作者Saramende ( 幻翾 )
看板creditcard
標題[討論] VISA網路驗證
時間Tue Dec 23 20:54:47 2008
VISA網路驗證在VISA的官網有介紹,就不贅述。
http://www.visa-asia.com/ap/tw/cardholders/security/vbv.shtml
主要是想針對VISA網路驗證到底對於網路刷卡交易的安全性及盜刷風險討論。
引用原文
#19KAgeup的推文:
1F:推 gottsuan:VBV主要的目的是不將卡片資料流出在網路上傳輸 參加此機 12/23 18:25
2F:→ gottsuan:制的特店不會直接收到使用者的卡片資料 而是由使用者直接 12/23 18:25
3F:→ gottsuan:和銀行連線刷卡授權 12/23 18:25
4F:→ gottsuan:現行那種打卡號 效期和驗證碼的刷卡方式 卡片資料會傳送 12/23 18:26
5F:→ gottsuan:到特店去 再由特店跟銀行授權請款 12/23 18:27
也許VBV最早的主要目的是由使用者直接和銀行連線刷卡授權,
減少卡號外流的機率,
但是要求設定驗證密碼的意義在哪裡?
「Visa驗證」服務是讓您體驗網上安全購物樂趣的全新措施,
為您現有的Visa卡加上個人密碼,確保只有您才能使用您的Visa卡。
從上句引用自VISA官網的話說,您看到VBV的陷阱了嗎?
沒錯!VBV密碼驗證其實只是在降低銀行承受盜刷的風險。
直觀認為驗證密碼只有持卡人本人才會知道,
所以當持卡人登記VISA網路驗證之後,
所有透過VBV刷卡機制的交易都會被歸於持卡人。
即使這個驗證密碼有可能是因為交易傳輸時被竊取,
而非持卡人保管不周洩漏給第三者。
這從當初那則新聞(
#16qqATpp)就可以學到教訓。
回過頭來說,如果VISA驗證最主要目的是和銀行直接連線,
那麼有沒有那個驗證密碼都不會影響,
最主要是網站上的傳輸機制必須從傳統的由商家收集卡號資訊再向銀行要授權,
改為線上即時授權,就好像自己家裡有一台直接跟銀行連線的刷卡機一樣。
只是這台刷卡機不需要真的刷卡動作。
要確認持卡人本人消費的話,只需要卡號、效期以及卡片背面驗證碼即可。
如果常使用網路刷卡交易的網友就會發現許多較大的網站刷卡頁面都改過了,
大部分都改為直接跟銀行連線刷卡、可即時取得授權,
而這些都不需要一定要透過VBV的刷卡機制。
舉例來說,我所使用過的博客來、誠品網路書店、快樂購網站……等等,
全部都是線上直接授權,原則上商店並不會取得卡號。
網路刷卡交易最怕的除了商家取得卡號資料外流之外,
反而最要擔心的是資料在傳輸過程中被竊取。
無論是VBV或是其他網路刷卡模式、不論跟銀行直接連線或是間接取得授權,
最主要是在網路刷卡時注意網站的資料傳輸是否具有加密模式,
一般最常見的就是SSL安全機制。
(SSL - Secure Socket Layer 最早是Netscape 所提出來的資料保密協定 )
否則使用VBV驗證交易反而提供駭客VISA驗證密碼,
造成不肖份子盜刷、銀行可完全脫責的情形。
最後提醒大家,網路消費真的很方便,也相對存在許多風險。
但是只要做個「良善的持卡人」、妥善保管卡片,
注意交易的網站是否建立資料傳輸的安全機制,
(不懂的就認網址是否https://開頭)
是真的沒必要登錄VISA驗證自找麻煩的!
--
╔乘著風,我在飄散髮絲間捕捉那一瞬的存在, ╚╝╚════╬╗╚══╗╚╬╗
╚╗ ╔═════╗ ╔╗ ╔╗╔═╗ 我是 如 ╚╝ 似 ╚═╝║
╔╬═╝ ζ幻翾ζ ╠══╬╝ ╔╝╚╬═╝ 天使, 夢 幻…… ╚
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.169.38.28
6F:推 TZUYIC:簡單來說只需要一句話即可解釋VISA驗證與MasterCard 12/23 20:59
7F:→ TZUYIC:SerureCode驗證最恐怖的地方:交易具有不可否認性!! 12/23 21:00
8F:→ TZUYIC:所以一旦授權成功,責任將全部在於持卡者身上,銀行不負責 12/23 21:01
9F:→ TZUYIC:PS.這個不可否認性是白紙黑字寫在申請書上的,也就是你使 12/23 21:02
10F:→ TZUYIC:用它即代表你完全接受合約規範。 12/23 21:02
11F:推 gottsuan:其實可以想一想所謂的雙因子認證 卡片上所記載的資訊都只 12/23 21:06
12F:→ gottsuan:是一個因子而已 也就是不需要持卡人本人 只要知道這些資 12/23 21:07
13F:→ gottsuan:訊的人都可以完成刷卡 12/23 21:07
14F:→ gottsuan:MC/VISA 3DSecure搭配CAP/DPA可以增加第二因子 解決card 12/23 21:09
15F:→ gottsuan:not present線上刷卡的問題 12/23 21:09
16F:→ gottsuan:你指的那些線上刷卡網站就算店家沒有直接收到卡片資料 12/23 21:10
17F:→ gottsuan:那些資料也是傳到payment gateway去 不是直接到銀行 12/23 21:11
18F:→ gottsuan:payment gateway通常由一些專作金流的網站提供 也就是使 12/23 21:11
19F:→ gottsuan:用者的第一個因子其實都流通在外 這樣真的就足以確認本人 12/23 21:12
20F:→ gottsuan:嗎 12/23 21:12
21F:→ gottsuan:現行VBV的問題主要還是在於靜態密碼 靜態密碼並不能當作 12/23 21:13
22F:→ gottsuan:身分認證的第二個因子 也就是現行還只是單因子認證而已 12/23 21:13
23F:→ gottsuan:但已經有銀行開始用雙因子的認證了 12/23 21:14
24F:→ TZUYIC:g大可以說明一下如何有真正確認是本人消費的雙因子確認呢? 12/23 21:15
25F:→ Saramende:我承認我是因為板上討論少,我搜尋到的文章不多所以跳出 12/23 21:22
26F:→ Saramende:來釣魚。如果g大可以提出所謂雙因子驗證的實例給大家參 12/23 21:22
27F:→ Saramende:考,或是大家參與討論會讓用卡人更了解這些機制 12/23 21:23
28F:→ Saramende:等用卡人更認識這些機制後,自然會決定要不要使用。 12/23 21:24
29F:推 RD:中信的VISA 3D已經有手機簡訊動態密碼了 其他銀行我就不清楚了 12/23 21:50
30F:推 TZUYIC:其實連簡訊動態密碼都不見得能驗證是本人親自用(不是有女 12/23 21:59
31F:→ TZUYIC:朋友專管男朋友的手機?!),不過畢竟這已經比一般密碼更 12/23 22:00
32F:→ TZUYIC:像即時確認的。 12/23 22:01
33F:→ gxp:那是所謂的OTP(One Time Password),其實是有時效性的 12/24 01:01
34F:→ gxp:Timeout後 要重新申請一次的機制夠完整的話,其實是蠻安全的 12/24 01:02
35F:推 WaterDragonI:問問自己:你是要方便購物而不用負擔風險,還是要麻 12/24 01:08
36F:→ WaterDragonI:煩的綁手綁腳認證,然後所有風險自負呢?聰明的你, 12/24 01:09
37F:→ WaterDragonI:會想要選擇哪一種? :) 12/24 01:09
38F:推 tcytc:換個角度想,如果銀行只是想增加你網路刷卡的安全性 12/24 08:58
39F:→ tcytc:何必把風險承擔人改為持卡人呢?有密碼更安全,銀行應該放心 12/24 08:58
40F:→ tcytc:由這點你就可以去知道銀行到底想保障誰了... 12/24 08:59
41F:→ tcytc:不要去說一堆專業術語來證明多安全,那些說給學生聽就好 12/24 09:00
42F:→ tcytc:對消費者最安全的方式就是風險不需要由自己承擔最安全 12/24 09:00
43F:推 Iguei:聽來真可怕~能否請問,已認證的話呢??o.0 (只剩剪卡>.<?) 12/24 10:30
44F:推 tcytc:不要用那張在網路刷就好了,同銀行的每張卡,認證都是獨立的 12/24 10:34
45F:→ tcytc:那間銀行你有三張卡,你就三張都要個別認證後才會有效 12/24 10:35
46F:推 TZUYIC:VISA驗證申請後可以取消,打給你的信用卡中心客服 12/24 14:58