作者：趋势科技资深分析师Rik Ferguson


照片出自johnsnape的Flickr，遵循Creative Commons公用授权使用

Visa组织在2001年推出一个他们称为3DS的安全协议，也就是3 Domain Secure的缩写。试图减少在网络购物时发生的信用卡诈骗事件。3DS比较被人所知的是各发卡组织实作系统时所用的名称– 「Visa验证（Verified by Visa）」，「MasterCard Secure Code」，「J/Secure」（JCB国际组织）和「SafeKey」（美国运通）。问题是，3DS其实并没有任何屏障的效果，甚至对一般的诈骗者来说也是，至少在我所测试的过程看来是这样。

在Visa所发表的常见问答集里提到：「Visa验证可以保护您的卡片，防止未经授权的交易，让您在网络购物时可以完全的放心」。但同时他们也在常见问答集里提到「如果您忘记了密码，可以很轻松的重设它」，这里就出现了问题。接下来和我所测试的发卡组织所实作的方式有关，并不一定代表全部的3DS系统。

问题出现在一个很基本的设计缺陷。如果你跟一个使用此系统的商家买东西，你在付款阶段会被导到 3DS 验证页面。你在这个页面确认交易细节，输入密码。然后就跟变魔术一样，交易完成了。到目前为止都还好，商家看不到我的密码，也就无法利用我的数据来完成任何交易，我被保护的好好的，但是…

犯罪份子会怎么做呢？如果他们有了你的信用卡，却没有你的密码？当然了，还有一个方便的「我忘记我的密码」链接。让我们来看看这是怎样的良好保护。

密码重设的第一步是输入你的卡号，显然是要确保你是替正确的账号重设密码。一旦将卡号输入系统，现在需要提供一些数据来确认你是合法的账号拥有者。让我们来看看这个「认证」阶段。

密码重设的第二步

噢，不好，这看起来一点也不好！用来验证我的身分的四项信息中的三项都包含在信用卡本身，浮刻或压印在信用卡上。犯罪份子不是已经有这些信息了吗？还有什么呢？有一个信息是不包含在卡片上的。问题是，这是一个已经在社交网络、问卷调查、注册窗口还有许多其他地方被广为分享的信息，也是能自由被公开取得的信息。我们不能也不该认为我们的出生日期是一个秘密。

输入了所需的信息后，剩下的就是输入一个自选的新密码，然后你的交易也就被授权了。更糟的是，没有电子邮件通知提醒持卡人他们的账号已经被访问或修改。持卡人将永远也不会发现，直到他们检查自己的状态。

所以该如何改善呢？这里没有什么新奇或令人惊叹的建议，只是有一些基本的步骤需要被加到流程里。

在注册系统时，持卡人应该被要求建立一个「秘密问题」以作为密码重设的验证依据，不该只是简单的出现密码重设画面，而是将一次性的密码重设网址发送到注册时登记的电子邮件地址。而且无论是要求更改账号内容或是更改成功，都应该发送电子邮件进行通知。

哦，还有一件事，如果可以在密码中使用特殊字符就真的太棒了，拜托了。

＠原文出处：Verified by Visa?

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!