3-D Secure

3-D Secure on XML-pohjainen protokolla suunniteltu lisäturvaa kerros verkossa luotto- ja maksukorttien liiketoimet. Sen kehitti Visa tarkoituksenaan parantaa turvallisuutta Internet-maksuilla ja tarjotaan asiakkaille nimellä Verified by Visa. Palvelut perustuvat protokolla on otettu käyttöön myös MasterCard MasterCard SecureCode, ja JCB Internationalin J / Secure. American Express lisätty 3dsecure 8. marraskuuta 2010, kuten American Express Safekey, valikoiduilla markkinoilla ja jatkaa käynnistää uusia markkinoita. Analyysi protokollan tiedeyhteisössä on osoittanut olevan monia tietoturvaongelmat vaikuta kuluttajan, mukaan lukien suurempi pinta-ala phishing ja siirtyminen korvausvastuusta vilpillisiä maksuja.

3-D Secure lisää autentikaatiovaihe online maksuja.

Kuvaus ja keskeisiä näkökohtia

Peruskonsepti protokolla on sitoa taloudellinen lupamenettelyn kanssa verkkoon tunnistautumisen. Tämä todennus perustuu kolmen verkkotunnuksen malli. Kolmella alalla ovat:

  • Hankkija Domain.
  • Liikkeeseenlaskija Domain.
  • Yhteentoimivuus Domain. Yhteentoimivuus Domain sisältää Internet, MPI, ACS ja muut ohjelmistotoimittajat

Protokolla käyttää XML-sanomien lähetetään SSL-yhteydet asiakkaan todentamisessa.

Liiketoimi käyttämällä tarkastettuja-by-Visa tai SecureCode aloittaa uudelleenohjaus verkkosivuilla kortin myöntäneeseen pankkiin hyväksyä toimenpiteen. Kukin liikkeeseenlaskija voisi käyttää minkäänlaista tunnistustapaa mutta tyypillisesti, salasana perustuvaa menetelmää käytetään, niin tehokkaasti ostaa Internetissä tarkoittaa salasanan avulla sidottu kortti. Verified-by-Visa protokollan suosittelee pankin vahvistussivu latautuu sisäisen kehyksen istunto. Näin pankin järjestelmät voidaan pitää vastuussa useimpien tietoturvaloukkauksia. Tänään, helppous lähettää valkoisen listattu tekstiviestejä rekisteröity pankki lähettäjiltä, ​​se on helppo lähettää kertakäyttösalasanan osana tekstiviestin käyttäjien matkapuhelimiin ja sähköpostit todentamiseen, vähintään rekisteröinnin aikana ja unohtuneiden salasanojen.

Suurin ero Visa ja MasterCard toteutukset piilee menetelmän tuottaa UCAF: MasterCard käyttää AAV ja Visa käyttää CAVV.

Toteutukset

Tekniset tiedot ovat tällä hetkellä versio 1.0.2. Aikaisemmat versiot 0.7 ja 1.0.1 ovat vanhentuneet, ja ei enää tueta. MasterCard ja JCB ovat ottaneet versio 1.0.2 pöytäkirjan vain.

Jotta Visa- tai MasterCard jäsen pankki käyttää palvelua, pankki on toimia yhteensopiva ohjelmisto, joka tukee uusimpia protokollien eritelmät. Kun yhteensopiva ohjelmisto on asennettu, jäsen pankki suorittaa tuote Integraatiotestaus maksujärjestelmän palvelimeen ennen se vierii ulos järjestelmästä.

ACS tarjoajat

Vuonna 3-D Secure protokolla, ACS on liikkeeseenlaskijan puolella. Tällä hetkellä useimmat pankit ulkoistaa ACS kolmannelle osapuolelle. Yleisesti, ostajan verkkoselaimen osoittaa verkkotunnus ACS tarjoajan, eikä pankin verkkotunnus; kuitenkin, tämä ei vaadita protokollaa. Riippuu ACS tarjoaja, on mahdollista määrittää pankin omistama verkkotunnus käyttöön ACS.

MPI tarjoajat

Kukin 3-D Secure liiketoimi käsittää kaksi Internet pyyntö / vastaus paria: VEReq / Veres ja PAReq / pares. Visa ja MasterCard ei lisenssiä kauppiaat lähettää pyyntöjä niiden palvelimet. He eristää niiden palvelimet lisensointipartneri ohjelmistotoimittajat joita kutsutaan MPI tarjoajia.

Kauppiaat

Etu kauppiaiden on vähentää "asiattomista tapahtumista" takaisinperintöjä. Yksi haitta kauppiaille on, että ne on ostettava MPI yhteyden Visa- tai MasterCard Directory Server. Tämä on kallis; Samalla se merkitsee lisätuloja MPI tarjoajille. Tukeminen 3-D Secure on monimutkainen ja toisinaan luo liiketoimi epäonnistumisia. Ehkä suurin haitta kauppiaille on, että monet käyttäjät tarkastelevat lisäksi autentikaatiovaihe kuin haittaa tai este, joka johtaa huomattavasti enemmän kaupan luopumista ja tulonmenetyksiä.

Ostajat ja luottokortin haltijat

Tarkoituksena takana on, että kortinhaltijat on vähentynyt riski muut ihmiset voisivat käyttää maksukortteja vilpillisesti Internetissä.

Useimmissa nykyinen toteutuksissa 3-D Secure, myöntäneeseen pankkiin tai sen ACS toimittaja kysyy ostajalle salasana, joka tunnetaan vain pankki / ACS toimittaja ja ostaja. Koska kauppias ei tiedä tätä salasanan ja ei ole vastuussa syömällä, se voidaan käyttää myöntävän pankin todisteena siitä, että ostaja on todellakin heidän kortinhaltijan. Tarkoituksena on auttaa vähentämään riskiä kahdella tavalla:

  • Kopiointi kortin tiedot, joko kirjallisesti alas numerot itse kortti tai tavalla muutettu terminaalien tai pankkiautomaatit, ei johda mahdollisuus ostaa Internetin takia ylimääräisiä salasana, jota ei ole pakattu tai kirjoitettu kortti .
  • Koska kauppias ei vangita salasana, on pienempi riski päässä tietoturvaloukkauksista online kauppiaita; kun taas tapaus voi silti johtaa hakkerit saada muita kortin tiedot, ei ole mitään keinoa niitä saada liittyvän salasanan.

3-D Secure ei ehdottomasti edellytä salasanatodennusta. Se sanotaan olevan mahdollista käyttää sitä yhdessä älykortin lukijat, turvallisuus rahakkeita ja vastaavat. Tämäntyyppiset laitteiden voisi tarjota paremman käyttökokemuksen asiakkaille kuin ne vapauttavat ostajan ei tarvitsisi käyttää turvallisen salasanan. Eräät liikkeeseenlaskijat käyttävät nyt näitä laitteita osana Chip Authentication Ohjelman tai Dynaaminen tunnusluku Authentication järjestelmiä.

Yksi merkittävä haitta on, että kortinhaltijat ovat todennäköisesti nähdä selaimen yhteyden tuntemattomia verkkotunnuksia seurauksena myyjien MPI toteutukset ja ulkoistettujen ACS toteutukset antamalla pankkien, mikä saattaa helpottaa suorittaa phishing hyökkäyksiä kortinhaltijoille.

American Express Safekey

American Express Safekey on elää seuraavilla markkinoilla: Yhdistynyt kuningaskunta, Intia, Singapore, Sveitsi, Venäjä, Turkki, Malesia, Ranska, Espanja, Italia, Saksa, Hollanti, Japani, Hongkong, Australia, Kypros, Kiina, Kreikka, Vietnam.

Yleistä 3-D Secure Kritiikki

Todennettavuutta sivuston tunnistetiedot

Järjestelmä sisältää ponnahdusikkunan tai sisäisen kehyksen näkymisen aikana online-kauppa prosessi, joka vaatii kortin haltijaa syöttämään salasana joka, jos liiketoimi on oikeutettu, niiden kortin myöntäneeseen pankkiin pystyy todentamaan. Ongelma kortinhaltijan on määritellä, jos ponnahdusikkunan tai runko on todella heidän Kortinmyöntäjä, kun se voisi olla petollinen verkkosivuilla yrittää korjata kortinhaltijan tiedot. Kuten pop-up ikkunoita tai komentosarjapohjaisesta kehyksiä ole mitään pääsyä mihinkään suojaussertifikaatti, poistaa mitenkään vahvistaa valtakirjojen täytäntöönpanon 3-DS.

Verified-by-Visa-järjestelmän on laatinut kritiikkiä, koska se on vaikea käyttäjät voivat erottaa laillinen Verified-by-Visa ponnahdusikkunan tai sisäisen kehyksen, ja petollinen phishing-sivuston. Tämä johtuu siitä, että pop-up-ikkunan tarjoillaan ala, joka on:

  • Ei, jossa käyttäjä on ostoksilla.
  • Ei kortin myöntäneen pankin
  • Ei visa.com tai mastercard.com

Joissakin tapauksissa, Verified-by-Visa järjestelmä on virheinä käyttäjien tietojen kalasteluun ja on itse tullut tavoite joidenkin tietojen kalastelulta. Uudempi suositus käyttää sisäisen kehyksen sijasta pop-up on vähentänyt käyttäjän hämmennystä, kustannuksella vaikeuttaa, ellei mahdotonta, että käyttäjä varmistaa, että sivu on aito ensimmäinen paikka. Vuodesta 2011 useimmat selaimet eivät tarjoa tapa tarkistaa varmenteen sisällöstä iframe.

Jotkut kortin myöntäjän myös Aktivointi aikana ostoksia, joissa kortinhaltijat jotka eivät ole rekisteröity järjestelmään tarjotaan mahdollisuus rekisteröitymisestä ostoprosessin aikana. Tämä kestää tavallisesti ne muodossa, jossa ne on määrä vahvistaa henkilöllisyytensä vastaamalla turvallisuuden kysymyksiin, jotka on tunnettava niiden kortin myöntäjä. Tämäkin tapahtuu sisällä iframe jossa he eivät voi helposti tarkistaa sivuston ne tarjoavat nämä tiedot säröillä sivuston tai laittoman kauppias voisi tällä tavoin kerätä kaikki yksityiskohdat he tarvitsevat aiheuttaa kuin asiakas.

Täytäntöönpano 3-D Secure sign-up usein ei salli käyttäjä jatkaa osto kunnes he ovat suostuneet allekirjoittamaan jopa 3-D Secure ja sen ehdot, ei tarjoa muita vaihtoehtoja navigoida pois sivulta kuin sen sulkeminen, mikä keskeyttää liiketoimi.

Kortinhaltija jotka ovat haluttomia ottamaan riskin rekisteröitymättä korttiaan aikana ostaa, jossa commerce sivusto ohjaa selaimen jossain määrin, voi joissakin tapauksissa mennä heidän pankin kotisivulla webissä erillisessä selainikkunassa ja rekisteröi sieltä. Kun he palaavat commerce sivusto ja aloittaa alusta ne pitäisi nähdä, että heidän kortti on rekisteröity. Läsnäolo salasana sivulla henkilökohtaisen vakuutuksen Viesti että he valitsivat kun rekisteröitymättä on niiden vahvistus, että sivu tulee pankista. Tämä jättää vielä joitakin mahdollisuus man-in-the-middle-hyökkäys jos kortin haltija ei voi tarkistaa SSL-palvelinvarmenteen salasanaa sivun. Jotkut verkkokauppasivustoissa kiinnittää koko selaimen sivun todennus sijaan käyttämällä kehystä. Tällöin lukon kuva selaimen pitäisi näyttää henkilöllisyys joko pankin tai operaattorin tarkastusta sivuston. Kortinhaltija voi vahvistaa, että tämä on samalla toimialueella että he kävivät kun rekisteröitymättä heidän kortti, jos se ei ole verkkotunnuksen heidän pankin.

Mobiiliselaimet läsnä erityisiä ongelmia 3-D Secure, koska yhteinen puute tiettyjä ominaisuuksia, kuten kehykset ja ponnahdusikkunoita. Vaikka kauppias on mobile web site, jollei liikkeeseenlaskija on myös mobiili-tietoinen, autentikointi sivut eivät ehkä näy oikein, tai ollenkaan. Lopulta monet analyytikot ovat tehneet, että aktivointi aikana ostoksia protokollia kutsua enemmän riskejä kuin ne poistaa ja lisäksi siirtää tämä riski kuluttajalle.

Joissakin tapauksissa, 3-D Secure päätyy sisältävät vähän turvallisuuden kortinhaltijan, ja voi toimia laite siirtää vastuuta petolliset pankista tai vähittäismyyjältä kortinhaltijan. Oikeudellisia edellytyksiä sovelletaan 3-D Secure palvelu joskus muotoiltu siten, että vaikeuttaa kortinhaltijan paeta vastuuta petollisesta "kortinhaltija ei ole läsnä" liiketoimia.

Liikuntarajoitteisten

Kun 3-D Secure vahvistus koodia tarvitaan, jos vahvistuskoodi lähetetään tekstiviestinä matkapuhelimeen asiakas ei ehkä pysty vastaanottamaan sitä maasta riippuen hän parhaillaan on. Järjestelmä ei myöskään ole kätevä asiakkaille, jotka yleensä vaihtaa matkapuhelinnumerot ajoittain - kuten takia matkustaminen. Jotkut Wifi tarjoajat, jotka laskuttaa niiden käytöstä luottokortilla eivät todella voidaan päästä 3-D Secure päällä ennen maksu on suoritettu, joten käyttäjä ei voi ostaa Internet-yhteys.

Maantieteellinen syrjintä

Pankit ja kauppiaat voivat käyttää 3-D Secure järjestelmät epätasaisesti osalta pankkien myöntävät kortteja useilla maantieteellisillä alueilla, luoda jaotteluihin, esimerkiksi kotimaisten US- ja non-US-liikkeeseen kortteja. Esimerkiksi, koska Visa ja MasterCard käsitellä Yhdysvaltojen alueella Puerto Rico kuin muiden kuin yhdysvaltalaisten kansainvälisiin eikä Yhdysvaltojen sisäisessä sijainti, kortinhaltijat voi kohdata suurempi ilmaantuvuus 3-D Secure kyselyt kuin kortteja 50 valtiota. Valitukset asia on vastaanottanut Puerto Rico osasto kuluttaja-asioiden "yhdenvertainen kohtelu" taloudellinen syrjintä sivusto.

3D Secure kuten vahva todennus

Uusin variantti 3D Secure, joka sisältää kerran salasanoja, on muoto ohjelmistopohjaisen vahva todennus. Kuitenkin perintö variantti staattisen salasana ei täytä Euroopan keskuspankin tammikuu 2013 vaatimuksia.

3D Secure vetoaa liikkeeseenlaskijan aktiivisesti olla mukana sekä siihen myöntämä tulee kirjoilla kortinhaltijan, joten se on erittäin paljon liikkeeseenlaskijan keskittynyt ratkaisu.

EKP on valtuuttanut sen tammikuu 2013 vaatimukset "Turvallisuus Internet Maksut", että kaikki liiketoimet hankittu yhtenäinen euromaksualue on autentikointia vahva asiakas todennus 1. helmikuuta 2015. Tämä toimikausi EKP, ja tukee Euroopan komission Payment palveludirektiivi Mk2, tarkoituksena on antaa tason ja teknologia neutraali yhtäläiset toimintaedellytykset SEPA edistää sähköistä kaupankäyntiä, mCommerce ja tukemalla teknologioita, myös kilpailuun muodot vahvan asiakkaan todentamisen.

Kuten 3D Secure vetoaa liikkeeseenlaskijan etukäteen osallistuminen ja ilmoittautuminen kortteja, hankkijat voi vedota 3D Secure täyttämään hankkia todennus vaatimuksia, kunnes 3D Secure on mielekäs ilmoittautuminen lähestyy 100% kaikista korteista.

Tämä puolestaan ​​tekee 3D Secure heikko ratkaisu hankkia puolella vahva asiakkaan tunnistusvaatimukset, erityisesti 3D Secure ei ole käytettävissä 25 pienempää korttijärjestelmät tunnustettu EKP. 3D Secure on myös toteuttaa jokaisen kortin järjestelmän, johon se on sovellettava, yleensä tapauskohtaisesti, ellei erikoistunut integrointi yrityksen käytetään.

Siten, hankkijat voidaan päällystää joko korttien hyväksymisestä, jotka eivät ole kirjoilla ja petosalttiita, tai hylätä tällaisia ​​kortteja kunnes keino vahvan todentamisen on käytettävissä. Koska hankkijat ja maksu yhdyskäytäviä ovat vastuussa petoksesta verkoissaan 1. helmikuuta 2015 ellei heillä ole vahva asiakas autentikointi paikallaan, on epäselvää, mitä vaikutuksia EKP: n vaatimukset on SEPA sähköistä kaupankäyntiä.

Hankkiminen todennus eroaa antaneen todennus, että kortit ovat kirjoilla kun hankitaan osana liiketoimi, sen sijaan erillistä valmiiksi kirjoilla seuraavan ongelman. Hankkiminen todennus voidaan siis ilmoittautua kortteja asteittain kysyntään, saavuttaa tehokas osallistumisen kasvuvauhti 100%. Kortti ilmoittautuminen ja todentaminen voi tämä olla samanaikaisesti.

Esimerkkejä hankkia todennus ovat PayPal patentoitu "toteamisella" menetelmä, jossa yksi tai useampi nuken liiketoimet kohdistuvat luottokortti, ja kortinhaltija on vahvistettava Näiden kauppojen arvo. ISignthis patentoitu menetelmä käyttää kauppa-arvo on myyntipaikalla, niin että myynti määrä sopimansa eMerchant ja kortinhaltijan, on jaettu kahteen määriä, ja ensimmäinen määrä on satunnaisesti arvo, ja toinen arvo on tasapainotus määrä välillä myynti määrä ja satunnainen arvo.

Molemmat menetelmät luottaa kortin haltijan pääsyä liittyvän tilin luottokortilla, ja vahvistaa arvo satunnaisen liiketoimen sen osoittamiseksi, että ne ovat tilin omistaja. PayPal menetelmä ei kuitenkaan koske suoranaisesti välinen liiketoimi eMerchant ja kortin haltija, joten jos se on täydennetty toiseen prosessiin, jota liittyy suoraan tapahtuman, menetelmä ei ole, vahvoja asiakkaan todennus ei siis ole vaihtoehto 3D Secure.

Edellinen artikkeli 99
Seuraava artikkeli 18. päivä