作者:趋势科技资深分析师Rik Ferguson
照片出自johnsnape的Flickr,遵循Creative Commons公用授权使用
Visa组织在2001年推出一个他们称为3DS的安全协议,也就是3Domain Secure的缩写。试图减少在网络购物时发生的信用卡诈骗事件。3DS比较被人所知的是各发卡组织实作系统时所用的名称– 「Visa验证(Verified by Visa)」,「MasterCard Secure Code」,「J/Secure」(JCB国际组织)和「SafeKey」(美国运通)。问题是,3DS其实并没有任何屏障的效果,甚至对一般的诈骗者来说也是,至少在我所测试的过程看来是这样。
在Visa所发表的常见问答集里提到:「Visa验证可以保护您的卡片,防止未经授权的交易,让您在网络购物时可以完全的放心」。但同时他们也在常见问答集里提到「如果您忘记了密码,可以很轻松的重设它」,这里就出现了问题。接下来和我所测试的发卡组织所实作的方式有关,并不一定代表全部的3DS系统。
问题出现在一个很基本的设计缺陷。如果你跟一个使用此系统的商家买东西,你在付款阶段会被导到 3DS 验证页面。你在这个页面确认交易细节,输入密码。然后就跟变魔术一样,交易完成了。到目前为止都还好,商家看不到我的密码,也就无法利用我的数据来完成任何交易,我被保护的好好的,但是…
犯罪份子会怎么做呢?如果他们有了你的信用卡,却没有你的密码?当然了,还有一个方便的「我忘记我的密码」链接。让我们来看看这是怎样的良好保护。
密码重设的第一步是输入你的卡号,显然是要确保你是替正确的账号重设密码。一旦将卡号输入系统,现在需要提供一些数据来确认你是合法的账号拥有者。让我们来看看这个「认证」阶段。
密码重设的第二步
噢,不好,这看起来一点也不好!用来验证我的身分的四项信息中的三项都包含在信用卡本身,浮刻或压印在信用卡上。犯罪份子不是已经有这些信息了吗?还有什么呢?有一个信息是不包含在卡片上的。问题是,这是一个已经在社交网络、问卷调查、注册窗口还有许多其他地方被广为分享的信息,也是能自由被公开取得的信息。我们不能也不该认为我们的出生日期是一个秘密。
输入了所需的信息后,剩下的就是输入一个自选的新密码,然后你的交易也就被授权了。更糟的是,没有电子邮件通知提醒持卡人他们的账号已经被访问或修改。持卡人将永远也不会发现,直到他们检查自己的状态。
所以该如何改善呢?这里没有什么新奇或令人惊叹的建议,只是有一些基本的步骤需要被加到流程里。
在注册系统时,持卡人应该被要求建立一个「秘密问题」以作为密码重设的验证依据,不该只是简单的出现密码重设画面,而是将一次性的密码重设网址发送到注册时登记的电子邮件地址。而且无论是要求更改账号内容或是更改成功,都应该发送电子邮件进行通知。
哦,还有一件事,如果可以在密码中使用特殊字符就真的太棒了,拜托了。
@原文出处:Verified by Visa?
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区--下载/论坛/分享
官方微博—拿礼品/分享最新IT资讯
趋势科技CEO:陈怡桦EvaChen的微博