चिप प्रमाणीकरण प्रोग्राम: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
 
(5 intermediate revisions by 5 users not shown)
Line 1: Line 1:
चिप ऑथेंटिकेशन प्रोग्राम (सीएपी) ऑनलाइन और टेलीफोन बैंकिंग में उपयोगकर्ताओं और लेनदेन को प्रमाणित करने के लिए ईएमवी बैंकिंग स्मार्टकार्ड का उपयोग करने के लिए [[मास्टर कार्ड|मास्टरकार्ड]] पहल और तकनीकी विनिर्देश है। इसे वीज़ा द्वारा डायनेमिक पासकोड ऑथेंटिकेशन (डीपीए) के रूप में भी अपनाया गया था।<ref>[http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp Dynamic passcode authentication] {{webarchive|url=https://web.archive.org/web/20081119231409/http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp |date=2008-11-19 }}, VISA Europe</ref> सीएपी विनिर्देश हैंडहेल्ड डिवाइस (सीएपी रीडर) को स्मार्टकार्ड स्लॉट, न्यूमेरिक कीपैड और कम से कम 12 अक्षरों (जैसे, [[स्टारबर्स्ट प्रदर्शन|स्टारबर्स्ट]] डिस्प्ले) को प्रदर्शित करने में सक्षम डिस्प्ले के साथ परिभाषित करता है। जिन बैंकिंग ग्राहकों को उनके बैंक द्वारा सीएपी रीडर जारी किया गया है, वे कई समर्थित [[प्रमाणीकरण प्रोटोकॉल]] में से  भाग लेने के लिए सीएपी रीडर में अपना चिप और पिन (ईएमवी) कार्ड डाल सकते हैं। सीएपी टू-फैक्टर ऑथेंटिकेशन का एक रूप है क्योंकि स्मार्ट कार्ड और वैध पिन दोनों को लेनदेन के सफल होने के लिए मौजूद होना चाहिए। बैंकों को उम्मीद है कि सिस्टम तथाकथित [[फ़िशिंग]] ईमेल पढ़ने के बाद ग्राहकों द्वारा धोखाधड़ी वाली वेबसाइटों में अपना विवरण दर्ज करने के जोखिम को कम करेगा।<ref>{{Cite web|last=Leyden|first=John|title=धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है|url=https://www.theregister.com/2007/04/18/pinsentry/|access-date=2021-04-30|website=www.theregister.com|language=en}}</ref>
'''चिप ऑथेंटिकेशन प्रोग्राम (सीएपी)''' ऑनलाइन और टेलीफोन बैंकिंग में उपयोगकर्ताओं और लेनदेन को प्रमाणित करने के लिए ईएमवी बैंकिंग स्मार्टकार्ड का उपयोग करने के लिए [[मास्टर कार्ड|मास्टरकार्ड]] पहल और तकनीकी विनिर्देश है। इसे वीज़ा द्वारा डायनेमिक पासकोड ऑथेंटिकेशन (डीपीए) के रूप में भी अपनाया गया था।<ref>[http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp Dynamic passcode authentication] {{webarchive|url=https://web.archive.org/web/20081119231409/http://www.visaeurope.com/aboutvisa/products/dynamicpasscode.jsp |date=2008-11-19 }}, VISA Europe</ref> सीएपी विनिर्देश हैंडहेल्ड डिवाइस (सीएपी रीडर) को स्मार्टकार्ड स्लॉट, न्यूमेरिक कीपैड और कम से कम 12 अक्षरों (जैसे, [[स्टारबर्स्ट प्रदर्शन|स्टारबर्स्ट]] डिस्प्ले) को प्रदर्शित करने में सक्षम डिस्प्ले के साथ परिभाषित करता है। जिन बैंकिंग ग्राहकों को उनके बैंक द्वारा सीएपी रीडर जारी किया गया है, वे कई समर्थित [[प्रमाणीकरण प्रोटोकॉल]] में से  भाग लेने के लिए सीएपी रीडर में अपना चिप और पिन (ईएमवी) कार्ड डाल सकते हैं। सीएपी टू-फैक्टर ऑथेंटिकेशन का एक रूप है क्योंकि स्मार्ट कार्ड और वैध पिन दोनों को लेनदेन के सफल होने के लिए मौजूद होना चाहिए। बैंकों को उम्मीद है कि सिस्टम तथाकथित [[फ़िशिंग]] ईमेल पढ़ने के बाद ग्राहकों द्वारा धोखाधड़ी वाली वेबसाइटों में अपना विवरण दर्ज करने के जोखिम को कम करेगा।<ref>{{Cite web|last=Leyden|first=John|title=धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है|url=https://www.theregister.com/2007/04/18/pinsentry/|access-date=2021-04-30|website=www.theregister.com|language=en}}</ref>
== ऑपरेटिंग सिद्धांत ==
== ऑपरेटिंग सिद्धांत ==
सीएपी विनिर्देश कई प्रमाणीकरण विधियों का समर्थन करता है। उपयोगकर्ता पहले अपने स्मार्ट कार्ड को कैप रीडर में डालते हैं और पिन दर्ज करके इसे सक्रिय करते हैं। लेनदेन प्रकार का चयन करने के लिए एक बटन दबाया जाता है। अधिकांश पाठकों के पास विभिन्न नामों के तहत उपयोगकर्ता के लिए दो या तीन लेनदेन प्रकार उपलब्ध हैं। कुछ ज्ञात कार्यान्वयन इस प्रकार हैं:
सीएपी विनिर्देश कई प्रमाणीकरण विधियों का समर्थन करता है। उपयोगकर्ता पहले अपने स्मार्ट कार्ड को कैप रीडर में डालते हैं और पिन दर्ज करके इसे सक्रिय करते हैं। लेनदेन प्रकार का चयन करने के लिए एक बटन दबाया जाता है। अधिकांश पाठकों के पास विभिन्न नामों के तहत उपयोगकर्ता के लिए दो या तीन लेनदेन प्रकार उपलब्ध हैं। कुछ ज्ञात कार्यान्वयन इस प्रकार हैं:
Line 10: Line 10:
उपर्युक्त लेन-देन प्रकार दो में से एक मोड का उपयोग करके लागू किए जाते हैं। इनमें से एक मोड के दो रूप हैं जिसमें यह काम कर सकता है, तीन अलग-अलग मोड बना सकता है, हालांकि विनिर्देश में उनका नाम इस तरह नहीं है।
उपर्युक्त लेन-देन प्रकार दो में से एक मोड का उपयोग करके लागू किए जाते हैं। इनमें से एक मोड के दो रूप हैं जिसमें यह काम कर सकता है, तीन अलग-अलग मोड बना सकता है, हालांकि विनिर्देश में उनका नाम इस तरह नहीं है।
;मोड1: यह व्यापारी के माध्यम से ऑनलाइन खरीदारी जैसे सामान्य मौद्रिक लेनदेन का तरीका है। क्रिप्टोग्राम की गणना में लेन-देन मूल्य और मुद्रा सम्मिलित है। अगर कार्ड को इसकी आवश्यकता नहीं है या टर्मिनल इसका समर्थन नहीं करता है, तो राशि और मुद्रा दोनों को शून्य पर सेट किया जाता है।
;मोड1: यह व्यापारी के माध्यम से ऑनलाइन खरीदारी जैसे सामान्य मौद्रिक लेनदेन का तरीका है। क्रिप्टोग्राम की गणना में लेन-देन मूल्य और मुद्रा सम्मिलित है। अगर कार्ड को इसकी आवश्यकता नहीं है या टर्मिनल इसका समर्थन नहीं करता है, तो राशि और मुद्रा दोनों को शून्य पर सेट किया जाता है।
;मोड2: यह मोड उस उपयोगकर्ता को प्रमाणित करने के लिए उपयोगी हो सकता है जिसमें कोई लेन-देन नहीं हो रहा है, जैसे कि इंटरनेट बैंकिंग सिस्टम में लॉगिंग करना। कोई लेन-देन मूल्य, मुद्रा, या अन्य डेटा सम्मिलित नहीं हैं, जिससे इन प्रतिक्रियाओं को पूर्व-गणना या पुन: उपयोग करना बहुत आसान हो जाता है{{paragraph break}}{{glossary}}{{term|ट्रांजैक्शन डेटा साइनिंग (टीडीएस) के साथ}}{{defn|इस मोड का उपयोग अधिक जटिल लेन-देन के लिए किया जा सकता है, जैसे कि खातों के बीच फंड ट्रांसफर। लेन-देन से संबंधित कई डेटा फ़ील्ड्स को जोड़ा जाता है और फिर हैशिंग एल्गोरिथम की कुंजी के रूप में मोड2 क्रिप्टोग्राम के साथ हैश किया जाता है। परिणामी हैश का उपयोग गैर-टीडीएस मोड2 ऑपरेशन में गणना किए गए क्रिप्टोग्राम के स्थान पर किया जाता है।<ref>[http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap Banques en ligne : à la découverte d’EMV-CAP] {{webarchive|url=https://web.archive.org/web/20121127172622/http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap |date=2012-11-27 }}, UnixGarden</ref>}}
;मोड2: यह मोड उस उपयोगकर्ता को प्रमाणित करने के लिए उपयोगी हो सकता है जिसमें कोई लेन-देन नहीं हो रहा है, जैसे कि इंटरनेट बैंकिंग सिस्टम में लॉगिंग करना। कोई लेन-देन मूल्य, मुद्रा, या अन्य डेटा सम्मिलित नहीं हैं, जिससे इन प्रतिक्रियाओं को पूर्व-गणना या पुन: उपयोग करना बहुत आसान हो जाता है{{glossary}}{{term|ट्रांजैक्शन डेटा साइनिंग (टीडीएस) के साथ}}{{defn|इस मोड का उपयोग अधिक जटिल लेन-देन के लिए किया जा सकता है, जैसे कि खातों के बीच फंड ट्रांसफर। लेन-देन से संबंधित कई डेटा फ़ील्ड्स को जोड़ा जाता है और फिर हैशिंग एल्गोरिथम की कुंजी के रूप में मोड2 क्रिप्टोग्राम के साथ हैश किया जाता है। परिणामी हैश का उपयोग गैर-टीडीएस मोड2 ऑपरेशन में गणना किए गए क्रिप्टोग्राम के स्थान पर किया जाता है।<ref>[http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap Banques en ligne : à la découverte d’EMV-CAP] {{webarchive|url=https://web.archive.org/web/20121127172622/http://www.unixgarden.com/index.php/misc/banques-en-ligne-a-la-decouverte-demv-cap |date=2012-11-27 }}, UnixGarden</ref>}}
मोड 1 टीडीएस के साथ मोड 2 के विशिष्ट उपयोग की तरह लगता है, लेकिन एक महत्वपूर्ण अंतर है। मोड 1 ऑपरेशन में, लेनदेन डेटा (राशि और मुद्रा प्रकार) का उपयोग क्रिप्टोग्राम गणना में टीडीएस के बिना मोड 2 में उपयोग किए जाने वाले सभी मूल्यों के अतिरिक्त किया जाता है, जबकि मोड 2 में क्रिप्टोग्राम गणना चरण में सम्मिलित करने के बजाय इसके लेनदेन डेटा को क्रमिक चरण में सम्मिलित किया जाता है। यदि यह इस अंतर के लिए नहीं होता, तो सभी परिचालनों को अलग-अलग वैकल्पिक लेनदेन डेटा के साथ एकल संचालन के रूप में सामान्यीकृत किया जा सकता था।
मोड 1 टीडीएस के साथ मोड 2 के विशिष्ट उपयोग की तरह लगता है, लेकिन एक महत्वपूर्ण अंतर है। मोड 1 ऑपरेशन में, लेनदेन डेटा (राशि और मुद्रा प्रकार) का उपयोग क्रिप्टोग्राम गणना में टीडीएस के बिना मोड 2 में उपयोग किए जाने वाले सभी मूल्यों के अतिरिक्त किया जाता है, जबकि मोड 2 में क्रिप्टोग्राम गणना चरण में सम्मिलित करने के बजाय इसके लेनदेन डेटा को क्रमिक चरण में सम्मिलित किया जाता है। यदि यह इस अंतर के लिए नहीं होता, तो सभी परिचालनों को अलग-अलग वैकल्पिक लेनदेन डेटा के साथ एकल संचालन के रूप में सामान्यीकृत किया जा सकता था।


Line 18: Line 18:
ईएमवी स्मार्टकार्ड में (आमतौर पर 16-बिट) लेनदेन काउंटर होता है जो प्रत्येक भुगतान या सीएपी लेनदेन के साथ बढ़ता है। सीएपी रीडर द्वारा प्रदर्शित प्रतिक्रिया अनिवार्य रूप से कार्ड की प्रतिक्रिया के विभिन्न भागों (एप्लिकेशन ट्रांजैक्शन काउंटर, मैक, आदि) से युक्त होती है, जिसे बाद में कार्ड में संग्रहीत जारीकर्ता प्रमाणीकरण संकेतक (आईएआई) रिकॉर्ड द्वारा निर्धारित विशिष्ट बिट्स तक कम कर दिया जाता है ( यह प्रति-जारीकर्ता के आधार पर सेट किया जाता है, हालांकि जारीकर्ता की इच्छा होनी चाहिए, इसे प्रत्येक कार्ड के लिए प्रत्येक कार्ड के (आईएआई) का डेटाबेस प्रदान करने के लिए यादृच्छिक रूप से सेट किया जा सकता है), अंत में, अवांछित बिट्स को त्यागने के बाद (अनिवार्य रूप से बिट्स की पूर्ण स्थिति है) अप्रासंगिक, आईएआई में 0 का मतलब है कि कार्ड की प्रतिक्रिया में संबंधित बिट को केवल 0 पर सेट करने के बजाय छोड़ दिया जाएगा)। अंत में मूल्य बाइनरी से दशमलव संख्या में परिवर्तित हो जाता है और उपयोगकर्ता को प्रदर्शित होता है। छोटा सा उदाहरण नीचे दिया गया है:
ईएमवी स्मार्टकार्ड में (आमतौर पर 16-बिट) लेनदेन काउंटर होता है जो प्रत्येक भुगतान या सीएपी लेनदेन के साथ बढ़ता है। सीएपी रीडर द्वारा प्रदर्शित प्रतिक्रिया अनिवार्य रूप से कार्ड की प्रतिक्रिया के विभिन्न भागों (एप्लिकेशन ट्रांजैक्शन काउंटर, मैक, आदि) से युक्त होती है, जिसे बाद में कार्ड में संग्रहीत जारीकर्ता प्रमाणीकरण संकेतक (आईएआई) रिकॉर्ड द्वारा निर्धारित विशिष्ट बिट्स तक कम कर दिया जाता है ( यह प्रति-जारीकर्ता के आधार पर सेट किया जाता है, हालांकि जारीकर्ता की इच्छा होनी चाहिए, इसे प्रत्येक कार्ड के लिए प्रत्येक कार्ड के (आईएआई) का डेटाबेस प्रदान करने के लिए यादृच्छिक रूप से सेट किया जा सकता है), अंत में, अवांछित बिट्स को त्यागने के बाद (अनिवार्य रूप से बिट्स की पूर्ण स्थिति है) अप्रासंगिक, आईएआई में 0 का मतलब है कि कार्ड की प्रतिक्रिया में संबंधित बिट को केवल 0 पर सेट करने के बजाय छोड़ दिया जाएगा)। अंत में मूल्य बाइनरी से दशमलव संख्या में परिवर्तित हो जाता है और उपयोगकर्ता को प्रदर्शित होता है। छोटा सा उदाहरण नीचे दिया गया है:


# कैप (सीएपी) डिवाइस ईएमवी एप्लिकेशन का चयन करता है, कार्ड से आईएआई जानकारी पढ़ता है और उपयोगकर्ता प्रदर्शन करने के लिए क्रिया का चयन करता है (इस उदाहरण में, आईएआई 1110110110002 होगा)।
# कैप (सीएपी) डिवाइस ईएमवी एप्लिकेशन का चयन करता है, कार्ड से आईएआई जानकारी पढ़ता है और उपयोगकर्ता प्रदर्शन करने के लिए क्रिया का चयन करता है (इस उदाहरण में, आईएआई 111011011000<sub>2</sub> होगा)।
# सफल पिन प्रविष्टि के बाद, कैप डिवाइस प्राधिकरण अनुरोध क्रिप्टोग्राम (एआरक्यूसी) लेनदेन के रूप में 0111001110102 की चुनौती भेजता है।
# सफल पिन प्रविष्टि के बाद, कैप डिवाइस प्राधिकरण अनुरोध क्रिप्टोग्राम (एआरक्यूसी) लेनदेन के रूप में 011100111010<sub>2</sub> की चुनौती भेजता है।
# स्मार्टकार्ड 1101011101102 का जवाब देता है और कैप (सीएपी) डिवाइस फर्जी लेनदेन को रद्द कर देता है।
# स्मार्टकार्ड 110101110110<sub>2</sub> का जवाब देता है और कैप (सीएपी) डिवाइस फर्जी लेनदेन को रद्द कर देता है।
# कैप डिवाइस IAI मास्क का उपयोग करता है: 1110110110002 बिट्स ड्रॉप करने के लिए; वे बिट जो मास्क में 0 के संगत हैं, हटा दिए जाते हैं।
# कैप डिवाइस आईएआई मास्क का उपयोग करता है: 111011011000<sub>2</sub> बिट्स ड्रॉप करने के लिए; वे बिट जो मास्क में 0 के संगत हैं, हटा दिए जाते हैं।
# इसलिए अंतिम प्रतिक्रिया 11001102 या दशमलव में 102 है।
# इसलिए अंतिम प्रतिक्रिया 1100110<sub>2</sub> या दशमलव में 102 है।


वास्तविक दुनिया की प्रक्रिया निश्चित रूप से कुछ अधिक जटिल है क्योंकि कार्ड एआरक्यूसी को दो प्रारूपों में से एक में वापस कर सकता है (या तो सरल प्रतिक्रिया संदेश टेम्पलेट प्रारूप प्रकार 1 (id. 80<sub>16</sub>) या अधिक जटिल प्रतिक्रिया संदेश टेम्पलेट प्रारूप 2 (id. 77<sub>16</sub>) जो एआरक्यूसी डेटा को अलग-अलग टीएलवी मानों में विभाजित करता है जिन्हें टाइप 1 प्रारूप से मिलान करने के लिए अनुक्रमिक रूप से पुन: संयोजन करने की आवश्यकता होती है।
वास्तविक दुनिया की प्रक्रिया निश्चित रूप से कुछ अधिक जटिल है क्योंकि कार्ड एआरक्यूसी को दो प्रारूपों में से एक में वापस कर सकता है (या तो सरल प्रतिक्रिया संदेश टेम्पलेट प्रारूप प्रकार 1 (id. 80<sub>16</sub>) या अधिक जटिल प्रतिक्रिया संदेश टेम्पलेट प्रारूप 2 (id. 77<sub>16</sub>) जो एआरक्यूसी डेटा को अलग-अलग टीएलवी मानों में विभाजित करता है जिन्हें टाइप 1 प्रारूप से मिलान करने के लिए अनुक्रमिक रूप से पुन: संयोजन करने की आवश्यकता होती है।


आइडेंटिटी मोड में, प्रतिक्रिया केवल आईएआई से आवश्यक बिट्स पर निर्भर करती है क्योंकि राशि और संदर्भ संख्या शून्य पर सेट होती है; इसका अर्थ यह भी है कि प्रतिक्रिया का चयन करना और 00000000 की संख्या दर्ज करना वास्तव में मान्य पहचान प्रतिक्रिया उत्पन्न करेगा। अधिक संबंधित, हालांकि, यदि बैंक द्वारा प्रतिक्रिया अनुरोध जारी किया जाता है, तो उसी नंबर और ¤0.00 की राशि के साथ साइन मोड का उपयोग करके फिर से एक वैध परिणाम उत्पन्न होगा जो जालसाज के लिए ग्राहक को निर्देश देने की संभावना बनाता है " परीक्षण" चुनौती-प्रतिक्रिया ¤0.00 की राशि के लिए जो वास्तव में धोखेबाज द्वारा पीड़ित के खाते में आदाता के रूप में खुद को जोड़ने के लिए एक प्रतिक्रिया आदेश को सत्यापित करने के लिए उपयोग किया जा रहा है; इन हमलों को उन बैंकों के खिलाफ अंजाम देना संभव था, जो मजबूत प्रमाणीकरण उपकरणों का इस्तेमाल करते थे, जो कम से कम 0.01 की राशि दर्ज होने तक गतिविधियों को रद्द नहीं कर रहे थे।<ref name="cambridge"/> इस प्रकार के हमलों की संभावना को 2009 में संबोधित किया गया था जब नई पीढ़ी के उपकरणों को रोल आउट किया गया था, जो सुरक्षित डोमेन पृथक्करण कार्यक्षमता को लागू कर रहा था जो अक्टूबर 2010 के मास्टरकार्ड एप्लिकेशन नोट के अनुरूप है।{{clarify|reason=how does this fix the issue?|date=August 2012}} इसी तरह बेशक; बैंक जो आइडेंटिफाई कमांड को लागू करता है, जालसाज के लिए यह संभव बनाता है कि वह संदर्भ के रूप में 00000000 का उपयोग करते हुए पीड़ित को "परीक्षण" प्रतिक्रिया लेनदेन करने का अनुरोध करे, और फिर पीड़ित के खाते में सफलतापूर्वक लॉग इन करने में सक्षम हो जाएगा।<ref name="cambridge"/>
आइडेंटिटी मोड में, प्रतिक्रिया केवल आईएआई से आवश्यक बिट्स पर निर्भर करती है क्योंकि राशि और संदर्भ संख्या शून्य पर सेट होती है; इसका अर्थ यह भी है कि प्रतिक्रिया का चयन करना और 00000000 की संख्या दर्ज करना वास्तव में मान्य पहचान प्रतिक्रिया उत्पन्न करेगा। अधिक संबंधित, हालांकि, यदि बैंक द्वारा प्रतिक्रिया अनुरोध जारी किया जाता है, तो उसी नंबर और ¤0.00 की राशि के साथ साइन मोड का उपयोग करके फिर से एक वैध परिणाम उत्पन्न होगा जो जालसाज के लिए ग्राहक को निर्देश देने की संभावना बनाता है " परीक्षण" चुनौती-प्रतिक्रिया ¤0.00 की राशि के लिए जो वास्तव में धोखेबाज द्वारा पीड़ित के खाते में आदाता के रूप में खुद को जोड़ने के लिए एक प्रतिक्रिया आदेश को सत्यापित करने के लिए उपयोग किया जा रहा है; इन हमलों को उन बैंकों के खिलाफ अंजाम देना संभव था, जो मजबूत प्रमाणीकरण उपकरणों का इस्तेमाल करते थे, जो कम से कम 0.01 की राशि दर्ज होने तक गतिविधियों को रद्द नहीं कर रहे थे।<ref name="cambridge"/> इस प्रकार के हमलों की संभावना को 2009 में संबोधित किया गया था जब नई पीढ़ी के उपकरणों को रोल आउट किया गया था, जो सुरक्षित डोमेन पृथक्करण कार्यक्षमता को लागू कर रहा था जो अक्टूबर 2010 के मास्टरकार्ड एप्लिकेशन नोट के अनुरूप है।{{clarify|reason=how does this fix the issue?|date=August 2012}} इसी तरह बेशक; बैंक जो आइडेंटिफाई कमांड को लागू करता है, जालसाज के लिए यह संभव बनाता है कि वह संदर्भ के रूप में 00000000 का उपयोग करते हुए पीड़ित को "टेस्ट" प्रतिक्रिया लेनदेन करने का अनुरोध करे, और फिर पीड़ित के खाते में सफलतापूर्वक लॉग इन करने में सक्षम हो जाएगा।<ref name="cambridge"/>


उसी ऑन-कार्ड पिन रिट्री काउंटर का उपयोग अन्य ईएमवी लेनदेनों की तरह किया जाता है। तो एटीएम या पीओएस टर्मिनल की तरह ही, सीएपी रीडर में लगातार तीन बार गलत पिन दर्ज करने से कार्ड ब्लॉक हो जाएगा।
उसी ऑन-कार्ड पिन रिट्री काउंटर का उपयोग अन्य ईएमवी लेनदेनों की तरह किया जाता है। तो एटीएम या पीओएस टर्मिनल की तरह ही, सीएपी रीडर में लगातार तीन बार गलत पिन दर्ज करने से कार्ड ब्लॉक हो जाएगा।
Line 32: Line 32:
== असंगति ==
== असंगति ==


मूल कैप विनिर्देश को सामान्य ईएमवी लेनदेन का उपयोग करने के लिए डिज़ाइन किया गया था, जैसे कि यदि आवश्यक हो तो मौजूदा ईएमवी कार्ड के फर्मवेयर को अपडेट किए बिना कैप एप्लिकेशन को तैनात किया जा सकता है। पसंदीदा कार्यान्वयन कैप लेनदेन के लिए एक अलग एप्लिकेशन का उपयोग करता है। दो एप्लिकेशन कुछ डेटा साझा कर सकते हैं, जैसे कि पिन, जबकि अन्य डेटा ऐसे उदाहरणों में साझा नहीं किया जाता है जहां यह केवल एक एप्लिकेशन (यानी, ईएमवी के लिए टर्मिनल जोखिम प्रबंधन डेटा) या अलग होने के फायदे (यानी, लेनदेन काउंटर, इसलिए) पर लागू होता है। कि ईएमवी और सीएपी लेनदेन अलग-अलग काउंटरों को बढ़ाते हैं जिन्हें अधिक सटीक रूप से सत्यापित किया जा सकता है)। पाठक कार्यान्वयन-विशिष्ट डेटा भी रखता है, जिनमें से कुछ को कार्ड में मानों द्वारा अधिलेखित किया जा सकता है। इसलिए, सीएपी पाठक आम तौर पर अलग-अलग जारीकर्ता बैंकों के कार्ड के साथ संगत नहीं होते हैं।
मूल सीएपी विनिर्देश को सामान्य ईएमवी लेनदेन का उपयोग करने के लिए डिज़ाइन किया गया था, जैसे कि यदि आवश्यक हो तो मौजूदा ईएमवी कार्ड के फर्मवेयर को अपडेट किए बिना कैप एप्लिकेशन को तैनात किया जा सकता है। पसंदीदा कार्यान्वयन सीएपी लेनदेन के लिए एक अलग एप्लिकेशन का उपयोग करता है। दो एप्लिकेशन कुछ डेटा साझा कर सकते हैं, जैसे कि पिन, जबकि अन्य डेटा ऐसे उदाहरणों में साझा नहीं किया जाता है जहां यह केवल एक एप्लिकेशन (यानी, ईएमवी के लिए टर्मिनल जोखिम प्रबंधन डेटा) या अलग होने के फायदे (यानी, लेनदेन काउंटर, इसलिए) पर लागू होता है। कि ईएमवी और सीएपी लेनदेन अलग-अलग काउंटरों को बढ़ाते हैं जिन्हें अधिक सटीक रूप से सत्यापित किया जा सकता है)। पाठक कार्यान्वयन-विशिष्ट डेटा भी रखता है, जिनमें से कुछ को कार्ड में मानों द्वारा अधिलेखित किया जा सकता है। इसलिए, सीएपी पाठक सामान्यतः अलग-अलग जारीकर्ता बैंकों के कार्ड के साथ संगत नहीं होते हैं।


हालांकि, अधिकांश, संभवतः सभी यूके बैंकों द्वारा जारी किए गए कार्ड रीडर एपीएसीएस ([[APACS|APACS)]] द्वारा परिभाषित CAP सबसेट के अनुरूप हैं, जिसका अर्थ है कि, ज्यादातर मामलों में, यूके बैंक द्वारा जारी किए गए कार्ड का उपयोग किसी भिन्न बैंक द्वारा जारी किए गए कार्ड रीडर में किया जा सकता है।
हालांकि, अधिकांश, संभवतः सभी यूके बैंकों द्वारा जारी किए गए कार्ड रीडर एपीएसीएस ([[APACS|APACS)]] द्वारा परिभाषित सीएपी सबसेट के अनुरूप हैं, जिसका अर्थ है कि, ज्यादातर मामलों में, यूके बैंक द्वारा जारी किए गए कार्ड का उपयोग किसी भिन्न बैंक द्वारा जारी किए गए कार्ड रीडर में किया जा सकता है।


== भेद्यता ==
== भेद्यता ==
Line 42: Line 42:


=== स्वीडन ===
=== स्वीडन ===
* नवंबर 2007 में सीएपी का उपयोग करते हुए [[नॉर्डिया]]।<ref>[http://www.nordea.se/sitemod/upload/Root/www_nordea_se/Privat/internet_telefon/internet/demo_e-kod/index.html New security solution | nordea.se], in Swedish.</ref> नॉर्डिया ईकोड समाधान का उपयोग नॉर्डिया द्वारा ईबैंकिंग, ईकामर्स (3DS) और ईआईडी दोनों के लिए किया जाता है। पाठक जिसके पास कुछ और उन्नत कार्यक्षमता है जो CAP का विस्तार करती है, नॉर्डिया के सीएपी कार्यान्वयन को ट्रोजन और मैन-इन-द-मिडल हमलों के विरुद्ध अधिक सुरक्षित बनाती है। जब ईआईडी के लिए उपयोग किया जाता है, तो उपयोगकर्ता अपनी "कर घोषणा" ऑनलाइन या किसी भी कार्यान्वित ई-सरकारी कार्यों को दर्ज करने में सक्षम होता है। डिवाइस यूएसबी पोर्ट से भी लैस है, जो बैंक को संवेदनशील लेनदेन के अनुमोदन के लिए साइन-व्हाट-यू-सी करने में सक्षम बनाता है।
* नवंबर 2007 में सीएपी का उपयोग करते हुए [[नॉर्डिया]]।<ref>[http://www.nordea.se/sitemod/upload/Root/www_nordea_se/Privat/internet_telefon/internet/demo_e-kod/index.html New security solution | nordea.se], in Swedish.</ref> नॉर्डिया ईकोड समाधान का उपयोग नॉर्डिया द्वारा ईबैंकिंग, ईकामर्स (3DS) और ईआईडी दोनों के लिए किया जाता है। पाठक जिसके पास कुछ और उन्नत कार्यक्षमता है जो सीएपी का विस्तार करती है, नॉर्डिया के सीएपी कार्यान्वयन को ट्रोजन और मैन-इन-द-मिडल हमलों के विरुद्ध अधिक सुरक्षित बनाती है। जब ईआईडी के लिए उपयोग किया जाता है, तो उपयोगकर्ता अपनी "कर घोषणा" ऑनलाइन या किसी भी कार्यान्वित ई-सरकारी कार्यों को दर्ज करने में सक्षम होता है। डिवाइस यूएसबी पोर्ट से भी लैस है, जो बैंक को संवेदनशील लेनदेन के अनुमोदन के लिए साइन-व्हाट-यू-सी करने में सक्षम बनाता है।


=== यूनाइटेड किंगडम ===
=== यूनाइटेड किंगडम ===
Line 70: Line 70:


<references/>
<references/>
[[Category: भुगतान कार्ड]]
[[Category:स्मार्ट कार्ड]]


 
[[Category:Articles with invalid date parameter in template]]
[[Category: Machine Translated Page]]
[[Category:CS1 English-language sources (en)]]
[[Category:CS1 errors]]
[[Category:CS1 français-language sources (fr)]]
[[Category:CS1 maint]]
[[Category:CS1 Ελληνικά-language sources (el)]]
[[Category:Citation Style 1 templates|W]]
[[Category:Collapse templates]]
[[Category:Created On 16/12/2022]]
[[Category:Created On 16/12/2022]]
[[Category:Machine Translated Page]]
[[Category:Navigational boxes| ]]
[[Category:Navigational boxes without horizontal lists]]
[[Category:Pages with broken file links]]
[[Category:Pages with script errors]]
[[Category:Sidebars with styles needing conversion]]
[[Category:Template documentation pages|Documentation/doc]]
[[Category:Templates Vigyan Ready]]
[[Category:Templates based on the Citation/CS1 Lua module]]
[[Category:Templates generating COinS|Cite web]]
[[Category:Templates generating microformats]]
[[Category:Templates that are not mobile friendly]]
[[Category:Templates used by AutoWikiBrowser|Cite web]]
[[Category:Templates using TemplateData]]
[[Category:Webarchive template wayback links]]
[[Category:Wikipedia articles needing clarification from August 2012]]
[[Category:Wikipedia fully protected templates|Cite web]]
[[Category:Wikipedia metatemplates]]
[[Category:भुगतान कार्ड]]
[[Category:स्मार्ट कार्ड]]

Latest revision as of 12:55, 4 September 2023

चिप ऑथेंटिकेशन प्रोग्राम (सीएपी) ऑनलाइन और टेलीफोन बैंकिंग में उपयोगकर्ताओं और लेनदेन को प्रमाणित करने के लिए ईएमवी बैंकिंग स्मार्टकार्ड का उपयोग करने के लिए मास्टरकार्ड पहल और तकनीकी विनिर्देश है। इसे वीज़ा द्वारा डायनेमिक पासकोड ऑथेंटिकेशन (डीपीए) के रूप में भी अपनाया गया था।[1] सीएपी विनिर्देश हैंडहेल्ड डिवाइस (सीएपी रीडर) को स्मार्टकार्ड स्लॉट, न्यूमेरिक कीपैड और कम से कम 12 अक्षरों (जैसे, स्टारबर्स्ट डिस्प्ले) को प्रदर्शित करने में सक्षम डिस्प्ले के साथ परिभाषित करता है। जिन बैंकिंग ग्राहकों को उनके बैंक द्वारा सीएपी रीडर जारी किया गया है, वे कई समर्थित प्रमाणीकरण प्रोटोकॉल में से भाग लेने के लिए सीएपी रीडर में अपना चिप और पिन (ईएमवी) कार्ड डाल सकते हैं। सीएपी टू-फैक्टर ऑथेंटिकेशन का एक रूप है क्योंकि स्मार्ट कार्ड और वैध पिन दोनों को लेनदेन के सफल होने के लिए मौजूद होना चाहिए। बैंकों को उम्मीद है कि सिस्टम तथाकथित फ़िशिंग ईमेल पढ़ने के बाद ग्राहकों द्वारा धोखाधड़ी वाली वेबसाइटों में अपना विवरण दर्ज करने के जोखिम को कम करेगा।[2]

ऑपरेटिंग सिद्धांत

सीएपी विनिर्देश कई प्रमाणीकरण विधियों का समर्थन करता है। उपयोगकर्ता पहले अपने स्मार्ट कार्ड को कैप रीडर में डालते हैं और पिन दर्ज करके इसे सक्रिय करते हैं। लेनदेन प्रकार का चयन करने के लिए एक बटन दबाया जाता है। अधिकांश पाठकों के पास विभिन्न नामों के तहत उपयोगकर्ता के लिए दो या तीन लेनदेन प्रकार उपलब्ध हैं। कुछ ज्ञात कार्यान्वयन इस प्रकार हैं:

कोड/आइडेंटिटी
किसी और इनपुट की आवश्यकता के बिना, CAP रीडर स्मार्टकार्ड के साथ दशमलव वन-टाइम पासवर्ड बनाने के लिए इंटरैक्ट करता है, जिसका उपयोग, उदाहरण के लिए, बैंकिंग वेबसाइट में लॉग इन करने के लिए किया जा सकता है।

प्रतिक्रिया

यह मोड पिछले का विस्तार है, न केवल यादृच्छिक "चुनौती" मूल्य था, बल्कि हस्तांतरण मूल्य, मुद्रा और प्राप्तकर्ता के खाता संख्या जैसे महत्वपूर्ण लेनदेन विवरण भी कैप रीडर में टाइप किए जाने थे।

साइन
यह मोड पिछले का विस्तार है, जहां न केवल यादृच्छिक चुनौती मूल्य, बल्कि महत्वपूर्ण लेनदेन विवरण जैसे कि स्थानांतरित मूल्य, मुद्रा और प्राप्तकर्ता का खाता नंबर भी कैप रीडर में टाइप किया जाना है।

उपर्युक्त लेन-देन प्रकार दो में से एक मोड का उपयोग करके लागू किए जाते हैं। इनमें से एक मोड के दो रूप हैं जिसमें यह काम कर सकता है, तीन अलग-अलग मोड बना सकता है, हालांकि विनिर्देश में उनका नाम इस तरह नहीं है।

मोड1
यह व्यापारी के माध्यम से ऑनलाइन खरीदारी जैसे सामान्य मौद्रिक लेनदेन का तरीका है। क्रिप्टोग्राम की गणना में लेन-देन मूल्य और मुद्रा सम्मिलित है। अगर कार्ड को इसकी आवश्यकता नहीं है या टर्मिनल इसका समर्थन नहीं करता है, तो राशि और मुद्रा दोनों को शून्य पर सेट किया जाता है।
मोड2
यह मोड उस उपयोगकर्ता को प्रमाणित करने के लिए उपयोगी हो सकता है जिसमें कोई लेन-देन नहीं हो रहा है, जैसे कि इंटरनेट बैंकिंग सिस्टम में लॉगिंग करना। कोई लेन-देन मूल्य, मुद्रा, या अन्य डेटा सम्मिलित नहीं हैं, जिससे इन प्रतिक्रियाओं को पूर्व-गणना या पुन: उपयोग करना बहुत आसान हो जाता है
ट्रांजैक्शन डेटा साइनिंग (टीडीएस) के साथ
इस मोड का उपयोग अधिक जटिल लेन-देन के लिए किया जा सकता है, जैसे कि खातों के बीच फंड ट्रांसफर। लेन-देन से संबंधित कई डेटा फ़ील्ड्स को जोड़ा जाता है और फिर हैशिंग एल्गोरिथम की कुंजी के रूप में मोड2 क्रिप्टोग्राम के साथ हैश किया जाता है। परिणामी हैश का उपयोग गैर-टीडीएस मोड2 ऑपरेशन में गणना किए गए क्रिप्टोग्राम के स्थान पर किया जाता है।[3]

मोड 1 टीडीएस के साथ मोड 2 के विशिष्ट उपयोग की तरह लगता है, लेकिन एक महत्वपूर्ण अंतर है। मोड 1 ऑपरेशन में, लेनदेन डेटा (राशि और मुद्रा प्रकार) का उपयोग क्रिप्टोग्राम गणना में टीडीएस के बिना मोड 2 में उपयोग किए जाने वाले सभी मूल्यों के अतिरिक्त किया जाता है, जबकि मोड 2 में क्रिप्टोग्राम गणना चरण में सम्मिलित करने के बजाय इसके लेनदेन डेटा को क्रमिक चरण में सम्मिलित किया जाता है। यदि यह इस अंतर के लिए नहीं होता, तो सभी परिचालनों को अलग-अलग वैकल्पिक लेनदेन डेटा के साथ एकल संचालन के रूप में सामान्यीकृत किया जा सकता था।

प्रोटोकॉल विवरण

एक नॉर्डिया ई-कोड रीडर

तीनों मोड में, सीएपी रीडर ईएमवी कार्ड से डेटा पैकेट आउटपुट करने के लिए कहता है जो काल्पनिक ईएमवी भुगतान लेनदेन को रद्द करने की पुष्टि करता है, जिसमें उपयोगकर्ता द्वारा दर्ज विवरण सम्मिलित होता है। इस पुष्टिकरण संदेश में एक संदेश प्रमाणीकरण कोड (आमतौर पर सीबीसी-मैक (CBC-MAC)/ट्रिपल डीईएस) होता है जो स्मार्टकार्ड में सुरक्षित रूप से संग्रहीत कार्ड-विशिष्ट गुप्त कुंजी की मदद से उत्पन्न होता है। इस तरह के रद्दीकरण संदेश नियमित ईएमवी भुगतान आवेदन के लिए कोई सुरक्षा जोखिम नहीं पैदा करते हैं, लेकिन क्रिप्टोग्राफिक रूप से सत्यापित किया जा सकता है और सही पिन दर्ज करने के बाद ही ईएमवी कार्ड द्वारा उत्पन्न किया जाता है। इसने सीएपी डिजाइनरों को मजबूत क्रिप्टोग्राफ़िक साक्ष्य बनाने का तरीका प्रदान किया कि पिन-सक्रिय ईएमवी कार्ड मौजूद है और कुछ दिए गए इनपुट डेटा को देखा है, बिना पहले से उपयोग किए जा रहे ईएमवी कार्डों में कोई नया सॉफ़्टवेयर फ़ंक्शन जोड़े बिना।

ईएमवी स्मार्टकार्ड में (आमतौर पर 16-बिट) लेनदेन काउंटर होता है जो प्रत्येक भुगतान या सीएपी लेनदेन के साथ बढ़ता है। सीएपी रीडर द्वारा प्रदर्शित प्रतिक्रिया अनिवार्य रूप से कार्ड की प्रतिक्रिया के विभिन्न भागों (एप्लिकेशन ट्रांजैक्शन काउंटर, मैक, आदि) से युक्त होती है, जिसे बाद में कार्ड में संग्रहीत जारीकर्ता प्रमाणीकरण संकेतक (आईएआई) रिकॉर्ड द्वारा निर्धारित विशिष्ट बिट्स तक कम कर दिया जाता है ( यह प्रति-जारीकर्ता के आधार पर सेट किया जाता है, हालांकि जारीकर्ता की इच्छा होनी चाहिए, इसे प्रत्येक कार्ड के लिए प्रत्येक कार्ड के (आईएआई) का डेटाबेस प्रदान करने के लिए यादृच्छिक रूप से सेट किया जा सकता है), अंत में, अवांछित बिट्स को त्यागने के बाद (अनिवार्य रूप से बिट्स की पूर्ण स्थिति है) अप्रासंगिक, आईएआई में 0 का मतलब है कि कार्ड की प्रतिक्रिया में संबंधित बिट को केवल 0 पर सेट करने के बजाय छोड़ दिया जाएगा)। अंत में मूल्य बाइनरी से दशमलव संख्या में परिवर्तित हो जाता है और उपयोगकर्ता को प्रदर्शित होता है। छोटा सा उदाहरण नीचे दिया गया है:

  1. कैप (सीएपी) डिवाइस ईएमवी एप्लिकेशन का चयन करता है, कार्ड से आईएआई जानकारी पढ़ता है और उपयोगकर्ता प्रदर्शन करने के लिए क्रिया का चयन करता है (इस उदाहरण में, आईएआई 1110110110002 होगा)।
  2. सफल पिन प्रविष्टि के बाद, कैप डिवाइस प्राधिकरण अनुरोध क्रिप्टोग्राम (एआरक्यूसी) लेनदेन के रूप में 0111001110102 की चुनौती भेजता है।
  3. स्मार्टकार्ड 1101011101102 का जवाब देता है और कैप (सीएपी) डिवाइस फर्जी लेनदेन को रद्द कर देता है।
  4. कैप डिवाइस आईएआई मास्क का उपयोग करता है: 1110110110002 बिट्स ड्रॉप करने के लिए; वे बिट जो मास्क में 0 के संगत हैं, हटा दिए जाते हैं।
  5. इसलिए अंतिम प्रतिक्रिया 11001102 या दशमलव में 102 है।

वास्तविक दुनिया की प्रक्रिया निश्चित रूप से कुछ अधिक जटिल है क्योंकि कार्ड एआरक्यूसी को दो प्रारूपों में से एक में वापस कर सकता है (या तो सरल प्रतिक्रिया संदेश टेम्पलेट प्रारूप प्रकार 1 (id. 8016) या अधिक जटिल प्रतिक्रिया संदेश टेम्पलेट प्रारूप 2 (id. 7716) जो एआरक्यूसी डेटा को अलग-अलग टीएलवी मानों में विभाजित करता है जिन्हें टाइप 1 प्रारूप से मिलान करने के लिए अनुक्रमिक रूप से पुन: संयोजन करने की आवश्यकता होती है।

आइडेंटिटी मोड में, प्रतिक्रिया केवल आईएआई से आवश्यक बिट्स पर निर्भर करती है क्योंकि राशि और संदर्भ संख्या शून्य पर सेट होती है; इसका अर्थ यह भी है कि प्रतिक्रिया का चयन करना और 00000000 की संख्या दर्ज करना वास्तव में मान्य पहचान प्रतिक्रिया उत्पन्न करेगा। अधिक संबंधित, हालांकि, यदि बैंक द्वारा प्रतिक्रिया अनुरोध जारी किया जाता है, तो उसी नंबर और ¤0.00 की राशि के साथ साइन मोड का उपयोग करके फिर से एक वैध परिणाम उत्पन्न होगा जो जालसाज के लिए ग्राहक को निर्देश देने की संभावना बनाता है " परीक्षण" चुनौती-प्रतिक्रिया ¤0.00 की राशि के लिए जो वास्तव में धोखेबाज द्वारा पीड़ित के खाते में आदाता के रूप में खुद को जोड़ने के लिए एक प्रतिक्रिया आदेश को सत्यापित करने के लिए उपयोग किया जा रहा है; इन हमलों को उन बैंकों के खिलाफ अंजाम देना संभव था, जो मजबूत प्रमाणीकरण उपकरणों का इस्तेमाल करते थे, जो कम से कम 0.01 की राशि दर्ज होने तक गतिविधियों को रद्द नहीं कर रहे थे।[4] इस प्रकार के हमलों की संभावना को 2009 में संबोधित किया गया था जब नई पीढ़ी के उपकरणों को रोल आउट किया गया था, जो सुरक्षित डोमेन पृथक्करण कार्यक्षमता को लागू कर रहा था जो अक्टूबर 2010 के मास्टरकार्ड एप्लिकेशन नोट के अनुरूप है।[clarification needed] इसी तरह बेशक; बैंक जो आइडेंटिफाई कमांड को लागू करता है, जालसाज के लिए यह संभव बनाता है कि वह संदर्भ के रूप में 00000000 का उपयोग करते हुए पीड़ित को "टेस्ट" प्रतिक्रिया लेनदेन करने का अनुरोध करे, और फिर पीड़ित के खाते में सफलतापूर्वक लॉग इन करने में सक्षम हो जाएगा।[4]

उसी ऑन-कार्ड पिन रिट्री काउंटर का उपयोग अन्य ईएमवी लेनदेनों की तरह किया जाता है। तो एटीएम या पीओएस टर्मिनल की तरह ही, सीएपी रीडर में लगातार तीन बार गलत पिन दर्ज करने से कार्ड ब्लॉक हो जाएगा।

असंगति

मूल सीएपी विनिर्देश को सामान्य ईएमवी लेनदेन का उपयोग करने के लिए डिज़ाइन किया गया था, जैसे कि यदि आवश्यक हो तो मौजूदा ईएमवी कार्ड के फर्मवेयर को अपडेट किए बिना कैप एप्लिकेशन को तैनात किया जा सकता है। पसंदीदा कार्यान्वयन सीएपी लेनदेन के लिए एक अलग एप्लिकेशन का उपयोग करता है। दो एप्लिकेशन कुछ डेटा साझा कर सकते हैं, जैसे कि पिन, जबकि अन्य डेटा ऐसे उदाहरणों में साझा नहीं किया जाता है जहां यह केवल एक एप्लिकेशन (यानी, ईएमवी के लिए टर्मिनल जोखिम प्रबंधन डेटा) या अलग होने के फायदे (यानी, लेनदेन काउंटर, इसलिए) पर लागू होता है। कि ईएमवी और सीएपी लेनदेन अलग-अलग काउंटरों को बढ़ाते हैं जिन्हें अधिक सटीक रूप से सत्यापित किया जा सकता है)। पाठक कार्यान्वयन-विशिष्ट डेटा भी रखता है, जिनमें से कुछ को कार्ड में मानों द्वारा अधिलेखित किया जा सकता है। इसलिए, सीएपी पाठक सामान्यतः अलग-अलग जारीकर्ता बैंकों के कार्ड के साथ संगत नहीं होते हैं।

हालांकि, अधिकांश, संभवतः सभी यूके बैंकों द्वारा जारी किए गए कार्ड रीडर एपीएसीएस (APACS) द्वारा परिभाषित सीएपी सबसेट के अनुरूप हैं, जिसका अर्थ है कि, ज्यादातर मामलों में, यूके बैंक द्वारा जारी किए गए कार्ड का उपयोग किसी भिन्न बैंक द्वारा जारी किए गए कार्ड रीडर में किया जा सकता है।

भेद्यता

कैम्ब्रिज विश्वविद्यालय के शोधकर्ताओं सार ड्रिमर, स्टीवन मर्डोक, और रॉस एंडरसन ने सीएपी के कार्यान्वयन में अनुसंधान[4] किया, जिसमें प्रोटोकॉल और पाठकों और कार्ड दोनों के यूके संस्करण में कई कमजोरियों को रेखांकित किया गया। कई कमियां पाई गईं। रेडबौड विश्वविद्यालय (Radboud University) के शोधकर्ताओं ने डच एबीएन एमरो e.dentifier2 में भेद्यता पाई, जो अटैकर को उपयोगकर्ता की स्वीकृति के बिना दुर्भावनापूर्ण लेनदेन पर हस्ताक्षर करने के लिए यूएसबी (USB) से जुड़े रीडर को आदेश देने की अनुमति देता है।[5]

उपयोगकर्ता

स्वीडन

  • नवंबर 2007 में सीएपी का उपयोग करते हुए नॉर्डिया[6] नॉर्डिया ईकोड समाधान का उपयोग नॉर्डिया द्वारा ईबैंकिंग, ईकामर्स (3DS) और ईआईडी दोनों के लिए किया जाता है। पाठक जिसके पास कुछ और उन्नत कार्यक्षमता है जो सीएपी का विस्तार करती है, नॉर्डिया के सीएपी कार्यान्वयन को ट्रोजन और मैन-इन-द-मिडल हमलों के विरुद्ध अधिक सुरक्षित बनाती है। जब ईआईडी के लिए उपयोग किया जाता है, तो उपयोगकर्ता अपनी "कर घोषणा" ऑनलाइन या किसी भी कार्यान्वित ई-सरकारी कार्यों को दर्ज करने में सक्षम होता है। डिवाइस यूएसबी पोर्ट से भी लैस है, जो बैंक को संवेदनशील लेनदेन के अनुमोदन के लिए साइन-व्हाट-यू-सी करने में सक्षम बनाता है।

यूनाइटेड किंगडम

स्केल करने के लिए 20 पैसे के सिक्के के साथ एक राष्ट्रव्यापी कैप डिवाइस
स्केल करने के लिए 10p कॉइन के साथ एक नेटवेस्ट कैप डिवाइस
  • यूके भुगतान प्रशासन ने यूके के बैंकों द्वारा उपयोग के लिए कैप सबसेट परिभाषित किया है। यह वर्तमान में द्वारा प्रयोग किया जाता है:
  • बार्कलेस, लॉयड्स बैंक, नेशनवाइड, नेटवेस्ट, को-ऑपरेटिव बैंक/स्माइल और आरबीएस के सीएपी पाठक सभी संगत हैं।
  • बार्कलेस ने 2007 में सीएपी रीडर (पिनसेंट्री कहा जाता है) जारी करना शुरू किया।[7][8] उनकी ऑनलाइन-बैंकिंग वेबसाइट लॉगिन सत्यापन के लिए पहचान मोड और लेन-देन सत्यापन के लिए साइन मोड का उपयोग करती है। खाता विवरण को प्रमाणित करने के लिए प्रतिक्रिया मोड का उपयोग नए पिंगआईट मोबाइल भुगतान एप्लिकेशन के हिस्से के रूप में किया जाता है। डिवाइस का उपयोग अब शाखाओं में भी किया जाता है, पारंपरिक चिप और पिन उपकरणों की जगह धोखाधड़ी के प्रयास को रोकने के लिए।
  • एचबीओएस द्वारा जारी किए गए बैंक कार्ड तकनीकी रूप से सिस्टम के अनुकूल हैं, हालांकि एचबीओएस ने (अभी तक) अपने ऑनलाइन बैंकिंग के साथ उपयोग के लिए कैप रीडर्स को पेश नहीं किया है।[4]

सॉफ्टवेयर कार्यान्वयन

टीडीएस के साथ मोड 1, मोड 2 और मोड 2 का समर्थन करने वाले पायथन में लिखा गया सॉफ्टवेयर कार्यान्वयन मौजूद है[9] जिसका उपयोग केवल शैक्षिक उद्देश्यों के लिए किया जा सकता है। आइडेंटिटी फंक्शन (चुनौती के बिना) "00000000" चुनौती के साथ एम 1 फ़ंक्शन से मेल खाता है।

ध्यान दें कि वास्तविक वित्तीय कार्यों के लिए इस सॉफ़्टवेयर का उपयोग करने से कुछ जोखिम हो सकते हैं। दरअसल, स्टैंडअलोन रीडर का उपयोग करने का लाभ बैंकिंग कार्ड को संभावित रूप से पीसी पर स्थित मैलवेयर से अलग करना है। गैर-सुरक्षित रीडर में इसका उपयोग करने से यह जोखिम होता है कि कीलॉगर पिन को इंटरसेप्ट करता है, और पॉइंट-ऑफ-सेल मैलवेयर कार्ड विवरण तक पहुंच प्राप्त करता है, या यहां तक कि इसे संशोधित करने या अपने स्वयं के लेनदेन को संचालित करने के लिए लेनदेन को इंटरसेप्ट करता है।

यह भी देखें

संदर्भ

  1. Dynamic passcode authentication Archived 2008-11-19 at the Wayback Machine, VISA Europe
  2. Leyden, John. "धोखाधड़ी से लड़ने के लिए बार्कलेज पिनसेंट्री तैनात करता है". www.theregister.com (in English). Retrieved 2021-04-30.
  3. Banques en ligne : à la découverte d’EMV-CAP Archived 2012-11-27 at the Wayback Machine, UnixGarden
  4. 4.0 4.1 4.2 4.3 Drimer, Saar; Murdoch, Steven J.; Anderson, Ross (2009). असफल होने के लिए अनुकूलित: ऑनलाइन बैंकिंग के लिए कार्ड रीडर (PDF). Financial Cryptography and Data Security. LNCS. Vol. 5628. Springer. pp. 184–200. doi:10.1007/978-3-642-03549-4_11.
  5. Designed to Fail: A USB-Connected Reader for Online Banking
  6. New security solution | nordea.se, in Swedish.
  7. "बार्कलेज पिनसेंट्री". Archived from the original on 16 June 2007.
  8. Barclays to launch two-factor authentication, The Register, 2006-08-09.
  9. पत्र/ "आवेदन पत्र". sites.uclouvain.be. Retrieved 2021-04-30. {{cite web}}: Check |url= value (help)