Noticias de Seguridad Informática - Segu-Info

Cargando...

viernes, 29 de enero de 2010

11:53:00

Verified by Visa y MasterCard Securecode: cuando se diseñan mal los mecanismos de autenticación

Me gustaría enlazar un paper en el que se pone, de una manera ordenada y por escrito, lo que muchos piensan desde hace mucho tiempo: no siempre las implementaciones del protocolo 3-D Secure para tarjetas financieras están bien hechas.

Este protocolo, utilizado en los programas Verified by Visa y MasterCard Securecode, tiene como objetivo principal reducir el fraude con medio de pago no presente. La idea es generar, para cada plástico, un código que será requerido para autenticar una transacción de comercio electrónico. Este código ha de introducirse en una ventana generalmente independiente con el objetivo de que el legítimo titular de la tarjeta demuestre que es él y no otra persona el que está ejecutando la transacción. Este protocolo, tal y como hemos comentado, surgió con la idea de proteger a los usuarios de los fraudes con medio de pago no presente, es decir, de aquellas compras realizadas por los atacantes sin estar en posesión de la tarjeta, pero en las que se utilizan datos previamente adquiridos (generalmente por skimming o troyanización de estaciones), como el titular, el PAN o número de tarjeta, la fecha de caducidad y el código de verificación.

verified by visa

El documento se titula Veri fied by Visa and MasterCard SecureCode: or, How Not to Design Authentication y es una crítica a cómo algunas implementaciones de estos formularios de autenticación de transacciones obvian que al usuario se le lleva años educando para, entre otras cosas, tratar de discernir si el dominio donde introduce datos casa con el dominio habitual de un negocio o empresa, o para advertir la presencia de certificados HTTPS, entre otras cosas. Por otro lado, los navegadores han empujado en este sentido bastante, introduciendo mejoras como la coloración de la barra de herramientas, el resalte del nombre de dominio, la gestión de certificados, los controles antiphishing ... todo con una única finalidad: intentar que los usuarios detecten por sí mismos sitios fraudulentos o sospechosos.

Y claro, si implementas 3-D Secure y te cepillas esas medidas, flaco favor le haces a la seguridad de tus clientes y en general, al esfuerzo que durante años muchísimas personas han invertido en tratar de que las cifras de fraude, en vez de aumentar constantemente, se estabilicen o reduzcan.


Fuente: Sergio Hernando

Compartir
Publicado por sb a las 11:53:00-Permanente -
Etiquetas:
Posts Relacionados:

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!

Suscribirse a: Comentarios de la entrada (Atom)

Aquí y Ahora

 
 Widget de Google 

Acerca de Segu-Info

Segu-Info es un emprendimiento personal de Lic. Cristian Borghello CISSP - MVP que brinda información sobre Seguridad de la Información desde el año 2000. Segu-Info es la Comunidad de Seguridad de la Información más grande de habla hispana. Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons a menos que se indique lo contrario. Cristian Borghello no se hace responsable del contenido o comentarios de terceros.

  ©Template desarrollado por Dicas Blogger y Adaptado por SoloE para Segu-Info - 2009