Protokol 3-D Secure využívaný pro zabezpečení on-line transakcí má nedostatky, tvrdí výzkumníci

Výzkumníci Steven J. Murdoch a Ross Anderson z univerzity v Cambridge se v dokumentu Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication rozhodli popsat nedostatky protokolu 3-D Secure.


Protokol postavený na technologii XML byl vyvinutý společností Visa a jeho úlohou je poskytnout uživatelům další vrstvu zabezpečení on-line transakcí a plateb. Mezi zákazníky je známý jako Verified by Visa and MasterCard SecureCode. Výzkumníci ve svém reportu tvrdí, že protokol 3-D Secure se prosadil oproti méně populárním alternativám, jako jsou OpenID, InfoCard nebo Liberty, zejména však pro ekonomické pozadí a pro kvalitu jeho bezpečnosti.

Výzkumníci pokládají za velký problém to, že formulář na vyplnění je klientovi poskytnutý formou Iframe a nebo pop-up okna bez panelu s adresu. To podle nich může uživatele míst a popírá to již zažitou praxi vyplňovat kritické informace jen na stránkách se šifrovaným spojením, které webové prohlížeče označí určitým symbolem – např. známkou. Internet Explorer 8.0 kupříkladu zobrazí při šifrovaném spojení panel s adresou zelenou barvou.

Dalším nedostatkem je prý to, že při první on-line transakci se od uživatele vyžaduje zadání hesla a některé banky mohou požadovat na ověření totožnosti klienta i zadání nějakého identifikátoru, jako je třeba datum narození. To může vést uživatele k pochybnostem, protože to připomíná praktiky phisherů. Výzkumníci také poukazují na to, že např. Royal Bank of Scotland při používání technologie 3-D Secure zahrnula do svých podmínek i přenesení zodpovědnosti za případné škody způsobené on-line podvodem na klienta.

Zdroj: IT News.sk











Komentáře