Nyt sikkerhedssystem godkender forkert kode

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Tast en forkert kode ind, og brug pengene på dit kort alligevel.

Sådan er virkeligheden, hvis du gennemfører en handel med 3D Secure i dag.

3D Secure er en mulighed for netbutikkerne til at sikre, at det er kunderne selv, der benytter et Visa-kort eller et Mastercard.

Kunderne bliver bedt om at indtaste en ekstra kode.

I Danmark har koden indtil nu været den samme som koden til ens netbank.

Men PBS har i flere tilfælde ladet ordrer gå igennem, selvom koden ikke har passet med kortoplysningerne.

"Du skal indtaste din netbankkode, når du laver en handel gennem 3D Secure. Hvis du laver en indtastningsfejl, så kan banken vælge at lade transaktionen gå igennem," siger pressechef Søren Winge fra PBS, der bekræfter, at det dermed er muligt for andre end kortholderen at gennemføre en handel på et site med 3D Secure.

Hensynet til kunder uden netbank

Grunden har været, at ikke alle Mastercard- og Visa Electron-brugere har haft netbank.

Indtil nu har 3D Secure nemlig været bundet til netbankerne, og kortudstederne har derfor ikke villet risikere, at kunder ikke har kunnet gennemføre en handel.

Så flere køb er blevet godkendt, selvom kode og kortdata ikke har passet sammen.

Det er sket over SSL-protokollen, som er den protokol, der også sikrer sikkerheden i netbutikker uden 3D Secure.

Situationen betyder ikke noget for e-butikkerne. Netbankerne tager stadig den fulde risiko for brugere, der har været igennem 3D Secure – om de er blevet identificeret korrekt eller ej.

"Det er ok fra vores synspunkt, hvis risikoen er placeret på samme måde, som hvis 3D Secure var anvendt," siger Morten Kamper fra e-handelsorganisationen FDIH.

Fremover er det muligt at få en anden kode til 3D Secure, hvis man ikke har en netbank. Dermed vil kortudstederne måske på sigt være mindre tilbøjelige til at godkende forkerte kodeord.

Har forhindret Dankort-betalinger

Søren Winge fortæller i øvrigt, at 3D Secure også har været ramt af et andet indkøringsproblem. Mange kunder med Visa/Dankort krydsede af i feltet "Visa" på sider med 3D Secure.

Dermed kunne de ikke gennemføre deres handel, da kortet fungerer som Dankort i Danmark og derfor ikke indeholder muligheden for 3D Secure.

Problemet er dog siden blevet løst.