3-D Secure

Протокол компьютерной сети

3-D Secure — это протокол, разработанный как дополнительный уровень безопасности для онлайн -транзакций по кредитным и дебетовым картам . Название относится к «трем доменам», которые взаимодействуют с использованием протокола: домен продавца/эквайера, домен эмитента и домен взаимодействия. ^[1]

Первоначально разработан осенью 1999 года компанией Celo Communications AB (которая была приобретена Gemplus Associates и интегрирована в Gemplus, Gemalto и теперь Thales Group ) для Visa Inc. в проекте под названием «p42» («p» от Pole vault , поскольку проект был большим вызовом, а «42» как ответ из книги «Автостопом по Галактике »). Новая обновленная версия была разработана Gemplus в период с 2000 по 2001 год.

В 2001 году Arcot Systems (теперь CA Technologies ) и Visa Inc. [ ^2] с намерением улучшить безопасность интернет-платежей и предложили клиентам под брендом Verified by Visa (позже переименованный в Visa Secure ). Услуги, основанные на протоколе, также были приняты Mastercard как SecureCode (позже переименованный в Identity Check ), Discover как ProtectBuy , ^[3] JCB International как J/Secure и American Express как American Express SafeKey . ^[4] Более поздние версии протокола были выпущены EMVCo под названием EMV 3-D Secure . Версия 2 протокола была опубликована в 2016 году с целью соответствия новым требованиям аутентификации ЕС и устранения некоторых недостатков исходного протокола. ^[5]

Анализ первой версии протокола, проведенный учеными, показал, что в ней есть много проблем с безопасностью, которые влияют на потребителя, включая большую площадь для фишинга и перенос ответственности в случае мошеннических платежей. ^[6]

Описание и основные аспекты

Основная концепция протокола заключается в том, чтобы связать процесс финансовой авторизации с онлайн-аутентификацией. Эта дополнительная аутентификация безопасности основана на трехдоменной модели (отсюда и "3-D" в названии). Три домена:

• Домен эквайера (банк и торговец, которому выплачиваются деньги),
• Домен эмитента (эмитент карты),
• Домен взаимодействия (инфраструктура, предоставляемая карточной схемой, кредитной, дебетовой, предоплаченной или другими типами платежных карт, для поддержки протокола 3-D Secure). Он включает в себя Интернет, подключаемый модуль торговца, сервер контроля доступа и других поставщиков программного обеспечения.

Протокол использует XML-сообщения, отправляемые через SSL- соединения с аутентификацией клиента ^[7] (это обеспечивает подлинность обоих участников, сервера и клиента, с использованием цифровых сертификатов).

Транзакция с использованием Verified by Visa или SecureCode инициирует перенаправление на веб-сайт эмитента карты для авторизации транзакции. Каждый эмитент может использовать любой метод аутентификации (протокол этого не охватывает), но обычно при совершении покупок в Интернете вводится пароль, привязанный к карте. Протокол Verified by Visa рекомендует загружать страницу верификации эмитента карты в сеансе встроенного фрейма . Таким образом, системы эмитента карты могут нести ответственность за большинство нарушений безопасности. Сегодня легко отправить одноразовый пароль в составе текстового SMS-сообщения на мобильные телефоны и электронные письма пользователей для аутентификации, по крайней мере, во время регистрации и для забытых паролей.

Основное различие между реализациями Visa и Mastercard заключается в методе генерации UCAF (универсального поля аутентификации держателя карты): Mastercard использует AAV (значение аутентификации держателя карты), а Visa использует CAVV (значение проверки подлинности держателя карты). ^{[ необходимо разъяснение ]}

3-D Secure Поток

Поставщики ACS

В протоколе 3-D Secure ACS (сервер контроля доступа) находится на стороне эмитента карты. В настоящее время большинство эмитентов карт передают ACS на аутсорсинг третьей стороне. Обычно веб-браузер покупателя показывает доменное имя провайдера ACS, а не доменное имя эмитента карты; однако это не требуется протоколом. В зависимости от провайдера ACS можно указать доменное имя, принадлежащее эмитенту карты, для использования ACS.

Поставщики MPI

Каждая транзакция 3-D Secure версии 1 включает две пары интернет-запрос/ответ: VEReq/VERes и PAReq/PARes. ^[7] Visa и Mastercard не разрешают торговцам отправлять запросы напрямую на свои серверы. Вместо этого торговцы должны использовать поставщиков MPI ( плагина торговца ).

Торговцы

Преимуществом для продавцов является сокращение возвратных платежей за «несанкционированные транзакции» . Одним из недостатков для продавцов является необходимость приобретения подключаемого модуля продавца (MPI) для подключения к серверу каталогов Visa или Mastercard. Это дорого ^{[ требуется разъяснение ]} (плата за установку, ежемесячная плата и плата за транзакцию); в то же время это представляет собой дополнительный доход для поставщиков MPI. Поддержка 3-D Secure сложна и порой приводит к сбоям транзакций. Возможно, самым большим недостатком для продавцов является то, что многие пользователи рассматривают дополнительный этап аутентификации как помеху или помеху, что приводит к существенному увеличению количества отказов от транзакций и потере дохода. ^[8]

Покупатели и держатели кредитных карт

В большинстве современных реализаций 3-D Secure эмитент карты или его поставщик ACS запрашивает у покупателя пароль, который известен только эмитенту карты или поставщику ACS и покупателю. Поскольку продавец не знает этот пароль и не несет ответственности за его получение, он может быть использован эмитентом карты в качестве доказательства того, что покупатель действительно является его держателем карты. Это призвано помочь снизить риск двумя способами:

1. Копирование данных карты путем записи номеров на самой карте или с помощью модифицированных терминалов или банкоматов не дает возможности совершать покупки через Интернет из-за дополнительного пароля, который не хранится и не записан на карте.
2. Поскольку продавец не перехватывает пароль, снижается риск возникновения инцидентов безопасности в интернет-магазинах; хотя инцидент все равно может привести к тому, что хакеры получат доступ к другим данным карты, у них нет возможности получить связанный с ней пароль.

3-D Secure не требует строго использования аутентификации по паролю. Говорят, что его можно ^[9] использовать в сочетании со считывателями смарт-карт , токенами безопасности и т. п. Эти типы устройств могут обеспечить лучший пользовательский опыт для клиентов, поскольку они освобождают покупателя от необходимости использовать безопасный пароль. Некоторые эмитенты теперь используют такие устройства как часть программы аутентификации чипа или схем аутентификации динамического пароля. ^[10]

Одним из существенных недостатков является то, что владельцы карт, скорее всего, увидят, что их браузер подключается к незнакомым доменным именам в результате реализаций MPI поставщиками и использования аутсорсинговых реализаций ACS эмитентами карт, что может облегчить проведение фишинговых атак на владельцев карт.

Общая критика

Возможность проверки подлинности сайта

Система включает всплывающее окно или встроенный фрейм, появляющийся во время процесса онлайн-транзакции, требующий от владельца карты ввести пароль, который, если транзакция является законной, эмитент его карты сможет аутентифицировать. Проблема для владельца карты заключается в том, чтобы определить, действительно ли всплывающее окно или фрейм от эмитента его карты, когда оно может быть от мошеннического веб-сайта, пытающегося собрать данные владельца карты. Такие всплывающие окна или фреймы на основе скриптов не имеют никакого доступа к какому-либо сертификату безопасности, что исключает любой способ подтверждения учетных данных реализации 3-D Secure.

Система Verified by Visa вызвала некоторую критику, ^{[11] [12] [13] [6],} поскольку пользователям сложно отличить законное всплывающее окно Verified by Visa или встроенный фрейм от мошеннического фишингового сайта. Это происходит потому, что всплывающее окно обслуживается с домена, который:

• Не тот сайт, где пользователь делает покупки
• Не эмитент карты
• Не visa.com или mastercard.com

В некоторых случаях система Verified by Visa была ошибочно принята пользователями за фишинговую аферу ^[14] и сама стала целью некоторых фишинговых афер. ^[15] Новая рекомендация использовать встроенный фрейм ( iframe ) вместо всплывающего окна уменьшила путаницу пользователей, за счет того, что пользователю стало сложнее, если не невозможно, проверить подлинность страницы. По состоянию на 2022 год ^{[обновлять]}веб-браузеры не предоставляют способа проверить сертификат безопасности для содержимого iframe. Однако некоторые из этих опасений по поводу действительности сайта для Verified by Visa смягчены, поскольку текущая реализация процесса регистрации требует ввода личного сообщения, которое отображается в более поздних всплывающих окнах Verified by Visa, чтобы предоставить пользователю некоторую гарантию того, что всплывающие окна являются подлинными. ^[16]

Некоторые эмитенты карт также используют активацию во время покупок (ADS), ^[17] в которой держателям карт, которые не зарегистрированы в схеме, предлагается возможность зарегистрироваться (или их заставляют зарегистрироваться) во время процесса покупки. Обычно это приводит их к форме, в которой они должны подтвердить свою личность, ответив на контрольные вопросы, которые должны быть известны эмитенту их карты. Опять же, это делается в iframe, где они не могут легко проверить сайт, на который они предоставляют эту информацию — взломанный сайт или нелегальный торговец могут таким образом собрать все данные, необходимые им, чтобы выдать себя за клиента.

Реализация регистрации с использованием 3-D Secure часто не позволяет пользователю продолжить покупку, пока он не согласится на регистрацию с использованием 3-D Secure и его положениями и условиями, не предлагая альтернативного способа ухода со страницы, кроме как закрыть ее, тем самым отказавшись от транзакции.

Владельцы карт, которые не хотят рисковать регистрацией своей карты во время покупки, поскольку сайт торговли в некоторой степени контролирует браузер, в некоторых случаях могут перейти на сайт эмитента своей карты в отдельном окне браузера и зарегистрироваться там. Когда они вернутся на сайт торговли и начнут все сначала, они должны увидеть, что их карта зарегистрирована. Наличие на странице пароля сообщения о личной гарантии (PAM), которое они выбрали при регистрации, является подтверждением того, что страница исходит от эмитента карты. Это все еще оставляет некоторую возможность атаки типа «человек посередине» , если владелец карты не может проверить сертификат сервера SSL для страницы пароля. Некоторые сайты торговли выделяют всю страницу браузера для аутентификации, а не используют фрейм (не обязательно iframe), который является менее защищенным объектом. В этом случае значок замка в браузере должен отображать идентификационные данные либо эмитента карты, либо оператора сайта проверки. Владелец карты может подтвердить, что это тот же домен, который он посетил при регистрации своей карты, если это не домен эмитента его карты.

Мобильные браузеры представляют особые проблемы для 3-D Secure из-за общего отсутствия определенных функций, таких как фреймы и всплывающие окна. Даже если у продавца есть мобильный веб-сайт, если только эмитент также не поддерживает мобильные устройства, страницы аутентификации могут отображаться неправильно или вообще не отображаться. В конце концов, многие ^{[ неопределенные ]} аналитики пришли к выводу, что протоколы активации во время покупок (ADS) создают больше риска, чем устраняют, и, кроме того, передают этот повышенный риск потребителю.

В некоторых случаях 3-D Secure в конечном итоге обеспечивает владельцу карты незначительную безопасность и может выступать в качестве средства для передачи ответственности за мошеннические транзакции от эмитента карты или розничного продавца владельцу карты. Правовые условия, применяемые к услуге 3-D Secure, иногда сформулированы таким образом, что владельцу карты сложно избежать ответственности за мошеннические транзакции. ^[6]

Географическая дискриминация

Эмитенты карт и торговцы могут использовать системы 3-D Secure неравномерно по отношению к эмитентам карт, которые выпускают карты в нескольких географических точках, создавая дифференциацию, например, между внутренними картами, выпущенными в США и за пределами США. Например, поскольку Visa и Mastercard рассматривают неинкорпорированную территорию США Пуэрто -Рико как неамериканскую международную, а не внутреннюю территорию США, держатели карт там могут столкнуться с большей частотой запросов 3-D Secure, чем держатели карт в пятидесяти штатах. Жалобы на этот счет были получены на сайте экономической дискриминации «равного обращения» Департамента по делам потребителей Пуэрто-Рико . ^[18]

3-D Secure как надежная аутентификация клиентов

Версия 2 3-D Secure, включающая одноразовые пароли, представляет собой форму программной надежной аутентификации клиентов , как определено в Пересмотренной директиве ЕС о платежных услугах (PSD2) ; более ранние версии использовали статические пароли, которых недостаточно для соответствия требованиям директивы.

3-D Secure предполагает активное участие эмитента и обеспечение регистрации держателем любой выпущенной карты; в связи с этим эквайеры должны либо принимать незарегистрированные карты без проведения строгой аутентификации клиента, либо отклонять такие транзакции, включая транзакции от небольших платежных систем, не использующих 3-D Secure.

Альтернативные подходы выполняют аутентификацию на стороне эквайера, не требуя предварительной регистрации у эмитента. Например, запатентованная «верификация» PayPal ^[19] использует одну или несколько фиктивных транзакций, направленных на кредитную карту, и держатель карты должен подтвердить стоимость этих транзакций, хотя полученная аутентификация не может быть напрямую связана с конкретной транзакцией между продавцом и держателем карты. Запатентованная ^[20] система под названием iSignthis разделяет согласованную сумму транзакции на две (или более) случайных суммы, а затем держатель карты доказывает, что он является владельцем счета, подтверждая суммы в своей выписке. ^[21]

ACCC блокирует предложение 3-D Secure

Предложение сделать 3-D Secure обязательным в Австралии было заблокировано Австралийской комиссией по конкуренции и защите прав потребителей (ACCC) после получения многочисленных возражений и заявлений, связанных с недостатками. ^[22]

Индия

Некоторые страны, такие как Индия, использовали не только CVV2, но и обязательный 3-D Secure, SMS-код, отправленный эмитентом карты и введенный в браузере, когда вы перенаправляетесь при нажатии кнопки «купить» на сайт платежной системы или системы эмитента карты, где вы вводите этот код, и только тогда операция принимается. Тем не менее, Amazon все еще может совершать транзакции из других стран с включенным 3-D Secure. ^[23]

3-D Secure 2.0

В октябре 2016 года EMVCo опубликовала спецификацию для 3-D Secure 2.0; она разработана так, чтобы быть менее навязчивой, чем первая версия спецификации, позволяя отправлять больше контекстных данных эмитенту карты клиента (включая почтовые адреса и историю транзакций) для проверки и оценки риска транзакции. Клиенту потребуется пройти проверку подлинности только в том случае, если его транзакция будет определена как имеющая высокий риск. Кроме того, рабочий процесс аутентификации разработан таким образом, что он больше не требует перенаправлений на отдельную страницу, а также может активировать внеполосную аутентификацию через мобильное приложение учреждения (которое, в свою очередь, также может использоваться с биометрической аутентификацией ). 3-D Secure 2.0 соответствует требованиям ЕС « строгой аутентификации клиентов ». ^{[5] [24] [25]}

Смотрите также

• Безопасная электронная транзакция (SET)
• Плагин продавца (MPI)
• ЕМВ

Ссылки

1. «3-D Secure».
2. «Visa USA усиливает меры безопасности с помощью Arcot». ZDnet.
3. "ProtectBuy". discover.com. Архивировано из оригинала 2019-08-22 . Получено 2019-08-22 .
4. "SafeKey". AmericanExpress.com. Архивировано из оригинала 2011-08-07 . Получено 2010-08-11 .
5. "Торговцы не могут допустить, чтобы 'PSD2' и 'SCA' были неопределенными инициалами". PaymentsSource . 12 июня 2019 г. Получено 11 июля 2019 г.
6. Murdoch, Steven J.; Anderson, Ross (25–28 января 2010 г.). Sion, R. (ред.). Verified by Visa and MasterCard SecureCode: или как не следует проектировать аутентификацию (PDF) . Финансовая криптография и безопасность данных FC2010. Том 6052. Тенерифе: Springer. стр. 336–342. doi :10.1007/978-3-642-14577-3_27. ISBN 978-3-642-14992-4. Получено 2012-04-23 .
7. «Руководство по внедрению проверено Visa» (PDF) .
8. «Являются ли Verified by Visa и MasterCard SecureCode убийцами конвертации?». practicalecommerce.com. 14 июня 2013 г. Получено 30 июля 2013 г.В исследовании 2010 года зафиксирован рост числа отмененных транзакций на 10–12% среди продавцов, недавно присоединившихся к программе.
9. "Аутентификация карты и 3D Secure". stripe.com . Получено 2021-08-25 .
10. "Что такое 3D Secure? Преимущества для электронной коммерции". MONEI . Получено 25.08.2021 .
11. "Antiworm: Verified by Visa (Veriphied Phishing?)". Antiworm.blogspot.com. 2006-02-02 . Получено 2010-08-11 .
12. Манкастер, Фил. "Industry lays into 3-D Secure - 11 апреля 2008 г.". IT Week. Архивировано из оригинала 2008-10-07 . Получено 2010-08-11 .
13. Бригнелл, Майлз (21.04.2007). «Схема Verified by Visa сбивает с толку тысячи интернет-покупателей». The Guardian . Лондон. Архивировано из оригинала 6 мая 2010 года . Получено 23.04.2010 .
14. "Является ли securesuite.co.uk фишинговой аферой?". Ambrand.com. Архивировано из оригинала 2010-06-16 . Получено 2010-08-11 .
15. "Проверено Visa Activation – Visa Phishing Scams". MillerSmiles.co.uk. 2006-08-22. Архивировано из оригинала 8 июля 2010 года . Получено 2010-08-11 .
16. "Verified by Visa FAQs". www.visa.co.uk . Получено 6 октября 2016 г. .
17. "Активация во время покупок" (PDF) . Visa Europe . Получено 2010-08-11 .
18. "daco.pr.gov". daco.pr.gov. Архивировано из оригинала 2014-08-12 . Получено 2014-07-17 .
19. "US2001021725 Система и метод проверки финансового инструмента". Patentscope.wipo.int. 2002-01-17 . Получено 2014-07-17 .
20. "AU2011000377 Методы и системы проверки транзакций". Patentscope.wipo.int . Получено 2014-07-17 .
21. "EPCA Payment Summit: iSignthis представляет свой сервис аутентификации как альтернативу 3D Secure". The Paypers. Архивировано из оригинала 2013-11-01 . Получено 2014-07-17 .
22. «ACCC публикует проект определения против обязательного использования 3D Secure для онлайн-платежей».
23. "Amazon.in Help: About CVV and 3-D Secure". www.amazon.in . Архивировано из оригинала 2021-06-24 . Получено 2020-06-17 . Резервный банк Индии сделал пароль 3-D Secure обязательным для обеспечения более безопасных покупок в Интернете. Это предотвратит неправомерное использование утерянной/украденной карты, поскольку пользователь не сможет продолжить, пока не введет пароль, связанный с вашей картой, созданный вами и известный только вам.
24. "Adyen рекламирует свой сервис 3-D Secure 2.0 как "первый" на рынке". Цифровые транзакции . Получено 2019-07-11 .
25. Годеман, Оливье. "Stripe: 3D Secure 2 - Руководство по аутентификации 3DS2". Stripe . Получено 11 июля 2019 г.

Внешние ссылки

• American Express SafeKey (сайт для потребителей)
• American Express SafeKey (сайт глобального партнера)
• Проверено Visa
• Активация Verified by Visa
• Проверено партнерской сетью Visa
• Домашняя страница Mastercard SecureCode
• usa.visa.com
• Откройте для себя глобальную сеть ProtectBuy