3-D Secure

3-D Secure — это протокол, разработанный как дополнительный уровень безопасности для онлайн -транзакций по кредитным и дебетовым картам . Название относится к «трем доменам», которые взаимодействуют с помощью протокола: домен продавца/покупателя, домен эмитента и домен совместимости. ^[1]

Первоначально разработан осенью 1999 года компанией Celo Communications AB (которая была приобретена Gemplus Associates и интегрирована в Gemplus, Gemalto и теперь Thales Group ) для Visa Inc. в проекте под названием «p42» («p» от слова «Прыжок с шестом» в качестве проекта). было большим испытанием и «42» как ответ из книги «Автостопом по Галактике »). Новая обновленная версия была разработана Gemplus в период с 2000 по 2001 год.

В 2001 году Arcot Systems (ныне CA Technologies ) и Visa Inc. ^[2] с целью повышения безопасности интернет-платежей и предлагается клиентам под брендом Verified by Visa (позже переименованным в Visa Secure ). Услуги, основанные на этом протоколе, также были приняты Mastercard как SecureCode (позже переименованный в Identity Check ), Discover как ProtectBuy , ^[3] JCB International как J/Secure и American Express как American Express SafeKey . ^[4] Более поздние версии протокола были выпущены EMVCo под названием EMV 3-D Secure . Версия 2 протокола была опубликована в 2016 году с целью соответствия новой аутентификации ЕС. требований и устранение некоторых недостатков исходного протокола. ^[5]

Анализ первой версии протокола, проведенный научными кругами, показал, что в ней имеется множество проблем с безопасностью, влияющих на потребителя, в том числе большая зона воздействия на фишинг и смещение ответственности в случае мошеннических платежей. ^[6]

Описание и основные аспекты

Основная концепция протокола заключается в том, чтобы связать процесс финансовой авторизации с онлайн-аутентификацией. Эта дополнительная аутентификация безопасности основана на трехдоменной модели (отсюда и «3-D» в названии). Три домена:

Домен эквайера (банк и мерчант, которому выплачиваются деньги),
Домен эмитента (эмитент карты),
Домен совместимости (инфраструктура, предоставляемая карточной схемой, кредитной, дебетовой, предоплаченной или другими типами платежных карт для поддержки протокола 3-D Secure). Он включает в себя Интернет, торговый плагин, сервер контроля доступа и другие поставщики программного обеспечения.

Протокол использует XML-сообщения, отправляемые через SSL- соединения с аутентификацией клиента. ^[7] (это обеспечивает подлинность обоих узлов, сервера и клиента, с помощью цифровых сертификатов).

Транзакция с использованием Verified by Visa или SecureCode инициирует перенаправление на веб-сайт эмитента карты для авторизации транзакции. Каждый эмитент может использовать любой метод аутентификации (этот протокол не охватывает), но обычно при совершении онлайн-покупок вводится пароль, привязанный к карте. Протокол Verified by Visa рекомендует загружать страницу проверки эмитента карты во встроенном сеансе фрейма . Таким образом, системы эмитента карты могут нести ответственность за большинство нарушений безопасности. Сегодня легко отправить одноразовый пароль в составе текстового SMS-сообщения на мобильные телефоны и электронные письма пользователей для аутентификации, по крайней мере, во время регистрации и в случае забытых паролей.

Основное различие между реализациями Visa и Mastercard заключается в методе создания UCAF (универсального поля аутентификации держателя карты): Mastercard использует AAV (значение аутентификации владельца счета), а Visa использует CAVV (значение проверки подлинности держателя карты). ^{[ нужны разъяснения ]}

провайдеры СКУД

В протоколе 3-D Secure ACS (сервер контроля доступа) находится на стороне эмитента карты. В настоящее время большинство эмитентов карт передают ACS третьей стороне. Обычно веб-браузер покупателя показывает доменное имя провайдера ACS, а не доменное имя эмитента карты; однако протокол этого не требует. В зависимости от поставщика ACS можно указать доменное имя, принадлежащее эмитенту карты, для использования ACS.

поставщики MPI

Каждая транзакция 3-D Secure версии 1 включает в себя две пары интернет-запрос/ответ: VEReq/VERes и PAReq/PARes. ^[7] Visa и Mastercard не позволяют продавцам отправлять запросы непосредственно на свои серверы. Вместо этого торговцы должны использовать поставщиков MPI ( плагин для торговцев ).

Торговцы

Преимуществом для продавцов является уменьшение количества возвратных платежей за «несанкционированные транзакции» . Одним из недостатков для продавцов является то, что им приходится приобретать плагин продавца (MPI) для подключения к серверу каталогов Visa или Mastercard. Это дорого ^{[ нужны разъяснения ]} (плата за установку, ежемесячная плата и плата за транзакцию); в то же время это представляет собой дополнительный доход для поставщиков MPI. Поддержка 3-D Secure сложна и иногда приводит к сбоям транзакций. Возможно, самым большим недостатком для продавцов является то, что многие пользователи рассматривают дополнительный этап аутентификации как неудобство или препятствие, что приводит к значительному увеличению числа отказов от транзакций и потере дохода. ^[8]

Покупатели и держатели кредитных карт

В большинстве современных реализаций 3-D Secure эмитент карты или его провайдер ACS запрашивает у покупателя пароль, который известен только эмитенту карты или провайдеру ACS и покупателю. Поскольку продавец не знает этого пароля и не несет ответственности за его перехват, эмитент карты может использовать его в качестве доказательства того, что покупатель действительно является держателем карты. Это призвано помочь снизить риск двумя способами:

Копирование реквизитов карты путем записи цифр на самой карте или с помощью модифицированных терминалов или банкоматов не приводит к возможности совершения покупок через Интернет из-за дополнительного пароля, который не хранится и не пишется на карте. .
Поскольку продавец не перехватывает пароль, риск нарушений безопасности в интернет-торговцах снижается; Хотя инцидент по-прежнему может привести к тому, что хакеры получат другие данные карты, у них нет возможности получить соответствующий пароль.

3-D Secure не требует строгого использования аутентификации по паролю. Говорят, что это возможно ^[9] использовать его совместно со устройствами чтения смарт-карт , токенами безопасности и т.п. Эти типы устройств могут обеспечить лучший пользовательский опыт для клиентов, поскольку они освобождают покупателя от необходимости использовать безопасный пароль. Некоторые эмитенты теперь используют такие устройства как часть программы аутентификации чипа или схем аутентификации с динамическим паролем. ^[10]

Одним из существенных недостатков является то, что держатели карт, скорее всего, увидят, что их браузер подключается к незнакомым доменным именам в результате реализации MPI поставщиков и использования эмитентами карт аутсорсинговых реализаций ACS, что может облегчить проведение фишинговых атак на держателей карт.

Общая критика

Возможность проверки подлинности сайта

Система включает в себя всплывающее окно или встроенный фрейм, появляющийся во время процесса онлайн-транзакции, требующий от владельца карты ввести пароль, который, если транзакция является законной, эмитент его карты сможет подтвердить подлинность. Проблема для владельца карты заключается в том, чтобы определить, действительно ли всплывающее окно или рамка принадлежит эмитенту карты, хотя это может быть мошеннический веб-сайт, пытающийся получить данные о держателе карты. Такие всплывающие окна или фреймы на основе сценариев не имеют доступа к какому-либо сертификату безопасности, что исключает любой способ подтверждения учетных данных при реализации 3-D Secure.

Система Verified by Visa вызвала некоторую критику. ^[11]^[12]^[13]^[6] поскольку пользователям сложно отличить законное всплывающее окно или встроенный фрейм Verified by Visa от мошеннического фишингового сайта. Это связано с тем, что всплывающее окно обслуживается из домена, который:

Не тот сайт, на котором пользователь делает покупки
Не эмитент карты
Не Visa.com или Mastercard.com.

В некоторых случаях система Verified by Visa была ошибочно принята пользователями за фишинговую аферу. ^[14] и сам стал объектом некоторых фишинговых атак. ^[15] Новая рекомендация использовать встроенный фрейм ( iframe ) вместо всплывающего окна уменьшила путаницу пользователей за счет того, что пользователю стало сложнее, если вообще возможно, проверить подлинность страницы. По состоянию на 2022 год ^[update], веб-браузеры не предоставляют возможности проверить сертификат безопасности содержимого iframe. Однако некоторые из этих опасений по поводу действительности сайта для Verified by Visa смягчаются, поскольку текущая реализация процесса регистрации требует ввода личного сообщения, которое отображается в последующих всплывающих окнах Verified by Visa, чтобы предоставить пользователю некоторую уверенность в том, что всплывающее окно взлеты настоящие. ^[16]

Некоторые эмитенты карт также используют активацию во время покупок (ADS). ^[17] при котором держателям карт, не зарегистрированным в схеме, предлагается возможность зарегистрироваться (или принудить к регистрации) в процессе покупки. Обычно это приводит их к форме, в которой они должны подтвердить свою личность, ответив на контрольные вопросы, которые должны быть известны эмитенту их карты. Опять же, это делается внутри iframe, где они не могут легко проверить сайт, которому они предоставляют эту информацию — взломанный сайт или незаконный продавец могут таким образом собрать все детали, которые им нужны, чтобы выдать себя за клиента.

Внедрение регистрации 3-D Secure часто не позволяет пользователю продолжить покупку до тех пор, пока он не согласится зарегистрироваться в 3-D Secure и его условиях, не предлагая никакого альтернативного способа перехода со страницы, кроме закрытие его, таким образом, отказ от транзакции.

Владельцы карт, которые не желают рисковать регистрацией своей карты во время покупки, поскольку торговый сайт в некоторой степени контролирует браузер, могут в некоторых случаях перейти на веб-сайт эмитента своей карты в отдельном окне браузера и зарегистрироваться оттуда. Когда они вернутся на торговый сайт и начнут все сначала, они должны увидеть, что их карта зарегистрирована. Наличие на странице пароля сообщения личного подтверждения (PAM), которое они выбрали при регистрации, является для них подтверждением того, что страница исходит от эмитента карты. Это по-прежнему оставляет некоторую вероятность атаки «человек посередине», если владелец карты не может проверить сертификат сервера SSL для страницы пароля. Некоторые коммерческие сайты посвящают аутентификации всю страницу браузера, а не используют фрейм (не обязательно iframe), который является менее безопасным объектом. В этом случае значок замка в браузере должен отображать личность либо эмитента карты, либо оператора сайта проверки. Владелец карты может подтвердить, что это тот же домен, который он посетил при регистрации карты, если это не домен эмитента его карты.

Мобильные браузеры представляют особые проблемы для 3-D Secure из-за общего отсутствия определенных функций, таких как рамки и всплывающие окна. Даже если у продавца есть мобильный веб-сайт, если эмитент также не поддерживает мобильные устройства, страницы аутентификации могут не отображаться должным образом или даже вообще не отображаться. В конце концов, многие ^{[ нечеткий ]} Аналитики пришли к выводу, что протоколы активации во время покупок (ADS) создают больше риска, чем устраняют, и, кроме того, передают этот повышенный риск потребителю.

В некоторых случаях 3-D Secure в конечном итоге обеспечивает небольшую безопасность держателя карты и может выступать в качестве устройства, позволяющего переложить ответственность за мошеннические транзакции с эмитента карты или продавца на владельца карты. Правовые условия, применяемые к услуге 3-D Secure, иногда сформулированы таким образом, что держателю карты сложно избежать ответственности за мошеннические операции. ^[6]

Географическая дискриминация

Эмитенты карт и продавцы могут использовать системы 3-D Secure неравномерно в отношении эмитентов карт, которые выпускают карты в нескольких географических точках, создавая дифференциацию, например, между картами, выпущенными внутри США и за пределами США. Например, поскольку Visa и Mastercard рассматривают неинкорпорированную территорию США Пуэрто -Рико как международную территорию за пределами США, а не как внутреннюю территорию США, держатели карт там могут столкнуться с большей частотой запросов 3-D Secure, чем держатели карт в пятидесяти штатах. Жалобы на этот счет поступили на Департамента по делам потребителей Пуэрто-Рико . сайт экономической дискриминации ^[18]

3-D Secure как надежная аутентификация клиентов

Версия 2 3-D Secure, включающая одноразовые коды доступа, представляет собой форму строгой программной аутентификации клиентов , как это определено Пересмотренной директивой ЕС о платежных услугах (PSD2) ; в более ранних вариантах использовались статические пароли, которых недостаточно для удовлетворения требований директивы.

3-D Secure полагается на активное участие эмитента и обеспечение регистрации любой выпущенной карты владельцем карты; Таким образом, эквайеры должны либо принимать незарегистрированные карты без выполнения строгой аутентификации клиентов, либо отклонять такие транзакции, в том числе транзакции по более мелким карточным схемам, которые не имеют реализации 3-D Secure.

Альтернативные подходы выполняют аутентификацию на принимающей стороне, не требуя предварительной регистрации у эмитента. Например, запатентованная PayPal «проверка» ^[19] использует одну или несколько фиктивных транзакций, направленных на кредитную карту, и владелец карты должен подтвердить сумму этих транзакций, хотя полученная в результате аутентификация не может быть напрямую связана с конкретной транзакцией между продавцом и держателем карты. Запатентованный ^[20] Система под названием iSignthis разделяет согласованную сумму транзакции на две (или более) случайные суммы, при этом владелец карты затем доказывает, что он является владельцем счета, подтверждая суммы в своей выписке. ^[21]

ACCC блокирует предложение 3-D Secure

Предложение сделать 3-D Secure обязательным в Австралии было заблокировано Австралийской комиссией по конкуренции и защите прав потребителей (ACCC) после того, как были получены многочисленные возражения и заявления, связанные с недостатками. ^[22]

Индия

В некоторых странах, таких как Индия, используется не только CVV2, но и обязательный 3-D Secure, код SMS, отправленный эмитентом карты и набираемый в браузере, когда вы перенаправляетесь при нажатии «купить» на сайт платежной системы или системы эмитента карты. где вы вводите этот код и только тогда операция принимается. Тем не менее, Amazon по-прежнему может совершать транзакции из других стран с включенным 3-D Secure. ^[23]

3-D Secure 2.0

В октябре 2016 года EMVCo опубликовала спецификацию 3-D Secure 2.0; она разработана так, чтобы быть менее навязчивой, чем первая версия спецификации, позволяя отправлять больше контекстных данных эмитенту карты клиента (включая почтовые адреса и историю транзакций) для проверки и оценки риска транзакции. Клиенту потребуется пройти проверку подлинности только в том случае, если будет установлено, что его транзакция представляет собой высокий риск. Кроме того, рабочий процесс аутентификации устроен так, что больше не требует перенаправления на отдельную страницу, а также позволяет активировать внеполосную аутентификацию через мобильное приложение учреждения (которое, в свою очередь, также можно использовать с биометрической аутентификацией ). . 3-D Secure 2.0 соответствует требованиям ЕС по строгой аутентификации клиентов . ^[5]^[24]^[25]

См. также

Ссылки

^ «3-Д Секьюрит» .
^ «Visa USA усиливает безопасность с помощью Arcot» . ЗДнет.
^ «ЗащититьКупить» . Discover.com. Архивировано из оригинала 22 августа 2019 г. Проверено 22 августа 2019 г.
^ «СейфКей» . AmericanExpress.com. Архивировано из оригинала 7 августа 2011 г. Проверено 11 августа 2010 г.
^ Jump up to: ^а ^б «Продавцы не могут позволить, чтобы «PSD2» и «SCA» были расплывчатыми инициалами» . Источник платежей . 12 июня 2019 года . Проверено 11 июля 2019 г.
^ Jump up to: ^а ^б ^с Мердок, Стивен Дж.; Андерсон, Росс (25–28 января 2010 г.). Сион, Р. (ред.). Проверено Visa и MasterCard SecureCode: или Как не проектировать аутентификацию (PDF) . Финансовая криптография и безопасность данных FC2010. Том. 6052. Тенерифе: Спрингер. стр. 336–342. дои : 10.1007/978-3-642-14577-3_27 . ISBN 978-3-642-14992-4 . Проверено 23 апреля 2012 г.
^ Jump up to: ^а ^б «Подтверждено Руководством по внедрению Visa» (PDF) .
^ «Проверены ли Visa и MasterCard убийцами преобразования SecureCode?» . Practiceecommerce.com. 14 июня 2013 года . Проверено 30 июля 2013 г. Это исследование 2010 года зафиксировало увеличение количества отмененных транзакций на 10–12% для продавцов, впервые присоединившихся к программе.
^ «Аутентификация карты и 3D Secure» . Stripe.com . Проверено 25 августа 2021 г.
^ «Что такое 3D Secure? Преимущества для электронной коммерции» . МОНИ . Проверено 25 августа 2021 г.
^ «Античервь: проверено Visa (подтвержден фишинг?)» . Antiworm.blogspot.com. 2 февраля 2006 г. Проверено 11 августа 2010 г.
^ Манкастер, Фил. «Промышленность опирается на 3-D Secure – 11 апреля 2008 г.» . Неделя ИТ. Архивировано из оригинала 7 октября 2008 г. Проверено 11 августа 2010 г.
^ Бригналл, Майлз (21 апреля 2007 г.). «Схема проверена Visa сбивает с толку тысячи интернет-покупателей» . Хранитель . Лондон. Архивировано из оригинала 6 мая 2010 года . Проверено 23 апреля 2010 г.
^ «Является ли сайт securesuite.co.uk фишинговым мошенничеством?» . Ambrand.com. Архивировано из оригинала 16 июня 2010 г. Проверено 11 августа 2010 г.
^ «Проверено путем активации Visa – фишинговое мошенничество с Visa» . MillerSmiles.co.uk. 22 августа 2006 г. Архивировано из оригинала 8 июля 2010 года . Проверено 11 августа 2010 г.
^ «Проверено Visa: часто задаваемые вопросы» . www.visa.co.uk. Проверено 6 октября 2016 г.
^ «Активация во время покупок» (PDF) . Виза Европа . Проверено 11 августа 2010 г.
^ «daco.pr.gov» . daco.pr.gov. Архивировано из оригинала 12 августа 2014 г. Проверено 17 июля 2014 г.
^ «US2001021725 Система и метод проверки финансового инструмента» . Patentscope.wipo.int. 17 января 2002 г. Проверено 17 июля 2014 г.
^ «AU2011000377 Методы и системы проверки транзакций» . Patentscope.wipo.int . Проверено 17 июля 2014 г.
^ «EPCA Payment Summit: iSignthis представляет свой сервис аутентификации в качестве альтернативы 3D Secure» . Плательщики. Архивировано из оригинала 1 ноября 2013 г. Проверено 17 июля 2014 г.
^ «ACCC опубликовала проект решения против обязательного использования 3D Secure для онлайн-платежей» .
^ «Справка Amazon.in: о CVV и 3-D Secure» . www.amazon.in . Архивировано из оригинала 24 июня 2021 г. Проверено 17 июня 2020 г. Резервный банк Индии сделал пароль 3-D Secure обязательным для обеспечения более безопасных покупок в Интернете. Это предотвратит неправомерное использование утерянной/украденной карты, поскольку пользователь не сможет продолжить работу, пока не введет пароль, связанный с вашей картой, созданный вами и известный только вам.
^ «Adyen рекламирует свой сервис 3-D Secure 2.0 как «первый» на рынке» . Цифровые транзакции . Проверено 11 июля 2019 г.
^ Годеман, Оливье. «Stripe: 3D Secure 2 — Руководство по аутентификации 3DS2» . Полоса . Проверено 11 июля 2019 г.

Внешние ссылки

American Express SafeKey (сайт для потребителей)
American Express SafeKey (глобальный партнерский сайт)
Проверено Visa
Активация Проверено Visa
Проверено партнерской сетью Visa
Домашняя страница Mastercard SecureCode
usa.visa.com
Откройте для себя глобальную сеть ProtectКупить

[1] «3-Д Секьюрит» .

[2] «Visa USA усиливает безопасность с помощью Arcot» . ЗДнет.

[3] «ЗащититьКупить» . Discover.com. Архивировано из оригинала 22 августа 2019 г. Проверено 22 августа 2019 г.

[4] «СейфКей» . AmericanExpress.com. Архивировано из оригинала 7 августа 2011 г. Проверено 11 августа 2010 г.

[paymentssource-5] Jump up to: ^а ^б «Продавцы не могут позволить, чтобы «PSD2» и «SCA» были расплывчатыми инициалами» . Источник платежей . 12 июня 2019 года . Проверено 11 июля 2019 г.

[hownot-6] Jump up to: ^а ^б ^с Мердок, Стивен Дж.; Андерсон, Росс (25–28 января 2010 г.). Сион, Р. (ред.). Проверено Visa и MasterCard SecureCode: или Как не проектировать аутентификацию (PDF) . Финансовая криптография и безопасность данных FC2010. Том. 6052. Тенерифе: Спрингер. стр. 336–342. дои : 10.1007/978-3-642-14577-3_27 . ISBN 978-3-642-14992-4 . Проверено 23 апреля 2012 г.

[VisaImplementationGuide-7] Jump up to: ^а ^б «Подтверждено Руководством по внедрению Visa» (PDF) .

[8] «Проверены ли Visa и MasterCard убийцами преобразования SecureCode?» . Practiceecommerce.com. 14 июня 2013 года . Проверено 30 июля 2013 г. Это исследование 2010 года зафиксировало увеличение количества отмененных транзакций на 10–12% для продавцов, впервые присоединившихся к программе.

[9] «Аутентификация карты и 3D Secure» . Stripe.com . Проверено 25 августа 2021 г.

[10] «Что такое 3D Secure? Преимущества для электронной коммерции» . МОНИ . Проверено 25 августа 2021 г.

[11] «Античервь: проверено Visa (подтвержден фишинг?)» . Antiworm.blogspot.com. 2 февраля 2006 г. Проверено 11 августа 2010 г.

[12] Манкастер, Фил. «Промышленность опирается на 3-D Secure – 11 апреля 2008 г.» . Неделя ИТ. Архивировано из оригинала 7 октября 2008 г. Проверено 11 августа 2010 г.

[13] Бригналл, Майлз (21 апреля 2007 г.). «Схема проверена Visa сбивает с толку тысячи интернет-покупателей» . Хранитель . Лондон. Архивировано из оригинала 6 мая 2010 года . Проверено 23 апреля 2010 г.

[14] «Является ли сайт securesuite.co.uk фишинговым мошенничеством?» . Ambrand.com. Архивировано из оригинала 16 июня 2010 г. Проверено 11 августа 2010 г.

[15] «Проверено путем активации Visa – фишинговое мошенничество с Visa» . MillerSmiles.co.uk. 22 августа 2006 г. Архивировано из оригинала 8 июля 2010 года . Проверено 11 августа 2010 г.

[16] «Проверено Visa: часто задаваемые вопросы» . www.visa.co.uk. Проверено 6 октября 2016 г.

[17] «Активация во время покупок» (PDF) . Виза Европа . Проверено 11 августа 2010 г.

[18] «daco.pr.gov» . daco.pr.gov. Архивировано из оригинала 12 августа 2014 г. Проверено 17 июля 2014 г.

[19] «US2001021725 Система и метод проверки финансового инструмента» . Patentscope.wipo.int. 17 января 2002 г. Проверено 17 июля 2014 г.

[20] «AU2011000377 Методы и системы проверки транзакций» . Patentscope.wipo.int . Проверено 17 июля 2014 г.

[21] «EPCA Payment Summit: iSignthis представляет свой сервис аутентификации в качестве альтернативы 3D Secure» . Плательщики. Архивировано из оригинала 1 ноября 2013 г. Проверено 17 июля 2014 г.

[22] «ACCC опубликовала проект решения против обязательного использования 3D Secure для онлайн-платежей» .

[23] «Справка Amazon.in: о CVV и 3-D Secure» . www.amazon.in . Архивировано из оригинала 24 июня 2021 г. Проверено 17 июня 2020 г. Резервный банк Индии сделал пароль 3-D Secure обязательным для обеспечения более безопасных покупок в Интернете. Это предотвратит неправомерное использование утерянной/украденной карты, поскольку пользователь не сможет продолжить работу, пока не введет пароль, связанный с вашей картой, созданный вами и известный только вам.

[24] «Adyen рекламирует свой сервис 3-D Secure 2.0 как «первый» на рынке» . Цифровые транзакции . Проверено 11 июля 2019 г.

[25] Годеман, Оливье. «Stripe: 3D Secure 2 — Руководство по аутентификации 3DS2» . Полоса . Проверено 11 июля 2019 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]