Комментарии 9
Если номеру карты всегда сопоставлен один токен, то как осуществляется защита от повторного использования этих реквизитов?
Если сайт сохранит токен, что мешает использовать его для проведения списаний мошенниками укравшими эти данные?
Если сайт сохранит токен, что мешает использовать его для проведения списаний мошенниками укравшими эти данные?
Если я правильно понял суть технологии:
1. Токен отличается для каждого устройства
2. Терминал отправляет устройству уникальную (случайную?) последовательность
3. Устройство подписывает своим уникальным ключом эту последовательность вместе с токеном и передаёт терминалу
4. Терминал отправляет эти данные вместе с подписью в процессинговый центр
Получается, что повторное использование токена невозможно — скорее всего, уникальность подписи — одно из требований процессинга.
1. Токен отличается для каждого устройства
2. Терминал отправляет устройству уникальную (случайную?) последовательность
3. Устройство подписывает своим уникальным ключом эту последовательность вместе с токеном и передаёт терминалу
4. Терминал отправляет эти данные вместе с подписью в процессинговый центр
Получается, что повторное использование токена невозможно — скорее всего, уникальность подписи — одно из требований процессинга.
а токен чем-то идеологически отличается от просто номера виртуальной карты, привязанной к тому же счету что и основная карта? так же состоит из 16 цифр, не случайно же.
идеологически он отличается тем, что знание токена не достаточно для получения данных о счёте, ибо его связь со счётом известна только устройству оплаты и внутренней сети МК.
Это сродни публичному ключу, который, в отличии от приватного, может и должен распространяться открыто.
Хотя, номер счета тоже, по идее, относительно открытая информация, вроде номера телефона
Нет, это то же самое :)
Токен — такой же номер карты, просто выпущенный в другом диапазоне
Токен — такой же номер карты, просто выпущенный в другом диапазоне
Не очень понимаю, как моргание и прочие телодвижения помогут системе идентификации с помощью камеры отличить живого человека от заранее подготовленного видеоролика с этим человеком, транслируемое перед камерой девайса.
Целый пункт про «упрощение авторизации», но при этом в приложении банка при бесконтактной оплате нужно разблокировать телефон — открыть приложение — ввести код (отпечаток тут не работает) — приложить телефон в течение ограниченного отрезка времени (так устроено в Тиньков-банке). Насколько я понимаю, это (ввод кода перед оплатой) именно требование Мастеркарда, потому что в приложении Кукурузы (там выпускается карта Виза) нужно просто приложить телефон с даже не запущенным приложением.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как смартфон стал устройством оплаты? О платформе токенизации Mastercard