3D 보안 - 3-D Secure

3-D Secure 는 온라인 신용직불 카드 거래를 위한 추가 보안 계층으로 설계된 프로토콜입니다 . 이 이름은 프로토콜을 사용하여 상호 작용하는 "3 개의 도메인"을 나타냅니다 : 판매자 / 매입자 도메인, 발급자 도메인 및 상호 운용성 도메인. [1]

원래는 Arcot Systems (현 CA Technologies )와 Visa [2] 가 인터넷 결제 보안을 개선 할 목적으로 개발 했으며 Visa 안심 클릭 브랜드 로 고객에게 제공되었습니다 . 프로토콜에 기반 서비스도에 의해 채택 된 마스터 카드안전 코드 에 의해 발견 ProtectBuy로, [3] 에 의해 JCB 인터내셔널J / 안전 , 그리고에 의해 아메리칸 익스프레스 와 같은 아메리칸 익스프레스 SafeKey . [4] EMVCo 는 그 이름 으로 나중에 프로토콜을 개정했습니다.EMV 3-D 보안 . 프로토콜의 버전 2는 새로운 EU 인증 요구 사항을 준수하고 원래 프로토콜의 일부 단점을 해결하기 위해 2016 년에 게시되었습니다. [5]

학계에서 프로토콜의 첫 번째 버전을 분석 한 결과 피싱에 대한 더 큰 표면적 과 사기 지불의 경우 책임의 이동을 포함하여 소비자에게 영향을 미치는 많은 보안 문제가있는 것으로 나타났습니다 . [6]

설명 및 기본 측면

프로토콜의 기본 개념은 금융 인증 프로세스를 온라인 인증과 연결하는 것입니다. 이 추가 보안 인증은 3- 도메인 모델 (따라서 이름 자체의 3-D)을 기반으로합니다. 세 가지 도메인은 다음과 같습니다.

  • 취득자 도메인 (대금이 지급되는 은행 및 판매자).
  • 발급자 도메인 (사용중인 카드를 발급 한 은행)
  • 상호 운용성 도메인 (3-D 보안 프로토콜을 지원하기 위해 카드 체계, 신용, 직불, 선불 또는 기타 유형의 지불 카드에서 제공하는 인프라). 여기에는 인터넷, 판매자 플러그인, 액세스 제어 서버 및 기타 소프트웨어 제공 업체가 포함됩니다.

프로토콜은 클라이언트 인증 [7] 과 함께 SSL 연결을 통해 전송 된 XML 메시지를 사용합니다 (디지털 인증서를 사용하여 두 피어, 서버 및 클라이언트의 신뢰성을 보장합니다).

Verified-by-Visa 또는 SecureCode를 사용하는 거래는 거래를 승인하기 위해 카드 발급 은행의 웹 사이트로 리디렉션됩니다. 각 발급자는 모든 종류의 인증 방법을 사용할 수 있지만 (프로토콜은이를 다루지 않음) 일반적으로 온라인 구매시 카드에 연결된 암호 를 입력합니다. Verified-by-Visa 프로토콜은 은행의 확인 페이지를 인라인 프레임 세션 에로드하도록 권장합니다 . 이러한 방식으로 은행의 시스템은 대부분의 보안 침해에 대해 책임을 질 수 있습니다. 오늘날에는 인증 을 위해 SMS 문자 메시지의 일부로 일회용 암호 를 사용자의 휴대폰과 이메일 로 보내는 것이 쉽습니다 . 최소한 등록 과정에서 그리고 암호를 잊어 버린 경우입니다.

Visa와 Mastercard 구현의 주요 차이점은 UCAF (Universal Cardholder Authentication Field)를 생성하는 방법에 있습니다. Mastercard는 AAV (Accountholder Authentication Value)를 사용하고 Visa는 CAVV (Cardholder Authentication Verification Value)를 사용합니다. [ 설명 필요 ]

3D 보안 흐름

ACS 제공 업체

3D 보안 프로토콜에서 ACS (액세스 제어 서버)는 발급자 측 (은행)에 있습니다. 현재 대부분의 은행은 ACS를 타사에 아웃소싱합니다. 일반적으로 구매자의 웹 브라우저에는 은행의 도메인 이름이 아닌 ACS 제공 업체의 도메인 이름이 표시됩니다. 그러나 이것은 프로토콜에서 필요하지 않습니다. ACS 공급자에 따라 ACS에서 사용할 은행 소유 도메인 이름을 지정할 수 있습니다.

MPI 공급자

각 3D Secure 버전 1 트랜잭션에는 VEReq / VERes 및 PAReq / PARes의 두 가지 인터넷 요청 / 응답 쌍이 포함됩니다. [8] Visa 및 Mastercard는 판매자가 서버에 직접 요청을 보내는 것을 허용하지 않습니다. 판매자는 대신 MPI ( 판매자 플러그인 ) 제공 업체 를 사용해야합니다 .

상인

판매자의 장점은 '승인되지 않은 거래' 지불 거절 이 줄어든다는 것 입니다. 가맹점의 한 가지 단점 은 Visa 또는 Mastercard 디렉토리 서버에 연결하기 위해 가맹점 플러그인 (MPI)을 구입해야한다는 것 입니다. 이것은 비용이 많이 듭니다 [ 명확화 필요 ] (설치비, 월별 사용료 및 거래 당 수수료). 동시에 MPI 제공 업체의 추가 수익을 나타냅니다. 3-D Secure를 지원하는 것은 복잡하며 때때로 트랜잭션 실패를 초래합니다. 가맹점의 가장 큰 단점은 많은 사용자가 추가 인증 단계를 성가신 또는 장애물로 간주하여 거래 포기 및 수익 손실을 크게 증가 시킨다는 것입니다. [9]

구매자와 신용 카드 소지자

가장 최근의 3-D Secure 구현에서 발급 은행 또는 해당 ACS 제공 업체는 구매자에게 은행 / ACS 제공 업체 및 구매자에게만 알려진 암호를 입력하라는 메시지를 표시합니다. 판매자는이 비밀번호를 모르고이를 캡처 할 책임이 없기 때문에 발급 은행에서 구매자가 실제로 카드 소지자라는 증거로 사용할 수 있습니다. 이는 두 가지 방법으로 위험을 줄이는 데 도움이됩니다.

  1. 카드 자체에 번호를 적어 두거나 수정 된 단말기 또는 ATM을 통해 카드 세부 정보를 복사하면 카드에 저장되거나 기록되지 않은 추가 암호로 인해 인터넷을 통해 구매할 수 없습니다. .
  2. 판매자가 암호를 캡처하지 않기 때문에 온라인 판매자의 보안 사고로 인한 위험이 줄어 듭니다. 사고로 인해 해커가 다른 카드 세부 정보를 얻을 수는 있지만 관련 암호를 얻을 수있는 방법은 없습니다.

3-D Secure는 암호 인증 사용을 엄격히 요구 하지 않습니다 . 스마트 카드 리더 , 보안 토큰 등과 함께 사용하는 것이 [ 인용 필요 ] 가능하다고합니다 . 이러한 유형의 장치는 구매자가 보안 암호를 사용하지 않아도되므로 고객에게 더 나은 사용자 경험을 제공 할 수 있습니다. 일부 발급자는 현재 칩 인증 프로그램 또는 동적 암호 인증 체계의 일부로 이러한 장치를 사용하고 있습니다. [ 인용 필요 ]

한 가지 중요한 단점은 벤더의 MPI 구현과 은행을 통해 아웃소싱 된 ACS 구현을 사용하여 카드 소지자에 대한 피싱 공격을 더 쉽게 수행 할 수 있으므로 카드 소지자가 자신의 브라우저가 익숙하지 않은 도메인 이름에 연결되는 것을 볼 수 있다는 것입니다.

일반적인 비판

사이트 ID의 검증 가능성

이 시스템은 온라인 거래 과정에서 나타나는 팝업 창 또는 인라인 프레임을 포함하며, 카드 소지자는 거래가 합법적 인 경우 카드 발급 은행이 인증 할 수있는 암호를 입력해야합니다. 카드 소지자의 문제는 팝업 창이나 프레임이 카드 소지자의 세부 정보를 수집하려는 사기성 웹 사이트에서 온 것일 수 있는데 실제로 카드 발급 사로부터 온 것인지 판단하는 것입니다. 이러한 팝업 창 또는 스크립트 기반 프레임에는 보안 인증서에 대한 액세스 권한이 없으므로 3-DS 구현의 자격 증명을 확인할 수있는 방법이 없습니다.

Visa 인증 시스템은 사용자가 합법적 인 Visa 인증 팝업 창 또는 인라인 프레임을 구별하기 어렵 기 때문에 [10] [11] [12] [13] 비판을 받았습니다. 사기성 피싱 사이트. 이는 다음과 같은 도메인에서 팝업 창이 제공되기 때문입니다.

  • 사용자가 쇼핑하는 사이트가 아닙니다.
  • 카드 발급 은행이 아님
  • visa.com 또는 mastercard.com이 아님

어떤 경우에는 Verified-by-Visa 시스템이 사용자에 의해 피싱 사기로 오인되어 [14] 일부 피싱 사기의 표적이되었습니다. [15] 팝업 대신 인라인 프레임 ( iframe ) 을 사용하라는 새로운 권장 사항 은 사용자가 처음에 페이지가 진짜인지 확인하는 것이 불가능하지는 않더라도 더 어렵게 만드는 대신 사용자 혼란을 줄였습니다. 장소. 2011 년부터 [ 업데이트 필요 ]대부분의 웹 브라우저는 iframe의 콘텐츠에 대한 보안 인증서를 확인하는 방법을 제공하지 않습니다. 그러나 현재 등록 프로세스를 구현하려면 나중에 Visa 안심 클릭 팝업에 표시되는 개인 메시지를 입력해야하므로 사이트 유효성에 대한 이러한 우려 중 일부는 완화됩니다. 사용자 팝업은 정품입니다. [16]

일부 카드 발급 사는 또한 ADS (활성화-쇼핑 중-쇼핑)를 사용합니다. [17] 이 제도에 등록되지 않은 카드 소지자에게는 구매 과정에서 가입 (또는 강제 가입) 기회가 제공됩니다. 일반적으로 카드 발급자에게 알려야하는 보안 질문 에 답하여 신원을 확인 해야하는 양식으로 이동합니다. 다시 말하지만,이 정보를 제공하는 사이트를 쉽게 확인할 수없는 iframe 내에서 수행됩니다. 크랙 된 사이트 또는 불법 판매자는 이러한 방식으로 고객으로 위장하는 데 필요한 모든 세부 정보를 수집 할 수 있습니다.

3-D Secure 가입을 구현하면 사용자가 3-D Secure 및 그 이용 약관에 가입하기로 동의 할 때까지 구매를 진행할 수 없으며 페이지에서 다른 방식으로 탐색 할 수있는 방법을 제공하지 않습니다. 닫으면 트랜잭션이 일시 중단됩니다.

구매 과정에서 카드 등록의 위험을 감수하고 싶지 않은 카드 소지자는 상거래 사이트에서 어느 정도 브라우저를 제어하며, 경우에 따라 별도의 브라우저 창에서 은행 홈페이지로 이동하여 거기에서 등록 할 수 있습니다. 상거래 사이트로 돌아가서 다시 시작하면 카드가 등록되어 있는지 확인해야합니다. 등록 할 때 선택한 개인 보증 메시지 (PAM)의 암호 페이지에있는 존재는 페이지가 은행에서 온다는 확인입니다. 이것은 여전히 man-in-the-middle 공격의 가능성을 남깁니다.카드 소지자가 암호 페이지에 대한 SSL 서버 인증서를 확인할 수없는 경우. 일부 상거래 사이트는 덜 안전한 개체 인 프레임 (반드시 iFrame은 아님)을 사용하는 대신 전체 브라우저 페이지를 인증에 사용합니다. 이 경우 브라우저의 자물쇠 아이콘에 은행 또는 인증 사이트 운영자의 신원이 표시되어야합니다. 카드 소지자는 카드가 은행의 도메인이 아닌 경우 카드를 등록 할 때 방문한 동일한 도메인에 있음을 확인할 수 있습니다.

모바일 브라우저는 프레임 및 팝업과 같은 특정 기능이 일반적으로 부족하기 때문에 3D 보안에 특별한 문제가 있습니다. 판매자가 모바일 웹 사이트를 가지고 있더라도 발급자가 모바일을 인식하지 않으면 인증 페이지가 제대로 렌더링되지 않거나 전혀 렌더링되지 않을 수 있습니다. 결국, 많은 [ 모호한 ] 분석가들은 쇼핑 중 활성화 (ADS) 프로토콜이 제거하는 것보다 더 많은 위험을 유발하고 더 나아가 이러한 증가 된 위험을 소비자에게 전가 시킨다는 결론을 내 렸습니다.

경우에 따라 3-D Secure는 카드 소지자에게 보안을 거의 제공하지 않으며 은행이나 소매 업체의 사기 거래에 대한 책임을 카드 소지자에게 전달하는 장치 역할을 할 수 있습니다. 3-D Secure 서비스에 적용되는 법적 조건은 때때로 카드 소지자가 사기성 "카드 소지자가없는"거래로부터 책임을 회피하기 어렵게하는 방식으로 표현됩니다. [18]

지리적 차별

은행과 상인은 여러 지리적 위치에서 카드를 발행하는 은행과 관련하여 3D 보안 시스템을 불균등하게 사용할 수 있으며, 예를 들어 미국 내에서 발행 한 카드와 미국에서 발행하지 않은 카드를 구분할 수 있습니다. 예를 들어 Visa와 Mastercard는 통합되지 않은 미국 영토푸에르토 리코미국 내 지역아닌 미국 이외의 국가로 취급하기 때문에 카드 소지자는 50 개 주에있는 카드 소지자보다 3D 보안 쿼리가 더 많이 발생할 수 있습니다. 푸에르토 리코 소비자 부 "균등 대우"경제 차별 사이트 에서 이러한 효과에 대한 불만을 접수했습니다 . [19]

강력한 고객 인증으로 3D 보안

일회용 암호를 통합하는 3-D Secure 버전 2는 EU의 개정 된 지불 서비스 지침 (PSD2)에 정의 된 소프트웨어 기반의 강력한 고객 인증 의 한 형태입니다 . 이전 변종은 정적 암호를 사용했는데, 이는 지침의 요구 사항을 충족하기에 충분하지 않습니다.

3-D Secure는 발급자가 적극적으로 참여하고 발급 된 카드가 카드 소지자에 의해 등록되었는지 확인하는 데 의존합니다. 따라서 인수자는 강력한 고객 인증을 수행하지 않고 등록되지 않은 카드를 수락하거나 3-D Secure 구현이없는 소규모 카드 체계의 거래를 포함하여 그러한 거래를 거부해야합니다.

대체 접근 방식은 발급자에게 사전 등록을 요구하지 않고 획득 측에서 인증을 수행합니다. 예를 들어 PayPal의 특허받은 '검증' [20] 은 하나 이상의 더미 거래를 사용하여 신용 카드로 전달되며 카드 소유자는 이러한 거래의 가치를 확인해야합니다. 상인 및 카드 소지자. iSignthis라는 특허받은 [21] 시스템은 합의 된 거래 금액을 2 개 (또는 그 이상의) 임의의 금액으로 분할하고 카드 소지자는 명세서에있는 금액을 확인하여 자신이 계정의 소유자임을 증명합니다. [22]

ACCC는 3D 보안 제안을 차단합니다.

A proposal to make 3-D Secure mandatory in Australia was blocked by the Australian Competition and Consumer Commission (ACCC) after numerous objections and flaw-related submissions were received.[23]

India

Some countries like India made use of not only CVV2, but 3-D Security mandatory, a SMS code send from a bank and typed in browser when you are redirected when you click "purchase" to payment system or bank system site where you type that code and only then the operation is accepted. Nevertheless Amazon can still do transactions from other countries with turned on 3-D Security.[24]

3-D Secure 2.0

In October 2016, EMVCo published the specification for 3-D Secure 2.0; it is designed to be less intrusive than the first version of the specification, allowing more contextual data to be sent to the customer's bank (including mailing addresses and transaction history) to verify and assess the risk of the transaction. The customer would only be required to pass an authentication challenge if their transaction is determined to be of a high risk. In addition, the workflow for authentication is designed so that it no longer requires redirects to a separate page, and can also activate out-of-band authentication via an institution's mobile app (which, in turn, can also be used with biometric authentication). 3-D Secure 2.0 is compliant with EU "strong customer authentication" mandates.[5][25][26]

See also

References

  1. ^ https://www.emvco.com/emv-technologies/3d-secure/
  2. ^ "Visa USA tightens security with Arcot". ZDnet.
  3. ^ "ProtectBuy". discover.com.
  4. ^ "SafeKey". AmericanExpress.com. Archived from the original on 2011-08-07. Retrieved 2010-08-11.
  5. ^ a b "Merchants can't let 'PSD2' and 'SCA' be vague initials". PaymentsSource. Retrieved 2019-07-11.
  6. ^ "Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication" (PDF).
  7. ^ http://people.sabanciuniv.edu/levi/cs432/xxspring%202008%20fsdfgsd/3D_Secure_Emre_Kaplan.pdf
  8. ^ "Verified by Visa Implementation Guide" (PDF).
  9. ^ "Are Verified by Visa and MasterCard SecureCode Conversion Killers?". practicalecommerce.com. Retrieved 2013-07-30. This 2010 study documented increases in the number of abandoned transactions of 10% to 12% for merchants newly joining the program.
  10. ^ "Antiworm: Verified by Visa (Veriphied Phishing?)". Antiworm.blogspot.com. 2006-02-02. Retrieved 2010-08-11.
  11. ^ Muncaster, Phil. "Industry lays into 3-D Secure - 11 Apr 2008". IT Week. Archived from the original on 2008-10-07. Retrieved 2010-08-11.
  12. ^ Brignall, Miles (2007-04-21). "Verified by Visa scheme confuses thousands of internet shoppers". The Guardian. London. Archived from the original on 6 May 2010. Retrieved 2010-04-23.
  13. ^ "Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication" (PDF). Retrieved 2010-08-11.
  14. ^ "Is securesuite.co.uk a phishing scam?". Ambrand.com. Retrieved 2010-08-11.
  15. ^ "Verified By Visa Activation – Visa Phishing Scams". MillerSmiles.co.uk. 2006-08-22. Archived from the original on 8 July 2010. Retrieved 2010-08-11.
  16. ^ "Verified by Visa FAQs". www.visa.co.uk. Retrieved 6 October 2016.
  17. ^ "Activation During Shopping" (PDF). Visaeurope.com. Retrieved 2010-08-11.
  18. ^ "Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication" (PDF). Retrieved 2012-04-23.
  19. ^ "daco.pr.gov". daco.pr.gov. Archived from the original on 2014-08-12. Retrieved 2014-07-17.
  20. ^ "US2001021725 System and Method for Verifying a Financial Instrument". Patentscope.wipo.int. 2002-01-17. Retrieved 2014-07-17.
  21. ^ "AU2011000377 Methods and Systems for Verifying Transactions". Patentscope.wipo.int. Retrieved 2014-07-17.
  22. ^ "EPCA Payment Summit: iSignthis presents its authentication service as an alternative to 3D Secure". The Paypers. Retrieved 2014-07-17.
  23. ^ "ACCC Releases Draft Determination Against Mandated Use Of 3D Secure For Online Payments".
  24. ^ "Amazon.in Help: About CVV and 3-D Secure". www.amazon.in. Retrieved 2020-06-17. 3-D secure password has been made mandatory by the Reserve Bank of India to ensure safer online shopping. This will prevent misuse of a lost/stolen card as the user will be unable to proceed unless they enter the password associated with your card, created by yourself and known only to you.
  25. ^ "Adyen Touts Its 3-D Secure 2.0 Service As "First" to Market". Digital Transactions. Retrieved 2019-07-11.
  26. Godement, Olivier. "Stripe : 3D Secure 2-3DS2 인증 가이드" . 스트라이프 . 2019711 일에 확인 함 .

외부 링크