creditcard 板


LINE

最近开始刷起台新的卡… 然後因为是 VISA 卡… 所以照例都有 3D 验证页面… 申请完密码、刷卡成功… 但在接着刷的时候… 看到了眼前的输入表单 长得和先前(刷别家的信用卡)的验证表单都不一样… 下面是对照图… http://i.imgur.com/hGbvEbC.png
看了一下表单的网址… 左图(富邦)是放在 nccc (联合信用卡中心)下 右图(台新)是放在他们自己家 taishinbank.com.tw 下 但 VISA 3D 验证这个玩意是该放在发卡银行下面吗? 我看了一下台新银的处理流程 是密码送出後,再去连 nccc 然後继续跑完後面的付款流程… 如果是降子…那为什麽要先过一层台新? 那如果台新银存下 3D 验证密码, 然後哪天又不小心台新被骇了…不就倒大楣了? (就是当有人手头上 n 张卡的 3D 密码都设一样的话… 台新如果被骇…其他 n 张卡就也都有被盗刷的风险) 这几年在手上的 VISA 大约也有三、四张, 台新的 3D 验证页还真的是我看过第一个不是放在 nccc 下面的(抖) 当然,大绝招是「不爽不要刷」我知道~ 只是 3D 验证被盗刷的话,好像是持卡人负全责… 所以对於这种状况还满 care 的… 就…讨论讨论罗…反正想刷的时候还是会硬着头皮刷下去的(抖) --



※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.34.136.131
※ 文章网址: http://webptt.com/cn.aspx?n=bbs/creditcard/M.1397498237.A.8CC.html
1F:推 loomissayles:这种担心是多余的..难道你以为ncc就不会被骇吗?? 04/15 06:43
2F:推 loomissayles:这些资料被侧录..通常到验证网途中就被拦截了 04/15 06:45
3F:→ loomissayles:跟使用者使用习惯比较有关..跟哪间银行好像关系不大 04/15 06:47
4F:推 alex1973:这是看收单银行是哪家, 就会出现哪家的介面. 04/15 07:12
5F:→ alex1973:你担心台新, 难道就不担心 NCCC ? NCCC 目标更大 (收单量 04/15 07:13
6F:→ alex1973:大), 如果我是骇客会比较想从这边下手. 04/15 07:14
7F:→ orange21:会怕就不要用... 04/15 08:11
http://i.imgur.com/Lo0fwB4.png
随手再找两家的 VISA 3D 密码验证页面(兆丰、联邦)… 都是被导到 nccc 去验证… 你问我会不会担心 nccc 被骇… 我当然担心啊~ 但就算 nccc 被骇了… 他拿到的只有我的信用卡 3D 验证密码… 我的信用卡效期、卡背三码都只有发卡银行有 暂时还不会有立即的伤害… 但台新这样搞…有我的卡号、效期、卡背三码,现在又有 3D 密码… 只要台新一出包…就会被盗刷了说… 而且盗刷还是在 3D 密码外泄的状况下… 信用卡公司是可以「依法行政」不需负责的耶… 还是说其实台新不是唯一一家这样搞的?
8F:推 cytochrome:用花旗,免3D 04/15 08:17
9F:嘘 test8888b:太多虑了,3D密码被盗最有可能是你电脑被植入木马了... 04/15 11:45
这是前几天喷出来的事件 http://news.cnyes.com/Content/20140410/KIUSUSKBCEBKY.shtml 几乎各大网站都中招,下面是测试有没有中招的页面: https://filippo.io/Heartbleed/#acs.nccc.com.tw https://filippo.io/Heartbleed/#acs.taishinbank.com.tw 个人使用电脑的习惯当然也要好, 但既然 3D 密码台新不需要知道,为什麽要给他们? 再次重申,我也知道「不爽不要刷」的道理~ 如果大家也都觉得发卡银行可以合理取得这个资料 那…我也没什麽好说的啦(逃) ※ 编辑: grassboy2 (114.34.136.131), 04/15/2014 12:06:47
10F:→ alex1973:你把密码验证想得太简单了, 现在的密码验证很少人用明码 04/15 12:53
11F:→ alex1973:直接存起来, 直接拿来比对. 现在至少都是先 hash 过, 使 04/15 12:54
12F:→ alex1973:用者输入密码後, 也用一样的 hash 法则得到使用者输入密 04/15 12:55
13F:→ alex1973:码的 hash 值, 然後比对 hash 有没有相同; 而这个 hash, 04/15 12:56
14F:→ alex1973:已经有很多密码学者去尝试破解, 分析验证过, 要由 hash 04/15 12:57
15F:→ alex1973:反推回原密码是几乎不可能的事情, 或者必须耗费非常长久 04/15 12:58
16F:→ alex1973:的运算才有机会. 所以即使网站有 Heartbleed 漏洞而且骇 04/15 12:59
17F:→ alex1973:客真的找上门, 在这一路上还有好多难题: 1. 要 dump 到真 04/15 13:00
18F:→ alex1973:的有用的记忆体资料 (Heartbleed 的漏洞是让骇客可以得到 04/15 13:00
19F:→ alex1973:server 的记忆体资料内容) 2. 得到的记忆体资料还要去分 04/15 13:01
20F:→ alex1973:析找到哪里是密码 3. 就算密码 hash 被知道, 要再反运算 04/15 13:02
21F:→ alex1973:回原来明码 (如果办的到). 04/15 13:03
22F:→ alex1973:楼上你自己提的 Heartbleed 测试网页, 测试结果就已经表 04/15 13:09
23F:→ alex1973:示台新 server 拒绝 heartbeat 封包要求, 所以没这漏洞. 04/15 13:10
24F:推 alex1973:刚刚找到了 3D 验证的 Wiki: 04/15 13:27
25F:→ alex1973:http://en.wikipedia.org/wiki/3-D_Secure 04/15 13:27
26F:→ alex1973:里头就讲了, 3D 验证 ACS 最终是由发卡行控管, 只是现在 04/15 13:29
27F:→ alex1973:大部分银行都外包给第三方处理, 这里的第三方以你这例子 04/15 13:30
28F:→ alex1973:来说就是 NCCC. 04/15 13:31
29F:→ alex1973:而且就算是给第三方 (NCCC) 控管, NCCC 也是有你完整的卡 04/15 13:34
30F:→ alex1973:号, 姓名, 卡背面三码验证码, 3D 密码等等完整资料, 否则 04/15 13:35
31F:→ alex1973:NCCC 怎麽代理刷卡授权业务 ? 所以你对 NCCC 以及台新验 04/15 13:36
32F:→ alex1973:证的疑虑其实基本上应该抱持一样怀疑的态度, 而不是资料 04/15 13:37
33F:→ alex1973:放在哪边就比较安全或者不安全. 04/15 13:38
34F:→ grassboy2:喔喔~原来如此…上了一课~感谢~ 04/15 13:48
35F:→ grassboy2:然後我印象中 heartbleed 是只要记忆体内容知道了… 04/15 13:50
36F:→ grassboy2:负责在 SSL 加解密的 key 有可能直接被干走… 04/15 13:51
37F:→ grassboy2:有了 key 即便传来的密码是 hash 过的也可以解… 04/15 13:51
38F:→ grassboy2:不过这也只是印象中啦,而且和原 po 讨论的状况无关… 04/15 13:52
39F:→ grassboy2:无论如何~感谢您的解惑~~ 04/15 13:52
40F:→ alex1973:SSL 的 key 加密的是透过 SSL 传输的资料, 但是像密码以 04/15 13:58
41F:→ alex1973:及使用者帐户之类的资料, 一般还会再用另外的方法以及key 04/15 13:59
42F:→ alex1973:加密 or hash or both 04/15 14:00
43F:嘘 test8888b:想太多,如果是银行资料被盗是一堆资料被盗,100%银行赔 04/15 18:36
44F:推 MaRay:导到发卡行或第三方是国际组织都同意的做法,可参考bylaw 04/15 23:28







like.gif 您可能会有兴趣的文章
icon.png[问题/行为] 猫晚上进房间会不会有憋尿问题
icon.pngRe: [闲聊] 选了错误的女孩成为魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一张
icon.png[心得] EMS高领长版毛衣.墨小楼MC1002
icon.png[分享] 丹龙隔热纸GE55+33+22
icon.png[问题] 清洗洗衣机
icon.png[寻物] 窗台下的空间
icon.png[闲聊] 双极の女神1 木魔爵
icon.png[售车] 新竹 1997 march 1297cc 白色 四门
icon.png[讨论] 能从照片感受到摄影者心情吗
icon.png[狂贺] 贺贺贺贺 贺!岛村卯月!总选举NO.1
icon.png[难过] 羡慕白皮肤的女生
icon.png阅读文章
icon.png[黑特]
icon.png[问题] SBK S1安装於安全帽位置
icon.png[分享] 旧woo100绝版开箱!!
icon.pngRe: [无言] 关於小包卫生纸
icon.png[开箱] E5-2683V3 RX480Strix 快睿C1 简单测试
icon.png[心得] 苍の海贼龙 地狱 执行者16PT
icon.png[售车] 1999年Virage iO 1.8EXi
icon.png[心得] 挑战33 LV10 狮子座pt solo
icon.png[闲聊] 手把手教你不被桶之新手主购教学
icon.png[分享] Civic Type R 量产版官方照无预警流出
icon.png[售车] Golf 4 2.0 银色 自排
icon.png[出售] Graco提篮汽座(有底座)2000元诚可议
icon.png[问题] 请问补牙材质掉了还能再补吗?(台中半年内
icon.png[问题] 44th 单曲 生写竟然都给重复的啊啊!
icon.png[心得] 华南红卡/icash 核卡
icon.png[问题] 拔牙矫正这样正常吗
icon.png[赠送] 老莫高业 初业 102年版
icon.png[情报] 三大行动支付 本季掀战火
icon.png[宝宝] 博客来Amos水蜡笔5/1特价五折
icon.pngRe: [心得] 新鲜人一些面试分享
icon.png[心得] 苍の海贼龙 地狱 麒麟25PT
icon.pngRe: [闲聊] (君の名は。雷慎入) 君名二创漫画翻译
icon.pngRe: [闲聊] OGN中场影片:失踪人口局 (英文字幕)
icon.png[问题] 台湾大哥大4G讯号差
icon.png[出售] [全国]全新千寻侘草LED灯, 水草

请输入看板名称,例如:Gossiping站内搜寻

TOP