System 3DS mało skuteczny?
Co to jest system 3DS, znany także jako 3-D Secure? Spora część z nas styka się z tym systemem zabezpieczeń podczas zakupów w sklepach internetowych przy płaceniu kartą kredytową. Z założenia jest to funkcja dająca użytkownikom dodatkowe bezpieczeństwo przy płatnościach online, ponieważ obok numeru karty, daty jej ważności, wartości kontrolnej CVV2 lub CVC2, klient musi podać dodatkowy kod przysłany za pośrednictwem SMS lub wygenerowany za pomocą Tokena. Tego typu zabezpieczenia serwowane są pod takimi nazwami jak Verified by Visa oraz MasterCard SecureCode.
Jest to bardzo wygodne rozwiązanie problemu bezpieczeństwa dla sklepów internetowych, które w razie niepowodzenia transakcji w skutek oszustwa, odpowiedzialność za straty, które poniesie klient może przesunąć na firmę, która obsługuje karty kredytowe. Również sami operatorzy kart kredytowych nie traktują klienta fair, zmuszając go do podpisania umowy, w ramach której operator zrzeka się odpowiedzialności za nieautoryzowany dostęp do środków na karcie jednocześnie zachwalając skuteczność zabezpieczeń 3D Secure i niejako zmuszając do wyboru takiej opcji zabezpieczeń.
Problem został dostrzeżony przez parę naukowców: Rossa Andersona i Stevena Murdocha, którzy zreferowali słabość zabezpieczeń 3DS podczas konferencji Financial Cryptography. Zwrócili oni uwagę na fakty, które poruszyłem powyżej, ale również na czysto techniczne słabości zabezpieczeń 3D Secure.
Został poruszony problem standardowej integracji 3DS ze stroną internetową za pośrednictwem HTML IFRAME. Taka metoda nie pozwala użytkownikowi skorzystać z podstawowych zabezpieczeń wbudowanych w przeglądarkę w postaci wyświetlania nazwy certyfikatu w pasku adresu przeglądarki. Jest to jeden ze sposobów na uniknięcie ataku typu phishing.
Jako inny przykład został podany bank, który wymaga od posiadacza karty kredytowej podania numeru PIN karty podczas procesu weryfikacji, co według naukowców jest niedopuszczalne, ponieważ numer ten do niczego nie jest bankowi potrzebny.
Czyżby banki nie wiedziały o problemie? A może faktycznie umowy z posiadaczami kart kredytowych są podpisywane zupełnie świadomie w sposób, który wyklucza powzięcie jakiejkolwiek odpowiedzialności za straty poniesione w wyniku słabych zabezpieczeń transakcji internetowych?
Z systemów 3DS korzysta w tym momencie około 200 milionów użytkowników kart kredytowych. 200 milionów osób na świecie jest potencjalnie narażona na próbę oszustwa.
Podobne wpisy
3ds, banki, Bezpieczeństwo 3-d secure, on-line, płatności
Informatyk z wykształcenia pracujący w Departamencie Logistyki. Pasjonat książek historycznych, niecierpiący próżności... Moje motto życiowe: "Aktywnie spędzać czas, tak aby nie żałować żadnej przeżytej chwili".
