3-D Secure protokol je podľa výskumníkov z Cambridgea zlý

Výskumníci Steven J. Murdoch a Ross Anderson z University of Cambridge sa v dokumente nazvanom Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication rozhodli opísať nedostatky protokolu 3-D Secure.

Protokol postavený na technológii XML bol vyvinutý spoločnosťou Visa a jeho úlohou je poskytnúť používateľom ďalšiu vrstvu zabezpečenia on-line transakcií. Medzi zákazníkmi je známy ako Verified by Visa a MasterCard SecureCode. Profesori v dokumente tvrdia, že protokol 3-D Secure sa presadil oproti menej populárnym alternatívam, ako sú OpenID, InfoCard alebo Liberty, najmä pre ekonomické pozadie, a nie kvalitu, čo sa týka bezpečnosti.

Výskumníci pokladajú za veľký problém to, že formulár na vyplnenie je klientovi poskytnutý formou IFRAME alebo pop-up okna bez panela s adresou. To podľa nich môže používateľov miasť a popiera to zaužívanú praktiku vypĺňať kritické informácie iba na stránkach so šifrovaným spojením, ktoré webové prehliadače viditeľne označia určitým symbolom, napr. zámkou. Internet Explorer 8 zobrazí pri šifrovanom spojení panel s adresou zelenou farbou.

Ďalší nedostatok je vraj to, že pri prvej on-line transakcii sa od používateľa vyžaduje zadanie hesla a niektoré banky môžu požadovať na overenie totožnosti klienta aj zadanie nejakého identifikátora, ako je napríklad dátum narodenia. To môže priviesť používateľov k pochybám, keďže to pripomína praktiky phisherov. Výskumníci takisto poukazujú na to, že napríklad Royal Bank of Scotland popri používaní technológie 3-D Secure zahrnula do svojich podmienok aj prenesenie zodpovednosti za prípadné škody spôsobené on-line podvodom na klienta.

Zdroj:
www.securecomputing.net.au
www.cl.cam.ac.uk

Prečítajte si tiež:

Bezpečnosť TLS na slovenských serveroch (pred 3 rokmi)