網上公布的生日和信用卡盜刷有什么關系

　　Visa組織在2001年推出一個他們稱為3DS的安全協(xié)議，也就是3 Domain Secure的縮寫。試圖減少在網絡購物時發(fā)生的信用卡詐騙事件。3DS比較被人所知的是各發(fā)卡組織實作系統(tǒng)時所用的名稱–“Visa驗證(Verified by Visa)”，“MasterCard Secure Code”，“J/Secure”(JCB國際組織)和“SafeKey”(美國運通)。問題是，3DS其實并沒有任何屏障的效果，甚至對一般的詐騙者來說也是，至少在我所測試的過程看來是這樣。

　　在Visa所發(fā)表的常見問答集里提到：“Visa驗證可以保護您的卡片，防止未經授權的交易，讓您在網絡購物時可以完全的放心”。但同時他們也在常見問答集里提到“如果您忘記了密碼，可以很輕松的重設它”，這里就出現(xiàn)了問題。接下來和我所測試的發(fā)卡組織所實作的方式有關，并不一定代表全部的3DS系統(tǒng)。

　　問題出現(xiàn)在一個很基本的設計缺陷。如果你跟一個使用此系統(tǒng)的商家買東西，你在付款階段會被導到 3DS 驗證頁面。你在這個頁面確認交易細節(jié)，輸入密碼。然后就跟變魔術一樣，交易完成了。到目前為止都還好，商家看不到我的密碼，也就無法利用我的數(shù)據(jù)來完成任何交易，我被保護的好好的，但是…

　　犯罪份子會怎么做呢？如果他們有了你的信用卡，卻沒有你的密碼？當然了，還有一個方便的“我忘記我的密碼”鏈接。讓我們來看看這是怎樣的良好保護。

　　密碼重設的第一步是輸入你的卡號，顯然是要確保你是替正確的賬號重設密碼。一旦將卡號輸入系統(tǒng)，現(xiàn)在需要提供一些數(shù)據(jù)來確認你是合法的賬號擁有者。

　　噢，不好，這看起來一點也不好！用來驗證我的身分的四項信息中的三項都包含在信用卡本身，浮刻或壓印在信用卡上。犯罪份子不是已經有這些信息了嗎？還有什么呢？有一個信息是不包含在卡片上的。問題是，這是一個已經在社交網絡、問卷調查、注冊窗口還有許多其他地方被廣為分享的信息，也是能自由被公開取得的信息。我們不能也不該認為我們的出生日期是一個秘密。

　　輸入了所需的信息后，剩下的就是輸入一個自選的新密碼，然后你的交易也就被授權了。更糟的是，沒有電子郵件通知提醒持卡人他們的賬號已經被訪問或修改。持卡人將永遠也不會發(fā)現(xiàn)，直到他們檢查自己的狀態(tài)。

　　所以該如何改善呢？這里沒有什么新奇或令人驚嘆的建議，只是有一些基本的步驟需要被加到流程里。

　　在注冊系統(tǒng)時，持卡人應該被要求建立一個“秘密問題”以作為密碼重設的驗證依據(jù)，不該只是簡單的出現(xiàn)密碼重設畫面，而是將一次性的密碼重設網址發(fā)送到注冊時登記的電子郵件地址。而且無論是要求更改賬號內容或是更改成功，都應該發(fā)送電子郵件進行通知。

　　哦，還有一件事，如果可以在密碼中使用特殊字符就真的太棒了，拜托了。