3-D Secure — разлика између измена

Садржај обрисан Садржај додат

Инлајн

Верзија на датум 7. мај 2015. у 16:55

3D-Secure predstavlja dodatni nivo bezbednosti kod online transakcija (kreditne i debitne kartice),zasnovan na XML standardu. Prvobitno je bio razvijen od strane Arcot Systems,Inc da bi se poboljšala sigurnost Internet plaćanja a korisnicima ponuđen^[1] od strane Visa,Inc korporacije pod imenom Verified by Visa. Servisi bazirani na ovom protokolu su takođe prihvaćeni od strane Master Card,Inc pod nazivom Master Card Secure Code i JCB International kao J/Secure. American Express je prihvatio 3D-Secure, 8.Novembra 2010 god. kao American Express SafeKey ali samo za određena tržišta i klijente^[2].

Opis i osnovni koncept

Osnovni koncept protokola je povezivanje procesa autorizacije (davanje ovlašćanja) sa online autentifikacijom (proverom identiteta). Autentifikacija se bazira na modelu 3 (tri) Domena (3D). Ta tri domena su:

Domen kupca i banke koja je izdala njegovu platnu karticu (eng. Issuer Domain),
Domen prodavca i banke kod koje prodavac ima otvoren račun (eng. Acquirer Domain),
Interoperabilni domen (Internet, MPI, ACS…) koji povezuje gore navedene banke u zajednički sistem (eng. Interoperability Domain).

Svaka grupa domena preuzima određenu odgovornost za svoj udeo u sprovođenju i kompletiranju transakcije na Internetu.

Protokol koristi poruke (XML standard), poslate korišćenjem SSL konekcije sa proverom identiteta klijenta (ovo osigurava proveru obe strane, klijentske i serverske, pomoću digitalnih sertifikata).

Kod transakcija koji koriste Verified by Visa ili SecureCode sistem, potrebna je autorizacija od strane banke izdavaoca kartice koja se koristi na veb sajtu trgovca. Svaki izdavalac platne kartice može koristiti različite metode za proveru identiteta (autentifikaciju). Najčešće je u pitanju metoda koja se zasniva na korišćenju platnih kartica sa lozinkama (PIN broj). Banka izdavalac ima mogućnost da za utvrđivanje identiteta koristi i naprednija tehnološka rešenja kao što su smart kartice, elektronske sertifikate i dr.

Ugradnja sistema

Trenutno je u upotrebi verzija 1.0.2 specifikacija protokola. Prethodne verzije 0.7 (korišćenje od strane Visa USA) i 1.0.1 su prevaziđenje i više se ne koriste. MasterCard i JSB su usvojile verziju 1.0.2 samog protokola. Da bi banke članice Visa ili MasterCard mogle da koriste servis 3D Secure, moraju da instaliraju odgovarajući softver koji podržava najnovije specifikacije protokola. Kada je softver instaliran od strane banke, prvo se vrši testiranje softvera tj. njegovo usklađivanje sa serverom sistema plaćanja pre nego što se pusti zvanično u rad. Novije verzije 3D Secure sistema, koriste softver sa jakom autorizacijijom, zasnovan na lozinkama za jednokratnu upotrebu -OTP šifra.

Trgovci

Prednost korišćenja 3D Secure za trgovce se ogleda u smanjivanju troškova za osporavanja transakcije od strane kupaca za neautorizovane kupovine. Jedna od mana je ugradnja neophodnog softvera-eng. plug in, koja nije jeftina i koja uključuje: naplaćivanje ugradnje, mesečno/godišnje održavanje, naplaćivanje provizije po transakciji. Podrška za 3D Secure je komplikovana i može nekad dovesti do propusta prilikom izvršenja transakcije (njeno otkazivanje). Možda i najveći nedostatak predstavlja veći broj koraka koji kupac mora da prođe prilikom obavljanje kupovine što ga može odvratiti od kupovine a samim tim i trgovca uskratiti za očekivana sredstva i povećati mu troškove održavanja sistema.^[3]

Kupci-korisnici platnih kartica

Jedan od glavnih ciljeva 3D Secure je smanjivanje rizika za korisnike platnih kartica-kupaca od eventualnih zloupotreba od strane drugih lica kod obavljanja kupovine. Smanjivanje rizika od eventualne zloupotrebe je omogućeno na dva načina:

Pored broja kartice i PIN broja, uvodi se i dodatna lozinka koju kupac sam generiše i koja je poznata samo kupcu, ACS provajderu i banci koja je izdala platnu karticu i koja se ne skladišti na kartici.
Pošto trgovac ne skladišti podatke o broju kartice i lozinkama na svom serveru, izbegnuta je mogućnost da podaci o platnim karticama dođu u posed drugih lica koja bi ih kasnije zloupotrebila.

Opšte kritike Visa 3D Secure

Problem lažnih sajtova

Sistem uključuje iskačuće prozore (eng. pop-up), pri utvrđivanju identiteta kupca od strane banke koja mu je izdala platnu karticu. Iskačući prozor najčešće sadrži podatke o iznosu transakcije, datumu kupovine, broju platne kartice, ime trgovine kao i polje za unos lozinke koju kupac treba da unese. Problem za kupce može predstavljati što oni ne znaju da li je u pitanju iskačuči prozor koji pripada njihovoj banci ili je u pitanju lažni sajt preko kojeg neko želi da dođe do njihovih podataka. Iskačuči prozori ne sadrže nikvakve bezbednosne sertifikate kojima bi se utvrdila kredibilnost 3D Secure sistema. Visa 3D Secure je bila izložena kritikama^[4]^[5]^[6]^[7] jer su iskačući prozori dolazili sa servera čiji domen:

nije isti kao i sajta gde se obavlja kupovina
nije domen banke koja je izdala platnu karticu
nije visa.com ili mastercard.com

Vidi još

Reference

^ „Visa USA tightens security with Arcot”. ZDnet. eng.
^ „SafeKey”. AmericanExpress.com. Приступљено 2010-08-11. eng.
^ „Are Verified by Visa and MasterCard SecureCode Conversion Killers?”. practicalecommerce.com. Приступљено 2013-07-30. This 2010 study documented increases in the number of abandoned transactions of 10% to 12% for merchants newly joining the program.eng.
^ „Antiworm: Verified by Visa (Veriphied Phishing?)”. Antiworm.blogspot.com. 2006-02-02. Приступљено 2010-08-11. eng.
^ Muncaster, Phil. „Industry lays into 3-D Secure - 11 Apr 2008”. IT Week. Приступљено 2010-08-11. eng.
^ Brignall, Miles (2007-04-21). „Verified by Visa scheme confuses thousands of internet shoppers”. The Guardian. London. Архивирано из оригинала 6. 5. 2010. г. Приступљено 2010-04-23. eng.
^ „Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication” (PDF). Приступљено 2010-08-11. eng.

Spoljašnje veze

[1] „Visa USA tightens security with Arcot”. ZDnet. eng.

[2] „SafeKey”. AmericanExpress.com. Приступљено 2010-08-11. eng.

[3] „Are Verified by Visa and MasterCard SecureCode Conversion Killers?”. practicalecommerce.com. Приступљено 2013-07-30. This 2010 study documented increases in the number of abandoned transactions of 10% to 12% for merchants newly joining the program.eng.

[4] „Antiworm: Verified by Visa (Veriphied Phishing?)”. Antiworm.blogspot.com. 2006-02-02. Приступљено 2010-08-11. eng.

[5] Muncaster, Phil. „Industry lays into 3-D Secure - 11 Apr 2008”. IT Week. Приступљено 2010-08-11. eng.

[6] Brignall, Miles (2007-04-21). „Verified by Visa scheme confuses thousands of internet shoppers”. The Guardian. London. Архивирано из оригинала 6. 5. 2010. г. Приступљено 2010-04-23. eng.

[7] „Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication” (PDF). Приступљено 2010-08-11. eng.

[1]

[2]

[3]

[4]

[5]

[6]

[7]