[SimonP]

De banker som implementerat 3D Secure på rätt sätt får en rejäl ökning av säkerhetsnivån. 3D Secure med smartcard-läsare och signaturkrav är definitivt ingen bluff. Visst komplicerar det lite extra för slutkunden men i framtiden är det troligtvis bara två-faktors autentisering som kommer att gälla. Virtuella e-kort är nog det enda alternativet som kan fungera utan krav på extra autentisering.

Jag är övertygad om att bedrägerierna är för höga för att bankerna skulle kunna ignorera problemen. Än så länge är Sverige relativt skonat från kort-bedrägerier, men det ökar även här.

[emilv]

Citat:

Ursprungligen postat av SimonP

De banker som implementerat 3D Secure på rätt sätt får en rejäl ökning av säkerhetsnivån.

Men vad är "rätt sätt"? Enligt Visa själva är det tydligen att använda en iframe, och säkert blir det då för slutkunden? Det går inte att se att innehållet i en iframe skickas över SSL, än mindre att på ett lätt sätt se vilken domän innehållet laddas ifrån och vem som står på SSL-certifikatet.

Jag tycker det känns nog kymigt att handla även utan 3D Secure. Många betalväxlar skickar en vidare till sajter man aldrig hört talats om, som Webhallen som i ett litet hörn skrev att betalningen sköts av Samport, men så hamnar på på sajten "secure.telluspay.com". Det tog ett par timmar innan jag fick svar från Samport att det faktiskt var rätt och inte en phishingsajt.

Nu har jag aldrig heller använt 3D Secure på grund av den kritik det fått - kanske har svenska banker löst det på ett bättre sätt där man ser deras domännamn och SSL-certifikat?

[SimonP]

Citat:

Ursprungligen postat av emilv

Men vad är "rätt sätt"? Enligt Visa själva är det tydligen att använda en iframe, och säkert blir det då för slutkunden? Det går inte att se att innehållet i en iframe skickas över SSL, än mindre att på ett lätt sätt se vilken domän innehållet laddas ifrån och vem som står på SSL-certifikatet.
Nu har jag aldrig heller använt 3D Secure på grund av den kritik det fått - kanske har svenska banker löst det på ett bättre sätt där man ser deras domännamn och SSL-certifikat?

1. Ett Smartcard-krav på kortet gör att transaktionen bara blir giltig en gång + att det inte går att handla med kortet även om någon skulle sno kortnummret.

2. Blanda ej HTTP & HTTPS. Shopägarens betalsida måste ha HTTPS om man vill att kunden bara ska se en domän (och ladda iFramen på rätt sätt), detta ser även lite proffsigare ut. Om shopägaren inte har HTTPS på betalsidan kan man skicka kunden vidare till PSP:ns HTTPS domän, vilket kan leda till förvirring.

Men den viktigaste åtgärden är punkt 1.

[studiox]

Citat:

Ursprungligen postat av emilv

Men vad är "rätt sätt"? Enligt Visa själva är det tydligen att använda en iframe, och säkert blir det då för slutkunden? Det går inte att se att innehållet i en iframe skickas över SSL, än mindre att på ett lätt sätt se vilken domän innehållet laddas ifrån och vem som står på SSL-certifikatet.

Tre.se (m.fl) använder en Facebox för sina kortbetalningar, jävligt irriterande då man i överhuvudtaget inte vet om det är en säker förbindelse eller inte (om det är iframe i facebox) Jag håller med dig att det är jävligt svårt att veta om verifiera-mitt-lösenord-på-banken-idiotiska-sida faktiskt inte är phising. Ökat konsumentsäkerhet my ass.

[Gustav]

3d-secure har alltid varit en soppa. Men det behöver inte vara det, som Skandiabanken har visat. De har enormt hög säkerhet, samtidigt som det inte går ut över användarvänligheten.

Via deras internetbank så kan man aktivera och avaktivera var och hur kortet kan användas. Jag kan tex öppna upp det för köp i de länder som jag själv väljer. Jag kan på några sekunder spärra eller öppna kortet för internetköp via min internetbank. Vill jag så kan jag få ett sms varje gång kortet används för köp på internet. Bankdosan som används är min egen mobiltelefon, så det finns ingen risk att jag inte har den med mig när jag ska handla någonting online. Bara det faktum att jag kan spärra kortet för köp utomlands och bara öppna det då jag själv ska handla något eller ge mig ut och resa gör risken för missbruk markant mindre. Det är nämligen sällan som kortbedragarna drar pengar från kortet i Sverige, utan det görs ofta utomlands långt ifrån den plats där kortnumret stals.

3d-secure blir alltså vad varje enskild bank gör det till. Och 9 av 10 banker gör det tyvärr till ett icke fungerande h*lvete för både e-handlare och slutkonsumenter.

Åter ontopic.

1. Ja, Euroline får göra så och de är inte ensamma.
2. Nej, det vill du förmodligen inte. Du skulle förlora en stor andel köp om du gjorde det.
3. Inte vad jag vet. Det skulle förvåna mig om det fanns.

Marcin, för att göra dig ännu mer irriterad, så kan jag påpeka att Euroline förmodligen inte heller ger dig något skydd vid köp med så kallade business cards. Det är alltså bara för kort som är utställda till privatpersoner och som är kopplade till 3d-secure, som de inlösande bankerna brukar stå risken. Och hittills har jag aldrig sett en betalväxel där det tydligt framgår om ett kort är ett business card eller inte.

Så problemet är större än bara 3d-secure. Precis som med alla typer av försäkringar så kan man ge sig fan på att försäkringsgivaren kommer att försöka slingra sig den dagen då det händer. Det bästa är därför att alltid utgå ifrån att man inte har något skydd överhuvudtaget och att hantera situationen därefter. Om en beställning verkar misstänkt så kan man tex skicka den som REK med personlig utlämning.