Temassız kartlar güvenli mi?

Temassız kartlar güvenli mi diye sormadan önce biraz ön bilgi vermek isterim. Adından da anlaşılabileceği üzere temas etmeden alışverişlerimizi yapabileceğimiz bir ödeme aracı. Normal kartlardan farkı üzerinde temassız veri alışverişini sağlayan bir çip bulunması. “Çip” kavramı kafanızı karıştırmasın. Normalde tüm kartlarda çip var. Bu kartlardaki çip diğerlerinden farklı. Temassız özelliği olan kartların üzerinde belirleyici bir de işaret oluyor. Kartınız üzerinde bu işareti görebiliyorsanız temassız işlem yapabilirsiniz demektir. Kartınızı aldıktan sonra temassız özelliğini ise sadece bu özelliği destekleyen POS cihazlarında kullanabiliyorsunuz.

Peki temassız ve şifresiz nasıl oluyor?

Şöyleki; kartınız ve uyumlu POS cihazı RFID denilen bir teknoloji sayesinde iletişim kuruyor. Bu süre içerisinde kartınızın bilgileri, harcama limiti, geçerliliği kontrol ediliyor. Onay alırsa alışveriş gerçekleşiyor. Burada “süre” diye adlandırdığımız süreç şimdilerde 2 saniyeye kadar düştüğünü belirtmekte fayda var. Bu bir anlamda çok güzel olsa da diğer taraftan sakıncalı olabilecek riskleri de getiriyor. Bu konuyu birazdan yatırıcaz.

RFID nedir?

Çok teknik detaya girmeden söyleyeyim “Radyo Frekansı ile Tanımlama – Radio Frequency Identification” anlamında bir teknoloji. Eskiden beri kullanılan bir teknoloji. Barkod, etiket okuma ve tanımlama gibi yerlerde daha çok örneklerini görebilirsiniz. Mesela her gün alışveriş yaptığınız marketlerin kasaları üzerindeki okuyucular.

Kartlarda da RFID kullanılıyor dedik ama örneklerini verdiğim kullanım alanlarındakinden biraz farklı bir uygulama var diyebiliriz. Temassız özelliği olan POS cihazları kartınız üzerinde bulunan ve aslında uyku modunda olan çipi yaydığı frekans ile uyandırıyor. Yani basit olarak anlatacak olursak belirli bir ücret için ayarlanmış bir POS cihazını kartınıza yeterince yaklaştırırsanız kredi kartınız POS cihazından gelecek olan isteğe cevap verir ve işlem kısa sürede tamamlanmış olur.

Ne Faydası Var?

Herşeyden önemlisi ödeme işleminin süresini hissedilir derecede kısaltıyor. Kartınızı POS işlemleri yapsın diye yabancıların eline vermemiş oluyorsunuz. Böylelikle kopyalamaya karşı bir nevi tedbir almış olabiliyorsunuz. Özellikle ufak harcamalarınız için pratik bir uygulama.

Dezavantajları var mı?

Yazının başında da söylediğim gibi. İşin içine para, teknoloji ve insan faktörü girdiğinde riskin olmaması neredeyse imkansız gibi. Nitekim yaşanan olaylar da riskin aslında tahmin edilenden de büyük olduğunu kanıtlıyor. Öncelikle bilmeniz gereken kartınızın sürekli olarak onay vermeye hazır bir mekanizmaya sahip olduğu.

Yani yeterli mesafede ve göze batmayacak bir meblağ belirlendiğinde kötü niyetli kişilerin sadece yanınızda iki saniye kadar yaklaşması yeterli oluyor. Önceleri bu yolla kredi kartlarını kopyalamak ta mümkün olabiliyordu ama alınan şifreleme tedbirleri ile, risk tamamen ortadan kalkmasa da, ilk aşamada yada basit ataklarda önleyici olabiliyor.

Peki gerçekten temassız kartlar güvenli mi?

Risk yönetimi yaparken belirlediğiniz riskleri yönetme aşamasında karşınıza 3 seçenek gelir. Riski azaltmak, riski ortadan kaldırmak, yada transfer etmek.

Riski azaltmak riskin niteliğine bağlı olarak etkin bir yöntem olabilir. Ama bu durumda bilmeniz gereken şey riskin sürekli olarak var olacağıdır. Yani temassız kartınız varsa ve bu özelliği etkin ise hedef olma olasılığı her zaman vardır. Bu durumda riski azaltabilmek için aşağıdaki tedbirleri alabilirsiniz :

  • Kartınızın siz farkında bile olmadan okunmasını istemiyorsanız kartınızı koruma altına alabilirsiniz. Bunu RFID koruyuculu cüzdanlar yada kartvizitler ile sağlayabilirsiniz.
  • Özellikle kalabalık ortamlarda cüzdanlarınızın göğüs hizasında tutmanız faydalı olabilir. Eğer kötü niyetli kişi kart okutmak için basit bir pos cihazı kullanıyorsa kartınıza çok yakın olması gerekecek. Bu şekilde bu olasılığı ortadan kaldırmış olursunuz.
  • Cüzdanınızı ortalık yerde bırakmayın. Okumanın 2 saniye kadar sürdüğünü düşünecek olursak cüzdanınızın 5 saniyeliğine ortadan kaybolmasını farkedemeyebilirsiniz.
  • İnternet yada posta yolu ile alışveriş özelliklerinde olduğu gibi internet şubenizden bu sistemi aktif/pasif yapabilme imkanınız var ise sadece kullanacağınız zamanlarda sistemi aktif yapıp kullandıktan sonra pasif duruma geçirebilirsiniz.

Riski ortadan kaldırmak, benim seçtiğim yöntem, en basit tabiri ile temassız ödeme özelliği olmayan bir kart kullanmak yada bu özelliğini kapalı tutmak olarak anlamına geliyor. Bunun değerlendirmesini tabiki de kart sahipleri daha iyi yapacaktır. Benim alışveriş alışkanlıklarıma ve tarzıma uygun bir sistem değil. Bunun yanında riskleri de mevcutsa yapabileceğim en iyi şey bu riski ortadan kaldırmak olur dedim ve kartlarımı bu özellikten mahrum bıraktım.

Riski transfer etmek tabiri yerindeyse başkasının kartı ile işlem yapmak anlamına geliyor. Sizin için bu güzelliği yapabilecek birini tanımıyorsanız yukarıdaki iki seçenekten birini seçmek durumunda kalacaksınız demektir.

Sonuç olarak

Riski göğüsleyen biz tüketiciler olunca insanın ister istemez çenesi düşebiliyor 🙂  Ama anladığım kadarı ile bu sistemde kart üzerindeki çip POS makinasının sinyal göndermesi ile uyanıp iletişime izin veriyor. Bu çipi aslında kartın üzerinde konumlandırılan bir parmak izi okuyucu ile aktif edebilsek. Sonrasında POS makinası ile iletişime geçebilse. Böylelikle parmak iziniz olmadığı sürece çip her daim uyku modunda olsa. Alış veriş yapılacağı zaman parmak iziniz ile aktif olsa. Daha bir güzel olmaz mıydı?

Kart üreticilerinin parmak izi okuyuculu kartlar üzerinde çalışmalar yaptığını hatta bazı yerlerde kullanıma bile soktuklarını okumuştum. Ama temassız alışverişlerde kullanılıp kullanılmayacağı konusunda bir bilgiye rastlayamadım. Böyle olursa hem güvenliği hemde pratik kullanımı destekleyen bir sistem yaratmış olurlar. Biz de rahat bir nefes alarak RFID korumalı aksesuarlara para harcamadan, yada ortak yaşam alanlarında paranoyak gibi dolaşmadan sistemin güzelliklerinden faydalanmış oluruz.

Bir cevap yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.