Leonardo Musumeci

[:it]Traduttore informatico, localizzazione siti Web, Localizzazione Software[:en]Computer Science Translator, WebSite Localization, Software Localisation[:]

Bruce Schneier Traduzioni inglese-italiano

Falla di sicurezza nelle carte di credito/debitoOnline Credit/Debit Card Security Failure

Feb 4, 2010

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Ross Anderson segnala:

Le transazioni online con carte di credito o carte di debito, vengono validate sempre più dal sistema 3D Secure, contrassegnato come “Verified by Visa” e “MasterCard SecureCode”. Attualmente, è il sistema ad autenticazione unica maggiormente utilizzato, con oltre 200 milioni di titolari registrati. Sta diventando difficile effettuare acquisti online senza essere costretti ad usarlo.

In un paper che presenterò oggi alla Financial Cryptography insieme a Steven Murdoch, analizzeremo 3D Secure. Dal punto di vista ingegneristico, fa quasi tutto sbagliato e sta diventando un grosso bersaglio per il phishing. Allora perché ha avuto un tale successo di mercato?

Molto semplicemente, ci sono forti incentivi per l’adozione. I commercianti che ne fanno uso scaricano la responsabilità per frode alle banche, che a loro volta la scaricano ai titolari della carta. I sistemi ad autenticazione unica adeguatamente progettati, come OpenID e InfoCard, non possono offrire nulla di simile. Quindi questo è l’ennesimo caso in cui l’aspetto economico della sicurezza, trionfa sulla progettazione; ma in maniera talmente aggressiva da lasciare i titolari della carta meno protetti. Concludiamo con un suggerimento in merito a ciò che le autorità di regolamentazione bancaria potrebbero fare per risolvere il problema.

Fonte: Online Credit/Debit Card Security Failures

Ross Anderson reports:

Online transactions with credit cards or debit cards are increasingly verified using the 3D Secure system, which is branded as “Verified by VISA” and “MasterCard SecureCode”. This is now the most widely-used single sign-on scheme ever, with over 200 million cardholders registered. It’s getting hard to shop online without being forced to use it.In a paper I’m presenting today at Financial Cryptography, Steven Murdoch and I analyse 3D Secure. From the engineering point of view, it does just about everything wrong, and it’s becoming a fat target for phishing. So why did it succeed in the marketplace?

Quite simply, it has strong incentives for adoption. Merchants who use it push liability for fraud back to banks, who in turn push it on to cardholders. Properly designed single sign-on systems, like OpenID and InfoCard, can’t offer anything like this. So this is yet another case where security economics trumps security engineering, but in a predatory way that leaves cardholders less secure. We conclude with a suggestion on what bank regulators might do to fix the problem.

Articoli correlati

Bruce Schneier Traduzioni inglese-italiano

[:it]Violare Instagram per ottenere pasti gratis in cambio di recensioni positive[:en]Hacking Instagram to Get Free Meals in Exchange for Positive Reviews[:]

Apr 3, 2019
Bruce Schneier Traduzioni inglese-italiano

[:it]Tracciare persone senza il GPS[:en]Tracking People Without GPS[:]

Dic 20, 2017
Traduzioni inglese-italiano

[:it]Della ripudiabilità e coercizione[:en]On Deniability and Duress[:]

Feb 22, 2017

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

You missed

Android Sicurezza Smartphone

[:it]Come spegnere i motori di migliaia di auto da remoto[:]

Apr 27, 2019
Bruce Schneier Traduzioni inglese-italiano

[:it]Violare Instagram per ottenere pasti gratis in cambio di recensioni positive[:en]Hacking Instagram to Get Free Meals in Exchange for Positive Reviews[:]

Apr 3, 2019
Android

Non muoverti e il malware per Android non farà danni

Mar 19, 2019
Android

pdf to word condivide oltre 360.000 documenti online

Mar 15, 2019