Berta Sándor
Nem véd az adathalász oldalaktól a 3D-Secure eljárás
Idén januárban számos hitel- és EC-kártya biztonsági chipje komoly problémákat okozott. Nos, a Visa és a Mastercard megoldása nem igazán javított a helyzeten.
Nemrég kutatók kidolgozták a 3D-Secure eljárást, amelynek célja, hogy növelje az online megrendeléseknél és fizetéseknél a biztonságot. A megoldást a Visa és a Mastercard és minősítette, azonban most két szakember nem éppen pozitív jelentést közölt a 3D-Secure-ról. Steven Murdoch és Ross Anderson, a Cambridge-i Egyetem Számítógépes Laboratóriumának munkatársai ugyanis tüzetesen megvizsgálták az eljárást és számos hiányosságára derítettek fényt. A jelentést a két kutató a január 25-én kezdődött és 28-ig tartó spanyolországi FC10 pénzügyi kriptográfiai konferencián mutatta be.
A két szakember a dokumentumban többek között kiemelte, hogy az eljárás hamis biztonságérzetet ad a felhasználóknak, mivel lehetővé teszi, hogy az adathalász oldalak - kijátszva a hitel- és a bankkártyák védelmét - megszerezhessék az emberek jelszavait, ezáltal pedig a pénzét. Ráadásul, mint kiderült, a 3D-Secure csorbítja a fogyasztói jogokat is. Steven Murdoch és Ross Anderson egyenesen úgy minősítette a 3D-Secure-t, hogy iskolapéldája annak, hogy miként ne nézzen ki egy azonosítórendszer.
Az XML-re épülő protokoll egyik komoly hiányossága, hogy engedélyezi a webes boltok felugró ablakainak, illetve az integrált iFrame HTML-elemek használatát. Ezekről azonban az ügyfél nem tudhatja, hogy azok közvetlenül az online bolt rendszeréhez kapcsolódnak-e vagy sem. Murdoch és Anderson bírálta az eljárást amiatt is, hogy a felhasználóknak rögzíteniük kell a jelszavaikat az első online boltban való vásárlásukkor. Mivel a rendelés közben az emberek gyakran figyelmetlenek és kapkodnak, így könnyen egy gyenge jelszót adhatnak meg.
A 3D-Secure eljáráshoz való regisztráció során a felhasználónak először meg kell adnia a hitel- vagy bankkártyája számát, az érvényességi dátumát, a születési időpontját és a banki folyószámlaszámát. Ezután megadja a jelszavát és az üdvözlőszövegét. Utóbbit minden egyes online vásárláskor egy felbukkanó ablakban vagy iFrame-ben bemutatja a rendszer. Ezután adható meg a jelszó és kezdeményezhető a vásárlás.
Számos pénzintézet reklámozza az új szolgáltatást, Németországban például a Deutsche Bank. A két szakember mellett azonban a fogyasztóvédők is azt tanácsolták az embereknek, hogy ne használják a protokollt. Andrea Heyer, a Szászországi Fogyasztóvédelmi Központ szakértője szerint ugyanis az online vásárlók a plusz kód nélkül is eléggé védettek. Ráadásul a 3D-Secure alkalmazása esetén sérülhetnek a fogyasztói jogok, ugyanis kár esetén a felhasználónak kell bizonyítania, hogy megfelelően őrizte mondjuk a jelszavát.
Idén január elején Németországban a hitel- és bankkártyák biztonsági chipjeinek hibája miatt csak korlátozottan volt használható 20 millió EC rendszerű kártya.
Nemrég kutatók kidolgozták a 3D-Secure eljárást, amelynek célja, hogy növelje az online megrendeléseknél és fizetéseknél a biztonságot. A megoldást a Visa és a Mastercard és minősítette, azonban most két szakember nem éppen pozitív jelentést közölt a 3D-Secure-ról. Steven Murdoch és Ross Anderson, a Cambridge-i Egyetem Számítógépes Laboratóriumának munkatársai ugyanis tüzetesen megvizsgálták az eljárást és számos hiányosságára derítettek fényt. A jelentést a két kutató a január 25-én kezdődött és 28-ig tartó spanyolországi FC10 pénzügyi kriptográfiai konferencián mutatta be.
A két szakember a dokumentumban többek között kiemelte, hogy az eljárás hamis biztonságérzetet ad a felhasználóknak, mivel lehetővé teszi, hogy az adathalász oldalak - kijátszva a hitel- és a bankkártyák védelmét - megszerezhessék az emberek jelszavait, ezáltal pedig a pénzét. Ráadásul, mint kiderült, a 3D-Secure csorbítja a fogyasztói jogokat is. Steven Murdoch és Ross Anderson egyenesen úgy minősítette a 3D-Secure-t, hogy iskolapéldája annak, hogy miként ne nézzen ki egy azonosítórendszer.
Az XML-re épülő protokoll egyik komoly hiányossága, hogy engedélyezi a webes boltok felugró ablakainak, illetve az integrált iFrame HTML-elemek használatát. Ezekről azonban az ügyfél nem tudhatja, hogy azok közvetlenül az online bolt rendszeréhez kapcsolódnak-e vagy sem. Murdoch és Anderson bírálta az eljárást amiatt is, hogy a felhasználóknak rögzíteniük kell a jelszavaikat az első online boltban való vásárlásukkor. Mivel a rendelés közben az emberek gyakran figyelmetlenek és kapkodnak, így könnyen egy gyenge jelszót adhatnak meg.
A 3D-Secure eljáráshoz való regisztráció során a felhasználónak először meg kell adnia a hitel- vagy bankkártyája számát, az érvényességi dátumát, a születési időpontját és a banki folyószámlaszámát. Ezután megadja a jelszavát és az üdvözlőszövegét. Utóbbit minden egyes online vásárláskor egy felbukkanó ablakban vagy iFrame-ben bemutatja a rendszer. Ezután adható meg a jelszó és kezdeményezhető a vásárlás.
Számos pénzintézet reklámozza az új szolgáltatást, Németországban például a Deutsche Bank. A két szakember mellett azonban a fogyasztóvédők is azt tanácsolták az embereknek, hogy ne használják a protokollt. Andrea Heyer, a Szászországi Fogyasztóvédelmi Központ szakértője szerint ugyanis az online vásárlók a plusz kód nélkül is eléggé védettek. Ráadásul a 3D-Secure alkalmazása esetén sérülhetnek a fogyasztói jogok, ugyanis kár esetén a felhasználónak kell bizonyítania, hogy megfelelően őrizte mondjuk a jelszavát.
Idén január elején Németországban a hitel- és bankkártyák biztonsági chipjeinek hibája miatt csak korlátozottan volt használható 20 millió EC rendszerű kártya.