3-D Secure - это протокол, разработанный как дополнительный уровень безопасности для сетевых и дебетовых карт транзакции. Название относится к «трем доменам», которые взаимодействуют с использованием протокола: домен продавца / эквайера, домен эмитента и домен взаимодействия.
Первоначально он был разработан Arcot Systems (сейчас CA Technologies ) и с целью повышения безопасности интернет-платежей, и предлагаются клиентам под брендом Verified by Visa . Услуги, основанные на этом протоколе, также были приняты Mastercard как SecureCode, Discover как ProtectBuy, как J / Secure и от American Express как American Express SafeKey . Более поздние версии протокола были произведены EMVCo под названием EMV 3-D Secure . Версия 2 протокола была опубликована в 2016 году с целью соблюдения новых требований ЕС по аутентификации и устранения некоторых недостатков исходного протокола.
Анализ первой версии протокола, проведенный академическими кругами, показал у него много проблем с безопасностью, влияющих на потребителя, включая большую зону ответственности для фишинга и изменение ответственности в случае мошеннических платежей.
Основная концепция протокола - связать процесс финансовой авторизации с онлайн-аутентификацией.. Эта дополнительная аутентификация безопасности основана на трехдоменной модели (отсюда трехмерность в самом имени). Этими тремя доменами являются:
Протокол использует сообщения XML, отправляемые через SSL соединения с аутентификацией клиента (это обеспечивает аутентичность обоих одноранговых узлов, сервера и клиент, использующий цифровые сертификаты).
Транзакция с использованием Verified-by-Visa или SecureCode инициирует перенаправление на веб-сайт банка-эмитента карты для авторизации транзакции. Каждый эмитент может использовать любой метод аутентификации (протокол не покрывает это), но, как правило, пароль, привязанный к карте, вводится при совершении покупок в Интернете. Протокол Verified-by-Visa рекомендует загружать страницу подтверждения банка в сеансе встроенного фрейма. Таким образом, системы банка могут нести ответственность за большинство нарушений безопасности. Сегодня легко отправить одноразовый пароль в составе текстового сообщения SMS на мобильные телефоны и электронные письма пользователей для аутентификации, по крайней мере, во время регистрации и в случае забытых паролей.
Основное различие между реализациями Visa и Mastercard заключается в методе создания UCAF (универсального поля аутентификации держателя карты): Mastercard использует AAV (значение аутентификации держателя карты), а Visa использует CAVV (значение аутентификации держателя карты).
3-D Secure FlowВ протоколе 3-D Secure ACS (сервер управления доступом) находится на стороне эмитента (банки). В настоящее время большинство банков передают ACS на аутсорсинг третьей стороне. Обычно в веб-браузере покупателя отображается доменное имя поставщика ACS, а не доменное имя банка; однако этого протокол не требует. В зависимости от поставщика ACS можно указать принадлежащее банку доменное имя для использования ACS.
Каждая транзакция 3-D Secure версии 1 включает две пары Интернет-запрос / ответ: VEReq / VERes и PAReq / PARes. Visa и Mastercard не разрешают продавцам отправлять запросы непосредственно на их серверы. Вместо этого продавцы должны использовать поставщиков MPI (подключаемый модуль продавца ).
Преимущество для продавцов - сокращение «несанкционированных транзакций» возвратных платежей. Одним из недостатков для продавцов является то, что они должны приобретать плагин продавца (MPI) для подключения к серверу каталогов Visa или Mastercard. Это дорого (плата за установку, ежемесячная плата и комиссия за транзакцию); в то же время он представляет собой дополнительный доход для провайдеров MPI. Поддержка 3-D Secure сложна и иногда приводит к ошибкам транзакций. Возможно, самым большим недостатком для продавцов является то, что многие пользователи рассматривают дополнительный этап аутентификации как неудобство или препятствие, что приводит к значительному увеличению числа отказов от транзакций и упущенной выгоды.
В большинстве современных реализаций 3-D Secure банк-эмитент или его провайдер ACS запрашивают у покупателя пароль, который известен только банку / провайдеру ACS и покупателю. Поскольку продавец не знает этот пароль и не несет ответственности за его ввод, он может использоваться банком-эмитентом в качестве доказательства того, что покупатель действительно является держателем его карты. Это предназначено для снижения риска двумя способами:
3-D Secure не требует строго аутентификации по паролю. Утверждается, что его можно использовать вместе с считывателями смарт-карт, маркерами безопасности и т.п. Эти типы устройств могут обеспечить лучший пользовательский опыт для клиентов, поскольку они освобождают покупателя от необходимости использовать безопасный пароль. Некоторые эмитенты теперь используют такие устройства в рамках программы аутентификации чипа или схем аутентификации с динамическим паролем.
Одним из существенных недостатков является то, что держатели карт могут видеть, что их браузер подключается к незнакомым доменным именам как в результате реализации MPI поставщиками и использования аутсорсинговых реализаций ACS банками-эмитентами, которые могут упростить выполнение фишинговых атак на держателей карт.
Система включает в себя всплывающее окно или встроенный фрейм, появляющийся во время процесса онлайн-транзакции, требующий от держателя карты ввода пароля, который, если транзакция является законной, их банк-эмитент сможет выполнить аутентификацию. Проблема для держателя карты заключается в том, чтобы определить, действительно ли всплывающее окно или фрейм принадлежит эмитенту карты, тогда как это может быть мошеннический веб-сайт, пытающийся собрать данные держателя карты. Такие всплывающие окна или фреймы на основе сценариев лишены доступа к какому-либо сертификату безопасности, что исключает любой способ подтверждения учетных данных реализации 3-DS.
Система Verified-by-Visa вызвала некоторую критику, поскольку пользователям трудно отличить законное всплывающее окно Verified-by-Visa или встроенный фрейм от мошеннического фишингового сайта. Это связано с тем, что всплывающее окно обслуживается из домена, который:
В некоторых случаях система Verified-by-Visa была ошибочно принята пользователями за фишинговое мошенничество и сама стала целью некоторых фишинговых атак. Более новая рекомендация использовать встроенный фрейм (iframe ) вместо всплывающего окна уменьшила путаницу пользователя, за счет того, что усложнила, а то и вовсе сделала невозможным проверку подлинности страницы. на первом месте. По состоянию на 2011 год большинство веб-браузеров не позволяют проверять сертификат безопасности на содержимое iframe. Однако некоторые из этих проблем с достоверностью сайта для Verified-by-Visa смягчаются, поскольку текущая реализация процесса регистрации требует ввода личного сообщения, которое отображается во всплывающих окнах Verified-by-Visa, чтобы обеспечить некоторую уверенность в пользователя, всплывающие окна являются подлинными.
Некоторые эмитенты карт также используют активацию во время покупок (ADS), при которой держателям карт, не зарегистрированным в схеме, предлагается возможность зарегистрироваться (или принудительно подписать вверх) в процессе покупки. Обычно это приводит их к форме, в которой они должны подтвердить свою личность, ответив на секретные вопросы, которые должны быть известны эмитенту их карты. Опять же, это делается в iframe, где они не могут легко проверить сайт, на котором они предоставляют эту информацию - взломанный сайт или незаконный продавец может таким образом собрать все детали, которые им нужно выдать за клиента.
Реализация подписки на 3-D Secure часто не позволяет пользователю продолжить покупку до тех пор, пока он не согласится подписаться на 3-D Secure и ее условия, не предлагая никаких альтернативных способов переход от страницы к закрытию, что приводит к приостановке транзакции.
Держатели карт, которые не хотят рисковать при регистрации своей карты во время покупки, при этом коммерческий сайт в некоторой степени контролирует браузер, могут в некоторых случаях перейти на домашнюю страницу своего банка в Интернете в отдельном браузере. окно и зарегистрируйтесь оттуда. Когда они вернутся на коммерческий сайт и начнут заново, они должны увидеть, что их карта зарегистрирована. Наличие на странице с паролем сообщения личного заверения (PAM), которое они выбрали при регистрации, является их подтверждением того, что страница поступает из банка. Это по-прежнему оставляет некоторую возможность атаки «злоумышленник посередине», если владелец карты не может проверить сертификат сервера SSL для страницы пароля. Некоторые коммерческие сайты будут посвящать полную страницу браузера аутентификации, а не использовать фрейм (не обязательно iFrame), который является менее безопасным объектом. В этом случае значок замка в браузере должен указывать на принадлежность банка или оператора сайта проверки. Владелец карты может подтвердить, что это тот же домен, который они посетили при регистрации своей карты, если это не домен его банка.
Мобильные браузеры представляют особые проблемы для 3-D Secure из-за общего отсутствия определенных функций, таких как фреймы и всплывающие окна. Даже если у продавца есть мобильный веб-сайт, если эмитент также не поддерживает мобильные устройства, страницы аутентификации могут не отображаться должным образом или вообще не отображаться. В конце концов, многие аналитики пришли к выводу, что протоколы активации во время покупок (ADS) создают больший риск, чем устраняют, и, кроме того, переносят этот повышенный риск на потребителя.
В некоторых случаях 3-D Secure в конечном итоге обеспечивает небольшую безопасность держателя карты и может выступать в качестве средства передачи ответственности за мошеннические транзакции от банка или розничного продавца на держателя карты. Юридические условия, применяемые к услуге 3-D Secure, иногда формулируются таким образом, чтобы держателю карты было сложно избежать ответственности за мошеннические транзакции «владелец карты не присутствует».
Банки и продавцы могут использовать системы 3-D Secure неравномерно по отношению к банкам, которые выпускают карты в нескольких географических точках, создавая дифференциацию, например, между внутренними картами, выпущенными в США и за пределами США. Например, поскольку Visa и Mastercard рассматривают некорпоративную территорию США из Пуэрто-Рико как международную, а не внутреннюю территорию США, держатели карт могут столкнуться с более высокой вероятностью 3 -D Защищайте запросы, чем держатели карт в пятидесяти штатах. Жалобы на этот счет были получены Департаментом по делам потребителей Пуэрто-Рико сайт экономической дискриминации "равного обращения".
Версия 2 3-D Secure, который включает одноразовые пароли, представляет собой форму программной надежной аутентификации клиентов, как определено в Пересмотренной директиве ЕС по платежным услугам (PSD2) ; в более ранних вариантах использовались статические пароли, которых недостаточно для выполнения требований директивы.
3-D Secure полагается на активное участие эмитента и обеспечение регистрации любой выпущенной карты держателем карты; Таким образом, эквайеры должны либо принимать незарегистрированные карты без выполнения строгой аутентификации клиента, либо отклонять такие транзакции, в том числе те из схем меньших карт, которые не имеют реализации 3-D Secure.
Альтернативные подходы выполняют аутентификацию на стороне получения без необходимости предварительной регистрации у эмитента. Например, запатентованная PayPal «проверка» использует одну или несколько фиктивных транзакций, направленных на кредитную карту, и владелец карты должен подтвердить стоимость этих транзакций, хотя полученная аутентификация не может быть напрямую связана с конкретной транзакцией между продавцом и владельцем карты.. Запатентованная система под названием iSignthis разделяет согласованную сумму транзакции на две (или более) случайные суммы, после чего держатель карты доказывает, что он является владельцем учетной записи, подтверждая суммы в своей выписке.
Предложение сделать 3-D Secure обязательным в Австралии было заблокировано Австралийской комиссией по конкуренции и защите прав потребителей (ACCC) после получения множества возражений и замечаний, связанных с недостатками. 87>
В некоторых странах, например в Индии, использовалась не только CVV2, но и 3-D Security обязательная, код SMS, отправляемый из банка и вводимый в браузере, когда вы перенаправляется при нажатии кнопки «Купить» на сайт платежной системы или банка, где вы вводите этот код, и только после этого операция принимается. Тем не менее, Amazon по-прежнему может проводить транзакции из других стран с включенной 3-D Security.
В октябре 2016 года EMVCo опубликовала спецификацию для 3-D Secure 2.0; он разработан так, чтобы быть менее навязчивым, чем первая версия спецификации, позволяя отправлять в банк клиента больше контекстных данных (включая почтовые адреса и историю транзакций) для проверки и оценки риска транзакции. От клиента потребуется пройти проверку подлинности, только если будет установлено, что его транзакция имеет высокий риск. Кроме того, рабочий процесс для аутентификации спроектирован таким образом, что он больше не требует перенаправления на отдельную страницу, а также может активировать внеполосную аутентификацию через мобильное приложение учреждения (которое, в свою очередь, также может использоваться с биометрической аутентификацией ). 3-D Secure 2.0 соответствует требованиям ЕС «строгой аутентификации клиентов ».