Visa組織在2001年推出一個他們稱為3DS的安全協(xié)議,也就是3 Domain Secure的縮寫。試圖減少在網(wǎng)絡購物時發(fā)生的信用卡詐騙事件。3DS比較被人所知的是各發(fā)卡組織實作系統(tǒng)時所用的名稱–“Visa驗證(Verified by Visa)”,“MasterCard Secure Code”,“J/Secure”(JCB國際組織)和“SafeKey”(美國運通)。問題是,3DS其實并沒有任何屏障的效果,甚至對一般的詐騙者來說也是,至少在我所測試的過程看來是這樣。
在Visa所發(fā)表的常見問答集里提到:“Visa驗證可以保護您的卡片,防止未經(jīng)授權的交易,讓您在網(wǎng)絡購物時可以完全的放心”。但同時他們也在常見問答集里提到“如果您忘記了密碼,可以很輕松的重設它”,這里就出現(xiàn)了問題。接下來和我所測試的發(fā)卡組織所實作的方式有關,并不一定代表全部的3DS系統(tǒng)。
問題出現(xiàn)在一個很基本的設計缺陷。如果你跟一個使用此系統(tǒng)的商家買東西,你在付款階段會被導到 3DS 驗證頁面。你在這個頁面確認交易細節(jié),輸入密碼。然后就跟變魔術一樣,交易完成了。到目前為止都還好,商家看不到我的密碼,也就無法利用我的數(shù)據(jù)來完成任何交易,我被保護的好好的,但是…
犯罪份子會怎么做呢?如果他們有了你的信用卡,卻沒有你的密碼?當然了,還有一個方便的“我忘記我的密碼”鏈接。讓我們來看看這是怎樣的良好保護。
密碼重設的第一步是輸入你的卡號,顯然是要確保你是替正確的賬號重設密碼。一旦將卡號輸入系統(tǒng),現(xiàn)在需要提供一些數(shù)據(jù)來確認你是合法的賬號擁有者。
噢,不好,這看起來一點也不好!用來驗證我的身分的四項信息中的三項都包含在信用卡本身,浮刻或壓印在信用卡上。犯罪份子不是已經(jīng)有這些信息了嗎?還有什么呢?有一個信息是不包含在卡片上的。問題是,這是一個已經(jīng)在社交網(wǎng)絡、問卷調(diào)查、注冊窗口還有許多其他地方被廣為分享的信息,也是能自由被公開取得的信息。我們不能也不該認為我們的出生日期是一個秘密。
輸入了所需的信息后,剩下的就是輸入一個自選的新密碼,然后你的交易也就被授權了。更糟的是,沒有電子郵件通知提醒持卡人他們的賬號已經(jīng)被訪問或修改。持卡人將永遠也不會發(fā)現(xiàn),直到他們檢查自己的狀態(tài)。
所以該如何改善呢?這里沒有什么新奇或令人驚嘆的建議,只是有一些基本的步驟需要被加到流程里。
在注冊系統(tǒng)時,持卡人應該被要求建立一個“秘密問題”以作為密碼重設的驗證依據(jù),不該只是簡單的出現(xiàn)密碼重設畫面,而是將一次性的密碼重設網(wǎng)址發(fā)送到注冊時登記的電子郵件地址。而且無論是要求更改賬號內(nèi)容或是更改成功,都應該發(fā)送電子郵件進行通知。
哦,還有一件事,如果可以在密碼中使用特殊字符就真的太棒了,拜托了。