芯片和密码能阻止目标的入侵吗？

Question

芯片和密码能阻止目标的入侵吗？

我们都知道，塔吉特被攻破了，黑客偷了很多信用卡号码。塔吉特现在正在倡导芯片和密码，作为为信用卡提供更好安全的一种方式。这让我很好奇。如果芯片和密码已经到位，它会阻止入侵吗？或者攻击仍然是可能的(仅仅迫使攻击者稍微改变他们的方法)？这仅仅是公关，还是芯片和PIN对目标攻击中所看到的那种攻击产生了显著的影响？

回想一下，在目标攻击中，攻击者能够破坏塔吉特的销售点终端:不仅仅是其中的一个，而是所有的终端。在这种威胁模型中，攻击者控制销售点终端，芯片和密码是否安全？

这取决于信用卡是否同时包含芯片和磁条(用于向后兼容遗留系统)，还是只包含芯片(没有向后兼容性)？我的印象是，部署的方式是:首先，我们有既支持芯片和密码的信用卡，也支持遗留的磁条；然后，过了一段时间，当芯片和PIN终端有足够的部署时，信用卡公司可能会开始提供只有芯片而不是磁条的信用卡。这对分析有影响吗？例如，答案是，如果信用卡同时拥有芯片和磁条，那么妥协的销售点终端就可以窃取信用卡号码，然后从磁条上复制CVV，但是如果信用卡只有一个芯片，那么他们就不能？

Answer 1

这取决于你所说的“预防”是什么意思。

EMV只用于同时存在卡和持卡人的事务；它的设计并不是为了提高卡不存在(CNP)事务的安全性。这对攻击者如何处理被盗的信用卡数据有一定的影响。

物理事务

如果今天所有的商人和卡片都只使用EMV，那么被盗的磁条数据对实物交易就毫无价值了--根本就没有机会使用克隆的磁条。

EMV交易是活跃的，因为在终端的调解下，卡的芯片和发行银行之间存在着“对话”。基本上，银行要求信用卡使用一个永远不会离开卡片的密码钥匙来签署交易细节。因此，制作EMV卡的副本被认为是不可能的。(磁条卡是被动的，任何知道磁条内容的人都可以授权交易；创建这样一张卡片的副本是微不足道的。)

不幸的是，EMV是普遍存在的，但仍然不普遍；只要地球上只剩下一条磁条，只有ATM机或商人，卡片将继续配有磁条，而撇去仍然是一个问题。

远程事务

问题是，磁条上的信用卡细节在某些情况下也可用于CNP交易。CNP交易通常需要卡号、持卡人姓名和到期日；所有这些值都存储在磁条上。为了解决这个问题，卡片网络设计了CVC2 2/CVV2 2 2；这个数字只打印在卡片上，但不包含在磁条数据中。

然而，并不是所有的商家都使用这种价值--例如，亚马逊(至少在我的国家)不需要它。因此，执行卡片浏览攻击的人将能够使用捕获的卡详细信息在任何不需要CVC2 2/CVV2 2的在线或电话/邮购商上进行有框架的购买。

Answer 2

似乎不是这样的。

引用Brian的文章目标突破，按数字计算 (强调我的)：

0-如果Target在入侵之前安装了该技术(如果没有端到端加密卡数据，卡号和过期日期仍然可以被窃取并用于在线交易)，芯片和PIN终端将能够阻止坏人偷窃的客户卡数量。