作者:趨勢科技全球安全研究副總裁 Rik Ferguson
Visa組織在2001年推出一個他們稱為3DS的安全協議,也就是3 Domain Secure的縮寫。試圖減少在網路購物時發生的信用卡詐騙事件。3DS比較被人所知的是各發卡組織實作系統時所用的名稱 – 「Visa驗證(Verified by Visa)」,「MasterCard Secure Code」,「J/Secure」(JCB國際組織)和「SafeKey」(美國運通)。問題是,3DS其實並沒有任何屏障的效果,甚至對一般的詐騙者來說也是,至少在我所測試的過程看來是這樣,
在 Visa所發表的常見問答集裡提到:「Visa驗證可以保護您的卡片,防止未經授權的交易,讓您在網路購物時可以完全的放心」。但同時他們也在常見問答集裡提到「如果您忘記了密碼,可以很輕鬆的重設它」,這裡就出現了問題。接下來和我所測試的發卡組織所實作的方式有關,並不一定代表全部的3DS系統。
問題出現在一個很基本的設計缺陷。如果你跟一個用這系統的商家買東西,你在付款階段會被導到 3DS 驗證頁面。你在這頁面確認交易細節,輸入密碼。然後就跟變魔術一樣,交易完成了。到目前為止都還好,商家看不到我的密碼,也就無法利用我的資料來完成任何交易,我被保護的好好的,但是…
犯罪份子會怎麼做呢?如果他們有了你的信用卡,卻沒有你的密碼?當然了,還有一個方便的「忘記我的密碼」連結。讓我們來看看這是怎樣的良好保護。
密碼重設的第一步是輸入你的卡號,顯然是要確保你是替正確的帳號重設密碼。一旦將卡號輸入系統,現在需要提供一些資料來確認你是合法的帳號擁有者。讓我們來看看這個「認證」階段。
密碼重設的第二步
噢,不好,這看起來一點也不好!用來驗證我的身分的四項資訊中的三項都包含在信用卡本身,浮刻或壓印在信用卡上。犯罪份子不是已經有這些資訊了嗎?還有什麼呢?有一個資訊是不包含在卡片上的。問題是,這是一個已經在社群網路、問卷調查、註冊表單還有許多其他地方被廣為分享的資訊,也是能自由被公開取得的資訊。我們不能也不該認為我們的出生日期是一個秘密。
輸入了所需的資訊後,剩下的就是輸入一個自選的新密碼,然後你的交易也就被授權了。更糟的是,沒有電子郵件通知提醒持卡人他們的帳號已經被訪問或修改。持卡人將永遠也不會發現,直到他們檢查自己的狀態。
所以該如何改善呢?這裡沒有什麼新奇或令人驚嘆的建議,只是有一些基本的步驟需要被加到流程裡。
在註冊系統時,持卡人應該被要求建立一個「秘密問題」以作為密碼重設的驗證依據。
不該只是簡單的出現密碼重設畫面,而是將一次性的密碼重設網址寄到註冊時登記的電子郵件地址。
無論是要求更改帳號內容或是更改成功,都應該寄送通知到註冊時登記的電子郵件地址。
哦,還有一件事,如果可以在密碼中使用特殊字元就真的太棒了,拜託了。
@原文出處:Verified by Visa?
@延伸閱讀
如何避免密碼設定問題被猜中?
💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂
留言功能已關閉