3-D Secure

Från Wikipedia
Hoppa till navigering Hoppa till sök

3-D Secure (även 3D Secure, 3D Secure 1.0, 3D Secure 2.0, 3DS) är ett säkerhetssteg för e-handelsköp med kort. När en kund går igenom 3D Secure förflyttats ansvaret från handlaren till den kortutgivande banken.

3-D Secure är ett XML- baserat protokoll som ursprungligen utvecklats av Arcot Systems (nu CA Technologies ). Det användes första gången [1] av Visa för att förbättra säkerheten för Internetbetalningar och erbjuds kunder under namnet Verified by Visa . Tjänster baserade på protokollet har också antagits av Mastercard som Mastercard SecureCode, och av JCB International som J / Secure . American Express lade till 3-D Secure på utvalda marknader den 8 november 2010 som American Express SafeKey, och fortsätter utrullningen på ytterligare marknader. [2]

Den första versionen av 3D Secure har visat sig he flera brister när det kommer till säkerhet och användarvänlighet.

I samband med Andra betaltjänstdirektivet (PSD2) har kortnätverkens beslutsorgan EMVCo släppt ett nytt protokoll som kallas för 3D Secure 2.0. Den nya versionen är bättre anpassad för mobil handel och standardiserar alternativen för hur kunden ska legitimera sig.

Beskrivning och grundläggande aspekter[redigera | redigera wikitext]

Protokollets grundläggande koncept är skapa ett säkerhetssteg för e-handelsköp som kan liknas vid en digital pinkod. Denna extra säkerhetsautentisering baseras på en tre-domänmodell (därav 3-D i namnet). De tre domänerna är:

  • Inlösendomän (banken och handlaren till vilken pengarna betalas).
  • Kortutgivardomän (den bank som utfärdat kortet som används).
  • Interoperabilitetsdomän (den infrastruktur som tillhandahålls av kortordningen, kredit-, betalkort, förbetalda eller andra typer av betalkort, för att stödja 3-D   Säkert protokoll). Det inkluderar Internet, e-handelsplattformen, åtkomstkontrollservern och andra mjukvareleverantörer

Protokollet använder XML-meddelanden som skickas över SSL- anslutningar med klientautentisering. [3]

En transaktion som använder Verified-by-Visa eller SecureCode initierar en omdirigering till den kortutgivande bankens hemsida där kunden ombeds legitimera sig och godkänna transaktionen. Det är upp till kortutgivaren att erbjuda alternativ för kunden att legitimera sig. Det vanligaste alternativet är att korutgivaren skickar ett lösenord till kunden. I Sverige är det även standard att kunden kan legitimera sig med Bank-ID.

Huvudskillnaden mellan Visa- och Mastercard-implementeringar ligger i metoden för att generera UCAF (Universal Cardholder Authentication Field): Mastercard använder AAV (Accountholder Authentication Value) och Visa använder CAVV (Cardholder Authentication Verification Value).

Ansvarsförskjutning[redigera | redigera wikitext]

Fördelen för handlare som använder 3-D Secure 1.0 är minskningen av återkrav . En nackdel för handlare är att de måste köpa en köpoptionsplugg (MPI) för att ansluta till Visa eller Mastercard-katalogservern. Detta är dyrt   (inställningsavgift, månadsavgift och transaktionsavgift); Samtidigt representerar det ytterligare intäkter för MPI-leverantörer.

Att stötta 3-D Secure 1.0 kan orsaka komplikationer för e-handlaren och leda till färre godkända transaktioner.

Kunder och kreditkortsinnehavare[redigera | redigera wikitext]

Syftet med systemet är att minska risken för kortstöld vid e-handelsköp.

3-D Secure 1.0 implementeras oftast så att den korutgivande banken ber kunden om ett lösenord som endast banken och konsumenten känner till.

Eftersom handlaren inte känner till lösenorder och inte är ansvarig för att spara det kan den kortutgivande banken använda lösenordet för att säkerställa kundens identitet. Detta minskar risken för bedrägerier på två sätt:

  1. Det blir svårare att använda stulna kortuppgifter för att genomföra köp på nätet.
  2. Eftersom det blir svårare att använda stulna kortuppgifter på nätet så minskar hotbilden mot handlarna.

3-D Secure 1.0 kräver inte att legitimeringen utförs med ett lösenord. Andra alternativ är att kunden använder sig av sin kortläsare eller andra metoder.

En nackdel med användandet av 3-D Secure 1.0 är att kunden dirigeras om till en ny domän, där köpet genomförs. Detta gör det enklare att utföra phishing-attacker mot kortinnehavare och kan sänka konverteringen.

American Express SafeKey[redigera | redigera wikitext]

American Express SafeKey finns på följande marknader: Algeriet, Australien, Österrike, Bahrain, Bangladesh, Kina, Cypern, Egypten, Finland, Frankrike, Tyskland, Grekland, Hong Kong, Indien, Irak, Italien, Japan, Jordanien, Kenya, Kuwait Libanon, Lesotho, Libyen, Malaysia, Mauretanien, Mongoliet, Marocko, Namibia, Nederländerna, Nya Zeeland, Oman, Peru, Filippinerna, Qatar, Ryssland, San Marino, Singapore, Somalia, Sydafrika, Spanien, Sri Lanka, Sverige, Schweiz, Tanzania, Tunisien, Turkiet, UAE, Uganda, Storbritannien, Vatikanstaten, Vietnam, Jemen. [4]

Kritik mot 3-D Secure 1.0[redigera | redigera wikitext]

Risk för phishing[redigera | redigera wikitext]

Eftersom 3-D Secure 1.0 kräver att kunden dirigeras om till ett nytt fönster finns det risk för att kunden utsätts för phishing. Kortinnehavaren behöver avgöra om sidan verkligen är från deras kortutgivare när det kan vara från en bedräglig webbplats som försöker stjäla kortuppgifterna.

Mobila betalningar

3-D Secure 1.0 fungerar dåligt på mobila webbläsare på grund av den vanliga bristen på vissa funktioner som omdirigeringar och popup-fönster. Detta skapar en sämre användarupplevelse.

Begränsad mobilitet[redigera | redigera wikitext]

I fall där banken kräver att kunden legitimerar sig med en sms-kod i mobilen sänks konverteringen ibland av att kunden inte har mobiltäckning.

3D Säker som stark kundautentisering[redigera | redigera wikitext]

Den nyaste versionen av 3-D Secure, som innehåller engångslösenord, är en form av programvarubaserad stark kundautentisering . Den äldre varianten med statiska lösenord uppfyller emellertid inte Europeiska centralbankens (ECB) januari 2013-krav.

3D Secure 2.0 (EMV® 3DS)[redigera | redigera wikitext]

EMVCo är sedan januari 2015 ansvarig för utvecklingen av ansvarig för utvecklingen av EMV 3-D Secure 2.0 Specification. [5] Det är ett företag som ägs gemensamt av American Express, Discover, JCB, Mastercard, UnionPay och Visa och ses som kortnätverkens beslutsorgan.

I oktober 2016 publicerade EMVCo specifikationerna för 3D Secure 2.0. [6] Skillnaderna mellan den nya versionen och den ursprungliga 3D Secure 2.0 innehåller: [7]

  • Förbättrade dataflöden med kompletterande information för bättre beslut om autentisering
  • Autentisering av betalningsanvändare,
  • Icke-standardiserade tillägg för att uppfylla specifika regler och krav, inklusive egna autentiseringslösningar utanför bandet, som används av kortutgivare
  • Bättre prestanda för end-to-end databehandling
  • Förbättrade dataset för riskbaserad autentisering
  • Förebyggande av oautentiserad betalning, även om kortinnehavarens kortnummer är stulen eller klonat
  • Förbättrar funktionalitet som gör det möjligt för grossister att integrera autentiseringsprocessen i sina checkout-erfarenheter, både för app- och webbläsarbaserade implementeringar.
  • Aktiverar kontoinriktad kontoverifiering.
  • Stödjer specifika appbaserade inköp på mobila och andra konsumentenheter.

3D Secure 2.0 förbättrar användarupplevelsen för betalningar på nätet och i mobilen.

Se även[redigera | redigera wikitext]

  • e-handel
  • Säker elektronisk transaktion (SET)
  • Merchant plug-in (MPI)
  • Stark kundgodkännande

Referenser[redigera | redigera wikitext]

”Why 3-D Secure is Primed For Ignition”. ca.com. https://www.ca.com/content/dam/ca/us/files/ebook/why-3d-secure-is-primed-for-ignition.pdf.  ”How to make online payments both convenient and secure”. https://www.youtube.com/watch?v=Y9Zb_hF2sV4&t=2240s. 

  1. ^ ”Visa USA tightens security with Arcot”. ZDnet. http://www.zdnet.com/article/visa-usa-tightens-security-with-arcot/. 
  2. ^ ”SafeKey”. AmericanExpress.com. Arkiverad från originalet den 7 augusti 2011. https://web.archive.org/web/20110807121352/http://about.americanexpress.com/news/pr/2010/safekey.aspx. Läst 13 maj 2019. 
  3. ^ http://people.sabanciuniv.edu/levi/cs432/xxspring%202008%20fsdfgsd/3D_Secure_Emre_Kaplan.pdf
  4. ^ ”Home | American Express SafeKey”. Network.americanexpress.com. https://network.americanexpress.com/uk/en/safekey/index.aspx?linknav=UK-mer-merchant-SafeKey-home. Läst 2 mars 2015. 
  5. ^ ”3D Secure 2.0”. 3dsecure2.com. https://3dsecure2.com/frictionless-flow/. 
  6. ^ . https://www.emvco.com/emv-technologies/3d-secure/. 
  7. ^ https://www.emvco.com/media-centre/emv-3ds-press-kit/

Externa länkar[redigera | redigera wikitext]