你在网上公布的生日和信用卡盗刷有什么关系?
来源:互联网 发布:清退中部分租户接通知 编辑:程序博客网 时间:2024/05/05 00:09
作者:趋势科技资深分析师Rik Ferguson
照片出自johnsnape的Flickr,遵循Creative Commons公用授权使用
Visa组织在2001年推出一个他们称为3DS的安全协议,也就是3Domain Secure的缩写。试图减少在网络购物时发生的信用卡诈骗事件。3DS比较被人所知的是各发卡组织实作系统时所用的名称– 「Visa验证(Verified by Visa)」,「MasterCard Secure Code」,「J/Secure」(JCB国际组织)和「SafeKey」(美国运通)。问题是,3DS其实并没有任何屏障的效果,甚至对一般的诈骗者来说也是,至少在我所测试的过程看来是这样。
在Visa所发表的常见问答集里提到:「Visa验证可以保护您的卡片,防止未经授权的交易,让您在网络购物时可以完全的放心」。但同时他们也在常见问答集里提到「如果您忘记了密码,可以很轻松的重设它」,这里就出现了问题。接下来和我所测试的发卡组织所实作的方式有关,并不一定代表全部的3DS系统。
问题出现在一个很基本的设计缺陷。如果你跟一个使用此系统的商家买东西,你在付款阶段会被导到 3DS 验证页面。你在这个页面确认交易细节,输入密码。然后就跟变魔术一样,交易完成了。到目前为止都还好,商家看不到我的密码,也就无法利用我的数据来完成任何交易,我被保护的好好的,但是…
犯罪份子会怎么做呢?如果他们有了你的信用卡,却没有你的密码?当然了,还有一个方便的「我忘记我的密码」链接。让我们来看看这是怎样的良好保护。
密码重设的第一步是输入你的卡号,显然是要确保你是替正确的账号重设密码。一旦将卡号输入系统,现在需要提供一些数据来确认你是合法的账号拥有者。让我们来看看这个「认证」阶段。
密码重设的第二步
噢,不好,这看起来一点也不好!用来验证我的身分的四项信息中的三项都包含在信用卡本身,浮刻或压印在信用卡上。犯罪份子不是已经有这些信息了吗?还有什么呢?有一个信息是不包含在卡片上的。问题是,这是一个已经在社交网络、问卷调查、注册窗口还有许多其他地方被广为分享的信息,也是能自由被公开取得的信息。我们不能也不该认为我们的出生日期是一个秘密。
输入了所需的信息后,剩下的就是输入一个自选的新密码,然后你的交易也就被授权了。更糟的是,没有电子邮件通知提醒持卡人他们的账号已经被访问或修改。持卡人将永远也不会发现,直到他们检查自己的状态。
所以该如何改善呢?这里没有什么新奇或令人惊叹的建议,只是有一些基本的步骤需要被加到流程里。
在注册系统时,持卡人应该被要求建立一个「秘密问题」以作为密码重设的验证依据,不该只是简单的出现密码重设画面,而是将一次性的密码重设网址发送到注册时登记的电子邮件地址。而且无论是要求更改账号内容或是更改成功,都应该发送电子邮件进行通知。
哦,还有一件事,如果可以在密码中使用特殊字符就真的太棒了,拜托了。
@原文出处:Verified by Visa?
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区--下载/论坛/分享
官方微博—拿礼品/分享最新IT资讯
趋势科技CEO:陈怡桦EvaChen的微博
- 你在网上公布的生日和信用卡盗刷有什么关系?
- git+ bitbucket 在网上保存和管理你的代码
- 你的生日代表什么花的寓意?
- 在网上见到的一个小故事,看完你有什么感受呢?到最后......
- 你的生日代表什么?365天真正完整版
- 《你的生日》
- 女王啊,你用其它女子的ID,在网上挑逗贫僧,贫僧上钩了,这说明什么?
- 你的生日属于什么颜色,它将影响你的性格
- 你的生日属于什么颜色,它将影响你的性格
- DB-Day2 输入生日的月和日,计算出你下一个生日还有多少天
- 今天不是你的生日
- 今天是你的生日
- 你的生日是什么颜色
- 你的外币信用卡是不是定时炸弹
- 你的信用卡最低还款额是多少?
- 绿坝软件准备反诉美国密歇根大学,其在网上公布某些细节是非法的
- 网上有人对C和C++关系的精彩论述
- 从地球外看到你在做什么?!!目前网上全球最新最清晰的卫星图-微软版Google Maps——Windows Live Local
- Handler异步方式详解及其使用
- 如何给查询块命名?
- 淘宝SDK高级模板视频教程 (共20集33课时)
- oracle 创建表空间和分配用户权限
- 那些网站与资源
- 你在网上公布的生日和信用卡盗刷有什么关系?
- 高端内存(续)--临时内存映射
- 关于日志管理Elmah的使用(我这里只谈Access的)
- MySQL常用命令
- HTML5手机2013将达10亿部 今年3.36亿部
- Struts2教程1:第一个Struts2程序
- 前端系统调整语录
- Microsoft.XMLDOM相关资料
- Struts2包详解