Autenticación de dos factores mediante CVV y código de seguridad 3D

1

Al realizar la conexión en línea con tarjeta de débito / crédito, en lugar de usar OTP (recibido en el móvil), se puede usar un código de seguridad 3D (verificado por visa o mastercard) que el usuario conoce. ¿Debería esto calificar para la autenticación de dos factores (ya que todos los detalles son categoría de lo que usted sabe pero no de lo que tiene o de lo que son categorías)? En segundo lugar, en el caso de un sistema comprometido (computadora pirateada), esto conducirá a un compromiso total (sin secreto hacia adelante). Sé que OTP a través de dispositivos móviles no siempre está disponible (no hay problemas de red o de congestión de la red), pero el uso de este esquema no agrega ninguna seguridad (en caso de que sea un adversario coexistente, es decir, una máquina pirateada). Por favor comenta.

    
pregunta Nishant Sharma 21.12.2014 - 17:16
fuente

1 respuesta

6

No, pedir una contraseña o una respuesta secreta a través de 3D Secure es "algo que sabes" y no otra categoría de autenticación, ya que los datos del titular de la tarjeta (número, fecha de caducidad, código) también podrían ser "algo que sabes". Para calificar para "algo que tienes", será necesario verificarlo en tiempo real.

Las aplicaciones como Google Authenticator y 2FA dongles pueden funcionar sin conexión, por lo que podrían funcionar en una situación en la que la recepción móvil sea deficiente.

Aunque 3D Secure no es una autenticación de dos factores, puede agregar seguridad, ya que los detalles de seguridad 3D no se envían al comerciante con el resto de los datos del titular de la tarjeta. A menudo se envían directamente a una autoridad de autenticación como Arcot, y luego devuelven un código al comerciante que indica si los detalles de seguridad en 3D eran correctos y que el procesador de la tarjeta asumirá la responsabilidad por cualquier fraude en lugar del comerciante. Dicho esto, la implementación actual deja mucho que desear. A menudo, la página de autenticación de Arcot, aunque es HTTPS, se carga dentro de un IFrame dentro del sitio web del comerciante, lo que no permite que su usuario promedio verifique la barra de direcciones para verificar dónde se envían sus respuestas 3D seguras.

    
respondido por el SilverlightFox 21.12.2014 - 17:47
fuente

Lea otras preguntas en las etiquetas