¿Visa Checkout tiene medidas preventivas contra la falsificación?

3

Algunos comerciantes en línea están ofreciendo ofertas especiales para utilizar Visa Checkout , un servicio de pago similar a PayPal, por lo que he estado tratando de aprender algo al respecto antes de registrarme. Cuando está en un sitio de compras y hace clic en el icono de Visa Checkout, aparece una ventana para ingresar su nombre de usuario y contraseña de Visa Checkout:

¿Esteesquemaesseguro?Noveonadaquemepermitaverificarqueestaventanaemergenteesválidayprotegemiinformación.Parecequeunsitiodeshonestopodríafalsificarfácilmentelaventanaemergenteycosecharlascredencialesdeiniciodesesión.

ConPayPal,medirigenalsitiodePayPalparainiciarsesión,loquepermitequeminavegadormemuestreelhostdePayPalylaautenticaciónTLS:

Si verifico esos elementos en la barra de URL, me siento razonablemente seguro de que estoy entregando mis credenciales solo a PayPal.

¿El esquema de PayPal es más seguro que Visa Checkout? ¿O hay alguna forma de que me esté faltando para protegerme contra la falsificación?

    
pregunta rhashimoto 01.11.2015 - 01:21
fuente

2 respuestas

1

El problema que mencionas es real.

Este esquema fue objeto de críticas y condujo a una implementación más nueva ("3D Secure by ...", el anterior desafortunadamente también usa este nombre) que es de dos factores (por lo general, recibe un SMS con un código debe ingresar en la página del comerciante). También se le advierte de la próxima operación ("ahora será transferido a 3D seguro ..."). El esquema que mencionas no pasó los requisitos del Banco Central Europeo.

Los requisitos para los pagos de comercio electrónico se reforzaron con PCI-DSS SAQ A-EP , específicamente diseñado para pagos de comercio electrónico modernos (donde no se le redirige a la página de un banco o procesador para cumplir con su pago)).

La redirección a PayPal en su ejemplo es un buen compromiso: ingresa en una página más conocida que, como mencionó, puede analizar y verificar con la seguridad del sentido común (específicamente a quién se entregó el certificado).

    
respondido por el WoJ 01.11.2015 - 12:19
fuente
0
  

¿Este esquema es seguro?

La seguridad nunca es absoluta, por lo que es imposible responder si esto es totalmente "seguro".

En el escenario de Visa, básicamente estás depositando tu confianza en newegg. Entre bastidores, la ventana emergente de Visa probablemente usa TLS, pero para todos los efectos, newegg podría ofrecerle una pantalla de suplantación de identidad (phishing) y le resultaría difícil decirlo. Todo lo que sabes es que tienes una conexión segura con newegg.

En el escenario de PayPal, puede verificar fácilmente la conexión TLS y la URL, sin embargo, esto no significa que PayPal sea seguro o confiable. Todavía tienes que confiar en PayPal.

Esencialmente, todo se reduce a lo confiable que es newegg. Si newegg es aproximadamente tan confiable como PayPal, entonces ambos son igual de seguros. Si newegg es menos confiable, la solución de PayPal es más segura.

Si en lugar de paypal hubo una parte menos confiable con una implementación idéntica a paypal involucrada, entonces la solución de visa podría ser más segura.

  

Parece que un sitio deshonesto podría falsificar fácilmente la ventana emergente y cosechar la   credenciales de inicio de sesión.

Si no confías en el sitio, entonces deberías preferir la implementación de PayPal. Si el sitio es confiable, entonces la diferencia de seguridad es mínima.

    
respondido por el thexacre 01.11.2015 - 01:50
fuente

Lea otras preguntas en las etiquetas