你在网上公布的生日和信用卡盗刷有什么关系?

作者:趋势科技资深分析师Rik Ferguson


照片出自johnsnape的Flickr,遵循Creative Commons公用授权使用

Visa组织在2001年推出一个他们称为3DS的安全协议,也就是3Domain Secure的缩写。试图减少在网络购物时发生的信用卡诈骗事件。3DS比较被人所知的是各发卡组织实作系统时所用的名称– 「Visa验证Verified by Visa)」,「MasterCard Secure Code」,「J/Secure」(JCB国际组织)和「SafeKey」(美国运通)。问题是,3DS其实并没有任何屏障的效果,甚至对一般的诈骗者来说也是,至少在我所测试的过程看来是这样。

在Visa所发表的常见问答集里提到:「Visa验证可以保护您的卡片,防止未经授权的交易,让您在网络购物时可以完全的放心」。但同时他们也在常见问答集里提到「如果您忘记了密码,可以很轻松的重设它」,这里就出现了问题。接下来和我所测试的发卡组织所实作的方式有关,并不一定代表全部的3DS系统。

问题出现在一个很基本的设计缺陷。如果你跟一个使用此系统的商家买东西,你在付款阶段会被导到 3DS 验证页面。你在这个页面确认交易细节,输入密码。然后就跟变魔术一样,交易完成了。到目前为止都还好,商家看不到我的密码,也就无法利用我的数据来完成任何交易,我被保护的好好的,但是… 

犯罪份子会怎么做呢?如果他们有了你的信用卡,却没有你的密码?当然了,还有一个方便的「我忘记我的密码」链接。让我们来看看这是怎样的良好保护。

密码重设的第一步是输入你的卡号,显然是要确保你是替正确的账号重设密码。一旦将卡号输入系统,现在需要提供一些数据来确认你是合法的账号拥有者。让我们来看看这个「认证」阶段。



密码重设的第二步

噢,不好,这看起来一点也不好!用来验证我的身分的四项信息中的三项都包含在信用卡本身,浮刻或压印在信用卡上。犯罪份子不是已经有这些信息了吗?还有什么呢?有一个信息是不包含在卡片上的。问题是,这是一个已经在社交网络、问卷调查、注册窗口还有许多其他地方被广为分享的信息,也是能自由被公开取得的信息。我们不能也不该认为我们的出生日期是一个秘密。 

输入了所需的信息后,剩下的就是输入一个自选的新密码,然后你的交易也就被授权了。更糟的是,没有电子邮件通知提醒持卡人他们的账号已经被访问或修改。持卡人将永远也不会发现,直到他们检查自己的状态。

所以该如何改善呢?这里没有什么新奇或令人惊叹的建议,只是有一些基本的步骤需要被加到流程里。

在注册系统时,持卡人应该被要求建立一个「秘密问题」以作为密码重设的验证依据,不该只是简单的出现密码重设画面,而是将一次性的密码重设网址发送到注册时登记的电子邮件地址。而且无论是要求更改账号内容或是更改成功,都应该发送电子邮件进行通知。

哦,还有一件事,如果可以在密码中使用特殊字符就真的太棒了,拜托了。

@原文出处:Verified by Visa?

本文版权为
趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!

爱趋势社区--下载/论坛/分享  http://www.iqushi.com
官方微博拿礼品/分享最新IT资讯  http://t.sina.com.cn/trendcloud
趋势科技CEO:陈怡桦EvaChen的微博  http://weibo.com/evatrendmicro



评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值