作者Saramende ( 幻翾 )
看板creditcard
标题[讨论] VISA网路验证
时间Tue Dec 23 20:54:47 2008
VISA网路验证在VISA的官网有介绍,就不赘述。
http://www.visa-asia.com/ap/tw/cardholders/security/vbv.shtml
主要是想针对VISA网路验证到底对於网路刷卡交易的安全性及盗刷风险讨论。
引用原文
#19KAgeup的推文:
1F:推 gottsuan:VBV主要的目的是不将卡片资料流出在网路上传输 参加此机 12/23 18:25
2F:→ gottsuan:制的特店不会直接收到使用者的卡片资料 而是由使用者直接 12/23 18:25
3F:→ gottsuan:和银行连线刷卡授权 12/23 18:25
4F:→ gottsuan:现行那种打卡号 效期和验证码的刷卡方式 卡片资料会传送 12/23 18:26
5F:→ gottsuan:到特店去 再由特店跟银行授权请款 12/23 18:27
也许VBV最早的主要目的是由使用者直接和银行连线刷卡授权,
减少卡号外流的机率,
但是要求设定验证密码的意义在哪里?
「Visa验证」服务是让您体验网上安全购物乐趣的全新措施,
为您现有的Visa卡加上个人密码,确保只有您才能使用您的Visa卡。
从上句引用自VISA官网的话说,您看到VBV的陷阱了吗?
没错!VBV密码验证其实只是在降低银行承受盗刷的风险。
直观认为验证密码只有持卡人本人才会知道,
所以当持卡人登记VISA网路验证之後,
所有透过VBV刷卡机制的交易都会被归於持卡人。
即使这个验证密码有可能是因为交易传输时被窃取,
而非持卡人保管不周泄漏给第三者。
这从当初那则新闻(
#16qqATpp)就可以学到教训。
回过头来说,如果VISA验证最主要目的是和银行直接连线,
那麽有没有那个验证密码都不会影响,
最主要是网站上的传输机制必须从传统的由商家收集卡号资讯再向银行要授权,
改为线上即时授权,就好像自己家里有一台直接跟银行连线的刷卡机一样。
只是这台刷卡机不需要真的刷卡动作。
要确认持卡人本人消费的话,只需要卡号、效期以及卡片背面验证码即可。
如果常使用网路刷卡交易的网友就会发现许多较大的网站刷卡页面都改过了,
大部分都改为直接跟银行连线刷卡、可即时取得授权,
而这些都不需要一定要透过VBV的刷卡机制。
举例来说,我所使用过的博客来、诚品网路书店、快乐购网站……等等,
全部都是线上直接授权,原则上商店并不会取得卡号。
网路刷卡交易最怕的除了商家取得卡号资料外流之外,
反而最要担心的是资料在传输过程中被窃取。
无论是VBV或是其他网路刷卡模式、不论跟银行直接连线或是间接取得授权,
最主要是在网路刷卡时注意网站的资料传输是否具有加密模式,
一般最常见的就是SSL安全机制。
(SSL - Secure Socket Layer 最早是Netscape 所提出来的资料保密协定 )
否则使用VBV验证交易反而提供骇客VISA验证密码,
造成不肖份子盗刷、银行可完全脱责的情形。
最後提醒大家,网路消费真的很方便,也相对存在许多风险。
但是只要做个「良善的持卡人」、妥善保管卡片,
注意交易的网站是否建立资料传输的安全机制,
(不懂的就认网址是否https://开头)
是真的没必要登录VISA验证自找麻烦的!
--
╔乘着风,我在飘散发丝间捕捉那一瞬的存在, ╚╝╚════╬╗╚══╗╚╬╗
╚╗ ╔═════╗ ╔╗ ╔╗╔═╗ 我是 如 ╚╝ 似 ╚═╝║
╔╬═╝ ζ幻翾ζ ╠══╬╝ ╔╝╚╬═╝ 天使, 梦 幻…… ╚
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 118.169.38.28
6F:推 TZUYIC:简单来说只需要一句话即可解释VISA验证与MasterCard 12/23 20:59
7F:→ TZUYIC:SerureCode验证最恐怖的地方:交易具有不可否认性!! 12/23 21:00
8F:→ TZUYIC:所以一旦授权成功,责任将全部在於持卡者身上,银行不负责 12/23 21:01
9F:→ TZUYIC:PS.这个不可否认性是白纸黑字写在申请书上的,也就是你使 12/23 21:02
10F:→ TZUYIC:用它即代表你完全接受合约规范。 12/23 21:02
11F:推 gottsuan:其实可以想一想所谓的双因子认证 卡片上所记载的资讯都只 12/23 21:06
12F:→ gottsuan:是一个因子而已 也就是不需要持卡人本人 只要知道这些资 12/23 21:07
13F:→ gottsuan:讯的人都可以完成刷卡 12/23 21:07
14F:→ gottsuan:MC/VISA 3DSecure搭配CAP/DPA可以增加第二因子 解决card 12/23 21:09
15F:→ gottsuan:not present线上刷卡的问题 12/23 21:09
16F:→ gottsuan:你指的那些线上刷卡网站就算店家没有直接收到卡片资料 12/23 21:10
17F:→ gottsuan:那些资料也是传到payment gateway去 不是直接到银行 12/23 21:11
18F:→ gottsuan:payment gateway通常由一些专作金流的网站提供 也就是使 12/23 21:11
19F:→ gottsuan:用者的第一个因子其实都流通在外 这样真的就足以确认本人 12/23 21:12
20F:→ gottsuan:吗 12/23 21:12
21F:→ gottsuan:现行VBV的问题主要还是在於静态密码 静态密码并不能当作 12/23 21:13
22F:→ gottsuan:身分认证的第二个因子 也就是现行还只是单因子认证而已 12/23 21:13
23F:→ gottsuan:但已经有银行开始用双因子的认证了 12/23 21:14
24F:→ TZUYIC:g大可以说明一下如何有真正确认是本人消费的双因子确认呢? 12/23 21:15
25F:→ Saramende:我承认我是因为板上讨论少,我搜寻到的文章不多所以跳出 12/23 21:22
26F:→ Saramende:来钓鱼。如果g大可以提出所谓双因子验证的实例给大家参 12/23 21:22
27F:→ Saramende:考,或是大家参与讨论会让用卡人更了解这些机制 12/23 21:23
28F:→ Saramende:等用卡人更认识这些机制後,自然会决定要不要使用。 12/23 21:24
29F:推 RD:中信的VISA 3D已经有手机简讯动态密码了 其他银行我就不清楚了 12/23 21:50
30F:推 TZUYIC:其实连简讯动态密码都不见得能验证是本人亲自用(不是有女 12/23 21:59
31F:→ TZUYIC:朋友专管男朋友的手机?!),不过毕竟这已经比一般密码更 12/23 22:00
32F:→ TZUYIC:像即时确认的。 12/23 22:01
33F:→ gxp:那是所谓的OTP(One Time Password),其实是有时效性的 12/24 01:01
34F:→ gxp:Timeout後 要重新申请一次的机制够完整的话,其实是蛮安全的 12/24 01:02
35F:推 WaterDragonI:问问自己:你是要方便购物而不用负担风险,还是要麻 12/24 01:08
36F:→ WaterDragonI:烦的绑手绑脚认证,然後所有风险自负呢?聪明的你, 12/24 01:09
37F:→ WaterDragonI:会想要选择哪一种? :) 12/24 01:09
38F:推 tcytc:换个角度想,如果银行只是想增加你网路刷卡的安全性 12/24 08:58
39F:→ tcytc:何必把风险承担人改为持卡人呢?有密码更安全,银行应该放心 12/24 08:58
40F:→ tcytc:由这点你就可以去知道银行到底想保障谁了... 12/24 08:59
41F:→ tcytc:不要去说一堆专业术语来证明多安全,那些说给学生听就好 12/24 09:00
42F:→ tcytc:对消费者最安全的方式就是风险不需要由自己承担最安全 12/24 09:00
43F:推 Iguei:听来真可怕~能否请问,已认证的话呢??o.0 (只剩剪卡>.<?) 12/24 10:30
44F:推 tcytc:不要用那张在网路刷就好了,同银行的每张卡,认证都是独立的 12/24 10:34
45F:→ tcytc:那间银行你有三张卡,你就三张都要个别认证後才会有效 12/24 10:35
46F:推 TZUYIC:VISA验证申请後可以取消,打给你的信用卡中心客服 12/24 14:58