分散猜测到期日及检查码 研究人员破解 VISA 信用卡只需 6 秒 ?!

发布时间:2016-12-06  

visa-590x332

信用卡是网络支付的主要方法,其安全必须受保障。不过最近有研究人员发现,他们只要手上有 VISA 信用卡号码,便可在 6 秒内破解信用卡到期日和检查码,继而盗用身份。

猜测过程分散进行 6 秒可破解到期日和安全码

一般而言,购物网站会限制信用卡号码及其到期日和检查码(CVV)的输入次数,以免被人撞破。不过网上有大量的网店,只要把破解的程序分拆到各个网站同时进行,事情就变得更容易。

英国新堡大学(Newcastle University)的研究人员发现,他们透过“分散式猜测攻击(Distributed Guessing Attack)”,便可在 6 秒内得到正确的信用卡到期日和检查码。研究称,信用卡有效期一般最多为五年,因此只需试 60 次便可;三位数字的检查码稍难,需要试 1,000 次。因此就算网站限制输入次数,只要把过程分拆至多个网站进行便可快速破解。

研究在 389 个常到的网站进行,结果发现仅得 47 个网站用到 3-D Secure 认证,成功阻挡攻击,但有 291 个网站只会单纯地验证到期日和检查码,而且当中有 238 个网站允许超过 6 次以上的尝试,大幅减低破解的难度;更有 26 个网站只需验证到期日,连检查码都不用。

另一信用卡发行机构 MasterCard 则不受“分散式猜测攻击”影响,因为他们的支付网络是集中的,在 10 次以内失败的认证便会侦测到异样。

VISA 回应:研究没考虑其他防欺诈措施

VISA 其后回应有关研究称,他们欢迎业界和学界分析和解决支付系统漏洞的努力,但支付系统中本身有多层防欺诈措施,交易必须通过这些措施方能完成,这一点在他们的研究没有考虑到。

VISA 表示他们致力与发卡机构合作,避免他人非法获得持卡人资料;假如消费者信用卡被盗用,他们亦会受保护,毋须消费者承担责任。

VISA 又指他们已提供更加安全、建基于 3D Secure 的 Verified by VISA ,假如商家选择不使用便会承担欺诈的风险,因此采用 3-D Secure 认证是必须的。

(本文由 Unwire Pro 授权使用)

如需获取更多资讯,请关注微信公众账号:半导体行业观察

责任编辑:mooreelite
文章来源于:半导体行业观察    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>