Articolul trateaza cateva aspecte legate de 3DSecure care sint intr-adevar conforme cu realitatea. Inainte de a-mi expune parerea personala trebuie sa subliniez si eu ca cel mai mare plus pe care 3DS l-a adus comerciantilor este “liability shift": esti inrolat/i-ai dat posibilitatea utilizatorului sa se autentifice => in caz de chargeback pe motiv de frauda esti protejat. Posesorul de card beneficiaza de un plus de securitate, chiar daca pe baza autentificarii si inrolarii se pot produce diverse atacuri de phishing
.

Nevoile comerciale si restrictiile browserelor in ultimii ani (sistemul a aparut prin 2003/2004) au facut ca afisarea ferestrei de autentificare sa se faca intr-un iframe si nu intr-un popup. In felul asta insa card-holderul nu mai are acces la url-ul pe care se intampla sa i se ceara date personale (in cazul ADS) sau parola 3DS. La noi insa (Romania), nici una din recomandarile bancilor vizavi de 3DSecure nu a facut referire la URL-ul paginii de autentificare ca element de garantie a autenticitatii paginii. Chiar articolul aminteste ca cele mai multe banci si-au externalizat serviciul 3DS catre terte parti, parti de care probabil cardholderul nu a auzit niciodata. Bancile de la noi o fac prin Romcard, URL-ul de autentificare este ceva in genul https://www.secure11gw.ro, deci nicidecum ceva legat de numele bancii. Afisarea acestui URL ar produce doar confuzie. Pot spune chiar ca am avut cateva cazuri cu persoane mai tehnice care ne-au intrebat care e treaba cu url-ul respectiv si de ce a aparut. Elementele recomandate de recunoastere a autenticitatii paginii sint mesajul personal de intampinare, logo-ul banci emitente si reminderul la cheia secreta. Daca logo-ul bancii emitente n-ar fi o problema de “produs” pornind de la BIN-ul cardului, cele doua mesaje text ar trebui sa-ti asigure un grad de confort suficient pentru finalizarea autentificarii/platii.

Activation During Shopping a aparut probabil datorita faptului ca bancile nu au reusit sa popularizeze 3DS catre posesorii de carduri. La noi cel putin, datele furnizate de Romcard periodic arata o rata extrem de mica de inrolare. Din fericire insa, inrolarea online in 3DS cere cardholder-ului o serie de elemente personale care nu sint la indemana oricui, gen primele patru si ultime patru caractere din numarul contului bancar (nu numarul cardului), cateva caractere din CNP (si cu siguranta nu data nasterii in clar). Chiar daca s-ar cere doar data nasterii, Romania nu este UK: nu exista directoare publice gratuite sau platite de unde se pot extrage aceste date. Exista si banci care au adoptat exclusiv inrolarea la ghiseul bancii, prin semnarea unui formular (si deci ai timp sa citesti termenii si conditiile in liniste, nu esti presat ca in ADS de presiunea platii), dar nu stiu ce rata de succes au.

Chiar daca in timpul ADS utilizatorul isi alege o parola “slaba", sistemul de autentificare blocheaza autorizarile pe card dupa mai mult de 3 autentificari esuate. Deci brute-force pe asa ceva, mai slabe sanse.

3DS nu este perfect, dar e un progres de la autorizarea doar pe baza numarului de card (mai ales in conditiile in care alte scheme de autentificare gen AVS nu exista in Europa). Insa mai e mult pana departe, succesul acestui sistem sta si in implementarea pe majoritatea shopurilor. Acest lucru insa nu se intampla, vezi Amazon de ex. care a ales sa nu participe in 3DS, pentru simplul motiv ca ar transforma 1click shopping cart in 2,3 sau 4 click-uri, indepartand clientul de scopul final. In final este decizia comerciantului daca vrea sau nu sa foloseasca 3DSecure, in functie de gradul de risc al produselor vandute, comparatie cat pierd din fraude vs. cat pierd din deny-uri de autentificare 3DS. Noi (ePayment) avem setup-uri atat cu 3DS (majoritatea) cat si fara 3DS.

Una din preocuparile noastre in ceea ce priveste noul sistem ADS lansat anul trecut de Romcard (parca doar pentru o banca momentan): este posibil sa scada rata de conversie a incercarilor de autorizare in plati cu succes prin abandonarea procesului de plata. Utilizatorul nu este instruit de ce i se va intampla si poate renunta daca mesajul in pagina si elementele de trust nu sint gandite cum trebuie.

Concluzia: fiind un sistem online, da, e target pentru phishing. Avand o adresabilitate generala, da, trebuie sa fie extrem de simplu de utilizat, de aici poate si designul cu ceva probleme de securitate.

Nu mi-am inrolat cardul tocmai din cauza “liability shift".

© Platile semnate cu ajutorul parolei 3-D Secure sunt irevocabile si nu pot fi contestate, anularea acestora si solutionarea oricarei probleme fiind posibile numai prin intelegerea cu comerciantul beneficiar al platii.

Pe de alta parte, nici actualul mod de a plati online nu este mai “secure". Din aceasta cauza pentru, a ma proteja, card-ul este legat de un cont separat pe care-l alimentez cu bani putini (prin internet banking), cand am nevoie sa fac cumparaturi online.

O solutie secure si usor de folosit pentru utilizator este e-token+parola. Dar ca sa fie practica la nivel global ar trebui sa fie infiintata o entitate globala care emite e-token (ca sa permita ca sa ai un singur e-token pe care sa-l folosesti la orice furnizor; in loc de 20 de e-tokens pentru fiecare furnizor in parte).

Un lucru totusi e clar: nu e usor sa gasesti o solutie secure, usor de implementat, ieftina, adoptata de toata lumea si usor de folosit pentru utilizator.

Multumesc pentru comentarii !

Ref la ce zice Cristian, sunt chiar multe chestiuni pe care nu le stiam. Doar 2 chestiuni doresc insa sa le comentez:
- numarul celor care activau cardurile in mod clasic in 3D secure era intr-adevar foarte mic - la Gpec 2009 au fost date si niste premii in functie de asta.
- ” Chiar daca s-ar cere doar data nasterii, Romania nu este UK: nu exista directoare publice gratuite sau platite de unde se pot extrage aceste date”
Nu sunt ele publice, dar cum baza de date cu persoane si CNP-urui de la unele alegeri (parca 2004) umbla pe net prin sistemele p2p, nu cred ca e o mare problema sa afli data nasterii.

@Cristian Badea
“nu exista directoare publice gratuite sau platite de unde se pot extrage aceste date. “

tin sa va contrazic, exista chiar la Ministerul Justitiei o baza de date online de unde se pot extrage tot felul de date, inclusiv CNP-uri:

http://www.mj.romarhiva.ro
(accesabil si prin http://www.co.romarhiva.ro )

daca intrati pe “Cautare” - “Debitor persoana fizica”
apoi completati codul captcha simplu (4 cifre) si numele (chiar si partial) al unei persoane vizate, iar daca respectivul a facut vre-un imprumut la una din bancile / notarii din sistem se pot afla imediat toate detaliile despre respectiva persoana.
Tot aici sunt inscrise si (unele din) datoriile persoanelor fizice catre administratiile financiare / Ministerul Finantelor.

Ca proba, va rog sa cautati detalii despre:

Nume=Badea
Prenume=Cristian (daca ramane completat se primeste mesaj ca sunt prea multe inscrieri, la alte nume merge lasat necompletat, dar “Badea” este un nume prea comun)
CNP = NECOMPLETAT

examinati cateva din rezultatele returnate si veti vedea ca se furnizeaza exact informatii privind CNP, bunuri detinute, venituri.. etc.

la rotld apar urmatoarele informatii despre romarhiva.ro:

Domain Holder
Ministerul Justitiei
Apolodor 17, sector 5,
Bucuresti, Romania
Bucuresti, xx, RO
(s.a.m.d. inclusiv telefon si email)

P.S.
si ca sa fie si o bomboana pe coliva toata aceasta actiune de distribuire a CNP-urilor de la Romarhiva este gestionata de STS inca din anul 2000:

Domain Name: romarhiva.ro
Registration Date: 2000-11-30
Nameservers:
ns1.stsisp.ro
ns2.stsisp.ro
ns3.stsisp.ro
Domain Status: OK

P.S. #2 cateva mici precizari:

a)o mica eroare:
s/daca ramane completat/daca ramane necompletat/g

b) cautarea in sectiunea debitori persoane fizice este valabila si la creditori persoane fizice, cu rezultate similare.

c)cele doua site-uri (mj/co) sunt doua servere distincte, pentru a putea fi accesate datele in caz ca unul din ele este nefunctional:

mj.romarhiva = server administrat de Ministerul Justitiei, gazduit pe reteaua STS.

co.romarhiva = server gazduit la Camera de Comert si Industrie a Romaniei

Cred ca cel mai important este de retinut faptul ca acest este un protocol de comunicatie, creat de cei de la Visa si Mastercard, securizat, folosind mesaje XML transmise prin tunele SSL autentificate cu certificate si nu un sistem de autentificare. Autentificarea este oferita de alte sisteme. Problemele semnalate in autentificare sint normale tinind cont ca s-a incercat gasirea unei solutii de autentificare a utilizatorului care nu este cea mai buna, ci o solutie care sa fie acceptata de utilizatori si agentii comerciali. Aici de fapt avem de-a face cu vechea lupta in adoptarea a two factor authentication.Costurile sint prea mari. Solutia propusa de autorii studiului, adica autentificare tranzactiei cu ajutorul unui device electronic si nu a autorului, pare a avea probleme de securitate in implementarea existenta. Parerea mea este ca cea mai mare problema vine de la incorporarea de iframe-uri in pagini. Este o practica periculoasa care va duce la cresterea gradului de confuzie in rindul celor care sint nevoiti sa foloseasca cardul. Le va fi foarte greu sa identifice sursa iframe-ului. Merita citit si raspunsul, celor de la RSA referitor la studiu.