cardholder authentication是吃素的

我还没来英国的时候,就听说这里信用卡付款时不需要密码即可完成网上支付,当时我已经用中国的银行卡在中国的网上消费过几次,我觉得中国的银行卡的网上消费方案还是安全的,所以一对比英国的网上消费,我觉得很不可思议,在金融、网络技术领域都走在中国前面的英国,信用卡消费竟然不需要密码?!这个漏洞太大了,太可怕了。

来英国久了以后,我也渐渐接受了这个事实:所有信用卡消费都不需密码,全凭几个security questions保证持卡人的安全(这大概也是英国人和西方国家很看重隐私的一个原因)。

又过了一段时间,Master推出了MasterSecurity,Visa推出了VerifiedByVisa,很多payment service providers开始实施cardholder authentication,顾客在付款时回答完常规的security questions之后还要回答从authentication password里随机挑选的三个字母。如果所有的payment service providers都实施了cardholder authentication,付款不需密码的漏洞在我看来算是堵上了。

最近,paymenet service providers的大哥大之一worldpay宣布实施cardholder authentication,我很高兴,可随即我发现worldpay实施cardholder authentication不够彻底——在顾客在付款时回答完常规的security questions之后,worldpay会给顾客一个选择,也就是说顾客可以option in or out cardholder authentication。这样还不是老方一贴?安全性增强在哪里?不过我猜测worldpay给顾客选择是过渡期的方案,让顾客熟悉之后,最终cardholder authentication全面实施,不会把选择权留给顾客的。

今天,我又发现一件更离奇的事情,我收到了ebuyer一份“订单也被受理”的通知,事情的起因得从上周三我为公司订购一块usb wireless ethernet card说起。我先在ebuyer上选了一款,付款进行到最后一步碰到cardholder authentication,我使用的是公司信用卡,cardholder authentication security password不是我设的,我一看ebuyer的payment service provider要cardholder authentication,我只好终止了付款转而向boardbandbuyers买了一块usb wireless ethernet card。boardbandbuyers的payment service provider不需要cardholder authentication,所以订单一下子就通过了,第二天货也收到了。

如果说worldpay还在过渡期,cardholder authentication可以被option out还情有可原,但ebuyer的cardholder authentication岂不更是形同虚设?明明没有完成全部付款过程,ebuyer仍可以借记cardholder,这个安全漏洞更大。

作为商家,cardholder authentication的实施给顾客付款制造了一点障碍,似乎对商家不利(比如我的订单从ebuyer逃到了broadbandbuyers),但cardholder authentication的anti-fraud也是为了保护商家。我在这里倒不想进行cardholder authentication的利弊分析,只是觉得cardholder authentication作为一项安全屏障,一旦实施,就应该把它落实到实处。

Leave a comment

Your email address will not be published. Required fields are marked *