信用卡是网络支付的主要方法，其安全必须受保障。不过最近有研究人员发现，他们只要手上有 VISA 信用卡号码，便可在 6 秒内破解信用卡到期日和检查码，继而盗用身份。

猜测过程分散进行　6 秒可破解到期日和安全码

一般而言，购物网站会限制信用卡号码及其到期日和检查码（CVV）的输入次数，以免被人撞破。不过网上有大量的网店，只要把破解的程序分拆到各个网站同时进行，事情就变得更容易。

英国新堡大学（Newcastle University）的研究人员发现，他们透过“分散式猜测攻击（Distributed Guessing Attack）”，便可在 6 秒内得到正确的信用卡到期日和检查码。研究称，信用卡有效期一般最多为五年，因此只需试 60 次便可；三位数字的检查码稍难，需要试 1,000 次。因此就算网站限制输入次数，只要把过程分拆至多个网站进行便可快速破解。

研究在 389 个常到的网站进行，结果发现仅得 47 个网站用到 3-D Secure 认证，成功阻挡攻击，但有 291 个网站只会单纯地验证到期日和检查码，而且当中有 238 个网站允许超过 6 次以上的尝试，大幅减低破解的难度；更有 26 个网站只需验证到期日，连检查码都不用。

另一信用卡发行机构 MasterCard 则不受“分散式猜测攻击”影响，因为他们的支付网络是集中的，在 10 次以内失败的认证便会侦测到异样。

VISA 回应：研究没考虑其他防欺诈措施

VISA 其后回应有关研究称，他们欢迎业界和学界分析和解决支付系统漏洞的努力，但支付系统中本身有多层防欺诈措施，交易必须通过这些措施方能完成，这一点在他们的研究没有考虑到。

VISA 表示他们致力与发卡机构合作，避免他人非法获得持卡人资料；假如消费者信用卡被盗用，他们亦会受保护，毋须消费者承担责任。

VISA 又指他们已提供更加安全、建基于 3D Secure 的 Verified by VISA ，假如商家选择不使用便会承担欺诈的风险，因此采用 3-D Secure 认证是必须的。

（本文由 Unwire Pro 授权使用）

如需获取更多资讯，请关注微信公众账号：半导体行业观察