[Anders Larsson]

Citat:

Ursprungligen postat av studiox

Då handlar du nog inte på några svenska sajter..... Är själv kund till auriga och har fått följande meddelande från dom

http://www.aurigaepayment.se/2010/03...swedbank-babs/

Under en övergångsperiod fick alla kunder som handlade med hjälp av svenska betallösningar även ett övergångsmeddelande (Jag själv har sett det både på SEB och Swedbank) där man (väldigt irriterande) informerade kunderna om att det var dags att välja lösenord.

Det är sant, framförallt utländska sajter, men även en del svenska. Men jag trodde att om ens kort var anslutet till 3d secure gick det inte att handla på en sajt som inte hade det?

Vad är annars poängen med att införa skyddet? Förutom upplevelsen att det måste ju vara säkrare.

[studiox]

Jodå det går alldeles utmärkt, på samma sätt att det går alldeles utmärkt att dra ditt kort utan en en terminal även om du har chip.

kortföretagen är ju livrädda att dom inte kan använda ditt kort så inget är obligatoriskt på ett kort, ja magnesremsan är obligatorisk men inget annat. Har sett företag som inte ens kräver CSV kod eller vad det nu heter även om det numera som tur är tillhör undantagen.

jag håller med emil om att då det är så lätt att fiska efter ditt personliga lösenord så lägger ju 3d-secure inte någon riktig säkerhet utan är ju en falsk säkerhet vars enda mål är att vi använder kortet mera då vi invaggas i en falsk säkerhet, men det kan vi ju inte göra något åt, tror inte kortföretagen läser wn så ofta..

[emilv]

Citat:

Ursprungligen postat av studiox

kortföretagen är ju livrädda att dom inte kan använda ditt kort så inget är obligatoriskt på ett kort, ja magnesremsan är obligatorisk men inget annat.

Inte ens magnetremsan är obligatorisk. För ett par år sedan var jag hos en läkare i Grekland som använde den gamla metoden med karbonpapper för att kopiera de upphöjda siffrorna. Då krävs förstås en underskrift också, men inget mer.

Det är nog bäst att jag lämnar den här tråden för jag klarar inte att vara on-topic =/

[rocky]

Citat:

Ursprungligen postat av emilv

Inte ens magnetremsan är obligatorisk. För ett par år sedan var jag hos en läkare i Grekland som använde den gamla metoden med karbonpapper för att kopiera de upphöjda siffrorna. Då krävs förstås en underskrift också, men inget mer.

Det är nog bäst att jag lämnar den här tråden för jag klarar inte att vara on-topic =/

Vi hade den metoden här (företag i Sverige), vi slutade med den här för ett år sedan bara för att vi bytte bank. Vi hade löjligt lite kortbedrägeri. Vi krävde legitimation dock.

Har man lite korttransaktioner så kostar kortterminalerna löjligt mycket i månaden för att det ska löna sig. Den här grejen med karbonpapper var portabel, krävde ingen ström och även retro.

[Anders Larsson]

Citat:

Ursprungligen postat av emilv

Inte ens magnetremsan är obligatorisk. För ett par år sedan var jag hos en läkare i Grekland som använde den gamla metoden med karbonpapper för att kopiera de upphöjda siffrorna. Då krävs förstås en underskrift också, men inget mer.

Det är nog bäst att jag lämnar den här tråden för jag klarar inte att vara on-topic =/

Haha, men det kräver ju iaf att man präglar kortet om man skimmar det, så det borde ändå vara ganska säkert :P

[Marcin]

Har precis talat med Auriga ang 3D. Vilken soppa!

De sa att jag inte kunde se om ett kort hade 3D. Jag informerade dem om att jag kan det visst, men måste då gå in på enskild logg för varje transaktion.

De har ingen funktion för att automatiskt neka kort utan 3D för att de inte "får diskriminera kort". Lustigt, 3D är ett krav men vi har inte rätt att automatiskt neka.

De har skickar heller inte tillbaka returvärde om huruvida 3D fanns och godkändes eller inte.

Samtidigt så säger man från Eurolines sida att man INTE vill att vi ringer och kollar alla transaktioner.

[SimonP]

De banker som implementerat 3D Secure på rätt sätt får en rejäl ökning av säkerhetsnivån. 3D Secure med smartcard-läsare och signaturkrav är definitivt ingen bluff. Visst komplicerar det lite extra för slutkunden men i framtiden är det troligtvis bara två-faktors autentisering som kommer att gälla. Virtuella e-kort är nog det enda alternativet som kan fungera utan krav på extra autentisering.

Jag är övertygad om att bedrägerierna är för höga för att bankerna skulle kunna ignorera problemen. Än så länge är Sverige relativt skonat från kort-bedrägerier, men det ökar även här.

[emilv]

Citat:

Ursprungligen postat av SimonP

De banker som implementerat 3D Secure på rätt sätt får en rejäl ökning av säkerhetsnivån.

Men vad är "rätt sätt"? Enligt Visa själva är det tydligen att använda en iframe, och säkert blir det då för slutkunden? Det går inte att se att innehållet i en iframe skickas över SSL, än mindre att på ett lätt sätt se vilken domän innehållet laddas ifrån och vem som står på SSL-certifikatet.

Jag tycker det känns nog kymigt att handla även utan 3D Secure. Många betalväxlar skickar en vidare till sajter man aldrig hört talats om, som Webhallen som i ett litet hörn skrev att betalningen sköts av Samport, men så hamnar på på sajten "secure.telluspay.com". Det tog ett par timmar innan jag fick svar från Samport att det faktiskt var rätt och inte en phishingsajt.

Nu har jag aldrig heller använt 3D Secure på grund av den kritik det fått - kanske har svenska banker löst det på ett bättre sätt där man ser deras domännamn och SSL-certifikat?

[SimonP]

Citat:

Ursprungligen postat av emilv

Men vad är "rätt sätt"? Enligt Visa själva är det tydligen att använda en iframe, och säkert blir det då för slutkunden? Det går inte att se att innehållet i en iframe skickas över SSL, än mindre att på ett lätt sätt se vilken domän innehållet laddas ifrån och vem som står på SSL-certifikatet.
Nu har jag aldrig heller använt 3D Secure på grund av den kritik det fått - kanske har svenska banker löst det på ett bättre sätt där man ser deras domännamn och SSL-certifikat?

1. Ett Smartcard-krav på kortet gör att transaktionen bara blir giltig en gång + att det inte går att handla med kortet även om någon skulle sno kortnummret.

2. Blanda ej HTTP & HTTPS. Shopägarens betalsida måste ha HTTPS om man vill att kunden bara ska se en domän (och ladda iFramen på rätt sätt), detta ser även lite proffsigare ut. Om shopägaren inte har HTTPS på betalsidan kan man skicka kunden vidare till PSP:ns HTTPS domän, vilket kan leda till förvirring.

Men den viktigaste åtgärden är punkt 1.

[Lumax]

Jag handlar enbart med e-kort och har därför valt att inte aktivera 3D Secure på mitt fysiska kort. Så jag uppskattar sidor som nekar kort utan 3D Secure.