3D secure vytváří jen falešnou iluzi bezpečí

V případě platby přes internet stačí znát jen několik málo údajů na kartě vytištěných, které útočník může snadno odchytit nebo zkopírovat. Je zřejmé, že tento způsob autorizace transakce není vůbec bezpečný.

To při platbě kartou u obchodníka nebo výběru z bankomatu dochází k bezpečné dvoufaktorové autentizaci, neboť klient musí vložit kartu do čtečky a zadat PIN.

Z výše uvedeného důvodu se objevilo řešení nazvané 3D secure, které pro úspěšné dokončení transakce požaduje ještě zadání hesla. To může být statické nebo dynamické, nejčastěji ve formě SMS zaslané na mobilní telefon, jehož číslo klient zadal při aktivaci tohoto dodatečného zabezpečení.

Řešení 3D secure poskytuje obchodníkovi, určitou záruku, že platba kartou v jeho e-shopu je prováděna jejím oprávněným držitelem a nikoliv útočníkem, kterému se podařilo jakýmkoliv způsobem získat číslo karty, datum platnosti a CVV kód. Je zřejmé, že tento systém chrání především obchodníka, aby nepřijal platbu od útočníka, méně však už klienta.

S tímto řešením poprvé přišla společnost Visa a poskytuje ho pod názvem Verified by Visa a později ho zavedl i MasterCard pod názvem MasterCard. E-shopy, kde je 3D secure systém používán, jsou pak označeny textem Mastercard Securecode nebo Verified by VISA.

V okamžiku placení kartou se nejprve ověří, zda obchodník tuto metodu podporuje a pokud ano, tak je zákazník e-shopu přesměrován na platební bránu banky, se kterou má obchodník smlouvu. Zde zákazník zadá číslo karty, datum platnosti a CVV kód.

Poté proběhne kontrola, zda má autorizaci transakce pomocí 3D secure aktivovanou i držitel karty. A pokud ano, tak banka pro danou transakci vygeneruje jednorázové heslo, které klientovi zašle na jeho mobilní telefon. Toto heslo pak klient zadá do formuláře na platební bráně, která ho odešle zpět do banky ke kontrole.

Vzhledem k tomu, že zákazník přistupuje na platební bránu banky, která je opatřena certifikátem od důvěryhodné certifikační autority přes SSL, tak není možné odchytit údaje přenášené tímto kanálem. A zároveň těchto údajů nemůže zneužít ani obchodník, protože citlivé údaje jsou zadávány na platební bráně, která není pod jeho správou.

Na první pohled se zdá, že pokud obchodník i klient využívají systém 3D secure, tak je možné kartou na internetu platit bezpečně a není třeba se obávat, že by mohlo dojít k nějakému zneužití zadaných údajů někým jiným k provedení nákupu.

Pravda, z e-shopu údaje o kartě uniknout nemohou, protože ty se zadávají na platební bráně a komunikace mezi klientem a serverem je šifrována. A i kdyby k úniku těchto informací přesto došlo, ať už kompromitací serveru obchodníka, zneužití nové zranitelnosti v SSL, která by umožnila odposlech nebo prostřednictvím škodlivého kódu na straně klienta, tak je zde přeci ještě jednorázový kód.

Ano, jednorázový kód lze skutečně použít jen jednou, jenže problém spočívá v tom, že ne každý obchodník využívá platební bránu 3D secure, a právě u toho může útočník zcizených karetních údajů zneužít k nákupu.

Závěr: Aby bylo možné systém 3D secure považovat skutečně za bezpečný, tak by ho museli používat povinně všichni obchodníci a bez něj by nebylo možné transakci vůbec realizovat. Nebo by držitel karty musel mít alespoň možnost si zvolit, že chce kartou platit pouze na webu s podporou 3D secure.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:

  1. Marie Simpson

    O tom,ze 3D secure system není bezpečný jsem se osobně setkala.Platila jsem vše přes 3D a přesto mi na můj účet někdo zaplatil tři položky.Po dalším patrání jsem zjistila,že 3D system je pouze bezpečný pro banky,protože oni mohou říci,že mají nainstalovaný 3D secure a tím se mohou vyhnout odškodnění klientům v případě krádeže z účtu.3D složí spíše k falešné jistotě majitele karty,že se přes 3D secure system nemůže nic stát.


K článku “3D secure vytváří jen falešnou iluzi bezpečí” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: