La protection des paiements électroniques est effectuée en utilisant. Protection des informations dans les systèmes de paiement électroniques. Sécurité des systèmes de paiement électronique

Solutions matérielles

Pendant un certain temps, le développement du www a été contenue par le fait que les pages HTML qui sont la base de www sont un texte statique, c'est-à-dire. Avec leur aide, il est difficile d'organiser un échange interactif d'informations entre l'utilisateur et le serveur. Les développeurs ont proposé de nombreuses façons d'élargir les capacités HTML dans cette direction, dont beaucoup n'étaient pas généralisées. L'une des solutions les plus puissantes de la nouvelle étape du développement d'Internet était l'offre de Sun à utiliser comme composants interactifs connectés aux pages HTML Java-Applet.

Java Applet est un programme écrit dans la langue de programmation Java et est compilé dans des codes d'octets spéciaux qui sont des codes de certains ordinateurs virtuels - Java Machines - et différents des codes de processeur de la famille Intel. Les applets sont chuchés sur le serveur sur le réseau et téléchargés sur l'ordinateur de l'utilisateur chaque fois que la page HTML apparaît, qui contient l'appel à cette applet.

Pour effectuer des codes d'applet, un navigateur standard comprend la mise en place d'une machine Java qui interprète les codes d'octets dans les commandants de processeur Intel (ou une autre famille). Publié dans les fonctions de la technologie Java-Applet, d'une part, vous permettent de développer de puissantes interfaces utilisateur, d'organiser l'accès à toutes les ressources réseau d'URL, de faciles à utiliser des protocoles TCP / IP, FTP, etc., et, d'autre part, priver. La possibilité de mettre en œuvre l'accès directement aux ressources informatiques. Par exemple, les applets n'ont pas accès au système de fichiers informatiques et aux périphériques connectés.

Une solution similaire aux fonctionnalités de WWW améliorées est Microsoft - Active X. Technologie. Les différences les plus significatives de cette technologie à partir de Java sont que les composants (analogues d'applets) sont des programmes dans les codes de processeur Intel et le fait que ces composants ont accès à toutes les ressources informatiques., ainsi que des interfaces et des services de Windows.

Une autre approche moins courante de l'expansion des capacités de l'Internet est une approche basée sur l'utilisation du plug-in du plug-in intégré de Netscape Navigator pour les modules Netscape Netscape. C'est cette technologie qui semble la base la plus optimale pour la construction de systèmes de protection des informations de paiement électroniques sur Internet. Pour une présentation supplémentaire, nous considérons comment le problème de la protection des informations du serveur Web est résolu en utilisant cette technologie.

Supposons qu'il existe un serveur Web et l'administrateur de ce serveur, vous devez restreindre l'accès à une partie de la matrice d'informations du serveur, c'est-à-dire Organiser afin que certains utilisateurs aient accès à des informations et que les autres ne le sont pas.

Actuellement, un certain nombre d'approches visant à résoudre ce problème, en particulier, de nombreux systèmes d'exploitation gérés par les serveurs Internet, demandent un mot de passe d'accéder à certaines de leurs propres régions, c'est-à-dire besoin d'une authentification. Une telle approche présente deux inconvénients significatifs: premièrement, les données sont stockées sur le serveur lui-même sur le formulaire ouvert et, deuxièmement, les données sont transmises sur le réseau également sous la forme ouverte. Ainsi, l'attaquant provient de la possibilité d'organiser deux attaques: en réalité au serveur (sélection de mot de passe, contournement de mot de passe I.t.) et l'attaque de trafic. Les faits de la mise en œuvre de cette attaque sont largement connus de la communauté Internet.

Une autre approche célèbre de résolution du problème de la protection de l'information est une approche basée sur la technologie SSL (couche de prises sécurisées). Lorsque vous utilisez SSL entre le client et le serveur, un canal de communication protégé est défini sur lequel les données sont transmises, c'est-à-dire Le problème de la transmission de données dans l'espace ouvert peut être considéré comme relativement résolu. Le principal problème SSL est de créer un système clé et de le contrôler. Quels sont les problèmes de dépannage sur le serveur sur le formulaire ouvert, il reste non résolu.

Un autre inconvénient important des approches décrites ci-dessus est la nécessité de leur soutien sur le logiciel et le serveur, ainsi que le client du réseau, qui n'est pas toujours possible et pratique. Surtout dans les systèmes orientés sur une masse et un client non organisé.

L'auteur proposé par l'auteur est basé sur la protection des pages HTML directement, qui sont les principales informations porteuses sur Internet. La créature de la protection est que les fichiers contenant des pages HTML sont stockés sur le serveur sous forme cryptée. Dans le même temps, la clé sur laquelle ils sont cryptés sont connus uniquement pour le chiffrer (administrateur) et les clients (en général, le problème de la construction d'un système clé est résolu de la même manière que dans le cas du cryptage de fichier transparent).

L'accès des clients à des informations sécurisées est effectué à l'aide du plug-in Netscape pour la technologie Netscape Modules. Ces modules sont des programmes, des composants logiciels plus précisés associés à certains types de fichiers dans la norme MIME. MIME est une norme internationale qui définit les formats de fichiers sur Internet. Par exemple, il y a des types de fichiers suivants: Texte / HTML, Texte / Placement, Image / JPG, Image / BMP, etc. De plus, la norme définit le mécanisme permettant de définir les types d'utilisateurs de fichiers pouvant être déterminés et utilisés par des développeurs indépendants.

Ainsi, les modules Plug-ins sont utilisés, associés à certains types de fichiers MIME. La communication est que lors de l'accès à l'utilisateur aux fichiers du type correspondant, le navigateur lance le plug-in associé à celui-ci et ce module effectue toutes les actions pour visualiser les données de fichier et traiter les actions de l'utilisateur avec ces fichiers.

Les modules qui jouent des vidéos au format AVI peuvent être apportés sous forme de modules plug-in les plus célèbres. Affichage des fichiers de données n'est pas inclus dans les capacités du navigateur à temps plein, mais en définissant le plug-in approprié, vous pouvez facilement afficher ces fichiers dans le navigateur.

Ensuite, tous les fichiers cryptés conformes à la norme internationale établie sont définis comme type de fichiers MIME. "Application / X-SHP". Ensuite, conformément aux protocoles de technologie et de Netscape, le plug-in est développé, qui se lie à ce type de fichiers. Ce module effectue deux fonctions: premièrement, il demande un mot de passe et un identifiant de l'utilisateur, et d'autre part, il fonctionne à déchiffrer et à afficher le fichier à la fenêtre du navigateur. Ces module sont définis, conformément au Netscape installé régulier, la commande de navigateurs de tous les ordinateurs de clients.

Sur cette étape préparatoire du travail terminé, le système est prêt à fonctionner. Lorsque vous travaillez, les clients font appel aux pages HTML cryptées pour leur adresse standard (URL). Le navigateur détermine le type de ces pages et démarre automatiquement le module développé par nous en lui transmettant le contenu du fichier crypté. Le module effectue l'authentification du client et lorsqu'il a été rempli avec succès, déchiffre et affiche le contenu de la page.

Lors de l'exécution de l'ensemble de la procédure, le client crée un sens du cryptage de pages "transparent", car l'ensemble du travail du système est caché de son œil. Dans le même temps, toutes les caractéristiques standard incorporées dans des pages HTML, telles que l'utilisation d'images, des applets Java, des scénarios CGI sont enregistrés.

Il est facile de voir qu'avec cette approche, de nombreux problèmes de protection de l'information sont résolus, car Sur la forme ouverte, il est uniquement sur des ordinateurs de clients, les données sont transmises sur le réseau sous forme cryptée. Un attaquant, poursuivant l'objectif de recevoir des informations, ne peut implémenter que l'attaque d'un utilisateur spécifique et aucun système de protection des informations de serveur ne peut être protégé de cette attaque.

Actuellement, l'auteur a développé deux systèmes de sécurité de l'information basés sur l'approche proposée, pour le navigateur Netscape Navigator (3.x) et Netscape Communicator 4.x. Au cours de pré-test, il est établi que les systèmes développés peuvent fonctionner normalement et exécuter Mexplorer, mais pas dans tous les cas.

Il est important de noter que les données des versions système ne chiffrent pas d'objets associés à une page HTML: images, applets de script, etc.

System 1 offre une protection (cryptage) en réalité des pages HTML, en tant qu'objet unique. Vous créez une page, puis cryptez-le et copiez-le sur le serveur. Lors de l'accès à une page cryptée, il est automatiquement déchiffré et affiché dans une fenêtre spéciale. Le système de protection de support du logiciel serveur n'est pas requis. Tous les travaux sur le cryptage et le décryptage sont effectués sur le poste de travail du client. Ce système est universel, c'est-à-dire Cela ne dépend pas de la structure et du but de la page.

Le système 2 offre une approche différente de la protection. Ce système fournit un affichage de vos informations sécurisées dans une zone. Les informations réside dans le fichier crypté (pas nécessairement dans le format HTML) sur le serveur. Lorsque vous allez sur votre page, le système de protection fait automatiquement référence à ce fichier, lit les données de celui-ci et les affiche dans une zone de page spécifique. Ces approches permettent d'atteindre une efficacité maximale et une beauté esthétique, avec une polyvalence minimale. Ceux. Le système s'avère être un rendez-vous spécifique.

Cette approche peut également être appliquée lors de la construction de systèmes de paiement électroniques via Internet. Dans ce cas, lors de l'accès à une page de serveur Web, le module Plug-in démarre, qui affiche le formulaire de commande de paiement de l'utilisateur. Une fois le client le remplit, le module crypte les données de paiement et les envoie au serveur. Dans le même temps, il peut demander une signature électronique de l'utilisateur. De plus, les touches de cryptage et de signature peuvent être lues à partir de tout support: des disques flexibles, des tablettes électroniques, des cartes à puce, etc.

Règles de base qui devraient être suivies de l'acheteur

  1. Ne jamais informer votre mot de passe à personne, y compris les employés de systèmes de paiement.
  2. Vérifiez que la connexion se produit vraiment dans le mode SSL sécurisé - l'icône de verrouillage fermé doit être visible dans le coin inférieur droit de votre navigateur;
  3. Vérifiez que la connexion est établie avec précision avec l'adresse du système de paiement ou de la banque Internet;
  4. Ne jamais enregistrer des informations sur votre mot de passe sur un support, y compris sur l'ordinateur. Si vous soupçonnez que tout le monde a eu accès à votre compte personnel, changez votre mot de passe ou bloquez votre compte / compte;
  5. Après avoir terminé le travail, assurez-vous d'appuyer sur le bouton de sortie;
  6. Assurez-vous que l'ordinateur n'est affecté par aucun virus. Installez et activez les programmes antivirus. Essayez de les mettre à jour constamment, car l'action des virus peut être dirigée vers le transfert d'informations sur votre mot de passe à des tiers;
  7. Utilisez des logiciels de sources éprouvées et fiables, effectuez des mises à jour régulières.

Statistiques
Selon les statistiques, les systèmes suivants sont les plus souvent soumis à des attaques: terminaux (32%), serveurs de base de données (30%), serveurs d'applications (12%), serveurs Web (10%). Sur les postes de travail, serveurs d'authentification, serveurs de sauvegarde, stockages de fichiers et autres comptes pour seulement 10%. De ces statistiques, la pertinence de la sécurité est clairement visible. sites et applicationsDepuis leurs vulnérabilités, il devient le plus souvent possible d'obtenir un accès à des données.

Qu'est-ce qui garantit la sécurité des systèmes de paiement

Connexions Internet sécuritaires / cryptées

  • Actuellement, la disponibilité d'un certificat SSL sur le site n'est pas une condition suffisante pour la conduite sûre des paiements Internet. Seule une approche intégrée certifiée par les normes internationales modernes, suggère que la sécurité des paiements Internet est fournie au plus haut niveau.

Protection du client

  • Connexion / mot de passe L'accès à la connexion, qui passe des tests de complexité;
  • Combinaison du numéro de carte bancaire, la période de validité du titulaire de la carte, des codes CVV / CVC;
  • La capacité de créer une carte virtuelle, dupliquant le principal, pour les paiements Internet;

Protection technique

  • Lier un service de paiement à une adresse IP fixe et un numéro de téléphone client;
  • Rendre l'accès du client au protocole HTTPS / SSL crypté;
  • Possibilité d'utiliser un clavier virtuel pour un ensemble de données d'identification (contrecarrer l'interception de données personnelles);
  • Séparation des canaux de génération de transactions et de la chaîne d'autorisation de transaction:
    • l'autorisation de transaction est effectuée via un code spécial qui, lors du paiement, le client reçoit du système à son téléphone mobile selon SMS (combinaison aléatoire de lettres et de chiffres n'agissant que dans quelques minutes).

Protection des cartes en plastique
Les malfaiteurs tentent le plus souvent d'accéder aux données de la carte. Dans les rapports de recherche sur les spécialistes de la sécurité des paiements - Verizon et Trustwave Sociétés, les statistiques sont indiquées: dans les 85 et 98 cas de 100, respectivement, le but de l'attaque était la nomination des données à charge.

Certification des systèmes de paiement
Certification des prestataires de services et des propriétaires d'entreprises (Merchantov) avec le nombre de transactions de plus de 6 millions par an est soumis à une certification qualifiée de l'évaluateur de la sécurité, qui, en Russie, sont émises par IBM Sociétés, NVISION Group, Deiteriy, Sécurité numérique, Trustwave, Evrahas IT , Informables, Info Systems Jet, Crook Incorpéd.

  1. Certificat de conformité Standard Norme de sécurité des données de la carte de paiement (PCI DSS);
  2. Certificat de sécurité pour le respect des exigences de gestion de la sécurité des informations internationales dans le développement, la mise en œuvre et la maintenance de l'ISO / CEI 27001: 2005;
  3. L'utilisation de la signature numérique électronique (EDS);
  4. Licences pour le droit d'effectuer des activités sur la fourniture, la maintenance, la distribution des fonds de cryptage (cryptographiques).

À compter du 1er juillet 2012, l'utilisation d'applications sans surveillance avec des entreprises relevant de la norme PCI DSS sera interdite.
La norme PCI DSS pour la protection de l'information dans l'industrie des cartes de paiement a été développée par les systèmes de paiement VISA et MASTERCARD internationaux et est un ensemble de 12 exigences détaillées pour assurer la sécurité des données sur les titulaires de cartes de paiement, qui sont transmises, sont stockées et traitées dans des infrastructures d'information. d'organisations. L'adoption de mesures appropriées pour assurer le respect des exigences de la norme implique une approche intégrée pour assurer la sécurité des informations des cartes de paiement.

Lieux vulnérables et façons de protection
Du point de vue de la sécurité de l'information dans les systèmes de paiement électroniques, il existe les lieux vulnérables suivants:

  1. Expédition de paiement et autres messages entre la banque et le client et entre les banques;
  2. Traiter des informations dans l'expéditeur et le destinataire des messages;
  3. Accès client aux fonds accumulés sur les comptes.
  4. L'un des endroits les plus vulnérables du système de paiement électronique consiste à envoyer un paiement et d'autres messages entre les banques entre la banque et un guichet automatique, entre la banque et le client.

Protection lors de l'envoi de messages de paiement:

  1. Les systèmes internes des organisations de l'expéditeur et des bénéficiaires doivent être adaptés pour envoyer et obtenir des documents électroniques et fournir la protection nécessaire lorsqu'elles sont traitées au sein de l'organisation (protection des systèmes terminaux);
  2. L'interaction de l'expéditeur et le destinataire du document électronique est médiée par la chaîne de communication.

Problèmes résolus dans l'organisation de la protection des paiements:

  • identification mutuelle des abonnés (problème d'établissement de l'authenticité mutuelle lors de l'établissement d'un composé);
  • protection des documents électroniques transmis via des canaux de communication (problèmes de confidentialité et d'intégrité des documents);
  • assurer l'exécution du document (le problème de la méfiance mutuelle entre l'expéditeur et le destinataire en raison de leur appartenance à diverses organisations et une indépendance mutuelle).

Assurer la sécurité des systèmes de paiement

  • garanties de livraison;
  • l'impossibilité de refuser de prendre des mesures sur un message;

La qualité de la solution des problèmes ci-dessus est largement déterminée par le choix rationnel des agents cryptographiques lors de la mise en œuvre de mécanismes de protection.

Le système de paiement est un système d'interaction entre les participants
D'un point de vue organisationnel, le noyau du système de paiement est l'association des banques, unies par des obligations contractuelles. De plus, le système de paiement électronique comprend des entreprises de commerce et de services générant un réseau de points de service. Pour le fonctionnement réussi du système de paiement, des organisations spécialisées fournissant un support technique au service à la clientèle sont nécessaires: les centres de traitement et de communication, les centres de maintenance, etc.


Sécurité des systèmes de paiement électronique

La pratique moderne des opérations bancaires, des transactions commerciales et des paiements mutuels est impossible à soumettre sans calculs à l'aide de cartes en plastique.

Le système de calculs sans numéraire utilisant des cartes en plastique est appelé système de paiement électronique .

Pour assurer un fonctionnement normal, le système de paiement électronique doit être sécurisé.

C Le point de vue de la sécurité des informations dans les systèmes de paiement électroniques existent les lieux vulnérables suivants:

  • expédition de paiement et autres messages entre les banques entre la banque et un guichet automatique, entre la banque et le client;
  • traitement des informations dans les restrictions de l'expéditeur et du destinataire des messages;
  • accès client aux fonds accumulés sur les comptes.

Le paiement et d'autres messages sont envoyés à de telles fonctionnalités:

  • les systèmes internes des organisations de l'expéditeur et des bénéficiaires devraient fournir la protection nécessaire dans le traitement des documents électroniques (protection des systèmes terminaux);
  • l'interaction de l'expéditeur et le destinataire du document électronique est médiée par la chaîne de communication.

Ces caractéristiques donnent lieu aux problèmes suivants:

  • identification mutuelle des abonnés (problème d'établissement de l'authenticité mutuelle lors de l'établissement d'un composé);
  • protection des documents électroniques transmis via des canaux de communication (problème de la confidentialité et de l'intégrité des documents);
  • protection du processus d'échange de documents électroniques (problème de la preuve du départ et de la livraison du document);
  • assurer l'exécution du document (le problème de la méfiance mutuelle entre l'expéditeur et le destinataire en raison de leur appartenance à différentes orgérissements et à une indépendance mutuelle).

Pour assurer des fonctionnalités de sécurité des informations sur des nœuds individuels de systèmes de paiement électroniques, les mécanismes de protection suivants doivent être mis en œuvre:

  • contrôle de l'accès sur les systèmes terminaux;
  • surveiller l'intégrité du message;
  • assurer la confidentialité du message;
  • authentification mutuelle des abonnés;
  • l'impossibilité de refuser la paternité du message;
  • garanties de livraison;
  • l'impossibilité de refuser de prendre des mesures sur la communication;
  • séquence d'enregistrement de messages;
  • surveillance de l'intégrité de la séquence de message.

Ainsi, les cartes en plastique électroniques sont utilisées comme agent de paiement dans le système de paiement électronique.

Carte en plastique électronique - Il s'agit d'un moyen d'information qui identifie le propriétaire et stocke certaines références.

Les cartes de crédit et de débit distinguent.

Cartes de crédit sont le type le plus courant de cartes en plastique. Ceux-ci incluent des systèmes nationaux Visa et MasterCard, American Express et un certain nombre d'autres. Ces cartes sont présentées pour payer des biens et des services. Lorsque vous payez avec une carte de crédit, la banque de l'acheteur ouvre un prêt pour la quantité d'achat, puis un certain temps (généralement 25 jours) envoie un compte par courrier. L'acheteur doit renvoyer le chèque payé (compte) à la banque. Naturellement, un schéma similaire de la Banque ne peut offrir que les plus riches et prouvés de ses clients qui ont un bon historique de crédit à la banque ou à un investissement solide dans la banque dans les VitivesPosites, les valeurs ou l'immobilier.

Propriétaire carte de débit Doit faire un certain montant à l'avance dans l'émetteur de la banque. Ce montant détermine la limite des fonds disponibles. Lorsque vous effectuez des calculs à l'aide de cette carte, la limite est réduite en conséquence. Pour renouveler ou augmenter la limite, le propriétaire doit retourner de l'argent à son compte. Pour l'assurance de la pause temporaire entre le moment de paiement et le moment de recevoir les informations pertinentes de la Banque sur le compte du client, un solde non signé doit être maintenu.

Les cartes de crédit et de débit peuvent non seulement être personnelles, mais aussi une entreprise. Cartes d'entreprise Fourni par ses employés pour payer des frais de voyage ou d'autres frais de service. Les cartes d'entreprise de la société sont associées à un compte d'un seul compte. Ces cartes peuvent avoir une limite séparée ou indivisée. Dans le premier cas, chacun des détenteurs de cartes d'entreprise établit une limite individuelle. La deuxième option est plus adaptée aux petites entreprises et n'implique pas de distinction entre la limite.

La carte en plastique est une plaque à base de plastiques spéciaux, résistants aux effets mécaniques et thermiques. Selon la norme ISO 9001. Toutes les cartes en plastique ont des dimensions de 85,6 × 53,9 × 0,76 mm.

Pour identifier le propriétaire sur une carte en plastique sont appliqués:

  • logo de l'émetteur bancaire;
  • le logo du système de paiement servant cette carte;
  • nom du titulaire de la carte;
  • numéro de compte de la carte;
  • validité de la carte, etc.

De plus, une photo du propriétaire et sa signature peuvent être présentes sur la carte.

Les données alphanumériques (nom, numéro de compte, etc.) peuvent être embossisme. Polices défendues. Cela permet au traitement manuel du paiement reçu pour payer rapidement des données sur une vérification à l'aide d'un périphérique spécial - une imprimante qui exerce des cartes "Rolling".

Selon le principe d'action distinguer cartes en plastique passif et active. Cartes plastiques passives vient de stocker des informations. Celles-ci incluent des cartes en plastique avec une bande magnétique.

Cartes de bande magnétique Sont les plus courants - en circulation, il y a plus de deux milliards de cartes de ce type. La bande magnétique est située au verso de la carte et, conformément à la norme ISO 7811, se compose de trois pistes. Parmi ceux-ci, les deux premiers sont destinés à stocker des données d'identification et sur une troisième piste peuvent être enregistrées d'informations (par exemple, la valeur actuelle de la limite de carte de débit). Cependant, en raison de la faible fiabilité du processus d'enregistrement / lecture répété, l'enregistrement en bande magnétique n'est généralement pas pratiqué.

Cartes avec une bande magnétique relativement vulnérable à la fraude. Pour augmenter la sécurité de ses cartes VISA et MASTERCARD / EuroPAY, utilisez des outils de protection graphique supplémentaires: des polices et des polices non standard de gaufrage. Les gaufrages (dispositifs de gaufrage sur la carte) produisent un cercle limité de fabricants. Dans un certain nombre de pays occidentaux, la libre vente d'Embosserov est légalement interdite. Les caractères spéciaux confirmant l'affiliation de la carte à un système de paiement sont fournis par le propriétaire de l'embossoraire uniquement avec l'autorisation de l'organe directeur du système de paiement.

Les systèmes de paiement avec des cartes similaires nécessitent une autorisation en ligne dans les points de vente et, par conséquent, la présence de communications ramifiées et de haute qualité (lignes téléphoniques).

Une caractéristique distinctive de la carte plastique active - la présence d'un microcircuit électronique intégré. Le principe d'une carte en plastique avec microcircuit électronique breveté en 1974. Roland Moreno français. Standard Iso 7816. Détermine les exigences de base pour les cartes sur des copeaux intégrées ou des cartes à puce.

Les cartes avec un microcham peuvent être classées sur deux caractéristiques.

La première fonctionnalité est le principe d'interaction avec le dispositif de lecture. Types principaux:

  • cartes avec lecteur de contact;
  • cartes avec une lecture sans contact (induction).

Carte avec lecteur de contact Il a sur sa surface de 8 à 10 plaques de contact. Le placement des plaques de contact, leur nombre et leur objectif des conclusions sont différents de différents fabricants et naturellement, les lecteurs des cartes de ce type diffèrent les uns dans les autres.

Échange de données entre carte avec lecture sans contact Et le dispositif de lecture est fabriqué avec une méthode d'induction. De toute évidence, de telles cartes sont plus fiables et plus durables.

La deuxième caractéristique est la fonctionnalité de la carte. Types principaux:

  • compteurs de cartes;
  • cartes avec mémoire;
  • cartes avec un microprocesseur.

Compteurs de cartes Appliquer, comme les règles, dans les cas où une ou une autre opération de paiement nécessitent une diminution de la balance du compte du titulaire de la carte à un montant fixe. Ces cartes sont utilisées dans des applications prépayées spécialisées (payant pour l'utilisation de la machine téléphonique, le paiement de stationnement, etc.). Évidemment, l'utilisation de cartes avec un compteur est limitée et a beaucoup de perspective.

Cartes avec mémoire sont transitoires entre les cartes et les cartes et les cartes de microprocesseur. La carte avec la mémoire est une carte de compteur réinscriptible, qui a adopté des mesures pour accroître sa sécurité des attaquants d'attaque. Les cartes mémoire les plus simples ont une capacité de mémoire de 32 octets à 16 kilo-octets. Cette mémoire peut être organisée comme suit:

  • dispositif de stockage permanent programmable PPZ (EPROM), qui permet un enregistrement unique et une lecture multiple;
  • dispositif de stockage permanent programmable lavé électriquement EEPROM (EEPROM), qui permet une monogilisation et une lecture multiple.

Les cartes avec la mémoire peuvent être divisées en deux types:

  • avec une mémoire non protégée (sexuelle);
  • avec de la mémoire protégée.

Dans les cartes du premier type, il n'y a pas de restrictions sur les données de lecture et d'écriture. Ces cartes ne peuvent pas être utilisées comme paiement, car elles sont suffisantes pour simplement "hack".

Les cartes de deuxième type ont une zone d'identité et une ou plusieurs zones appliquées. La zone d'identification permet uniquement un enregistrement unique pendant la personnalisation et est disponible uniquement pour la lecture. L'accès aux zones d'application est réglementé et mis en œuvre uniquement lors de l'exécution de certaines opérations, en particulier lors de la saisie d'un code PIN secret.

Le niveau de protection des cartes avec la mémoire est supérieur à celui des cartes magnétiques. Comme une carte de paiement avec des cartes mémoire est utilisée pour payer les voies de paiement utilitaire, voyager dans le transport, dans les systèmes de paiement locaux (cartes de club). Les cartes mémoire sont également appliquées dans les systèmes de tolérance et l'accès aux réseaux informatiques (cartes d'identification).

Cartes avec microprocesseur Aussi appelé cartes intelligentes ou cartes à puce. Il s'agit essentiellement de micro-ordinateurs contenant tous les composants matériels de base:

  • microprocesseur avec une fréquence d'horloge de 5 MHz;
  • mémoire opérationnelle d'une capacité maximale de 256 octets;
  • capacité de la mémoire permanente jusqu'à 10 Ko;
  • capacité de mémoire non volatile jusqu'à 8 kb.

La carte à puce fournit une large gamme de fonctions:

  • délimitation des autorisations Accès aux ressources internes;
  • cryptage des données utilisant divers algorithmes;
  • formation de signature numérique électronique;
  • maintenance du système clé;
  • effectuez toutes les opérations pour interagir le propriétaire de la carte, de la banque et du marchand.

Certaines cartes à puce fournissent du mode "auto-verrouillage" lors de la tentative d'accès non autorisé.

Tout cela crée une carte à puce avec un instrument de paiement très conçu, qui peut être utilisé dans des applications financières accru les informations sur la protection des informations. C'est pourquoi les cartes à puce sont le type de cartes en plastique le plus prometteur.

Des étapes importantes de préparation et d'application d'une carte en plastique sont personnalisation et autorisation.

Personnalisation Exercé lors de la publication d'une carte du client. Dans le même temps, les données sont entrées sur la carte, permettant d'identifier la carte et de son propriétaire, ainsi que de vérifier la solvabilité de la carte lors de la réception de la possibilité de payer ou de délivrer de l'argent. La méthode initiale de personnalisation a été reliée.

La personnalisation comprend également le codage de la bande magnétique et la programmation de la puce.

Strip magnétique codant Il est généralement produit sur le même équipement que le gaufrage. Avec une éthique, une partie des informations de la carte contenant le numéro de carte et la période de son action est la même sur le bandage magnétique et sur le relief. Cependant, il existe des situations où la codage initiale est nécessaire pour appliquer en outre des informations sur la bande magnétique. Dans ce cas, des dispositifs spéciaux sont utilisés avec la fonction lecture-écriture. Cela est possible, en particulier, lorsque le code PIN d'utilisation de la carte n'est pas formé par un programme spécial, mais est sélectionné par le client à sa discrétion.

Programmation de microcircuit Ne nécessite pas de techniques technologiques spéciales, mais elle a certaines caractéristiques organisationnelles. Les opérations sur la programmation de différentes zones de puces sont donc séparées géographiquement et délimitées par les droits de divers employés. Habituellement, cette procédure est divisée en trois étapes:

  • sur le premier lieu de travail, la carte est activée (en vigueur);
  • dans le deuxième lieu de travail, des opérations liées à la sécurité sont effectuées;
  • dans le troisième lieu de travail, la personnalisation elle-même est effectuée.

Ces mesures augmentent la sécurité et excluent les violations éventuelles.

Autorisation - C'est le processus d'approbation de la vente ou de l'émission de trésorerie sur la carte. Pour l'autorisation, le point de service apporte une demande au système de paiement sur la confirmation du porteur de cartes et de ses capacités financières. La technologie d'autorisation dépend du type de carte, du schéma du système de paiement et de l'équipement technique du point de service.

L'autorisation est effectuée «manuellement» ou automatiquement. Dans le premier cas, l'autorisation vocale est effectuée lorsque le vendeur ou le caissier est une demande à l'opérateur par téléphone. Dans le second cas, la carte est placée dans un échange automatisé Terminal de point de vente (Point de vente - paiement au point de vente), les données sont lues à partir de la carte, le caissier introduit la quantité de paiement et le propriétaire de la carte est PIN (numéro d'identification personnel - numéro d'identification personnel). Après cela, le terminal exécute l'autorisation en établissant une communication avec la base de données du système de paiement (mode en ligne) ou en mettant en œuvre un échange de données supplémentaire avec la carte elle-même (mode hors ligne). Lors de la délivrance de l'argent, le processus a un caractère similaire, avec la seule caractéristique que l'argent en mode automatique est émis par un guichet automatique, qui effectue une autorisation.

Testé Way pour identifier un propriétaire de la carte en plastique est l'utilisation d'un numéro d'identification personnel secret. ÉPINGLER. . La valeur PIN doit être connue uniquement sur le titulaire de la carte. D'une part, la broche doit être suffisamment longue pour que la probabilité de deviner avec l'aide d'une exemption soit acceptable. D'autre part, la broche doit être suffisamment courte pour que le propriétaire se souvienne de lui. Habituellement, la longueur de la broche varie de 4 à 8 chiffres décimaux, mais peut atteindre 12.

La valeur de la broche est particulièrement associée aux attributs de la carte en plastique correspondants, de sorte que la broche peut être interprétée comme une signature du titulaire de la carte.

La protection de la goupille d'identification personnelle pour une carte en plastique est essentielle pour la sécurité de l'ensemble du système de paiement. Les cartes en plastique peuvent être perdues, volées ou forgées. Dans de tels cas, la seule contre-mesure contre l'accès non autorisé reste la broche secrète. Par conséquent, la goupille de forme ouverte ne doit être connue que sur le propriétaire légitime de la carte. Il n'est jamais stocké et n'est pas transmis dans le cadre du système de paiement électronique.

La méthode de génération de valeurs PIN a un impact significatif sur la sécurité du système de paiement électronique. En général, les numéros d'identification personnels peuvent être formés soit par une banque ou des titulaires de carte.

Si la broche est attribuée à une banque, l'une des deux options est généralement utilisée.

Avec la première version PIN, le compte cryptographiquement est généré à partir du compte titulaire de la carte. Le cryptage est effectué selon l'algorithme des des algorithmes en utilisant une clé secrète. Dignité: La valeur des broches n'a pas besoin d'être stockée dans le système de paiement électronique. Inconvénient: Si vous devez modifier la broche, vous devez modifier le numéro de compte du client ou la clé cryptographique. Mais les banques préfèrent le numéro de compte du client pour rester fixe. D'autre part, étant donné que toutes les broches sont calculées à l'aide d'une touche, une modification d'une broche lors de la sauvegarde du compte du client entraîne une modification de tous les numéros d'identification personnels.

Avec le deuxième mode de réalisation, la banque sélectionne la broche au hasard, tout en maintenant cette valeur en tant que cryptogramme. Les valeurs des broches sélectionnées sont transmises aux propriétaires des cartes sur un canal protégé.

L'utilisation d'une broche nommée par la banque est inconfortable pour les clients même avec une petite longueur. Une telle broche est difficile à garder en mémoire et, par conséquent, le propriétaire de la carte peut l'écrire quelque part. L'essentiel est de ne pas enregistrer la broche directement sur la carte ou une autre place importante. Sinon, la tâche des attaquants sera grandement facilitée.

Pour plus de commodité, le client utilise la valeur PIN sélectionnée par le client lui-même. Cette méthode de détermination de la goupille permet au client:

  • utiliser la même broche à diverses fins;
  • situé dans la broche non seulement des chiffres, mais aussi des lettres (pour la facilité de mémorisation).

Le client PIN sélectionné peut être transféré à la banque par courrier recommandé ou expédié par un terminal sécurisé d'un bureau bancaire, qui le crypte immédiatement. Si la banque doit utiliser la broche sélectionnée par le client, elle est appliquée comme suit. Chaque chiffre du client PIN choisi est plié par le module 10 (à l'exclusion des ports) avec le numéro de code PIN correspondant affiché par la banque à partir du compte du client. Le nombre décimal résultant est appelé "décalage". Ce déplacement est rappelé sur la carte du client. Étant donné que la sortie PIN ait un caractère aléatoire, la broche sélectionnée par le client ne peut pas être déterminée par son déplacement.

Les principales exigences de sécurité sont que la valeur de la broche doit être mémorisée par le propriétaire de la carte et ne doit jamais être stockée sous une forme lisible. Mais les gens sont imparfaits et oublient très souvent leur épingle. Par conséquent, des procédures spéciales sont destinées à de tels cas: restaurer une broche oubliée ou une nouvelle génération.

Lors de l'identification d'un client par la valeur PIN et de la carte soumise, deux méthodes principales de code PIN sont utilisées: non algorithmique et algorithmique.

Une méthode non algorithmique est effectuée par comparaison directe de la broche entrée par le client avec les valeurs stockées dans la base de données. Habituellement, la base de données avec des valeurs PIN est cryptée par cryptage transparent pour augmenter sa sécurité et ne pas compliquer le processus de comparaison.

La méthode algorithmique de vérification de la broche est que la broche entrée par le client est convertie en fonction d'un algorithme spécifique à l'aide d'une clé secrète puis comparée à la valeur PIN stockée sous une forme donnée sur la carte. Avantages de cette méthode de vérification:

  • l'absence d'une copie de la broche sur l'ordinateur principal exclut sa divulgation du personnel de la Banque;
  • l'absence de transfert de code PIN entre un guichet automatique ou un terminal POS et l'ordinateur principal de la banque exclut son interception ou leur imposant des résultats de comparaison;
  • Simplifier la création de logiciels du système, car il n'y a plus une action en temps réel.

La présence d'économies électroniques est difficile à surprendre quelqu'un, car elles ont longtemps entré l'utilisation de chaque personne et sont utilisées pour effectuer des achats sur le réseau, effectuer des traductions et une conversion de fonds. La popularité de cette monnaie est expliquée par la commodité de son utilisation, ainsi que la Commission minimale. Une attention particulière mérite la question de la sécurité de l'argent. Assurer un bon fonctionnement des normes et des mécanismes de stockage d'actifs virtuels est généralement assuré par des services de paiement, mais les utilisateurs sont tenus d'observer la précaution élémentaire lors de la manipulation de ce dernier.

Avec l'avènement de la banque d'Internet, les possibilités sont devenues encore plus. Les gens ont eu accès aux achats ou à la maintien d'autres transactions sans quitter la maison. Pour mettre en œuvre une opération, un ordinateur, un smartphone ou un autre périphérique, ainsi qu'une connexion stable au réseau.

Malgré un certain nombre d'avantages, l'argent électronique nécessitait une protection supplémentaire de l'utilisateur. Cela est dû à l'avènement d'un grand nombre de fraudeurs qui savent comment pirater des comptes personnels et obtenir les mots de passe nécessaires. C'est pourquoi il est important de prendre des mesures visant à assurer la sécurité de toute transaction sur le réseau. Après tout, les régimes d'accès non autorisé à d'autres économies virtuelles progressent et des fraudeurs de manière assez souvent en ligne sont en avance sur l'étape des développeurs de mécanismes de protection.

Risques existants et façons de base de protéger

Sur Internet, de nombreuses options de fraude permettent aux assaillants de déconcerter des personnes de trompeurs, de voler des données personnelles, puis de l'argent. Les variétés les plus populaires devraient inclure:

  • Phishing - une méthode de fraude sophistiquée qui implique le vol de données personnelles, nommément mots de passe, comptes bancaires, connexions et numéros de carte plastiques. L'essence de la méthode consiste à envoyer une lettre par courrier électronique au nom d'une organisation de bonne réputation, par exemple une institution bancaire. Dans le texte, le personnel pseudo-organisateur recommande de mettre à jour ou de transmettre toute information sous un prétexte différent.La fonctionnalité de pêche est une étude détaillée du programme frauduleux. Pour une plus grande précision, les attaquants créent des sites qui copient exactement la ressource Internet de l'organisation sous-marine. Par conséquent, une personne ne suspecte pas la tromperie, tombe sur le "crochet" et perd de l'argent. Pour éviter des problèmes similaires, il est important de montrer la vigilance marginale et d'apprendre à calculer de faux sites.
  • Skimming est une direction qui implique l'utilisation de dispositifs spéciaux pour prendre en compte les informations nécessaires à partir de la bande magnétique d'une carte en plastique. L'algorithme d'actions ressemble à ceci. Premièrement, l'attaquant fixe le skimmer au récepteur ATM. La particularité de cet appareil est qu'il n'est presque pas différent du connecteur d'usine. L'appareil est basé sur un schéma spécial qui fournit une lecture de données. Dans le même temps, le caméscope est attaché à un guichet automatique, dont le but est la fixation du code PIN. À la dernière étape, le fraudeur fait une copie de la carte et l'aide d'un code volé supprime tous les moyens.

L'un des avantages de l'argent électronique est l'impossibilité de leur faux (dans une compréhension classique). Ils ne peuvent pas être imprimés et après avoir acheté quelque chose avec l'utilisation de fausses billets de banque. La monnaie virtuelle a une forme numérique et est utilisée uniquement sur le réseau, mais même il garantit une protection de cent pour cent. Comme indiqué ci-dessus, une variété de variantes de fraude a été développée, vous permettant de tromper des personnes crédule.

Mais il existe plusieurs façons de base pour protéger de l'argent, ce qui permet de protéger les économies électroniques des intrus:

  • Mots de passe. Presque tous les utilisateurs de réseau mondiaux sont confrontés quotidiennement avec la nécessité de saisir des codes spéciaux pour entrer le compte personnel d'un site particulier. Un système similaire est introduit dans les services de paiement électroniques, dont beaucoup appliquent cette méthode en tant que méthode de sécurité principale. En pratique, personne ne peut être utilisé, mais à une fois, plusieurs mots de passe sont immobiles ou changeants. Dans ce dernier cas, le code est mis à jour chaque fois qu'une ressource est visitée. Une nouvelle combinaison vient à un courrier électronique ou à un téléphone portable.Le mot de passe de contrôle est généralement introduit lors d'une opération financière sur le réseau. Cette mesure vous permet de protéger davantage l'utilisateur qui a effectué la transaction et temporairement disparu de l'ordinateur. Une autre personne sans spécifier le code de contrôle ne sera pas en mesure de mener une manipulation financière et de tirer parti de l'argent des autres personnes. Le système considéré a une grande demande dans de nombreux systèmes de paiement, notamment Yandex.Money, Qiwi et d'autres (appelé «Mot de passe payant»). La question de l'argent est parfaitement réfléchie dans un autre service - WebMoney. Ici, un mot de passe pour entrer dans le portefeuille n'est pas suffisant - vous devez avoir un fichier de clé. L'utilisation du code PIN comme protection est également caractéristique des cartes bancaires, mentionnées au début de l'article. En règle générale, il s'agit de quatre chiffres que chaque utilisateur spécifie individuellement. Comme l'a montré la pratique, une telle manière de protéger l'argent électronique n'est pas très fiable et que le système de sécurité lui-même est susceptible de pirater. Si l'attaquant a volé une carte et essaie de prendre le mot de passe, "Plastic" est bloqué après trois erreurs faites dans une rangée. D'en haut, nous pouvons conclure que le mot de passe est populaire en fournissant la sécurité de la monnaie électronique et est présente dans presque tous les systèmes de paiement modernes. Le seul minimum est un niveau de fiabilité insuffisant, il est donc recommandé de combiner avec d'autres méthodes de protection.
  • Clés Fichiers. La méthode considérée est utilisée dans WebMoney et fournit une fiabilité supplémentaire. Son essence est qu'après avoir passé l'enregistrement, le client reçoit un fichier spécial dans lequel les clés du référentiel sont données. Pour accéder aux économies, l'utilisateur doit avoir un mot de passe à portée de main, ainsi que le document susmentionné. De plus, le fichier de portefeuille fournit sa propre protection qui assure la sécurité de l'argent. Ici, il est également nécessaire d'introduire une combinaison spécifique de lettres, de chiffres et de symboles. Pour une protection supplémentaire des économies personnelles, le fichier mentionné ci-dessus est recommandé de stocker en dehors du disque dur de l'ordinateur, par exemple sur un lecteur flash. Dans une autre situation après la pénétration du PC, l'attaquant reçoit toutes les données nécessaires pour pirater un portefeuille. En cas de perte de ce fichier, il est souhaitable de en faire une copie et d'économiser sur des supports distants.
  • Ensemble de caractères sur l'affichage. Une façon de se protéger contre divers vers, des chevaux de Troie et des virus est un clavier d'écran. Cette technique est utilisée dans l'un des systèmes EasyPay les plus populaires. Contrairement à d'autres EPS, l'entrée des caractères nécessaires n'est pas faite à partir du clavier habituel, mais à travers une image spéciale sur l'écran du moniteur. Cette technique de protection a deux côtés. Dans le cas d'un mot de passe défini, une autre personne ne peut être contestée que des informations, puis l'utiliser pour le piratage. Si vous approchez avec précaution sur ce point et que vous produisez un ensemble lorsqu'il n'y a pas de personnes étrangères, vous pouvez protéger presque tous les types d'argent électroniques des espions de clavier. Ces derniers sont des programmes qui pénétrent dans l'ordinateur de l'utilisateur et lisent un fichier journal spécial (il se trouve que des informations sur les caractères entrées via le clavier) sont stockées.Mais il existe d'autres programmes qui sont fixés et reproduisent ensuite toutes les actions de l'utilisateur, y compris la déplacement de la souris. Par conséquent, de prendre une décision sur la pertinence de l'utilisation d'un clavier classique ou d'affichage, il est nécessaire individuellement, en tenant compte de la situation actuelle.
  • Phrase spéciale. Pour augmenter le niveau de protection de vos fonds, chaque utilisateur doit proposer un ou quelques mots. L'utilisation d'une telle technique vous permet de protéger contre le phishing, qui a été mentionné au début de notre narration. Après avoir ouvert la page d'opération du service, la personne doit voir la phrase de contrôle installée. Si cela ne coïncide pas avec l'original ou que ce n'est pas du tout, il est prudent de parler de la tentative de fraude.
  • Verrou de compte. À cette étape, vous devez recourir dans une situation où les méthodes décrites ci-dessus n'ont pas fonctionné ni ne peuvent fournir le niveau de protection nécessaire. Cela est possible lorsqu'une personne a perdu accidentellement le mot de passe, est devenue une victime de vol de données à partir d'un PC ou ne peut pas trouver une carte en plastique. Donc, si les méthodes de protection de base ne fonctionnaient pas, l'utilisateur envoie un SMS à un numéro spécifique ou appelle une commande de blocage de compte électronique. Cette mesure convient aux cas extrêmes, mais c'est qu'il offre une meilleure protection de l'argent électronique en cas d'urgence.

Les méthodes décrites ci-dessus ne sont pas garanties de sécurité complète et doivent être utilisées exclusivement dans le complexe. Le plus "lien faible" dans cette question est la présence d'un facteur humain qui rend un système vulnérable même un système fiable.

Méthodes de protection simples - un ajout puissant pour les principales méthodes

Chaque personne devrait comprendre que la sécurité de l'argent électronique dépend directement de son attention et de suivre certaines recommandations:

  • Ne transmettez jamais de mots de passe à d'autres personnes, quelles que soient les explications. La carte PIN ou un ensemble de caractères pour entrer dans le portefeuille d'un système de paiement électronique est des informations personnelles qui ne peuvent pas être approuvées. Toute tentative de découverte de ces faits doit être alarmée, même si des données personnelles veulent fournir un représentant du service de soutien. Ignorer cette recommandation, vous naissez les méthodes de protection de base qui deviennent simplement inefficaces. Un soupçon spécial doit appeler des tentatives d'extraction des données à caractère personnel par courrier électronique. Dans ce cas, avec une probabilité élevée, vous pouvez parler de fraude sur Internet.
  • Si les achats de réseau sont courants, il est conseillé de placer une carte bancaire distincte et de l'utiliser comme un instrument de paiement pour payer des services ou des biens sur Internet. Il n'est pas nécessaire de payer pour différentes cartes, car dans ce cas, leur degré de confidentialité est réduit. En outre, il est souhaitable d'établir une limite pour éviter la perte d'une grande quantité en cas de piratage "plastique" par un attaquant.
  • Avant de supprimer de l'argent dans un guichet automatique, il est conseillé de considérer avec soin l'appareil sur le manque de dispositifs spéciaux d'écrémage. Si des éléments mal attachés sont perceptibles, il convient de rendre compte du problème des représentants de la banque, mais de rechercher l'autre appareil d'encaisser.
  • N'utilisez pas les portefeuilles de systèmes de paiement électroniques via des ordinateurs disponibles au public dans des cafés Internet ou d'autres institutions similaires. Dans ce cas, les attaquants peuvent facilement intercepter des informations confidentielles, après quoi les principaux moyens de protéger l'argent sont inutiles. L'administrateur d'une telle institution peut facilement vérifier l'historique de chaque utilisateur et retirer les informations nécessaires pour elle-même.
  • NE PAS suivre les liens qui arrivent à l'e-mail s'il n'y a aucune confiance dans l'exactitude des données et que vous n'êtes pas familier avec l'expéditeur. Si vous ignorez les recommandations, vous pouvez «ramasser» le virus ou le Troie, qui collectera des informations confidentielles et l'envoyer au créateur. En outre, il ne vaut pas 100% des utilisateurs de confiance que vous connaissez, car la boîte aux lettres pourrait être piratée. Si le lien est suspect, il est préférable de trouver séparément sa pertinence.
  • Lorsque vous payez par la carte bancaire dans une institution, gardez toujours le "plastique" en vue. Si le serveur saute la bande magnétique à travers un lecteur séparé, toutes les données nécessaires vont y aller.
  • N'utilisez jamais le même mot de passe sur différents services, car dans le cas de piratage, l'attaquant a accès à tout l'argent. De plus, il est souhaitable d'utiliser une combinaison complexe de caractères pour rendre la sélection impossible.
  • Lors de l'achat de biens utilisant EPS ou une carte réseau, il est souhaitable de travailler uniquement avec des magasins en ligne faisant autorité. Il ne vaut pas la peine de transférer de l'argent aux personnes douteuses, quel que soit le propos proposé.
  • Vérifiez périodiquement le compte de carte ou le système de paiement pour détecter rapidement la perte et utiliser le blocage.
  • Mettez un antivirus fiable sur le PC et mettez-le à la mettre à jour régulièrement. En outre, allumez le pare-feu, qui fournira une protection supplémentaire contre les intrus.

Toute sorte d'argent électronique nécessite une attention particulière. Seulement à partir de l'utilisateur dépend de la sauvegarde des fonds gagnés ou d'obtenir des fraudeurs.

Aujourd'hui, il est difficile d'imaginer sérieux - et pas nécessairement une grande entreprise sans support Internet sous la forme de votre propre ressource qui vend une page ou une boutique en ligne. Tournez le répertoire électronique habituel en un magasin virtuel valide avec la possibilité de choisir le produit et de la payer sur le site Web du vendeur, vous permet de. Il n'est pas surprenant que la question de la sécurité de paiement électronique efficace soit importante pour le propriétaire de tout service Internet spécialisé dans les calculs financiers.

La protection des informations dans les systèmes de paiement électronique implique les conditions suivantes:

  • confidentialité - Dans le processus de calcul en ligne, les données de l'acheteur (un numéro de carte de crédit en plastique ou d'autres fonds calculés) ne doivent rester connues que des institutions et des structures avec droit légitime à cela;
  • authentification - le plus souvent un code PIN ou un message, grâce auquel le client (ou le vendeur) peut s'assurer que le deuxième participant de la transaction est exactement celui qui donne;
  • autorisation - rend possible avant le transfert d'argent à la liste, déterminez la présence d'un montant suffisant de l'acheteur afin de payer pour la commande.

Tout cela visait à assurer un algorithme de paiement sécurisé pouvant minimiser les risques de colonies financières électroniques pour l'acheteur et le vendeur.

Méthodes modernes de protection des systèmes de paiement électronique de l'information

Aujourd'hui, la protection des systèmes de paiement électronique de l'information est effectuée principalement par:

  • autorisation instantanée du payeur;
  • informations financières de cryptage sur le réseau Internet;
  • certificats spéciaux.

Fournir une interaction simultanée avec des milliers d'utilisateurs, les applications modernes de nature purement commerciale ne peuvent pas fonctionner avec des systèmes classiques "sans ambiguïs" - les deux fonctionnent activement sur des clés ouvertes et fonctionnant uniquement sur la fermeture. Intercepté par des intrus au moins une clé entièrement "fermée", conduit automatiquement à une ouverture complète de tout son circuit de protection. À son tour, le cryptage uniquement par les clés ouvertes nécessite des coûts considérables de ressources de calcul.

À cet égard, aujourd'hui, la sécurité des systèmes de paiement dans le commerce électronique fournit une utilisation simultanée de protocoles avec des clés fermées et ouvertes. Les informations transmises par les réseaux sont cryptées à l'aide d'une clé fermée. Dans le même temps, sa génération est effectuée de manière dynamique et elle est transmise au deuxième participant de la transaction avec le chiffre en fonction de la clé ouverte. En règle générale, le cryptage est effectué via le protocole SSL) Secure Sockets (SSL), ainsi que la transaction électronique sécurisée (définie) - Giants Financial Mastercard, Visa a été engagé dans son développement. Le premier protocole effectue le cryptage au niveau du canal et la seconde crypte directement les données financières. Lors de l'utilisation d'applications avec le protocole SET, un double algorithme de signature électronique est utilisé.

Son une partie est envoyée au vendeur et l'autre est un pot. Grâce à ce système, toutes les données sur les commandes sont disponibles pour l'acheteur, mais il n'a pas accès aux détails de la colonisation du côté de la vente, et la banque, à son tour, ouvre toutes les données financières des deux participants à la transaction avec l'absence complète d'informations sur la composition de la commande. Centres de certification virtuels, émettant des représentants de commerce électronique de «certificats» uniques de format électronique avec une clé ouverte personnelle signée, sont également conçues pour améliorer la protection des transactions virtuelles. Le certificat électronique est délivré par le Centre sur la base des documents d'identification des parties à la transaction et est valable pendant un certain temps. Avec un tel certificat, un participant à une transaction commerciale peut effectuer des transactions financières, en vérifiant la réalité des clés ouvertes des autres participants.

Les opérations bancaires, les transactions commerciales et les paiements mutuels ne peuvent être imaginés sans calculs à l'aide de cartes en plastique. Le système de paiement non en espèces avec des cartes en plastique est appelé système de paiement électronique. Pour assurer le fonctionnement normal du système de paiement électronique, il doit être sécurisé de manière sécurisée.

On pense que dans la sécurité de l'information dans les systèmes de paiement électroniques, il existe des lieux vulnérables:

Expédition de paiement et autres messages entre les banques, entre la banque et le guichet automatique, entre la banque et le client;

Traitement des informations par l'organisation de l'expéditeur et du destinataire;

Accès client aux fonds dépensés sur les comptes.

L'envoi de paiement et d'autres messages est connecté à de telles fonctionnalités:

Les systèmes internes des organisations de l'expéditeur et des bénéficiaires sont obligés de fournir une protection appropriée dans le traitement des documents électroniques (protection des systèmes terminaux);

L'interaction de l'expéditeur et le destinataire du document électronique sont exécutées directement via le canal de communication.

Ces caractéristiques causent des difficultés:

Identification mutuelle des abonnés (problème d'établissement de l'authenticité mutuelle lors de l'établissement d'un composé);

Protection des documents électroniques transmis par des canaux de communication (problème d'assurer la confidentialité et l'intégrité);

Protection du processus d'échange de documents électroniques (problème de la preuve du départ et de la livraison du document);

assurer la mise en œuvre de la loi (le problème de la méfiance mutuelle entre l'expéditeur et le destinataire en raison de leur appartenance à diverses organisations et une indépendance mutuelle).

Pour assurer des fonctionnalités de sécurité des informations dans certains nœuds du système de paiement électronique, des mécanismes de protection doivent être mis en œuvre:

Contrôle de l'accès sur les systèmes initiaux;

Surveiller l'intégrité du message;

Assurer la confidentialité du message;

Authentification des clients mutuels;

Garantie de livraison de message;

Une impraticabilité du refus de prendre des mesures sur la communication;

Séquence d'enregistrement de messages;

Surveillance de l'intégrité de la séquence de message.

Les cartes de plastique électroniques sont utilisées comme installations de paiement dans les systèmes de paiement électroniques.

La carte en plastique électronique est une information moyenne spécifique identifiant l'utilisateur et stocke certaines données.

Distribution d'une carte de crédit et de débit.

Les cartes électroniques sont un type plus courant de cartes en plastique. Les cartes électroniques sont utilisées pour payer divers biens et services. Lorsque vous payez avec une carte de crédit, la banque du client ouvre un prêt pour le montant de l'acquisition et, après un certain temps, il envoie un compte par courrier sur le montant des achats. L'acheteur doit retourner le chèque payé à la banque. Bien entendu, un schéma similaire de la Banque ne peut recommander que plus de riches et prouvés de ses propres clients qui ont un bon historique de crédit à la banque ou des contributions importantes à la banque sous forme de dépôts, de valeurs ou de biens immobiliers.

La carte en plastique est une plaque fabriquée à partir d'un plastique spécial, résistant à l'action mécanique et thermique. Selon ISO 9001, toutes les cartes en plastique ont des dimensions de 85,6 CH53.9CH0.76 mm.

Pour identifier le propriétaire sur une carte en plastique sont appliqués:

logo de l'émetteur bancaire;

le logo du système de paiement servant cette carte;

nom du titulaire de la carte;

numéro de compte de la carte;

validité de la carte, etc.

En plus de cela, la carte peut être une photo du propriétaire et sa signature.

Les données alphanumériques (nom, numéro de compte, etc.) peuvent être embossées, c'est-à-dire Polices défendues. Cela permet au traitement manuel du paiement reçu pour payer rapidement des données sur une vérification à l'aide d'un périphérique spécial - une imprimante qui exerce des cartes "Rolling".

Selon le principe de fonctionnement, les cartes plastiques passifs et actives sont distinguées. Cartes plastiques passives vient de stocker des informations. Celles-ci incluent des cartes en plastique avec une bande magnétique.

Les cartons magnétiques sont encore plus courantes - en circulation est supérieure à deux milliards de cellules de type analogique. La bande magnétique est placée au verso de la carte et, conformément à la norme ISO 7811, se compose de 3 pistes. Parmi ceux-ci, les deux premiers sont fournis pour stocker des données d'identification, et la troisième piste est autorisée à entrer des informations (par exemple: la valeur actuelle de la limite de carte de débit). Cependant, en raison de la faible fiabilité du processus d'enregistrement / lecture répété, l'enregistrement en bande magnétique n'est généralement pas pratiqué.

Cartes avec une bande magnétique relativement vulnérable à la fraude. Pour augmenter la sécurité de ses cartes VISA et MASTERCARD / EuroPAY, utilisez des outils de protection graphique supplémentaires: des polices et des polices non standard de gaufrage. Les gaufrages (dispositifs de gaufrage sur la carte) produisent un cercle limité de fabricants. Dans un certain nombre de pays occidentaux, la libre vente d'Embosserov est légalement interdite. Les caractères spéciaux confirmant l'affiliation de la carte à un système de paiement sont fournis par le propriétaire de l'embossoraire uniquement avec l'autorisation de l'organe directeur du système de paiement.

Les systèmes de paiement avec des cartes similaires nécessitent une autorisation en ligne dans les points de vente et, par conséquent, la présence de communications ramifiées et de haute qualité (lignes téléphoniques).

Une caractéristique distinctive de la carte plastique active - la présence d'un microcircuit électronique intégré. La norme ISO 7816 détermine les exigences de base des cartes sur des copeaux intégrées ou des cartes à puce.

Les cartes avec un microcham peuvent être classées sur deux caractéristiques.

La première fonctionnalité est le principe d'interaction avec le dispositif de lecture. Types principaux:

cartes avec lecteur de contact;

cartes avec une lecture sans contact (induction).

La carte avec le lecteur de contact a sur sa surface de 8 à 10 plaques de contact. Le placement des plaques de contact, leur nombre et leur objectif des conclusions sont différents de différents fabricants et naturellement, les lecteurs des cartes de ce type diffèrent les uns dans les autres.

L'échange de données entre la carte avec la lecture sans contact et le lecteur est effectué avec une méthode d'induction. De toute évidence, de telles cartes sont plus fiables et plus durables.

La deuxième caractéristique est la fonctionnalité de la carte. Types principaux:

compteurs de cartes;

cartes avec mémoire;

cartes avec un microprocesseur.

Les cartes de comptoir sont appliquées comme des règles, dans les cas où l'une ou l'autre opération de paiement nécessite une diminution de la balance du compte du titulaire de la carte à un montant fixe. Ces cartes sont utilisées dans des applications prépayées spécialisées (payant pour l'utilisation de la machine téléphonique, le paiement de stationnement, etc.). Évidemment, l'utilisation de cartes avec un compteur est limitée et a beaucoup de perspective.

Les cartes avec la mémoire sont transitoires entre cartes et cartes avec un microprocesseur. La carte avec la mémoire est une carte de compteur réinscriptible, qui a adopté des mesures pour accroître sa sécurité des attaquants d'attaque. Les cartes mémoire les plus simples ont une capacité de mémoire de 32 octets à 16 kilo-octets. Cette mémoire peut être organisée comme suit:

dispositif de stockage permanent programmable PPZ (EPROM), qui permet un enregistrement unique et une lecture multiple;

dispositif de stockage permanent programmable lavé électriquement EEPROM (EEPROM), qui permet de multiples enregistrements et de lecture multiple.

Les cartes avec la mémoire peuvent être divisées en deux types:

avec une mémoire non protégée (sexuelle);

avec de la mémoire protégée.

Dans les cartes du premier type, il n'y a pas de restrictions sur les données de lecture et d'écriture. Ces cartes ne peuvent pas être utilisées comme paiement, car elles sont suffisantes pour simplement "hack".

Les cartes de deuxième type ont une zone d'identité et une ou plusieurs zones appliquées. La zone d'identification permet uniquement un enregistrement unique pendant la personnalisation et est disponible uniquement pour la lecture. L'accès aux zones d'application est réglementé et mis en œuvre uniquement lors de l'exécution de certaines opérations, en particulier lors de la saisie d'un code PIN secret.

Le niveau de protection des cartes avec la mémoire est supérieur à celui des cartes magnétiques. Comme une carte de paiement avec des cartes mémoire est utilisée pour payer les voies de paiement utilitaire, voyager dans le transport, dans les systèmes de paiement locaux (cartes de club). Les cartes mémoire sont également appliquées dans les systèmes de contrôle d'accès et l'accès aux ressources de réseau informatique (cartes d'identification).

La carte à puce fournit une large gamme de fonctions:

délimitation des autorisations Accès aux ressources internes;

cryptage des données utilisant divers algorithmes;

formation de signature numérique électronique;

maintenance du système clé;

effectuez toutes les opérations pour interagir le propriétaire de la carte, de la banque et du marchand.

Certaines cartes à puce ont un mode "auto-verrouillage" lors de la tentative d'accès non autorisé.

Des étapes importantes de préparation et d'application de la carte plastique sont la personnalisation et l'autorisation.

La personnalisation se produit lors de l'émission d'une carte à l'acheteur. La carte enregistre les données pour déterminer la carte et son propriétaire, ainsi que vérifier la solvabilité de la carte lors du paiement ou de l'émettre de l'argent. La méthode initiale de personnalisation a été reliée.

La personnalisation comprend le codage de la bande magnétique et la programmation de la puce.

Le codage de la bande magnétique est fabriqué, en règle générale, sur le même équipement que celui de relief. Dans le même temps, une partie des informations de la carte qui stocke le numéro de carte et l'heure de son action est la même sur la bande magnétique et sur le relief. Mais ils se produisent, des situations se produisent lorsque le codage initial est nécessaire pour effectuer des informations sur la bande magnétique. Dans ce cas, des dispositifs spéciaux sont utilisés avec la fonction "Read-Record". Cela est possible, en particulier, lorsque le code PIN d'utilisation de la carte n'est pas formé par un programme spécial, mais est sélectionné par le client à sa discrétion.

La programmation du microcircuit ne nécessite pas de techniques technologiques spéciales, mais elle a certaines caractéristiques organisationnelles. Les opérations sur la programmation de différentes zones de puces sont donc séparées géographiquement et délimitées par les droits de divers employés. Habituellement, cette procédure est divisée en trois étapes:

sur le premier lieu de travail, la carte est activée (en vigueur);

dans le deuxième lieu de travail, des opérations liées à la sécurité sont effectuées;

dans le troisième lieu de travail, la personnalisation elle-même est effectuée.

Ces mesures augmentent la sécurité et excluent les violations éventuelles.

L'autorisation est effectuée «manuellement» ou automatiquement. Dans le premier cas, l'autorisation vocale est effectuée lorsque le vendeur ou le caissier transmet la demande à l'opérateur par téléphone. Dans le second cas, la carte est placée dans le terminal de point de vente automatisé (point de vente - paiement au point de vente), les données sont lues à partir de la carte, le caissier introduit le montant du paiement et le titulaire de la carte - PIN (Numéro d'identification personnel - Numéro identique personnel). Après cela, le terminal exécute l'autorisation en établissant une communication avec la base de données du système de paiement (mode en ligne) ou en mettant en œuvre un échange de données supplémentaire avec la carte elle-même (mode hors ligne). Lors de la délivrance de l'argent, le processus a un caractère similaire, avec la seule caractéristique que l'argent en mode automatique est émis par un guichet automatique, qui effectue une autorisation.

La méthode expérimentée d'identification du propriétaire de la carte en plastique est l'utilisation de la broche d'identification personnelle secrète. La valeur PIN doit être connue uniquement sur le titulaire de la carte. D'une part, la broche doit être suffisamment longue pour que la probabilité de deviner avec l'aide d'une exemption soit acceptable. D'autre part, la broche doit être suffisamment courte pour que le propriétaire se souvienne de lui. Habituellement, la longueur de la broche varie de 4 à 8 chiffres décimaux, mais peut atteindre 12.

La valeur de la broche est particulièrement associée aux attributs de la carte en plastique correspondants, de sorte que la broche peut être interprétée comme une signature du titulaire de la carte.

La protection de la goupille d'identification personnelle pour une carte en plastique est essentielle pour la sécurité de l'ensemble du système de paiement. Les cartes en plastique peuvent être perdues, volées ou forgées. Dans de tels cas, la seule contre-mesure contre l'accès non autorisé reste la broche secrète. Par conséquent, la goupille de forme ouverte ne doit être connue que sur le propriétaire légitime de la carte. Il n'est jamais stocké et n'est pas transmis dans le cadre du système de paiement électronique.

La méthode de génération de valeurs PIN a un impact significatif sur la sécurité du système de paiement électronique. En général, les numéros d'identification personnels peuvent être formés soit par une banque ou des titulaires de carte.

Si la broche est attribuée à une banque, l'une des deux options est généralement utilisée.

Avec la première version PIN, le compte cryptographiquement est généré à partir du compte titulaire de la carte. Le cryptage est effectué selon l'algorithme des des algorithmes en utilisant une clé secrète. Dignité: La valeur des broches n'a pas besoin d'être stockée dans le système de paiement électronique. Inconvénient: Si vous devez modifier la broche, vous devez modifier le numéro de compte du client ou la clé cryptographique. Mais les banques préfèrent le numéro de compte du client pour rester fixe. D'autre part, étant donné que toutes les broches sont calculées à l'aide d'une touche, une modification d'une broche lors de la sauvegarde du compte du client entraîne une modification de tous les numéros d'identification personnels.

Avec le deuxième mode de réalisation, la banque sélectionne la broche au hasard, tout en maintenant cette valeur en tant que cryptogramme. Les valeurs des broches sélectionnées sont transmises aux propriétaires des cartes sur un canal protégé.

L'utilisation d'une broche nommée par la banque est inconfortable pour les clients même avec une petite longueur. Une telle broche est difficile à garder en mémoire et, par conséquent, le propriétaire de la carte peut l'écrire quelque part. L'essentiel est de ne pas enregistrer la broche directement sur la carte ou une autre place importante. Sinon, la tâche des attaquants sera grandement facilitée.

Pour plus de commodité, le client utilise la valeur PIN sélectionnée par le client lui-même. Cette méthode de détermination de la goupille permet au client:

utiliser la même broche à diverses fins;

situé dans la broche non seulement des chiffres, mais aussi des lettres (pour la facilité de mémorisation).

Le client PIN sélectionné peut être transféré à la banque par courrier recommandé ou expédié par un terminal sécurisé d'un bureau bancaire, qui le crypte immédiatement. Si la banque doit utiliser la broche sélectionnée par le client, elle est appliquée comme suit. Chaque chiffre du client PIN choisi est plié par le module 10 (à l'exclusion des ports) avec le numéro de code PIN correspondant affiché par la banque à partir du compte du client. Le nombre décimal résultant est appelé "décalage". Ce déplacement est rappelé sur la carte du client. Étant donné que la sortie PIN ait un caractère aléatoire, la broche sélectionnée par le client ne peut pas être déterminée par son déplacement.

Les principales exigences de sécurité sont que la valeur de la broche doit être mémorisée par le propriétaire de la carte et ne doit jamais être stockée sous une forme lisible. Mais les gens sont imparfaits et oublient très souvent leur épingle. Mais pour de tels cas, des procédures spéciales sont destinées à: rétablir la broche ou nouvelle génération oubliée.

Lors de l'identification d'un client par la valeur PIN et de la carte soumise, deux méthodes principales de code PIN sont utilisées: non algorithmique et algorithmique.

Une méthode non algorithmique est effectuée par comparaison directe de la broche entrée par le client avec les valeurs stockées dans la base de données. Habituellement, la base de données avec des valeurs PIN est cryptée par cryptage transparent pour augmenter sa sécurité et ne pas compliquer le processus de comparaison.

La méthode algorithmique de vérification de la broche est que la broche entrée par le client est convertie en fonction d'un algorithme spécifique à l'aide d'une clé secrète puis comparée à la valeur PIN stockée sous une forme donnée sur la carte. Avantages de cette méthode de vérification:

l'absence d'une copie de la broche sur l'ordinateur principal exclut sa divulgation du personnel de la Banque;

l'absence de transfert de code PIN entre un guichet automatique ou un terminal POS et l'ordinateur principal de la banque exclut son interception ou leur imposant des résultats de comparaison;

Simplifier la création de logiciels du système, car il n'y a plus une action en temps réel.

Solutions prometteuses. Les services bancaires mobiles

La portée principale de la carte SIM Mobil-ID + EDS est l'utilisation d'un téléphone portable pour confirmer les opérations nécessitant l'exécution de procédures d'authentification de données strictes et de sujets d'interaction de l'information. Les services sans fil pour un opérateur cellulaire doivent fournir un fournisseur de services spécial appelé fournisseur de services de signature mobile (MSP).

En pratique, une authentification mobile à deux canaux Mobil-ID + EDS, une authentification mobile à base de mobil-ID à deux canaux permettra non seulement d'identifier le propriétaire du système de services électroniques, mais également d'utiliser des signatures électroniques pendant toute la session de communication ou même à la fin de l'achèvement. de l'appel téléphonique. Le propriétaire n'aura plus besoin de se souvenir de tous ses mots de passe et noms d'utilisateur. Il sera capable d'abandonner complètement les cartes bancaires à code et des calculatrices d'épingle. Si, pour divers services, l'utilisateur est obligé d'utiliser diverses données d'identification (mots de passe et noms d'utilisateur), une telle carte SIM vous permettra de vous connecter à tous les services et services avec un code personnel unique. Le propriétaire fonctionnel de la nouvelle carte SIM sera en mesure de créer les mêmes opérations électroniques que les propriétaires de cartes à puce ordinaires, - à entrer dans la banque Internet, aux portails des services, à signer divers contrats, etc. en même temps, MSPSP Fournit une prise en charge à deux canaux pour une authentification stricte sur les combinaisons de nombreux facteurs, notamment GOST R. 34.10-2001, GOST R. 34.11-94 (Cryptographie clés ouverte), GOST 28147-89.

Avez-vous aimé l'article? Partager avec des amis:
Vous pouvez aussi être intéressé