Re: [討論] VISA網路驗證

看板creditcard (信用卡)作者 (Leave)時間16年前 (2008/12/24 00:28), 編輯推噓6(606)
留言12則, 8人參與, 最新討論串2/3 (看更多)
既然有人提到雙因子驗證,不妨來聊一下這種VISA/Master線上輸入密碼的 驗證強弱度問題。 資訊安全裡談身份驗證(Identification Authentication) 有三因子: 1.型一因子(something you know): 簡單說就是只有你才會知道的東西。密碼、口令這種東西都屬於之。 2.型二因子(something you have): 簡單說就是只有你才會有,別人不會有的東西。像是身份證,金融卡這種東西。 3.型三因子(something you are): 簡單說就是你的特徵。例如:指紋、視網膜。 至於哪一種因子強度最強,其實到目前為止都沒有一個定論。且每一種因子驗證 方法亦會影響其安全性。(例如前面有人提到的OTP動態密碼當然相對比靜態密 碼安全) 因此嚴謹的驗證至少都要採取雙因子驗證(Two-factor authentication) 就是至少要包含上面三種因子的兩種以上稱之。 舉例來說,我們去銀行ATM領錢,金融卡(只有你有)+提款PIN(只有你知道)就是 一個嚴謹的身份驗證過程。 (請不要去和我講什麼身份證可能遺失,金融卡可能借給人家用,信用卡可能會掉… 這些都不是正常情況的使用方式,因為在「理論上」,這些東西都是屬於你個人該 保管好,也是只有你個人才能使用的東西) OK…進入正題。以我個人觀點來看這種驗證機制到底符不符合雙因子驗證。 我個人認為是勉強可以算雙因子,但強度不純。 驗證方式應該屬於「信用卡(的卡號)」(只有你有)+密碼(只有你知道)來完成 這個過程。 但問題點就在於信用卡卡號不若現實中的身份證,就是真的只有那一份。 隨便搜尋一下也知道網路上可以找出一堆信用卡卡號產生機(只是產生出來的能 不能通過銀行授權刷卡又是另一回事) 因此雙因子驗證的這部份個人覺得就是有問題的了。既然信用卡卡號雖然理論上 是只有你才知道,但實務上又不是這麼pure的東西。(相較之下,金融卡的晶片 機制和身份證的防偽措施反而相當可靠) 但話又說回來,網路上刷卡真的這麼恐怖嗎?依據統計卡會被盜刷,百分之九十 都不是出現在資料傳送的過程,而是發生在人為故意行為(例如是傳送到商店, 給不肖店員記錄卡號),以目前的技術而言,消費者倒無須太過擔心這一塊。 (當然,這部份見仁見智,但至少以我認知是這樣認為。這種情況很像很多人家 中築了超高的圍牆,超先進的保全設備,但真實例子中卻告訴我們,發生問題都 不是在你擔心的外賊,而是內部的人。) 老話一句:怕者不用;用者不怕。 -- 一片金融風暴中,銀行哀鴻遍野,所幸有國內公務員提出因應之道:

10/25 21:51,
很多人開戶,資金也會增加,銀行也多賺很多利息阿
10/25 21:51
-- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.62.4.21

12/24 03:56, , 1F
推 怕者不用;用者不怕。
12/24 03:56, 1F

12/24 08:29, , 2F
推專業!
12/24 08:29, 2F

12/24 08:53, , 3F
受教了 最後一句真有道理
12/24 08:53, 3F

12/24 10:04, , 4F
推最後一句。
12/24 10:04, 4F

12/24 16:43, , 5F
謝謝說明 信用卡卡片資訊不算第二因子 不過若使用VISA/MC
12/24 16:43, 5F

12/24 16:44, , 6F
的CAP/DPA使用信用卡產生動態密碼 則可以算是 因為這種
12/24 16:44, 6F

12/24 16:44, , 7F
應用必須卡片實體存在
12/24 16:44, 7F

12/24 16:44, , 8F
歐洲MC已經推廣CAP一陣子了 亞洲還沒有看到什麼動作
12/24 16:44, 8F

12/25 01:26, , 9F
推原po一個專業~ ^^
12/25 01:26, 9F

12/25 03:40, , 10F
透過生物因子驗證通常比對不會設定太高 指紋可能僅比對70%
12/25 03:40, 10F

12/25 03:40, , 11F
我想說會不會未來會在網路刷卡可能會提出用指紋驗證
12/25 03:40, 11F

04/03 08:13, , 12F
希望對您有幫助 http://go2.tw/goz X
04/03 08:13, 12F
文章代碼(AID): #19KH6uuC (creditcard)
討論串 (同標題文章)
文章代碼(AID): #19KH6uuC (creditcard)