Neka kort utan 3D-secure eller inte?
 

Euroline tar tillbaka pengar om vi har accepterar kort utan 3D-secure och kortägaren sedan nekar att köpet är deras. Finns 3D-secure så måste kortet dessutom vara europeiskt (rätta mig om jag har fel).

1. Får Euroline verkligen göra så? I Auriga ser jag t.ex. INTE att ett kort är utländsk.

2. Idag kan jag automatiskt neka (men gör inte det) alla kortköp utan 3D-secure men vill man det? Hur ser det ut med användningen av 3D-secure i Sverige? Och resten av världen? Jag får en känsla av att det är mest en Europeisk grej.

3. Finns det någon inlösare som inte kräver pengarna tillbaka vid köp utan 3D-secure? Man skulle kanske kunna slussa icke-3D dit så att man slipper otrevliga överaskningar.

Hur gör ni andra?


Det är praktiskt omöjligt att kontrollera varje köp per telefon med Euroline och de har uttryckligen sagt att de inte vill att jag gör det heller.

3D Secure är en bluff. Det tillför ingen extra säkerhet, snarare tvärtom (eftersom det oftast körs via en iframe och därför inte lätt kan kontrolleras av slutanvändaren). Jag vet flera som inte aktiverar 3D Secure just för att det är en så dålig lösning och tafatt förskö att sopa problemen under mattan.

Det må vara. Jag är inte så väldigt insatt. Fast det som det handlar om är hur många svenska kort som har 3D. Jag vill komma fram hur mycket jag riskerar att förlora om jag aktiverar krav på 3D. Anledningen till att ha 3d är för att inte riskera att förlora pengar.

Hur många kort som har 3D secure i Sverige kan va svårt ta reda på, men om du läser denna lilla artikeln så får du en liten inblick i 3D secure problemet för ehandeln.
http://computersweden.idg.se/2.2683/...nker-e-handeln

Vi diskuterade det för ett tag sedan, en sidodiskussion men egentligen samma sak http://www.wn.se/t1041223.html

Även om 3D secure är korkat så kan man inte göra så mycket åt det. Alla svenska banker tvingar dig att uppgradera ditt kort till 3d-secure här i somras.

I USA fanns det bara två banker som hade infört 3d secure, men om dom har gjort det så måste du ju supporta det annars blir du blåst på pengarna.

Du kan göra som Cdon.com (tror jag det var) och ta risken själv.

Jaså? Jag har inet 3D Secure på något av mina kort. Det kanske inte gäller för e-kort (engångskort)?

Jag har Visakort via Swedbank och Mastercard via GE Moneybank, och har inget verifyed eller 3d-secure på något av korten. Handlar regelbundet via internet.

Trist nog ställer dessa säkerhetslösningar till enorma problem för både handlare och konsumenter, mer än problemen de löser.

För att kunna handla med Paypal var jag tvungen att välja Verified by VISA
i Swedbank i somras.

E-kort behöver ingen 3D-secure då de är i stort sett värdelösa.

Då handlar du nog inte på några svenska sajter..... Är själv kund till auriga och har fått följande meddelande från dom

http://www.aurigaepayment.se/2010/03...swedbank-babs/

Under en övergångsperiod fick alla kunder som handlade med hjälp av svenska betallösningar även ett övergångsmeddelande (Jag själv har sett det både på SEB och Swedbank) där man (väldigt irriterande) informerade kunderna om att det var dags att välja lösenord.

Det är sant, framförallt utländska sajter, men även en del svenska. Men jag trodde att om ens kort var anslutet till 3d secure gick det inte att handla på en sajt som inte hade det?

Vad är annars poängen med att införa skyddet? Förutom upplevelsen att det måste ju vara säkrare. :)

Jodå det går alldeles utmärkt, på samma sätt att det går alldeles utmärkt att dra ditt kort utan en en terminal även om du har chip.

kortföretagen är ju livrädda att dom inte kan använda ditt kort så inget är obligatoriskt på ett kort, ja magnesremsan är obligatorisk men inget annat. Har sett företag som inte ens kräver CSV kod eller vad det nu heter även om det numera som tur är tillhör undantagen.

jag håller med emil om att då det är så lätt att fiska efter ditt personliga lösenord så lägger ju 3d-secure inte någon riktig säkerhet utan är ju en falsk säkerhet vars enda mål är att vi använder kortet mera då vi invaggas i en falsk säkerhet, men det kan vi ju inte göra något åt, tror inte kortföretagen läser wn så ofta..

Inte ens magnetremsan är obligatorisk. För ett par år sedan var jag hos en läkare i Grekland som använde den gamla metoden med karbonpapper för att kopiera de upphöjda siffrorna. Då krävs förstås en underskrift också, men inget mer.

Det är nog bäst att jag lämnar den här tråden för jag klarar inte att vara on-topic =/

Vi hade den metoden här (företag i Sverige), vi slutade med den här för ett år sedan bara för att vi bytte bank. Vi hade löjligt lite kortbedrägeri. Vi krävde legitimation dock.

Har man lite korttransaktioner så kostar kortterminalerna löjligt mycket i månaden för att det ska löna sig. Den här grejen med karbonpapper var portabel, krävde ingen ström och även retro.

Haha, men det kräver ju iaf att man präglar kortet om man skimmar det, så det borde ändå vara ganska säkert :P

Har precis talat med Auriga ang 3D. Vilken soppa!

De sa att jag inte kunde se om ett kort hade 3D. Jag informerade dem om att jag kan det visst, men måste då gå in på enskild logg för varje transaktion.

De har ingen funktion för att automatiskt neka kort utan 3D för att de inte "får diskriminera kort". Lustigt, 3D är ett krav men vi har inte rätt att automatiskt neka.

De har skickar heller inte tillbaka returvärde om huruvida 3D fanns och godkändes eller inte.

Samtidigt så säger man från Eurolines sida att man INTE vill att vi ringer och kollar alla transaktioner.

De banker som implementerat 3D Secure på rätt sätt får en rejäl ökning av säkerhetsnivån. 3D Secure med smartcard-läsare och signaturkrav är definitivt ingen bluff. Visst komplicerar det lite extra för slutkunden men i framtiden är det troligtvis bara två-faktors autentisering som kommer att gälla. Virtuella e-kort är nog det enda alternativet som kan fungera utan krav på extra autentisering.

Jag är övertygad om att bedrägerierna är för höga för att bankerna skulle kunna ignorera problemen. Än så länge är Sverige relativt skonat från kort-bedrägerier, men det ökar även här.

Men vad är "rätt sätt"? Enligt Visa själva är det tydligen att använda en iframe, och säkert blir det då för slutkunden? Det går inte att se att innehållet i en iframe skickas över SSL, än mindre att på ett lätt sätt se vilken domän innehållet laddas ifrån och vem som står på SSL-certifikatet.

Jag tycker det känns nog kymigt att handla även utan 3D Secure. Många betalväxlar skickar en vidare till sajter man aldrig hört talats om, som Webhallen som i ett litet hörn skrev att betalningen sköts av Samport, men så hamnar på på sajten "secure.telluspay.com". Det tog ett par timmar innan jag fick svar från Samport att det faktiskt var rätt och inte en phishingsajt.

Nu har jag aldrig heller använt 3D Secure på grund av den kritik det fått - kanske har svenska banker löst det på ett bättre sätt där man ser deras domännamn och SSL-certifikat?

1. Ett Smartcard-krav på kortet gör att transaktionen bara blir giltig en gång + att det inte går att handla med kortet även om någon skulle sno kortnummret.

2. Blanda ej HTTP & HTTPS. Shopägarens betalsida måste ha HTTPS om man vill att kunden bara ska se en domän (och ladda iFramen på rätt sätt), detta ser även lite proffsigare ut. Om shopägaren inte har HTTPS på betalsidan kan man skicka kunden vidare till PSP:ns HTTPS domän, vilket kan leda till förvirring.

Men den viktigaste åtgärden är punkt 1.

Jag handlar enbart med e-kort och har därför valt att inte aktivera 3D Secure på mitt fysiska kort. Så jag uppskattar sidor som nekar kort utan 3D Secure.

För att aktivera e-kort inför ett köp så behöver man väl bankdosanhelvetet iaf?

Nix, räcker med din personliga kod. Säkerhetsbrist - javisst! :)

Tre.se (m.fl) använder en Facebox för sina kortbetalningar, jävligt irriterande då man i överhuvudtaget inte vet om det är en säker förbindelse eller inte (om det är iframe i facebox) Jag håller med dig att det är jävligt svårt att veta om verifiera-mitt-lösenord-på-banken-idiotiska-sida faktiskt inte är phising. Ökat konsumentsäkerhet my ass.

3d-secure har alltid varit en soppa. Men det behöver inte vara det, som Skandiabanken har visat. De har enormt hög säkerhet, samtidigt som det inte går ut över användarvänligheten.

Via deras internetbank så kan man aktivera och avaktivera var och hur kortet kan användas. Jag kan tex öppna upp det för köp i de länder som jag själv väljer. Jag kan på några sekunder spärra eller öppna kortet för internetköp via min internetbank. Vill jag så kan jag få ett sms varje gång kortet används för köp på internet. Bankdosan som används är min egen mobiltelefon, så det finns ingen risk att jag inte har den med mig när jag ska handla någonting online. Bara det faktum att jag kan spärra kortet för köp utomlands och bara öppna det då jag själv ska handla något eller ge mig ut och resa gör risken för missbruk markant mindre. Det är nämligen sällan som kortbedragarna drar pengar från kortet i Sverige, utan det görs ofta utomlands långt ifrån den plats där kortnumret stals.

3d-secure blir alltså vad varje enskild bank gör det till. Och 9 av 10 banker gör det tyvärr till ett icke fungerande h*lvete för både e-handlare och slutkonsumenter.

Åter ontopic.

1. Ja, Euroline får göra så och de är inte ensamma.
2. Nej, det vill du förmodligen inte. Du skulle förlora en stor andel köp om du gjorde det.
3. Inte vad jag vet. Det skulle förvåna mig om det fanns.

Marcin, för att göra dig ännu mer irriterad, så kan jag påpeka att Euroline förmodligen inte heller ger dig något skydd vid köp med så kallade business cards. Det är alltså bara för kort som är utställda till privatpersoner och som är kopplade till 3d-secure, som de inlösande bankerna brukar stå risken. Och hittills har jag aldrig sett en betalväxel där det tydligt framgår om ett kort är ett business card eller inte.

Så problemet är större än bara 3d-secure. Precis som med alla typer av försäkringar så kan man ge sig fan på att försäkringsgivaren kommer att försöka slingra sig den dagen då det händer. Det bästa är därför att alltid utgå ifrån att man inte har något skydd överhuvudtaget och att hantera situationen därefter. Om en beställning verkar misstänkt så kan man tex skicka den som REK med personlig utlämning.