它依赖于卡来验证插入的PIN是否正确，并且卡仅向支付处理系统发送“PIN okay”注释。这个“一切正常”的信号可以伪造。如果PIN挑战是通过网络通过安全信道以某种方式传送到中央认证机制，那么它本身就比单独的卡更安全。（为了提高安全性，你可以使用几种方案来实现这一点，而不需要传输PIN。）但是他们没有做任何这些。

 

因此，它使被盗的卡片使用起来有点困难，并使伪造变得有点棘手，但实际上并没有做太多其他事情。它就像你门上的那些锁之一，可以用信用卡摇晃着：一种随意的威慑力。这是值得的东西 ; 但是，如果失败了，

 

Anderson指出，在有争议的交易中，如果交易已经通过PIN验证，则损失的责任在于消费者而不是银行或商家。

 

EMV标准很大，有很多方法可以实现它。目前有（？）3种类型的芯片 - SDA，DDA和CDA，每个芯片都提高了安全性。有这么大的标准，以及实现它的许多方法，必然会有不安全的组合。这远非完美。

 

允许芯片验证PIN（离线PIN）不是强制性的。例如，在澳大利亚，我认为EFT终端始终在线并不常见 - 在欧洲，我知道让终端离线的情况更为常见。所以我认为从ZDNet链接的攻击在澳大利亚不起作用。这并不是说没有其他人 - 在这里看到另一个伟大的攻击：http：//www.schneier.com/blog/archives/2010/02/man-in-the-midd_1.html

 

EMV将成为大多数国家的未来，美国是例外（这是我所知道的唯一例外，但我不是专家）EMV尚未掌握，部分，我听说，由于滚动的成本出了这么多新的终端。至少在澳大利亚，万事达卡和VISA调整负债以支持采用新标准的公司。这具有鼓励采用EMV和3D-Secure等其他方案的效果。