作者grassboy2 (小胖子.吳草兒)
看板creditcard
標題[討論] 這樣好嗎?(台新信用卡的 VISA 3D 驗證碼)
時間Tue Apr 15 01:57:15 2014
最近開始刷起台新的卡…
然後因為是 VISA 卡…
所以照例都有 3D 驗證頁面…
申請完密碼、刷卡成功…
但在接著刷的時候…
看到了眼前的輸入表單
長得和先前(刷別家的信用卡)的驗證表單都不一樣…
下面是對照圖…
http://i.imgur.com/hGbvEbC.png
看了一下表單的網址…
左圖(富邦)是放在 nccc (聯合信用卡中心)下
右圖(台新)是放在他們自己家 taishinbank.com.tw 下
但 VISA 3D 驗證這個玩意是該放在發卡銀行下面嗎?
我看了一下台新銀的處理流程
是密碼送出後,再去連 nccc 然後繼續跑完後面的付款流程…
如果是降子…那為什麼要先過一層台新?
那如果台新銀存下 3D 驗證密碼,
然後哪天又不小心台新被駭了…不就倒大楣了?
(就是當有人手頭上 n 張卡的 3D 密碼都設一樣的話…
台新如果被駭…其他 n 張卡就也都有被盜刷的風險)
這幾年在手上的 VISA 大約也有三、四張,
台新的 3D 驗證頁還真的是我看過第一個不是放在 nccc 下面的(抖)
當然,大絕招是「不爽不要刷」我知道~
只是 3D 驗證被盜刷的話,好像是持卡人負全責…
所以對於這種狀況還滿 care 的…
就…討論討論囉…反正想刷的時候還是會硬著頭皮刷下去的(抖)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.34.136.131
※ 文章網址: http://webptt.com/m.aspx?n=bbs/creditcard/M.1397498237.A.8CC.html
1F:推 loomissayles:這種擔心是多餘的..難道你以為ncc就不會被駭嗎?? 04/15 06:43
2F:推 loomissayles:這些資料被側錄..通常到驗證網途中就被攔截了 04/15 06:45
3F:→ loomissayles:跟使用者使用習慣比較有關..跟哪間銀行好像關係不大 04/15 06:47
4F:推 alex1973:這是看收單銀行是哪家, 就會出現哪家的介面. 04/15 07:12
5F:→ alex1973:你擔心台新, 難道就不擔心 NCCC ? NCCC 目標更大 (收單量 04/15 07:13
6F:→ alex1973:大), 如果我是駭客會比較想從這邊下手. 04/15 07:14
7F:→ orange21:會怕就不要用... 04/15 08:11
http://i.imgur.com/Lo0fwB4.png
隨手再找兩家的 VISA 3D 密碼驗證頁面(兆豐、聯邦)…
都是被導到 nccc 去驗證…
你問我會不會擔心 nccc 被駭…
我當然擔心啊~
但就算 nccc 被駭了…
他拿到的只有我的信用卡 3D 驗證密碼…
我的信用卡效期、卡背三碼都只有發卡銀行有
暫時還不會有立即的傷害…
但台新這樣搞…有我的卡號、效期、卡背三碼,現在又有 3D 密碼…
只要台新一出包…就會被盜刷了說…
而且盜刷還是在 3D 密碼外洩的狀況下…
信用卡公司是可以「依法行政」不需負責的耶…
還是說其實台新不是唯一一家這樣搞的?
8F:推 cytochrome:用花旗,免3D 04/15 08:17
9F:噓 test8888b:太多慮了,3D密碼被盜最有可能是你電腦被植入木馬了... 04/15 11:45
這是前幾天噴出來的事件
http://news.cnyes.com/Content/20140410/KIUSUSKBCEBKY.shtml
幾乎各大網站都中招,下面是測試有沒有中招的頁面:
https://filippo.io/Heartbleed/#acs.nccc.com.tw
https://filippo.io/Heartbleed/#acs.taishinbank.com.tw
個人使用電腦的習慣當然也要好,
但既然 3D 密碼台新不需要知道,為什麼要給他們?
再次重申,我也知道「不爽不要刷」的道理~
如果大家也都覺得發卡銀行可以合理取得這個資料
那…我也沒什麼好說的啦(逃)
※ 編輯: grassboy2 (114.34.136.131), 04/15/2014 12:06:47
10F:→ alex1973:你把密碼驗證想得太簡單了, 現在的密碼驗證很少人用明碼 04/15 12:53
11F:→ alex1973:直接存起來, 直接拿來比對. 現在至少都是先 hash 過, 使 04/15 12:54
12F:→ alex1973:用者輸入密碼後, 也用一樣的 hash 法則得到使用者輸入密 04/15 12:55
13F:→ alex1973:碼的 hash 值, 然後比對 hash 有沒有相同; 而這個 hash, 04/15 12:56
14F:→ alex1973:已經有很多密碼學者去嘗試破解, 分析驗證過, 要由 hash 04/15 12:57
15F:→ alex1973:反推回原密碼是幾乎不可能的事情, 或者必須耗費非常長久 04/15 12:58
16F:→ alex1973:的運算才有機會. 所以即使網站有 Heartbleed 漏洞而且駭 04/15 12:59
17F:→ alex1973:客真的找上門, 在這一路上還有好多難題: 1. 要 dump 到真 04/15 13:00
18F:→ alex1973:的有用的記憶體資料 (Heartbleed 的漏洞是讓駭客可以得到 04/15 13:00
19F:→ alex1973:server 的記憶體資料內容) 2. 得到的記憶體資料還要去分 04/15 13:01
20F:→ alex1973:析找到哪裡是密碼 3. 就算密碼 hash 被知道, 要再反運算 04/15 13:02
21F:→ alex1973:回原來明碼 (如果辦的到). 04/15 13:03
22F:→ alex1973:樓上你自己提的 Heartbleed 測試網頁, 測試結果就已經表 04/15 13:09
23F:→ alex1973:示台新 server 拒絕 heartbeat 封包要求, 所以沒這漏洞. 04/15 13:10
24F:推 alex1973:剛剛找到了 3D 驗證的 Wiki: 04/15 13:27
26F:→ alex1973:裡頭就講了, 3D 驗證 ACS 最終是由發卡行控管, 只是現在 04/15 13:29
27F:→ alex1973:大部分銀行都外包給第三方處理, 這裡的第三方以你這例子 04/15 13:30
28F:→ alex1973:來說就是 NCCC. 04/15 13:31
29F:→ alex1973:而且就算是給第三方 (NCCC) 控管, NCCC 也是有你完整的卡 04/15 13:34
30F:→ alex1973:號, 姓名, 卡背面三碼驗證碼, 3D 密碼等等完整資料, 否則 04/15 13:35
31F:→ alex1973:NCCC 怎麼代理刷卡授權業務 ? 所以你對 NCCC 以及台新驗 04/15 13:36
32F:→ alex1973:證的疑慮其實基本上應該抱持一樣懷疑的態度, 而不是資料 04/15 13:37
33F:→ alex1973:放在哪邊就比較安全或者不安全. 04/15 13:38
34F:→ grassboy2:喔喔~原來如此…上了一課~感謝~ 04/15 13:48
35F:→ grassboy2:然後我印象中 heartbleed 是只要記憶體內容知道了… 04/15 13:50
36F:→ grassboy2:負責在 SSL 加解密的 key 有可能直接被幹走… 04/15 13:51
37F:→ grassboy2:有了 key 即便傳來的密碼是 hash 過的也可以解… 04/15 13:51
38F:→ grassboy2:不過這也只是印象中啦,而且和原 po 討論的狀況無關… 04/15 13:52
39F:→ grassboy2:無論如何~感謝您的解惑~~ 04/15 13:52
40F:→ alex1973:SSL 的 key 加密的是透過 SSL 傳輸的資料, 但是像密碼以 04/15 13:58
41F:→ alex1973:及使用者帳戶之類的資料, 一般還會再用另外的方法以及key 04/15 13:59
42F:→ alex1973:加密 or hash or both 04/15 14:00
43F:噓 test8888b:想太多,如果是銀行資料被盜是一堆資料被盜,100%銀行賠 04/15 18:36
44F:推 MaRay:導到發卡行或第三方是國際組織都同意的做法,可參考bylaw 04/15 23:28