För tre år sen började kortföretagen och internet-tjänster använda sig av den tresiffriga CVV-koden på baksidan av kreditkorten för extra verifikation vid internet-handel. Jag skrev undrande hur det här egentligen gick ihop, och vad koden hade för status:
visst, de registreras kanske inte när man drar kortet i kassan, men om det blir som en PIN-kod som står skriven på kortet och som nån kan skriva upp så fort man lämnar ifrån sig kortet, då blir det ju inte så säkert
Nu tar Polisen nästa steg och råder folk att skrapa bort koden från kortet, precis som om det är en verklig PIN-kod egentligen skulle skickas ut i en särskild försändelse och inte alls stå på kortet. Anledningen är att kortbedragare fotograferar av korten, inkl CVV-koden, med mobilkameror. Kortföretagen och bankerna gillar inte att man skrapar bort koden och hävdar att kortet blir ogiltigt.
Samtidigt har ju kortföretagen tagit nästa steg och bland annat infört MasterCard SecureCode, som gör att man måste ha en extern kortläsare när man ska handla på nätet, och dessutom måste man i den kortläsaren knappa in sin PIN-kod när man handlar på Internet.
Ja ja, CVV-koden "höll" i tre år. Kanske inte så dåligt i en digitaliserad värld där varje lyckad attack kan spridas med ljusets hastighet. Som Andrew Odlyzko [pdf] brukar framhålla är säkerhet inget absolut, utan snarast att jämföra med ett farthinder.
/Simon
Comments