Verified by Visa: проверено Visa!
Пластиковые карты Дальневосточного банка позволяют вам безопасно оплачивать товары и услуги в сети Интернет с помощью современного сервиса Verified by Visa.
Сервис Verified by Visa («Проверено Visa») обеспечивает дополнительную безопасность при покупке товаров через Интернет посредством ввода секретного пароля.
С помощью сервиса подтверждение платежа в Интернете осуществляется одноразовым паролем, который направляется вам SMS-сообщением в процессе оплаты.
Для подключения сервиса вам не нужно предпринимать специальных действий, услуга работает автоматически. На контактный номер мобильного телефона, предоставленный вами Дальневосточному банку, направляются SMS-сообщения с одноразовыми паролями.
Тысячи интернет-магазинов во всем мире поддерживают технологию Verified by Visa, и все они размещают на сайте логотип Verified by Visa.
Verified by Visa и Secure Code (3D Secure)
3D Secure (он же 3D-Secure, 3-D Secure, 3Ds) — защищенный протокол авторизации пользователей для операций без присутствия карты, т. е. операций, совершаемых в сети Интернет. Их также называют «CNP-операции».
Если чуть углубиться, то смысл системы таков: в операции оплаты принимают участие 3 домена (собственно, это и дало название 3D системе), а именно домен эквайера (домен продавца и банка, в который перечисляются деньги), домен эмитента (домен банка, выдавшего карту) и домен совместимости (Interoperability Domain) (домен, предоставляемый МПС для поддержки 3Ds протокола).
Сайты, поддерживающие услуги на базе 3Ds, можно узнать по соответствующим логотипам:
для Verified by Visa
для MasterCard SecureCode
для American Express Safekey
Verified by Visa
Да, я тут пишу «банк». «банк». Дело в том, что 3DS — это лишь framework, конкретная реализация схемы аутентификации — за банком, поэтому, насколько хороша (надежна, безопасна) схема полностью зависит от банка. Да, есть «глупцы», благодаря которым и появляются все эти наукообразные статьи и «исследования», но есть и вполне себе достойные.
Уверен, что для наведения порядка в этом 3DS, Visa должна выпустить ряд требований к реализации этого 3DS, как это сделано, например в PCI DSS .
В П 2.3 «Informed consent and password choice» утверждается, что: Пользователь, сконцентрированный на приобретение товара (сценарий activation during shopping (ADS)) будет выбирать слабый пароль. Контроль оцевиден: банк не должен принимать простые пароли и вообще реализовывать политику: сложность, длина, периодическая смена, автоблокировка при неправильных вводах.
В п 2.5 предлагается некоторое усиление механизма аутентификации банка у клиента, думаю сертификата вполне достаточно (см выше). Если хочется реализовывать еще и это — лишним не будет.
П 2.6 посвящен раличным чудачествам банков относительно того, как они аутентифицируют клиентов при использовании схемы и при смене аутентификационных данных. Что же в семье, как говорится, не без урода. Требовния от Visa к реализациям аутентификации в 3DS должны решить проблему.
Сухой остаток:
▪ Ждем от Visa требований к реализации протоколов аутентификации.
▪ От банков ждем требований по безопасности endpoint-а (кое-где видел, но Visa должна обязать такие требования готовить).
▪ То, что аутентификационные механизмы отданы на реализацию банкам — правильно, с Visa только требования и разделение ответственности.