<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Dec 6, 2014 at 2:29 AM, Henry Baker <span dir="ltr"><<a href="mailto:hbaker1@pipeline.com" target="_blank">hbaker1@pipeline.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">At 07:49 PM 12/5/2014, Jerry Leichter wrote:<br>
"It's also not at all clear that the banks were the ones who resisted on chip and pin.  *They* wouldn't be the ones bearing the costs of replacing all the card readers out there - and they stand to gain from the liability shift that leaves merchants who don't get new terminals stuck with any loses.  Over all, win/win for the banks."<br>
</span>---<br>
Ross Anderson has been analyzing chip&pin for years & found that there are just as many problems with chip&pin as with the magstripe cards.<br></blockquote><div><br></div><div>No he really didn't. </div><div><br></div><div>Chip and PIN is really difficult to defeat if the legacy magstripe channel is disabled. Card present fraud is virtually non existent on chip and pin and in particular large scale breaches like Target are not an issue.</div><div><br></div><div>If they were, it would be fixable.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ross points out (if I recall his comments correctly) that with chip&pin, the burden of proof moves away from the banks, which is why the banks are so hot for chip&pin.  But don't hold your breath waiting for chip&pin to produce any improvement.  I just read that the new US chip&pin system has already been hacked, and it isn't even in real service here yet!<br></blockquote><div><br></div><div>There is a difference between going to sea in a boat that takes on some water and going to sea in a boat with a giant hole in the bottom. Ross greatly overstates his case. <br></div></div></div></div>