Είναι ασφαλές το 3D secure ;

[chomwitt]

Σε δυο αγορές με πιστωτική , μια ελληνική και μια αγγλική εταιρεία πριν πληρώσω με την πιστωτική κατευθύνθηκα σε μια άλλη ιστοσελίδα που είχε σε frame περιβάλλον εισόδου της τράπεζας
μου και έπρεπε να συνδεθώ στο λογαριασμό μου.

Η πρώτη μου αντίδραση ήταν 'Είναι σοβαροί;;' Δεν έκανα καμία συναλλαγή και στο πρακτικερ πλήρωσε τελικά με έμβασμα.
Πήρα τηλ. την τράπεζα και μου είπανε ότι από 1/1/2021 αυτό θα γίνεται γιατί είναι ποιό ασφαλές. Τους είπα τις αντιρρήσεις μου.

Ήθελα να ρωτήσω αν σας έτυχε και πως το βλέπετε.
Προσωπικά πείστηκα ότι είναι πιο ασφαλές,αλλά για τον πωλητή , όχι για τον αγοραστή.

[sdikr]

Για όλους είναι. Είναι μάλιστα οδηγία απο την ΕΕ
Και κάποιος δεν θα μπορεί να κάνει αγορά με την κάρτα σου αν την κλέψει και ο πωλητής είναι πιο σίγουρος πως αυτό που κάνει την αγορά είναι ο ιδιοκτήτης της κάρτας.
Ειδικά το εμβάσμα είναι το χειρότερο απο άποψη ασφάλειας για τον αγοραστή


Στην περίπτωση που έχεις την εφαρμογή της τράπεζας σου σε κινητό τότε σου έρχεται Push notification και το κάνεις accept χωρίς να βάλεις στοιχεία ebanking

[chomwitt]

Διαφωνω. Από τη μια είναι το ρίσκο να διαρεύσει ο κωδικος για τον λογαριασμό σου στο ebanking μιας τράπεζας από
την άλλη στο έμβασμα υπάρχει το ρίσκο του να χάσεις το έμβασμα.

Οπότε τι δεν κατάλαβα; Ποιο ρίσκο είναι μεγαλύτερο. Και πόσο καλή είναι η πρακτική να συνηθίζεις τον αγοραστή στη λογική
ότι σε πλαίσιο (frame) ενός άλλου ιστοτόπου θα κάνεις χρήση του κωδικού σου.

Είναι σαν να πάω για ψώνια και σε κάθε μαγαζί μου λένε: Ξεκλειδωνεται αυτό το κουτί με το κλειδί του σπιτιού σας παρακαλώ.

[sdikr]

Δικαίωμα σου να διαφωνείς

[chomwitt]

Η νέα οδηγία για τις υπηρεσίες πληρωμών (PSD2, οδηγία 2015/2366/EΕ), η οποία ενσωματώθηκε στο Ελληνικό Δίκαιο με τον Νόμο 4537/2018, έχει σκοπό, μεταξύ άλλων, να καταστήσει τις πληρωμές εντός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) πιο ασφαλείς και εύκολες.

Τι σημαίνει ισχυρή ταυτοποίηση πελατών;

Ο ισχυρός έλεγχος ταυτότητας πελατών είναι μια διαδικασία ελέγχου που πιστοποιεί τον κάτοχο της κάρτας και βασίζεται στη χρήση τουλάχιστον δύο στοιχείων από τις 3 παρακάτω κατηγορίες.

Κάτι που ο χρήστης:

Γνωρίζει μόνο εκείνος (π.χ. κωδικός πρόσβασης ή PIN)
Έχει στην κατοχή του (π.χ. συσκευή δημιουργίας κώδικα επαλήθευσης ταυτότητας).
Είναι (π.χ. η χρήση δακτυλικού αποτυπώματος)

Δεν αρκεί δηλαδή, πλέον, μόνο η εισαγωγή των στοιχείων της κάρτας (αριθμός κάρτας, ημερομηνία λήξης, τριψήφιος κωδικός ασφαλείας).

- - - Updated - - -

Η οδηγια σωστη .Δεν αναφερει ισχυρό έλεγχος ταυτότητας πελατών μεσω συνδεσης στο ebanking σου!!

[sdikr]

Η νέα οδηγία για τις υπηρεσίες πληρωμών (PSD2, οδηγία 2015/2366/EΕ), η οποία ενσωματώθηκε στο Ελληνικό Δίκαιο με τον Νόμο 4537/2018, έχει σκοπό, μεταξύ άλλων, να καταστήσει τις πληρωμές εντός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) πιο ασφαλείς και εύκολες.

Τι σημαίνει ισχυρή ταυτοποίηση πελατών;

Ο ισχυρός έλεγχος ταυτότητας πελατών είναι μια διαδικασία ελέγχου που πιστοποιεί τον κάτοχο της κάρτας και βασίζεται στη χρήση τουλάχιστον δύο στοιχείων από τις 3 παρακάτω κατηγορίες.

Κάτι που ο χρήστης:

Γνωρίζει μόνο εκείνος (π.χ. κωδικός πρόσβασης ή PIN)
Έχει στην κατοχή του (π.χ. συσκευή δημιουργίας κώδικα επαλήθευσης ταυτότητας).
Είναι (π.χ. η χρήση δακτυλικού αποτυπώματος)

Δεν αρκεί δηλαδή, πλέον, μόνο η εισαγωγή των στοιχείων της κάρτας (αριθμός κάρτας, ημερομηνία λήξης, τριψήφιος κωδικός ασφαλείας).

- - - Updated - - -

Η οδηγια σωστη .Δεν αναφερει ισχυρό έλεγχος ταυτότητας πελατών μεσω συνδεσης στο ebanking σου!!

Κωδικός πρόσβασης είναι το ένα (κωδικοί ebanking Πχ)
Και μετά έχουμε ενα απο τα δυο, otp και εφαρμογή στην συσκευή που δεν είναι root και έχει biometrics, το όποιο είναι και το έχει στην κατοχή του και το είναι , 2 σε 1 δηλαδή.

[Simpleton]

Διαφωνω. Από τη μια είναι το ρίσκο να διαρεύσει ο κωδικος για τον λογαριασμό σου στο ebanking μιας τράπεζας από
την άλλη στο έμβασμα υπάρχει το ρίσκο του να χάσεις το έμβασμα.

Οπότε τι δεν κατάλαβα; Ποιο ρίσκο είναι μεγαλύτερο. Και πόσο καλή είναι η πρακτική να συνηθίζεις τον αγοραστή στη λογική
ότι σε πλαίσιο (frame) ενός άλλου ιστοτόπου θα κάνεις χρήση του κωδικού σου.

Είναι σαν να πάω για ψώνια και σε κάθε μαγαζί μου λένε: Ξεκλειδωνεται αυτό το κουτί με το κλειδί του σπιτιού σας παρακαλώ.

Κίνδυνο διαρροής βλέπεις με τη μορφή κάποιου cross-frame attack ή αλλιώς; Όταν σε κάποια σελίδα επιλέγεις να πληρώσεις π.χ. με Paypal ή να συνδεθείς με στοιχεία Google/FB/κ.λπ., παρόμοιο δεν είναι;

[chomwitt]

Δεν εχω google , facebook, αλλά κατάλαβα τι λες. Όμως πάλι αν ένα σαιτ μου ζητήσει να 'συνδεθώ' στο facebook account τότε εγώ θεωρώ το ρίσκο αυτό υποδεέστερο του να σου υποκλέψουν κωδικό ebanking.(το ρίσκο είναι σχετικό για τον καθένα βέβαια, για κάποιον πχ μπορεί να έχει μεγαλύτερη αξία ο λογαριασμός σε υπηρεσία κοινωνικής δικτύωσης).

Στην περίπτωση που με απασχολεί δεν μπορεί να σου δώσει η τράπεζα αυτά τα επιπλέον διαπιστευτήρια που απαιτεί η οδηγία και να δίνεις αυτά στον έμπορο ή να σου φτιάξει ένα λογαριασμό που αφορά μόνο τη χρήση της κάρτας με αυτό τον τρόπο οπότε μειώνει αισθητά το ρίσκο.

[Simpleton]

Άρα, αν κατάλαβα καλά, ο κίνδυνος εδώ για εσένα έγκειται στο ενδεχόμενο να υποκλέψει η σελίδα που φιλοξενεί το frame τα στοιχεία που εισάγεις εσύ στη φόρμα της τράπεζας μέσα στο frame;

[chomwitt]

ναι.
Μια λύση να κανω allo ebanking account για τέτοια δαυλεια μονό.

[netblues]

Δεν εχω google , facebook, αλλά κατάλαβα τι λες. .

Δλδ ειτε δεν εχεις κινητο android, ειτε εμπιστευεσαι την apple. Τι απο τα δυο?

Γιατι ολη αυτη η ιστορια με το web banking accounts ειναι για οσους γενικοτερα δεν εχουν τιποτε αλλο.
Τα push notifications στο κινητο σου και η εγκριση με δακτυλικο αποτυπωμα ειναι ο τροπος για οποιον εχει περισσοτερες ανησυχιες.

[DVader]

Σε δυο αγορές με πιστωτική , μια ελληνική και μια αγγλική εταιρεία πριν πληρώσω με την πιστωτική κατευθύνθηκα σε μια άλλη ιστοσελίδα που είχε σε frame περιβάλλον εισόδου της τράπεζας
μου και έπρεπε να συνδεθώ στο λογαριασμό μου.

Η πρώτη μου αντίδραση ήταν 'Είναι σοβαροί;;' Δεν έκανα καμία συναλλαγή και στο πρακτικερ πλήρωσε τελικά με έμβασμα.
Πήρα τηλ. την τράπεζα και μου είπανε ότι από 1/1/2021 αυτό θα γίνεται γιατί είναι ποιό ασφαλές. Τους είπα τις αντιρρήσεις μου.

Ήθελα να ρωτήσω αν σας έτυχε και πως το βλέπετε.
Προσωπικά πείστηκα ότι είναι πιο ασφαλές,αλλά για τον πωλητή , όχι για τον αγοραστή.

Και που τα είπες στην τράπεζα νομίζεις ότι θα ασχοληθούν.. ..

Ανεξάρτητα με αυτό όμως να σου πω ως προγραμματιστής που έχω υλοποιήσει το κομμάτι αυτό και με τις τρεις τράπεζες δεν βλέπω κάποιο πρόβλημα.\
Βέβαια τηρώ μια συνθήκη αλλάζω πολύ συχνά κωδικούς.....για να έχω το κεφάλι μου ήσυχο ...
Επίσης αποφεύγω τις πληρωμές με τράπεζες απευθείας και δουλεύω πολύ με PayPal. Φροντίζω δηλαδή να τα καταστήματα που ψωνίζω να έχουν τρόπο πληρωμής το PayPal...

[chomwitt]

Βρήκα και αυτά:

Η Ευρωπαϊκή οδηγία PSD2 της ΕΕ που ψηφίστηκε το 2015 και άρχισε από τι φαίνεται να υλοποιείται από το 2021 στη χώρα μας. (αναλυτικά)

e-payments-ston-aera-ta-e-shops-erchetai-bloko-stis-ilektronikes-pliromes (ποιο πιπεράτες λεπτομέρειες! ) Αυτό το άρθρο νομίζω στηρίζει μια καλοπροαίρετη καχυποψία ως προς την αν μιλάμε για πρωτόκολλα που υλοποιούνται στο πόδι και γρήγορα για να καλυφθούν νομικες προθεσμίες ή για προσπάθειες που βασίζονται σε ποιό σταθερές βάσεις.

Πόσο έτοιμοι είστε για την ισχυρή ταυτοποίηση πελάτη στις ηλεκτρονικές συναλλαγές, που έρχεται την 1/1/2021;

Αρθρο της wikipedia που με καλύπτει ως προς τα τρωτά σημεία του πρωτοκόλλου 3-D secure.

Stripe's (payment system) docs on 3-D Secure.

The system involves a pop-up window or inline frame appearing during the online transaction process, requiring the cardholder to enter a password which, if the transaction is legitimate, their card-issuing bank will be able to authenticate. The problem for the cardholder is determining if the pop-up window or frame is really from their card issuer when it could be from a fraudulent website attempting to harvest the cardholder's detail.

This is because the pop-up window is served from a domain which is:

Not the site where the user is shopping
Not the card issuing bank
Not visa.com or mastercard.com

και μετά λεει κάτι που ίσως οδηγεί σε μια λύση:

As of 2011 (!! μιλάμε για παλιό πρωτόκολλο) most web browsers do not provide a way to check the security certificate for the contents of an iframe.

Οπότε ίσως υπάρχει πλοηγός που υποστηρίζει έλεγχο πιστοποιητικού για iframe ;

Νομίζω προκύπτει ότι το βήμα της επιπλεόν πιστοποίησης της κάρτας του χρήστη δεν καλύπτεται από το πρωτόκολλο. Κάτι που με οδηγεί για την ώρα στο συμπέρασμα ότι η πιστοποίηση που βίωσα είναι μάλλον προς το φάσμα του πρόχειρου .

[sdikr]

Βρήκα και αυτά:

Αρθρο της wikipedia που με καλύπτει ως προς τα τρωτά σημεία του πρωτοκόλλου 3-D secure.

Stripe's (payment system) docs on 3-D Secure.


Νομίζω προκύπτει ότι το βήμα της επιπλεόν πιστοποίησης της κάρτας του χρήστη δεν καλύπτεται από το πρωτόκολλο. Κάτι που με οδηγεί για την ώρα στο συμπέρασμα ότι η πιστοποίηση που βίωσα είναι μάλλον προς το φάσμα του πρόχειρου .

Αυτό που δίνεις είναι για τον παλιό τρόπο, όχι για τον νέο που ισχύει στη ΕΕ.
Υποθέτω πως είχανε στο μυαλό τους ακριβώς αυτό το πράγμα.

[chomwitt]

Βασικά η υπόθεση μέχρι στιγμής:

Η Ευρωπαική Ένωση με την οδηγία PSD2, Directive (EU) 2015/2366 απαιτεί μεταξύ άλλων Strong customer authentication. SCA για ένα μεγάλο πλήθος ηλεκτρονικών συναλλαγών του καταναλωτή.

Αυτή η απαίτηση για SCA μπορεί να καλυφθεί από συγκεκριμένες υλοποιήσεις του πρωτοκόλλου 3DSv2 . Τι είναι αυτό;

Για αγορά με κάρτες μέσω διαδικτύου υπάρχει από το 1999 το πρωτόκολλο 3-D Secure (έκδοση 1) που είχε σκοπό να παρέχει διπλή πιστοποίηση οπότε κατά μια έννοια καλύπτει τις απαιτήσεις τις οδηγίες.

3D από το 3 domains που εμπλέκονται στη συναλλαγή.
(the acquiring bank (or the merchant’s bank), the issuing bank (or the cardholder’s bank), and the infrastructure supporting this protocol, such as the internet, merchant plug-in, and other software providers.

Όμως αυτή η πρώτη υλοποίηση δημιουργούσε 'τριβές' που οδηγούσε σε αρκετές άκυρες συναλλαγές, συν το γεγονός ότι η πρώτη υλοποίηση δεν έκανε για τα smartphones δημιουργήθηκε η 3-D Secure 2. Το πρωτόκολλο το συνέθεσε ένας οργανισμός προτύπων για συναλλαγές με κάρτες, ο EMVCo που από'τι κατάλαβα οι κύριοι συμμετέχοντες είναι οι μεγάλες εταιρείες των πιστωτικών καρτών.

Εδώ μπορείτε να δείτε ένα καλό infographic για το 3DSv2

Το πρόβλημα για μένα (στο βασικό πλαίσιο που θέτει το infographic) προέκυψε στο βήμα όπου ο issuer(εκδότης) της πιστωτικής μου κάρτες χρήζει ότι για τη συναλλαγή που ξεκίνησα χρειάζεται επιπλέον πιστοποίηση. Και πως βεβαιώνονται η τράπεζα και ο έμπορας ότι εγώ είμαι εγώ; Θα μου ζητήσουν ακόμα δυό ή και τρείς πληροφορίες. Κατι που έχω και κάτι που ξέρω βασικά. Αυτό μπορεί να γίνει στέλνοντας μου (η τράπεζα) ένα κωδικό στο κινητό μου. Και αν έχω έξυπνη συσκευή με βιομετρικό δεδομένα όπως προείπε ο φίλος. Αρα γιατί να μου ζητήσουν να συνδεθώ στο ebanking μου; Οπως μου είπαν στο τηλέφωνο θα μου έδειναν ένα κωδικό για να δώσω στον έμπορο.Δεν ήξερα το πρωί όμως να τη ρωτήσω : και πρέπει να συνδεθώ στο λογαριασμό μου γι'αυτό; Αυτή είναι υποθέτω η βασική παράμετρος του προβλήματος. Συγνώμη αν κούρασα. Κανονικά η τράπεζα θα έπρεπε να έχει ενημερώσει τους πελάτης της και όχι να...