Czy nasze karty są bezpieczne?

Celem wprowadzonej przez sieci Mastercard i Visa metody 3-D Secure miało być zredukowanie przypadków oszustw przy płaceniu za pomocą kart kredytowych w internecie. Dlatego wymyślono kolejne hasło, które jest znane jedynie klientowi i bankowi. Klient podaje hasło podczas zakupów w oknie pop-up albo ramce iFrame na stronie sklepu. Zarówno okienko, jak i ramka pochodzą bezpośrednio od towarzystwa wydającego karty kredytowe, co ma uniemożliwić poznanie hasła przez osoby trzecie, np. sprzedawców.

Jednak - jak wynika z badania przeprowadzonego przez Stevena J. Murdocha i Rossa Andersona z brytyjskiego uniwersytetu Cambridge - metoda ta nie spełnia minimalnych wymogów bezpieczeństwa. Ze względu na brak paska adresu URL klient nie jest w stanie bezpośrednio rozpoznać, od kogo tak naprawdę pochodzi dana ramka albo wyskakujące okienko. Dlatego też klienci nie mogą sprawdzić autentyczności okna żądającego hasła, a cyberoszuści mają w ten sposób ułatwione zadanie. Ponieważ ustalenie hasła następuje podczas pierwszych zakupów, klient jest bardziej zainteresowany szybkim załatwieniem sprawy niż wybraniem bezpiecznego hasła. Poza tym poszczególne banki stosują niezupełnie bezpieczne metody identyfikacji klientów i ponownego ustawiania hasła w razie błędnie wprowadzanych sekwencji znaków.

Specjaliści krytykują nową metodę nie tylko ze względu na bezpieczeństwo, ale też na ilości wymienianych danych. W metodzie 3-D Secure bank musi otrzymać zestawienie kupionych produktów, aby następnie można było je pokazać nabywcy w oknie podawania hasła.

Jako krótkoterminową alternatywę dla 3-D Secure Murdoch i Anderson proponują zatwierdzanie każdej transakcji za pomocą jednorazowego hasła, które byłoby wysyłane w krótkiej wiadomości tekstowej (SMS). Jednak w dalszej perspektywie banki muszą opracować bezpieczniejsze systemy płatności, które bazowałyby np. na odpowiednich czytnikach kart.