Gepubliceerd: Maandag 10 november 2008
Een code die webwinkelen met de Mastercard van de ING extra veilig zou moeten maken, is simpel te resetten en geeft bovendien de naam van de kaarthouder prijs.
Toon volledig artikel
De Postbank maakt (optioneel) ook gebruik van de SecureCode. Aangezien er weinig webwinkels zijn die gebruik maken van het systeem is het sowieso een twijfelachtig systeem.
Ok, dit is een extra fout in de implementatie van MasterCard SecureCode van ING. Maar los daarvan is MasterCard SecureCode gewoon niet veilig (of er moet nog heel veel veranderd zijn de afgelopen tijd).
Verder zou ik graag willen toevoegen dat Visa de originele bedenker van de infrastructuur is en MasterCard er slechts zijn eigen, compatable versie van gemaakt heeft. De originele oplossing van MasterCard (UCAF) is namelijk geflopt.
Je zou een vast bestand moeten hebben van het creditcardnummer, het controle nummer, de datum waarop de kaart verloopt en van de eigenaar van de kaart. Dat zou één geheel moeten zijn, anders zou je met die kaart geen zaken moeten doen. Ik verbaas mij dat het niet zo is.
Ik vraag me af of die quote zo echt letterlijk is, het klinkt nogal "clumsy". De enige die dit bestand zou mogen hebben is de creditcard firma, niemand anders. En de meeste creditcard transacties worden tegenwoordig gecontrolleerd op nummer, naam, verloopdatum en voor on-line transacties ook op CCV/controlle code.
Credit card betalingen blijven linke business, maar om de een of andere reden zijn credit card maatschappijen niet happig erop om het structureel en gemeenschappelijk op te lossen. Een systeem zoals iDeal is bijv. behoorlijk veilig (je authoriseerd je betaling via een challenge key die niet zonder je pas/calculator en pincode kan worden gegenereerd) en doorgaands ook redelijk handig in gebruik. Blijkbaar is het voor credit card maatschappijen te duur om fatsoenlijke authenticatie te implementeren, zoals de meeste banken dat tegenwoordig wel hebben.
Creditcards online kunnen best een stuk veiliger kijk naar bv. Verified by Visa (de Visa 3 Domains infrastructuur). Daar is een mooie abstracte structuur neergezet waarin de bank zelf de mate van veiligheid kan regelen. Zo kan de Rabobank bv. zijn random reader er instoppen, een franse bank zijn variant van tokens, etc. etc.
MasterCard heeft dit concept echter verkeerd overgenomen waardoor je vast zit aan een principe dat niet werkt.
Vergeet niet dat iDeal grote problemen heeft op internationaal vlak omdat het iets lokaals is voor Nederlanders.
Die qoute is inderdaad letterlijk en mijn haren gingen gisteren rechtovereind staan toen hij dat zei. Maar ter verdediging van deze justitieman -> hij is niet technisch.
Waarschijnlijk ligt de oplossing niet in zo'n bestand, maar in een vergelijkbare oplossing zoals bij IDEAL.
De transactie bij IDEAL gaat tussen de bank en gebruiker, zonder tussenkomst van de winkel.
Wat mij is opgevallen dat hier alleen de card issuer en de cardschemes worden belicht
echter hebben ook de Merchants (webshops) een deel in de "schuld"
Zo miste ik bijvoorbeeld het woord: pci compliancy (een "regel geving" waarin merchants zich moeten houden als het gaat om bescherming van kaart (houder) gegevens)maar ook de eventuele fraudscreening die bij de merchant gedaan kan worden om de potentieele fraude te voorkomen.
En wat betreft Ideal.. ook daar hebben zich al fraude gevallen voor gedaan (niet zo zeer het systeem zelf maar meer onoplettenheid van de Ideal gebruiker)
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
