Parę dni temu ING Bank Śląski
wprowadził nowy sposób autoryzacji transakcji internetowych kartami
kredytowymi – 3D Secure. Dla niezorientowanych w temacie
przypominam, że 3D Secure to nic innego jak autoryzacja płatności
hasłami jednorazowymi. O ile potwierdzanie w ten sposób przelewów
wykonywanych z konta bankowego jest na porządku dziennym, o tyle w
przypadku płatności z karty wciąż jest rzadko spotykany. Śląski
wcześniej już wprowadził te metodę do autoryzacji transakcji
debetówkami. Nowość tę ma w swojej ofercie jeszcze tylko kilka
banków, m.in. BZ WBK, Millennium i Citi Handlowy.
Pojawia się jednak zasadnicze pytanie:
czy aby na pewno sposób autoryzacji uważany za najbezpieczniejszy
jeżeli chodzi o transakcje dokonywane z poziomu konta internetowego
jest równie bezpieczny, w przypadku płatności kartami? Ziarno
niepewności zasiane zostało ostatnio, gdy przez zupełny przypadek
udało się ominąć to zabezpieczenie jednemu z klientów Citi Handlowego.
Informację na ten temat opublikował serwis Niebezpiecznik.pl.
Dostępna jest pod tym adresem:
O co chodzi? Właściciel karty
kredytowej Handlowego chciał zapłacić za zakupy na Allegro. Gdy
pojawiło się okienko autoryzacyjne z prośbą o podanie hasła
jednorazowego, kliknął odpowiedni przycisk, ale hasło nie dotarło.
Poprosił o nie ponownie, ale system zamiast wygenerować nowe hasło
po prostu autoryzował transakcję, bez wpisania odpowiedniego ciągu
cyfr.
Okazało się, że w przypadku, gdy nie
ma możliwości wygenerowania hasła jednorazowego, co może być
spowodowane różnymi przyczynami, np. technicznymi, system nie
przerywa transakcji, tylko umożliwia jej dokonanie bez potwierdzenia
hasłem.
Bank wyjaśnił, że przyczyną tej
sytuacji jest błąd po stronie firmy dostarczającej zabezpieczenie
3D Secure. Oznacza jednak, że jeżeli ktoś zgubiłby kartę a
znalazca chciałby wykonać nią płatność nim zostanie
zastrzeżona, mógłby zrobić to bez najmniejszego problemu. To
stawia pod znakiem zapytania przydatność 3D Secure, jako metody
zapewniającej bezpieczeństwo internetowych zakupów. Mam nadzieję,
że to rzeczywiście był wypadek przy pracy i w przyszłości
podobnych sytuacji nie będzie. Bo gdyby jednak się powtarzały,
mogłyby znacznie utrudnić upowszechnienie się tej metody
uwierzytelniania transakcji, uznawanej za jedną z najbardziej niezawodnych.
Brak komentarzy:
Prześlij komentarz