<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 1, 2015 at 12:57 AM, Tony Arcieri <span dir="ltr"><<a href="mailto:bascule@gmail.com" target="_blank">bascule@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class="">On Wed, Sep 30, 2015 at 7:38 AM, Henry Baker <span dir="ltr"><<a href="mailto:hbaker1@pipeline.com" target="_blank">hbaker1@pipeline.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">FYI -- More like Bait 'n' Switch...  This isn't about fraud at all, but about shifting liability away from the banks.</blockquote><div><br></div></span><div>Do you really think a 4 digit number is the difference between a secure and insecure system?<br></div><div><br></div><div>The liability shift is only for magstripe cards, not for EMV. Their goal is to push people onto EMV.</div><div><br></div><div>EMV has a ton of issues and attacks against EMV are already commonplace. But magstripe cards are effectively a 16-digit + 3-digit CVV1 "password" you give to anyone you can transact business with, who with that knowledge can thereafter impersonate you on the network. That's clearly not the greatest authentication scheme in the world.</div></div><div><br></div><div>EMV has a ton of problems, but magstripe cards are a technology that has outlived its usefulness.</div></div></div></blockquote><div><br></div><div>Are there any attacks against EMV that don't involve using the payment mechanisms that only require the card number?</div><div><br></div><div>If the magstripe transactions go away, how much card present fraud is left? </div></div></div></div>