasterCard City Bank на своих кредитных картах).

Для идентификации клиентов при работе с банкоматами и терминалами используют PIN-код. Это персональный номер (идентификатор) (Personal Identification Number), который представляет собой последовательность цифр (обычно 4-6, но может быть и до 12). По способу назначения можно выделить следующие типы PIN-кодов:

  • • назначаемые выведенные (derived) PIN;
  • • назначаемые случайные (random) PIN;
  • PIN, выбираемый пользователем.

В связи с тем что PIN предназначен для идентификации и аутентификации клиента, его значение должно быть известно только клиенту. У каждого из типов PIN-кодов есть свои достоинства и недостатки. Использование PIN, назначаемого банком, неудобно даже при небольшом количестве цифр. Это и является причиной того, что клиенты записывают код и хранят его вместе с картой, несмотря на предупреждение банка. Если код является числом случайным или выбран пользователем, то его копия должна быть где-то зафиксирована: либо в банковской системе, либо на карге. Если PIN-код выведенный, то его копия может нигде не храниться. Закрытым будет сам алгоритм формирования и проверки кода. Однако в случае раскрытия этого алгоритма придется перевыпускать всю партию карточек. Для большего удобства клиента подходят PIN-коды, выбираемые пользователем. Однако клиенты часто выбирают цифры, которые достаточно легко можно вычислить (месяц и дата рождения, год рождения, телефон, домашний адрес и т.п.), что может привести к определенным проблемам.

Существуют два основных способа проверки PIN-кода: алгоритмический и неалгоритмический.

При алгоритмическом способе проверки PIN-кол,, введенный с клавиатуры, преобразуется по определенному алгоритму с использованием секретного ключа и сверяется со значением PIN-кода, хранящимся на карточке. Достоинством этого способа проверки является отсутствие копии PIN-кода на банковском компьютере, что исключает его раскрытие персоналом банка, быстрота и низкая себестоимость выполнения проверки, отсутствие передачи PW-кода по линиям связи, что исключает его перехват злоумышленником и навязывание результатов сравнения.

При неалгоритмическом способе проверки введенный PW-код проверяется путем прямого сравнения с копией PW- кода, хранящейся в базе данных банковского компьютера. Часто сама база данных прозрачно шифруется, чтобы не затруднять процесс сравнения, по повысить ее защищенность.

В настоящее время ведутся дискуссии по поводу применения PW-кода для идентификации клиента. Сторонники его применения утверждают, что вскрытия PW-кода составляют несколько случаев на сотни миллионов транзакций. А противники считают, что PW-код может работать только в следующих случаях:

  • • отсутствует передача карточки при передаче ее от банка клиенту;
  • • банковские карточки не воруют, не теряют, их нельзя подделать;
  • • PW-код невозможно узнать при доступе к системе другим пользователем;
  • • в электронной системе банка отсутствуют сбои и ошибки;
  • • в самом банке нет мошенников.

К сожалению, в последние годы наметилась тенденция похищения PW-кодов, разработана многочисленная аппаратура, позволяющая "подсмотреть" вводимый код.

В качестве альтернативы предлагается использовать устройства идентификации, основанные на биометрическом принципе (геометрия кисти, отпечатки пальцев, отпечатки ладони, записи голоса, радужная оболочка глаза). Большинство биометрических критериев требует объема памяти в несколько сотен байт, а также специального оборудования для идентификации пользователя. Кроме того, практически для всех систем безопасности, построенных на использовании биометрии, характерно появление ошибок первого и второго рода. Вследствие ошибок первого рода система отвергает действительного пользователя. Ошибки второго рода состоят в том, что система не отвергает недействительного пользователя.

Ошибки первого и второго рода связаны с изменением реальных биометрических характеристик пользователя (например, изменение голоса из-за болезни или усталости). Наличие этих ошибок может стать серьезной проблемой при использовании методов биометрии в предприятиях торговли и банкоматах как для клиентов, не сумевших воспользоваться услугой, так и для самих банков, предприятий торговли, теряющих клиентов. Поэтому пока биометрические критерии не нашли широкого распространения в этой сфере, хотя попытки делаются (в Японии и Германии выпускаются банкоматы, идентифицирующие пользователя по радужной оболочке глаза, устройства типа HandKey для проверки геометрии кисти, предлагаемые для использования в торговой сети, и т.д.).

Магнитные карточки нельзя считать идеальным платежным средством, так как они имеют множество недостатков. Назовем их.

  • 1. Плохие эксплуатационные характеристики (информацию на магнитном носителе легко можно разрушить).
  • 2. Отсутствует возможность надежного обновления информации, что не позволяет хранить на карточке информацию о состоянии счета клиента.
  • 3. Необходимость обслуживания карточки в режиме online, что повышает издержки эксплуатации подобной системы. Это означает, что для каждой транзакции необходимо обращаться в центр авторизации для подтверждения подлинности карточки и состояния счета клиента, что дорого и недостаточно надежно.
  • 4. Слабая защита от мошенничества (эти карточки легко подделать либо путем производства фальшивок, либо скопировав информацию с них). Причем масштабы и изощренность мошенничеств растут с каждым годом.

Низкое качество телекоммуникационных сетей не позволяет картам с магнитной полосой широко применяться на российском рынке. В этих условиях смарт-карты – это оптимальное решение для повышения эффективности и надежности безналичных расчетов.

 
< Пред   СОДЕРЖАНИЕ     След >