Autenticazione a due fattori utilizzando CVV e codice di sicurezza 3D

Naviga le tue risposte
1

Mentre si effettua online con la carta di debito / credito, invece di usare OTP (ricevuto sul cellulare), si può usare un codice di sicurezza 3D (verificato da Visa o Mastercard) che è noto all'utente. Se questo si qualifica per l'autenticazione a due fattori (dato che tutti i dettagli sono la categoria che conosci ma non quella che hai o che categorie sei)? In secondo luogo, in caso di sistema compromesso (computer hackerato) ciò porterà a un totale compromesso (nessuna segretezza in avanti). So che l'OTP tramite cellulare non è sempre disponibile (nessun problema di congestione della rete o della rete), ma l'uso di questo schema non aggiunge alcuna sicurezza (nel caso in cui un avversario co-esistente sia una macchina hackerata). Si prega di commentare.

    
posta Nishant Sharma 21.12.2014 - 17:16
fonte

1 risposta

6

No, chiedere una password o una risposta segreta tramite 3D Secure è "qualcosa che conosci" e non un'altra categoria di autenticazione in quanto i dati del titolare della carta (numero, data di scadenza, codice) potrebbero anche essere "qualcosa che conosci". Per qualificarsi per "qualcosa che hai" sarà necessario verificarlo in tempo reale.

Applicazioni come Google Authenticator e dongle 2FA possono funzionare offline in modo che funzionino in una situazione in cui la ricezione dei cellulari è scarsa.

Sebbene 3D Secure non sia un'autenticazione a due fattori, può aggiungere sicurezza in quanto i dettagli di sicurezza 3D non vengono inviati direttamente al commerciante con il resto dei dati dei titolari di carta. Spesso vengono inviati direttamente a un'autorità di autenticazione come Arcot e quindi restituiscono un codice al commerciante che indica se i dettagli di sicurezza 3D sono corretti e che il processore di schede si assumerà la responsabilità per eventuali frodi piuttosto che per il commerciante. Detto questo, l'attuale implementazione lascia molto a desiderare. Spesso la pagina di autenticazione di Arcot, sebbene sia HTTPS, viene caricata all'interno di un IFrame all'interno del sito web del commerciante, non consentendo all'utente medio di controllare la barra degli indirizzi per verificare dove vengono inviate le risposte 3D Secure.

    
risposta data 21.12.2014 - 17:47
fonte

Leggi altre domande sui tag

È possibile limitare gli account di posta elettronica all'interno di un computer? Il dot è sicuro rispetto all'iniezione sql?