信用卡是網上支付的主要方式,其安全性必須得到保證。然而,最近有研究人員發現,只要擁有VISA信用卡號,就可以在6秒內破解信用卡有效期和校驗碼,進而竊取其身份。
猜測過程分散6秒破解有效期和安全碼。
壹般來說,購物網站會限制信用卡號碼、有效期和校驗碼(CVV)的輸入次數,以免被破解。但是網店數量多,只要把破解的程序同時拆分到各個網站,事
信用卡是網上支付的主要方式,其安全性必須得到保證。然而,最近有研究人員發現,只要擁有VISA信用卡號,就可以在6秒內破解信用卡有效期和校驗碼,進而竊取其身份。
猜測過程分散6秒破解有效期和安全碼。
壹般來說,購物網站會限制信用卡號碼、有效期和校驗碼(CVV)的輸入次數,以免被破解。但是網店數量多,只要把破解的程序同時拆分到各個網站,事情就好辦了。
NewcastleUniversity的研究人員發現,他們可以通過“DistributedGuessingAttack”在6秒內獲得正確的信用卡有效期和校驗碼。根據研究,信用卡的有效期壹般最長為五年,所以妳只需要嘗試60次;三位校驗碼有點難,需要嘗試1000次。所以即使網站限制輸入次數,只要把過程拆分到多個網站,也能快速破解。
該研究對389個經常訪問的網站進行了研究,發現只有47個網站使用了3-DSecure認證,成功阻止了攻擊,但有291個網站只簡單驗證了有效期和校驗碼,其中238個網站允許6次以上的嘗試,大大降低了破解難度;有26個網站只需要驗證有效期,甚至不需要驗碼。
另壹家信用卡發行商萬事達卡(MasterCard)由於其支付網絡集中,不會受到“分布式猜測攻擊”的影響,在10次內失敗的認證會檢測到異常。
簽證回應:研究沒有考慮其他反欺詐措施。
VISA後來對相關研究作出回應,稱他們歡迎業界和學術界分析和解決支付系統漏洞的努力,但支付系統本身有多重反欺詐措施,交易必須通過這些措施完成,這在他們的研究中沒有考慮到。
VISA表示,他們致力於與發卡機構合作,防止他人非法獲取持卡人信息;如果消費者的信用卡被盜刷,同樣會受到保護,不承擔消費者的責任。
VISA還指出,他們已經提供了基於3DSecure的更安全的VerifiedbyVISA。如果商家選擇不使用,就要承擔欺詐風險,所以有必要采用3-DSecure認證。