web-dev-qa-db-ja.com

なぜ、USAデビット/クレジットバンクカードでの取引にSMS検証がないのですか?

人々は、ピンをより強くすること、カード製造技術をより強くすることについて話します。しかし、ロシアでは、たとえばデビットカードを開く場合、銀行はデフォルトで電話番号を割り当てるように求めているため、すべてのオンライン取引にはSMS確認が必要です。

私は、アメリカでは、SMSカードの検証がないため、ハッカーがカード番号を盗んでプロキシを見つけ、そこから買い物をするのは本当に簡単です。カードに電話を割り当てる際に必須のルールがないのはなぜですか?

6
Vlad

米国では、借方と貸方の両方に別のソリューションが導入されています。これは、EUの大部分で実施されているソリューションをある程度反映しています。クレジットカードとデビットカードには、カードリーダーに挿入されるチップが含まれており、インターセプトされた場合、通常は再利用できない使い捨ての支払い信任状を生成します。

なぜこのシステムであり、別のシステムではないのですか?歴史的ダイナミクスと慣性。米国には長い間、カードまたはカード+ PINが無記名証明書として機能するシステムがありました。 SMS)のような第2の要素を使用してトランザクションをアクティブに検証する必要がある新しいモデルを導入するには、ユーザーは言うまでもなく、小売業者、カードブランド、銀行、セルネットワークプロバイダーの側で協力が必要です。 。

もちろん、例外的な取引で顧客に確認するために電話をかけるか、または電話することを要求するカードブランドが長い間ありました。しかし、これは例外であり、ルールとはかけ離れています。重要なのは、カードスワイプシステムの下でも、米国では詐欺はそれほど一般的ではないということです。影響を与えるのはトランザクションの1桁以下です。

1
Jonah Benton

米国のオンライン購入で利用できる同様のセキュリティ対策があります

Visaによって確認済み および MasterCard SecureCode はそれぞれ、オンライン購入をわずかに異なる方法で保護します。

Visaによって確認されたものは、より 柔軟 1です。

Verified by Visaを使用すると、発行者は電子商取引の購入を分析してリスクスコアを付け、潜在的に不正なトランザクションを特定できます。カード所有者は、パスワードを要求するか、動的なワンタイムパスコードを含むテキストメッセージを送信して、トランザクションを確認し、eコマース詐欺を防ぐことができます。

MasterCard SecureCodeは、カード所有者が以前に選択した セカンダリPIN を要求するだけです。

独自のプライベートSecureCodeを登録して作成すると、登録済みのクレジットカードまたはデビットカードを使用してオンラインマーチャントで購入するたびに、チェックアウト時に金融機関からSecureCodeを提供するように自動的に求められます。 SecureCodeは金融機関によってすぐに確認され、購入が完了します。 SecureCodeが販売者と共有されることはありません。 ATMでPINと入力するのと同じです。

どちらもカード発行銀行が参加者である必要があり、前述のように、すべての銀行が参加するわけではありません。

0
Michael Hampton

カードはオンライン取引用に設計されたのではなく、実際の取引用にのみ設計されました。それらは現在、その使用のために正しく保護されています。

電子商取引は、銀行とカードシステム(Visa、Mastercard ...)が組織される前に始まりました。デフォルトでは、オンライントランザクションは、クライアントとプロバイダーの間の検証されていない契約です。フランスの法律では、銀行が口座所有者からの有効な注文を受け取っていないため、リスクはプロバイダー側​​にあります。

信頼できる唯一のシステムは個人証明書による強力な認証ですが、複雑すぎると感じられ、セットアップが難しいため、カード会社は携帯電話の2番目の認証要素。ただし、Secured by Visaシステムでさえ安全ではありません。女性のハンドバッグを盗んだ場合、銀行カードが含まれている可能性がありますおよび関連付けられた携帯電話。そして、多くの人々が情報セキュリティについて教育を受けていないため、保護されている携帯電話はほとんどありません...

0
Serge Ballesta