3-D Säker

3-D Secure är ett protokoll utformat för att vara ett extra säkerhetslager för online- kredit- och betalkortstransaktioner . Namnet hänvisar till de "tre domänerna" som interagerar med hjälp av protokollet: domänen för handlaren/förvärvaren, utfärdardomänen och interoperabilitetsdomänen.

Ursprungligen utvecklad hösten 1999 av Celo Communications AB (senare Gemplus, Gemalto och nu Thales Group ) för Visa Inc. i ett projekt som heter "p42" ("p" från stavhopp då projektet var en stor utmaning och "42" som svaret från boken Liftarens guide till galaxen ) . En ny uppdaterad version utvecklades av Gemplus mellan 2000-2001.

2001 Arcot Systems (nu CA Technologies ) och Visa Inc. med avsikten att förbättra säkerheten för internetbetalningar, och erbjuds till kunder under varumärket Verified by Visa (senare omdöpt till Visa Secure ). Tjänster baserade på protokollet har också antagits av Mastercard som SecureCode , av Discover som ProtectBuy, av JCB International som J/Secure och av American Express som American Express SafeKey . Senare revisioner av protokollet har tagits fram av EMVCo under namnet EMV 3-D Secure . Version 2 av protokollet publicerades 2016 i syfte att uppfylla nya EU-autentiseringskrav och åtgärda några av bristerna i det ursprungliga protokollet.

Analys av den första versionen av protokollet av akademin har visat att det har många säkerhetsproblem som påverkar konsumenten, inklusive en större yta för nätfiske och en förskjutning av ansvar vid bedrägliga betalningar.

Beskrivning och grundläggande aspekter

Grundkonceptet för protokollet är att knyta den finansiella auktoriseringsprocessen med online-autentisering. Denna extra säkerhetsautentisering är baserad på en tredomänmodell (därav "3-D" i namnet). De tre domänerna är:

• Acquirer-domän (banken och handlaren till vilken pengarna betalas ut),
• Emittentdomän (kortutgivaren),
• Interoperabilitetsdomän (infrastrukturen som tillhandahålls av kortsystemet, kredit-, debet-, förbetalda eller andra typer av betalkort, för att stödja 3-D Secure-protokollet). Det inkluderar Internet, insticksprogram för handlare, server för åtkomstkontroll och andra programvaruleverantörer.

Protokollet använder XML-meddelanden som skickas över SSL- anslutningar med klientautentisering (detta säkerställer äktheten för både peers, servern och klienten, med hjälp av digitala certifikat).

En transaktion som använder Verified-by-Visa eller SecureCode kommer att initiera en omdirigering till kortutgivarens webbplats för att auktorisera transaktionen. Varje emittent kan använda vilken typ av autentiseringsmetod som helst (protokollet täcker inte detta) men vanligtvis skrivs ett lösenord som är knutet till kortet när du gör onlineköp. Verified-by-Visa-protokollet rekommenderar att kortutfärdarens verifieringssida laddas i en inline ramsession . På så sätt kan kortutgivarens system hållas ansvariga för de flesta säkerhetsintrång. Idag är det enkelt att skicka ett engångslösenord som en del av ett SMS-meddelande till användarnas mobiltelefoner och e-postmeddelanden för autentisering, åtminstone vid registrering och för glömda lösenord.

Huvudskillnaden mellan Visa- och Mastercard-implementeringar ligger i metoden för att generera UCAF (Universal Cardholder Authentication Field): Mastercard använder AAV (Accountholder Authentication Value) och Visa använder CAVV (Cardholder Authentication Verification Value). ^{[ förtydligande behövs ]}

ACS-leverantörer

I 3-D Secure-protokollet finns ACS (access control server) på kortutfärdarens sida. För närvarande lägger de flesta kortutgivare ut ACS på en tredje part. Vanligtvis visar köparens webbläsare ACS-leverantörens domännamn snarare än kortutfärdarens domännamn; detta krävs dock inte enligt protokollet. Beroende på ACS-leverantören är det möjligt att ange ett kortutfärdareägt domännamn för användning av ACS.

MPI-leverantörer

Varje 3-D Secure version 1-transaktion involverar två Internet-begäran/svarspar: VEReq/VERes och PAReq/PARes. Visa och Mastercard tillåter inte handlare att skicka förfrågningar direkt till sina servrar. Handlare måste istället använda MPI- leverantörer ( merchant plug-in ).

Köpmän

Fördelen för handlare är minskningen av "obehöriga transaktioner" återkrav . En nackdel för handlare är att de måste köpa en merchant plug-in (MPI) för att ansluta till Visa- eller Mastercard-katalogservern. Detta är dyrt ^{[ förtydligande behövs ]} (installationsavgift, månadsavgift och avgift per transaktion); samtidigt representerar det ytterligare intäkter för MPI-leverantörer. Att stödja 3-D Secure är komplicerat och skapar ibland transaktionsfel. Den kanske största nackdelen för handlare är att många användare ser det extra autentiseringssteget som ett störande eller hinder, vilket resulterar i en avsevärd ökning av att transaktioner överges och förlorade intäkter.

Köpare och kreditkortsinnehavare

I de flesta aktuella implementeringar av 3-D Secure ber kortutgivaren eller dess ACS-leverantör köparen om ett lösenord som endast är känt för kortutfärdaren eller ACS-leverantören och köparen. Eftersom handlaren inte känner till detta lösenord och inte ansvarar för att fånga det, kan det användas av kortutgivaren som bevis på att köparen verkligen är deras kortinnehavare. Detta är avsett att hjälpa till att minska risken på två sätt:

1. Kopiering av kortuppgifter, antingen genom att skriva ner siffrorna på själva kortet eller med modifierade terminaler eller uttagsautomater, resulterar inte i möjligheten att köpa över Internet på grund av det extra lösenordet, som inte är lagrat på eller skrivet på kortet .
2. Eftersom handlaren inte fångar lösenordet, finns det en minskad risk från säkerhetsincidenter hos onlinehandlare; Även om en incident fortfarande kan leda till att hackare får andra kortuppgifter, finns det inget sätt för dem att få det tillhörande lösenordet.

kräver inte strikt användning av lösenordsautentisering. Det sägs vara möjligt att använda den i kombination med smartkortläsare , säkerhetstokens och liknande. Dessa typer av enheter kan ge en bättre användarupplevelse för kunderna eftersom de befriar köparen från att behöva använda ett säkert lösenord. Vissa emittenter använder nu sådana enheter som en del av Chip Authentication Program eller Dynamic Passcode Authentication-scheman.

En betydande nackdel är att kortinnehavare sannolikt kommer att se sin webbläsare ansluta till okända domännamn som ett resultat av leverantörers MPI-implementeringar och användning av outsourcade ACS-implementeringar av kortutgivare, vilket kan göra det lättare att utföra nätfiskeattacker på kortinnehavare.

Allmän kritik

Verifierbarhet av webbplatsens identitet

Systemet involverar ett popup-fönster eller en inbyggd ram som visas under onlinetransaktionsprocessen, som kräver att kortinnehavaren anger ett lösenord som, om transaktionen är legitim, kommer deras kortutgivare att kunna autentisera. Problemet för kortinnehavaren är att avgöra om popup-fönstret eller ramen verkligen kommer från kortutgivaren när det kan vara från en bedräglig webbplats som försöker samla in kortinnehavarens uppgifter. Sådana popup-fönster eller skriptbaserade ramar saknar åtkomst till något säkerhetscertifikat, vilket eliminerar något sätt att bekräfta autentiseringsuppgifterna för implementeringen av 3-DS.

Verified-by-Visa-systemet har fått en del kritik, eftersom det är svårt för användare att skilja mellan det legitima Verified-by-Visa-popup-fönstret eller inline-ramen och en bedräglig nätfiskewebbplats. Detta beror på att popup-fönstret serveras från en domän som är:

• Inte webbplatsen där användaren handlar
• Inte kortutgivaren
• Inte visa.com eller mastercard.com

I vissa fall har Verified-by-Visa-systemet misstagits av användare för ett nätfiskebedrägeri och har själv blivit måltavla för vissa nätfiskebedrägerier. Den nyare rekommendationen att använda en inline-ram ( iframe ) istället för en popup har minskat användarförvirringen, till priset av att göra det svårare, för att inte säga omöjligt, för användaren att verifiera att sidan är äkta i första hand. Från och med 2022 erbjuder webbläsare inget sätt att kontrollera säkerhetscertifikatet för innehållet i en iframe. Vissa av dessa problem med webbplatsens giltighet för Verified-by-Visa mildras dock, eftersom dess nuvarande implementering av registreringsprocessen kräver att man skriver in ett personligt meddelande som visas i senare Verified-by-Visa-popup-fönster för att ge viss säkerhet till användarens popup-fönster är äkta.

Vissa kortutgivare använder även Activation-under-shopping (ADS), där kortinnehavare som inte är registrerade i systemet erbjuds möjligheten att registrera sig (eller tvingas registrera sig) under köpprocessen. Detta kommer vanligtvis att ta dem till ett formulär där de förväntas bekräfta sin identitet genom att svara på säkerhetsfrågor som bör vara kända för deras kortutgivare. Återigen, detta görs inom iframen där de inte enkelt kan verifiera webbplatsen de tillhandahåller denna information till – en sprucken webbplats eller olaglig handlare kan på detta sätt samla in alla detaljer de behöver för att posera som kund.

Implementering av 3-D Secure-registrering tillåter ofta inte en användare att fortsätta med ett köp förrän de har gått med på att registrera sig för 3-D Secure och dess villkor, utan att erbjuda något alternativt sätt att navigera bort från sidan än avsluta den och därmed avbryta transaktionen.

Kortinnehavare som inte är villiga att ta risken att registrera sitt kort vid ett köp, där handelssidan i viss mån styr webbläsaren, kan i vissa fall gå in på sin kortutgivares hemsida i ett separat webbläsarfönster och registrera sig därifrån. När de återvänder till handelssidan och börjar om bör de se att deras kort är registrerat. Närvaron på lösenordssidan för det personliga försäkringsmeddelandet (PAM) som de valde vid registreringen är deras bekräftelse på att sidan kommer från kortutgivaren. Detta lämnar fortfarande en viss möjlighet till en man-in-the-middle-attack om kortinnehavaren inte kan verifiera SSL-servercertifikatet för lösenordssidan. Vissa handelssidor kommer att ägna hela webbläsarsidan åt autentiseringen snarare än att använda en ram (inte nödvändigtvis en iFrame), vilket är ett mindre säkert objekt. I det här fallet bör låsikonen i webbläsaren visa identiteten för antingen kortutgivaren eller operatören av verifieringswebbplatsen. Kortinnehavaren kan bekräfta att detta är i samma domän som de besökte vid registrering av sitt kort om det inte är deras kortutgivares domän.

Mobila webbläsare uppvisar särskilda problem för 3-D Secure, på grund av den vanliga bristen på vissa funktioner som ramar och popup-fönster. Även om handlaren har en mobilwebbplats, såvida inte emittenten också är mobilmedveten, kan autentiseringssidorna misslyckas att renderas korrekt, eller till och med överhuvudtaget. I slutändan har många ^{[ vaga ]} analytiker dragit slutsatsen att aktiverings-under-shopping-protokollen (ADS) inbjuder till mer risk än de tar bort och dessutom överför denna ökade risk till konsumenten.

I vissa fall ger 3-D Secure liten säkerhet för kortinnehavaren och kan fungera som en enhet för att överföra ansvar för bedrägliga transaktioner från kortutgivaren eller återförsäljaren till kortinnehavaren. Rättsliga villkor som tillämpas på tjänsten 3-D Secure är ibland formulerade på ett sätt som gör det svårt för kortinnehavaren att undgå ansvar från bedrägliga "kortinnehavare inte närvarande" transaktioner.

Geografisk diskriminering

Kortutgivare och handlare kan använda 3-D Secure-system ojämnt med avseende på kortutgivare som utfärdar kort på flera geografiska platser, vilket skapar skillnad, till exempel, mellan inhemska kort utfärdade i USA och icke-USA. Till exempel, eftersom Visa och Mastercard behandlar det inkorporerade amerikanska territoriet Puerto Rico som en icke-amerikansk internationell plats, snarare än en inhemsk plats i USA, kan kortinnehavare där möta en större förekomst av 3-D Secure-förfrågningar än kortinnehavare i de femtio delstaterna. Klagomål om detta har mottagits av Puerto Rico Department of Consumer Affairs "lika behandling" webbplats för ekonomisk diskriminering.

3-D Säker som stark kundautentisering

Version 2 av 3-D Secure, som innehåller engångslösenkoder, är en form av mjukvarubaserad stark kundautentisering enligt definitionen i EU:s reviderade direktiv om betaltjänster (PSD2) ; tidigare varianter använde statiska lösenord, som inte är tillräckliga för att uppfylla direktivets krav.

3-D Secure förlitar sig på att utfärdaren aktivt är involverad och säkerställer att alla utfärdade kort registreras av kortinnehavaren; som sådan måste inlösare antingen acceptera oregistrerade kort utan att utföra stark kundautentisering eller avvisa sådana transaktioner, inklusive de från mindre kortsystem som inte har 3-D Secure-implementeringar.

Alternativa tillvägagångssätt utför autentisering på den förvärvande sidan, utan att kräva en förhandsregistrering hos emittenten. Till exempel använder PayPals patenterade "verifiering" att en eller flera dummy-transaktioner är riktade mot ett kreditkort, och kortinnehavaren måste bekräfta värdet av dessa transaktioner, även om den resulterande autentiseringen inte kan relateras direkt till en specifik transaktion mellan handlare och kortinnehavare . Ett patenterat system som kallas iSignthis delar upp det överenskomna transaktionsbeloppet i två (eller flera) slumpmässiga belopp, där kortinnehavaren sedan bevisar att de är ägare till kontot genom att bekräfta beloppen på sitt kontoutdrag.

ACCC blockerar 3-D Secure-förslag

Ett förslag om att göra 3-D Secure obligatoriskt i Australien blockerades av Australian Competition & Consumer Commission (ACCC) efter att många invändningar och felrelaterade inlagor mottagits.

Indien

Vissa länder som Indien använde inte bara CVV2, utan 3-D Secure obligatoriskt, en SMS-kod som skickas från en kortutgivare och skrevs in i webbläsaren när du omdirigeras när du klickar på "köp" till betalningssystemet eller kortutfärdarens systemwebbplats där du skriver in den koden och först då accepteras operationen. Ändå kan Amazon fortfarande göra transaktioner från andra länder med påslagen 3-D Secure.

3-D Secure 2.0

I oktober 2016 publicerade EMVCo specifikationen för 3-D Secure 2.0; den är utformad för att vara mindre påträngande än den första versionen av specifikationen, vilket gör att mer kontextuell data kan skickas till kundens kortutgivare (inklusive postadresser och transaktionshistorik) för att verifiera och bedöma risken med transaktionen. Kunden skulle bara behöva klara en autentiseringsutmaning om deras transaktion bedöms vara av hög risk. Dessutom är arbetsflödet för autentisering utformat så att det inte längre kräver omdirigeringar till en separat sida, och kan även aktivera out-of-band-autentisering via en institutions mobilapp (som i sin tur även kan användas med biometrisk autentisering ) . 3-D Secure 2.0 är kompatibel med EU:s mandat för " stark kundautentisering" .

Se även

• Säker elektronisk transaktion (SET)
• Merchant plug-in (MPI)
• EMV

externa länkar

• American Express SafeKey (konsumentwebbplats)
• American Express SafeKey (webbplats för global partner)
• Bekräftad av visa
• Aktiverar Verified by Visa
• Verifierad av Visa Partner Network
• Mastercard SecureCode hemsida
• usa.visa.com
• Upptäck Global Network ProtectBuy