3-D Secure

Helmstan Hirsch Dezember 22, 2016 0-9 53 0
FONT SIZE:
fontsize_dec
fontsize_inc

3-D Secure ist ein XML-basiertes Protokoll entwickelt, um eine zusätzliche Sicherheitsschicht für die Online-Kredit-und Debitkarten-Transaktionen sein. Es wurde von Visa mit der Absicht der Verbesserung der Sicherheit von Zahlungen im Internet entwickelt und ist für die Kunden unter dem Namen Verified by Visa angeboten. Dienstleistungen auf der Grundlage des Protokolls wurden auch von Mastercard als Mastercard angenommen worden, und durch JCB International als J / Sicher. American Express 3DSecure hinzugefügt am 8. November 2010, wie American Express SafeKey, in ausgewählten Märkten und fährt fort, weitere Märkte zu starten. Die Analyse des Protokolls von der Wissenschaft hat gezeigt, dass es viele Sicherheitsprobleme, die den Verbraucher auswirken, darunter größere Oberfläche für Phishing und einer Verschiebung der Haftung im Falle von betrügerische Zahlungen.

3-D Secure fügt einen Authentifizierungsschritt für Online-Zahlungen.

Beschreibung und grundlegende Aspekte

Das Grundkonzept des Protokolls ist es, die finanziellen Genehmigungsverfahren mit einem Online-Authentifizierung zu binden. Diese Authentifizierung wird auf eine Drei-Domänen-Modell. Die drei Bereiche sind:

  • Acquirer Domain.
  • Emittent Domain.
  • Interoperabilität Domain. Interoperabilität Domain enthält das Internet, MPI, ACS und andere Software-Anbieter

Das Protokoll verwendet XML-Nachrichten über SSL-Verbindungen mit Client-Authentifizierung gesendet.

Eine Transaktion mit Verified-by-Visa oder Secure eine Umleitung auf der Website der kartenausgebenden Bank, die Transaktion zu genehmigen, zu initiieren. Jeder Emittent könnte jede Art von Authentifizierungsverfahren, aber in der Regel wird ein Passwort-basierte Verfahren eingesetzt zu verwenden, so effektiv zu kaufen über das Internet bedeutet, mit einem Passwort an die Karte gebunden. Die Verified-by-Visa-Protokoll empfiehlt Verifizierungsseite der Bank, in einem Inline-Frame-Sitzung zu laden. Auf diese Weise können Systeme der Bank für die meisten Sicherheitsverletzungen verantwortlich gemacht werden. Heute, mit der Leichtigkeit des Sende weiß-aufgeführten Textnachrichten von registrierten Bank Absendern, ist es einfach, ein Einmal-Passwort als Teil einer SMS-Textnachricht auf Mobiltelefone der Benutzer und E-Mails für die Authentifizierung, zumindest während der Registrierung und zum senden vergessene Passwörter.

Der wesentliche Unterschied zwischen Visa und Mastercard-Implementierungen liegt in dem Verfahren zur Erzeugung des UCAF: Mastercard nutzt AAV und Visa verwendet CAVV.

Implementierungen

Die Spezifikationen sind derzeit in der Version 1.0.2. Frühere Versionen 0.7 und 1.0.1 sind hinfällig geworden und werden nicht mehr unterstützt. Mastercard und JCB haben die Version 1.0.2 der nur das Protokoll angenommen.

Damit eine Visa oder Mastercard Mitgliedsbank, um den Dienst zu nutzen, muss die Bank konforme Software, die die neuesten Protokoll-Spezifikationen unterstützt bedienen. Sobald kompatible Software installiert ist, wird der Mitgliedsbank Produktintegrationstests mit dem Zahlungssystem-Server durchführen, bevor es rollt das System.

ACS-Anbieter

In der 3-D Secure-Protokoll ist ACS auf der Emittent Seite. Gegenwärtig sind die meisten Banken auslagern ACS an einen Dritten. Üblicherweise des Käufers Web-Browser zeigt den Domain-Namen des ACS-Anbieter, anstatt Domainname der Bank; dies wird jedoch durch das Protokoll nicht erforderlich. Abhängig von der ACS-Anbieter ist es möglich, eine bankeigenen Domainname zur Verwendung durch den ACS angeben.

MPI-Anbieter

Jedes 3-D Secure-Transaktion umfasst zwei Internet-Anfrage / Antwort-Paare: VEReq / Veres und ParEQ / pares. Visa und Mastercard nicht lizenzieren Händlern zum Senden von Anforderungen an ihre Server. Sie isolieren ihre Server durch die Lizenzierung Software-Anbietern, die MPI-Provider aufgerufen werden.

Kaufleute

Der Vorteil für den Händler ist die Reduzierung der "unberechtigten Transaktionen" Rückbuchungen. Ein Nachteil für die Händler ist, dass sie auf MPI kaufen, um zu der Visa oder Mastercard Directory Server zu verbinden. Dies ist teuer; gleichzeitig stellt es zusätzliche Einnahmen für die MPI-Anbieter. Unterstützende 3-D Secure ist kompliziert und manchmal schafft Transaktionsfehlern. Vielleicht der größte Nachteil für die Händler ist, dass viele Anwender die zusätzlichen Authentifizierungsschritt als ein Ärgernis oder ein Hindernis, das in einem erheblichen Anstieg der Transaktionsverlassenheit und Umsatzeinbußen führt.

Käufer und Kreditkarteninhaber

Die Absicht, die hinter dem System ist, dass die Karteninhaber wird eine Reduzierung des Risikos eines anderen Menschen die Möglichkeit, ihre Zahlungskarten in betrügerischer Weise über das Internet zu nutzen.

In den meisten aktuellen Implementierungen von 3-D Secure, die ausstellende Bank oder seine ACS-Anbieter fordert den Käufer nach einem Passwort, das nur an die Bank / ACS-Anbieter und dem Käufer bekannt ist. Da der Händler nicht kennt dieses Passwort und ist nicht für die Aufnahme verantwortlich, kann sie von der ausstellenden Bank als Beweis, dass der Käufer ist in der Tat ihre Karteninhaber verwendet werden. Dies soll Abnahme Risiko auf zwei Arten helfen:

  • Kopieren Kartendetails, entweder indem er die Zahlen auf der Karte selbst oder im Wege der modifizierten Terminals oder Geldautomaten, nicht in der Fähigkeit, aufgrund der zusätzlichen Passwort, das nicht auf gespeicherte oder auf die Karte geschrieben wird, zu kaufen über das Internet führen .
  • Da der Händler nicht vergessen zu erfassen, gibt es ein geringeres Risiko von sicherheitsrelevanten Zwischenfällen bei Online-Händlern, während ein Zwischenfall noch in Hacker Erhalt andere Details Karte führen, gibt es keine Möglichkeit für sie, um das zugehörige Passwort.

3-D Secure nicht unbedingt erfordern die Verwendung von Passwort-Authentifizierung. Es wird gesagt, möglich, sie in Verbindung mit Smartcard-Leser, Sicherheitstoken und dergleichen zu verwenden. Diese Art von Geräten eine bessere Benutzererfahrung für Kunden zu erbringen könnte, als sie der Käufer aus, die ein sicheres Passwort zu verwenden. Einige Emittenten sind jetzt mit solchen Geräten als Teil der Chip Authentication Program oder dynamische Passcode-Authentifizierungsschemata.

Ein wesentlicher Nachteil besteht darin, dass der Karteninhaber sind wahrscheinlich zu sehen, ihre Browser, um unbekannte Domain-Namen zu verbinden als Folge der Anbieter "MPI-Implementierungen und die Verwendung von ausgelagerten ACS-Implementierungen durch die Ausgabe von Banken, die machen es einfacher, Phishing-Attacken auf die Karteninhaber führen könnte.

American Express SafeKey

American Express SafeKey ist leben in den folgenden Märkten: Großbritannien, Indien, Singapur, der Schweiz, Russland, der Türkei, Malaysia, Frankreich, Spanien, Italien, Deutschland, Niederlande, Japan, Hongkong, Australien, Zypern, China, Griechenland, Vietnam.

Allgemein 3-D Secure Kritik

Prüfbarkeit Website Identität

Das System beinhaltet ein Popup-Fenster oder Inline-Frame während der Online-Transaktionsprozess erscheinen, erfordern den Karteninhaber, um ein Kennwort, das, wenn die Transaktion rechtmäßig ist, wird ihre kartenausgebenden Bank in der Lage, die Authentifizierung eingeben. Das Problem für den Karteninhaber ist Bestimmen, ob das Pop-up-Fenster oder Frame ist wirklich von ihren Kartenherausgeber, wenn es könnte von einer betrügerische Website versucht, des Karteninhabers Details zu ernten. Solche Popup-Fenster oder skriptbasierte Rahmen fehlt jede Zugriff auf alle Sicherheitszertifikat, sodass keine Möglichkeit, die Anmeldeinformationen für die Ausführung des 3-DS zu bestätigen.

Die Verified-by-Visa-System hat einige Kritik auf sich gezogen, da es schwer ist, damit Benutzer zwischen dem legitimen Verified-by-Visa Popup-Fenster oder Inline-Frame und eine betrügerische Phishing-Seite zu unterscheiden. Dies liegt daran, das Pop-up-Fenster wird aus einer Domäne, die serviert wird:

  • Nicht der Ort, wo der Benutzer ist das Einkaufen.
  • Nicht der kartenausgebenden Bank
  • Nicht visa.com oder mastercard.com

In einigen Fällen hat die Verified-by-Visa-System von den Nutzern für eine Phishing-Betrug geirrt und hat sich zum Ziel von einigen Phishing. Die neuere Empfehlung an einen Inline Frame statt eines Pop-up verwenden, hat die Verwirrung der Benutzer reduziert wird, um den Preis macht es schwieriger, wenn nicht unmöglich, für den Benutzer, um zu überprüfen, dass die Seite echt ist in den ersten Platz. Ab 2011 haben die meisten Web-Browser nicht bieten eine Möglichkeit, das Sicherheitszertifikat für den Inhalt eines iframe überprüfen.

Einige Kartenherausgeber Aktivierung verwenden auch während Einkaufen, in denen Karteninhaber, die nicht mit dem System registriert sind, werden die Möglichkeit, während des Kaufprozesses der Anmeldung angeboten. Dies wird in der Regel bringen sie zu einer Form, in der sie erwartet werden, ihre Identität durch die Beantwortung von Sicherheitsfragen, die ihre Kartenaussteller bekannt sein sollten bestätigen. Auch dies ist innerhalb des iframe, wo sie nicht leicht überprüfen können die Website sie diese Informationen an einen gerissenen Website oder illegitime Kaufmann konnte auf diese Weise sammeln alle Details, die sie als Kunden stellen müssen getan.

Die Umsetzung der 3-D Secure Sign-up oft nicht zulassen, dass ein Benutzer mit einem Kauf fortzufahren, bis sie vereinbart haben, bis zu 3-D Secure und seine Geschäftsbedingungen, nicht bieten jede alternative Möglichkeit der Navigation von der Seite, als zu unterschreiben Schließen sie damit zur Aussetzung der Transaktion.

Karteninhaber, die nicht bereit, das Risiko der Registrierung ihrer Karte bei einem Kauf zu nehmen, mit der Commerce-Website die Steuerung der Browser zu einem gewissen Grad, kann in einigen Fällen zur Homepage ihrer Bank gehen, die im Internet in einem separaten Browserfenster und registrieren von dort. Als sie an den Commerce-Website zurückkehren und anfangen sollten sie sehen, dass ihre Karte registriert ist. Die Präsenz auf der Seite Kennwort des Personal Assurance Nachricht, die sie gewählt haben, wenn die Registrierung ist die Bestätigung, dass die Seite von der Bank kommen. Diese gewisse Möglichkeit eines Man-in-the-Middle-Angriff lässt noch, wenn der Karteninhaber nicht die SSL-Server-Zertifikat für das Passwort-Seite zu überprüfen. Einige Commerce-Sites wird die ganze Seite auf die Browser-Authentifizierung anstatt mit einem Rahmen zu widmen. In diesem Fall sollte das Schloss in der Browser die Identität der Bank bzw. dem Betreiber des Verifizierungsstelle zeigen. Der Karteninhaber kann bestätigen, dass dies in der gleichen Domäne, die sie bei der Registrierung ihrer Karte, wenn es nicht die Domäne von ihrer Bank besucht.

Mobilen Browsern besondere Probleme für die 3-D Secure, aufgrund der gemeinsamen Mangel an bestimmten Funktionen wie Rahmen und Pop-ups. Selbst wenn der Händler hat eine mobile Website, es sei denn, der Emittent auch mobil-aware können die Authentifizierungsseiten werden nicht ordnungsgemäß gerendert, oder sogar überhaupt nicht. Am Ende haben viele Analysten dem Schluss, dass die Aktivierung während des Einkaufs-Protokolle laden ein höheres Risiko als sie zu entfernen und weiterhin übertragen dieses erhöhte Risiko für den Verbraucher.

In einigen Fällen, 3-D Secure landet bietet wenig Sicherheit für den Karteninhaber und kann als ein Gerät handeln, um die Haftung für betrügerische Transaktionen von der Bank oder Händler an den Karteninhaber weiterzugeben. Auf die 3-D Secure-Service angewendet rechtlichen Rahmenbedingungen sind manchmal in einer Weise, dass es schwierig für den Karteninhaber die Haftung von betrügerische "Karteninhaber nicht anwesend ist" Transaktionen entkommen macht formuliert.

Eingeschränkter Mobilität

Wenn ein 3-D Secure Bestätigungscode ist erforderlich, wenn die Bestätigungscode wird per SMS auf Mobiltelefon senden kann der Kunde nicht in der Lage ist je nach Land er derzeit in zu empfangen. Das System ist auch nicht geeignet für Kunden, die dazu neigen, ändern Handynummern von Zeit zu Zeit - etwa aufgrund von Reisen. Einige Wifi-Anbieter, die für den Einsatz in Rechnung per Kreditkarte nicht wirklich erlauben den Zugriff auf den 3-D Secure-Website vor der Zahlung abgeschlossen ist, so dass der Benutzer nicht in der Lage den Zugang zum Internet zu kaufen ist.

Geografische Diskriminierung

Banken und Händler können 3-D Secure-Systeme ungleichmäßig in Bezug auf Banken, die Karten in mehreren geografischen Standorten zwischen inländischen US- und Nicht-US-ausgegebenen Karten zu verwenden, die Schaffung Differenzierungen zum Beispiel. Da beispielsweise VISA und Mastercard behandeln das Territorium der Vereinigten Staaten von Puerto Rico als Nicht-US-international, und nicht als inländische USA, Karteninhaber kann es eine größere Häufigkeit von 3-D Secure-Abfragen als Karteninhaber in den 50 Staaten zu konfrontieren. Beschwerden in diesem Sinne wurden von Department of Consumer Affairs Puerto Rico "Gleichbehandlung" wirtschaftliche Diskriminierung Website empfangen wurde.

3D Secure als Starke Authentifizierung

Der neueste Variante des 3D Secure, die Einmalpasswörter enthält, ist eine Form von Software-basierten Strong Authentication. Allerdings ist die Legacy-Variante mit statischem Passwort nicht erfüllen Januar 2013 die Anforderungen der Europäischen Zentralbank.

3D Secure stützt sich auf den Emittenten aktiv daran beteiligt und die Gewährleistung, dass jede Karte ausgegeben wird durch den Karteninhaber eingetragen sind, so dass es sehr viel ein Emittent konzentrierte Lösung.

Die EZB hat in seiner Januar 2013 Anforderungen "Sicherheit für Internet-Zahlungen", die alle innerhalb der Single Euro Payment Area erworbenen Geschäfte müssen mit starken Kunden-Authentifizierung bis zum 1. Februar 2015 dieses Mandat von der EZB authentifiziert werden von der Europäischen Kommission Zahlung beauftragt und unterstützt Dienstleistungsrichtlinie Mk2, soll eine Ebene und Technologie neutrale Wettbewerbsbedingungen innerhalb SEPA bieten E-Commerce, M-Commerce und unterstützende Technologien, einschließlich der Wettbewerbsformen starke Kundenauthentifizierung zu fördern.

Als 3D Secure stützt sich auf Emittenten Voraus Beteiligung und Einschreibung von Karten, kann Erwerber nicht auf 3D Secure ihren Erwerb seitige Authentifizierungsanforderungen erfüllen zu verlassen, so lange, bis 3D Secure hat eine sinnvolle Einschreibung von nahezu 100% aller ausgegebenen Karten.

Dies wiederum macht 3D Sichern Sie sich einen schwachen Lösung für den Erwerb Seiten starken Anforderungen des Kunden-Authentifizierung, insbesondere als 3D Secure ist nicht auf die 25 kleineren Kartensysteme von der EZB anerkannt erhältlich. 3D Secure ist auch für jedes Kartensystem, auf die sie angewendet werden, in der Regel auf einer von Fall zu Fall, es sei denn, ein Spezialist Integrationsunternehmen verwendet wird, ist implementiert werden.

So kann Erwerber entweder akzeptieren Karten, die nicht eingeschrieben sind und betrugsanfällig, oder, um solche Karten ablehnen, bis ein mittels starker Authentisierung erhältlich konfrontiert werden. Als Acquirer und Payment Gateways haften für Betrug in ihren Netzwerken ab 1. Februar 2015, es sei denn, sie haben eine starke Kundenauthentifizierung vorhanden, ist es unklar, welche Auswirkungen Anforderungen der EZB wird auf SEPA eCommerce haben.

Erwerb seitige Authentifizierung unterscheidet sich von ausstellenden seitige Authentifizierung, dass Karten auf, die im Rahmen einer Transaktion erworben, anstatt vor, eingeschrieben werden folgende Problem erfordern eingeschrieben. Erwerb seitige Authentifizierung kann somit einschreiben Karten schrittweise nach Bedarf, um eine wirksame Einschulungsquote von 100%. Card Registrierung und Authentifizierung kann dies zur gleichen Zeit sein.

Beispiele für den Erwerb seitige Authentifizierung sind patentierte "Verification" PayPal, wo eine oder mehrere Dummy-Transaktionen werden in Richtung einer Kreditkarte gerichtet ist, und der Karteninhaber muss den Wert dieser Transaktionen zu bestätigen. Das patentierte Verfahren iSignthis verwendet den Transaktionswert bei der Verkaufsstelle, so dass der zwischen dem eMerchant und Karteninhaber vereinbarten Verkaufsbetrag wird in zwei Mengen aufgeteilt, wobei die erste Menge, ein zufällig generierten Wert und der zweite Wert der Ausgleichs Betrag zwischen Verkaufsmenge und dem Zufallswert.

Beide Verfahren beruhen auf der Karteninhaber den Zugriff auf das Konto mit der Kreditkarte zugeordnet ist, und bestätigt den Wert der Zufalls Transaktion, um zu beweisen, dass sie der Besitzer des Kontos sind. PayPal-Verfahren jedoch nicht ausdrücklich auf einen Geschäfts zwischen einem eMerchant und Karteninhaber beziehen, so dass, wenn es mit einem anderen Prozess, der direkt auf eine Transaktion bezieht sich vermehrt, ist das Verfahren nicht eine Form der starken Kunden Authentifizierung ist daher keine Alternative zur 3D- sicher.

  Like 0   Dislike 0
Vorherige Artikel Spice Williams-Crosby
Nächster Artikel Ralston McKenzie
Bemerkungen (0)
Keine Kommentare

Fügen Sie einen Kommentar

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Zeichen übrig: 3000
captcha