3-D Secure – to metoda autoryzacji transakcji dokonywanych bez fizycznego użycia karty stosowana przez Visa i Mastercard.
Wstępna autoryzacja transakcji jest dokonywana bezpośrednio poprzez bank-wystawcę karty np. poprzez dodatkowe hasło. Bank po potwierdzeniu, że osoba dokonująca zakupu jest rzeczywistym posiadaczem karty kieruje transakcję do normalnej autoryzacji.
Steven J. Murdoch i Ross Anderson z brytyjskiego uniwersytetu Cambridge podważyli bezpieczeństwo działania autoryzacji transakcji poprzez 3-D Secure.
Celem wprowadzonej przez sieci Mastercard i Visa metody 3-D Secure miało być zredukowanie przypadków oszustw przy płaceniu za pomocą kart kredytowych w Internecie. Dlatego wymyślono kolejne hasło, które jest znane jedynie klientowi i bankowi. Klient podaje hasło podczas zakupów w oknie pop-up albo osadzonej ramce iFrame na stronie sklepu. Zarówno okienko, jak i ramka pochodzą bezpośrednio od towarzystwa wydającego karty kredytowe, w związku z czym sprzedawca nie może poznać hasła.
Jednak jak wynika z badania, metoda ta nie spełnia minimalnych wymogów bezpieczeństwa. Ze względu na brak paska adresu URL klient nie jest w stanie bezpośrednio rozpoznać, od kogo tak naprawdę pochodzi dana ramka albo wyskakujące okno. Dlatego też klienci nie mogą sprawdzić autentyczności okna żądającego hasła, a phisherzy mają w ten sposób ułatwione zadanie. Ponieważ ustalenie hasła następuje podczas pierwszych zakupów, klient jest bardziej zainteresowany szybkim załatwieniem sprawy niż wybraniem bezpiecznego hasła. Poza tym poszczególne banki stosują niezupełnie bezpieczne metody identyfikacji klientów i ponownego ustawiania hasła w razie błędnie wprowadzanych sekwencji znaków.
Obaj specjaliści krytykują nową metodę nie tylko ze względu na bezpieczeństwo, ale też na ilości wymienianych danych. W metodzie 3-D Secure bank musi otrzymać zestawienie kupionych produktów, aby następnie można było je pokazać nabywcy w oknie podawania hasła.
Jako krótkoterminową alternatywę dla 3-D Secure Murdoch i Anderson proponują zatwierdzanie każdej transakcji za pomocą jednorazowego hasła, które byłoby wysyłane w krótkiej wiadomości tekstowej (SMS). Jednak w dalszej perspektywie banki muszą opracować bezpieczne systemy płatności, które bazowałyby np. na odpowiednich czytnikach kart.
Info:heise-online
