網(wǎng)上公布的生日和信用卡盜刷有什么關(guān)系

　　Visa組織在2001年推出一個(gè)他們稱為3DS的安全協(xié)議，也就是3 Domain Secure的縮寫。試圖減少在網(wǎng)絡(luò)購物時(shí)發(fā)生的信用卡詐騙事件。3DS比較被人所知的是各發(fā)卡組織實(shí)作系統(tǒng)時(shí)所用的名稱–“Visa驗(yàn)證(Verified by Visa)”，“MasterCard Secure Code”，“J/Secure”(JCB國際組織)和“SafeKey”(美國運(yùn)通)。問題是，3DS其實(shí)并沒有任何屏障的效果，甚至對一般的詐騙者來說也是，至少在我所測試的過程看來是這樣。

　　在Visa所發(fā)表的常見問答集里提到：“Visa驗(yàn)證可以保護(hù)您的卡片，防止未經(jīng)授權(quán)的交易，讓您在網(wǎng)絡(luò)購物時(shí)可以完全的放心”。但同時(shí)他們也在常見問答集里提到“如果您忘記了密碼，可以很輕松的重設(shè)它”，這里就出現(xiàn)了問題。接下來和我所測試的發(fā)卡組織所實(shí)作的方式有關(guān)，并不一定代表全部的3DS系統(tǒng)。

　　問題出現(xiàn)在一個(gè)很基本的設(shè)計(jì)缺陷。如果你跟一個(gè)使用此系統(tǒng)的商家買東西，你在付款階段會被導(dǎo)到 3DS 驗(yàn)證頁面。你在這個(gè)頁面確認(rèn)交易細(xì)節(jié)，輸入密碼。然后就跟變魔術(shù)一樣，交易完成了。到目前為止都還好，商家看不到我的密碼，也就無法利用我的數(shù)據(jù)來完成任何交易，我被保護(hù)的好好的，但是…

　　犯罪份子會怎么做呢？如果他們有了你的信用卡，卻沒有你的密碼？當(dāng)然了，還有一個(gè)方便的“我忘記我的密碼”鏈接。讓我們來看看這是怎樣的良好保護(hù)。

　　密碼重設(shè)的第一步是輸入你的卡號，顯然是要確保你是替正確的賬號重設(shè)密碼。一旦將卡號輸入系統(tǒng)，現(xiàn)在需要提供一些數(shù)據(jù)來確認(rèn)你是合法的賬號擁有者。

　　噢，不好，這看起來一點(diǎn)也不好！用來驗(yàn)證我的身分的四項(xiàng)信息中的三項(xiàng)都包含在信用卡本身，浮刻或壓印在信用卡上。犯罪份子不是已經(jīng)有這些信息了嗎？還有什么呢？有一個(gè)信息是不包含在卡片上的。問題是，這是一個(gè)已經(jīng)在社交網(wǎng)絡(luò)、問卷調(diào)查、注冊窗口還有許多其他地方被廣為分享的信息，也是能自由被公開取得的信息。我們不能也不該認(rèn)為我們的出生日期是一個(gè)秘密。

　　輸入了所需的信息后，剩下的就是輸入一個(gè)自選的新密碼，然后你的交易也就被授權(quán)了。更糟的是，沒有電子郵件通知提醒持卡人他們的賬號已經(jīng)被訪問或修改。持卡人將永遠(yuǎn)也不會發(fā)現(xiàn)，直到他們檢查自己的狀態(tài)。

　　所以該如何改善呢？這里沒有什么新奇或令人驚嘆的建議，只是有一些基本的步驟需要被加到流程里。

　　在注冊系統(tǒng)時(shí)，持卡人應(yīng)該被要求建立一個(gè)“秘密問題”以作為密碼重設(shè)的驗(yàn)證依據(jù)，不該只是簡單的出現(xiàn)密碼重設(shè)畫面，而是將一次性的密碼重設(shè)網(wǎng)址發(fā)送到注冊時(shí)登記的電子郵件地址。而且無論是要求更改賬號內(nèi)容或是更改成功，都應(yīng)該發(fā)送電子郵件進(jìn)行通知。

　　哦，還有一件事，如果可以在密碼中使用特殊字符就真的太棒了，拜托了。