相信曾用信用卡在网上购物的读者都知道,卡后印有通常称为CVC或CVV的验证码,这三位或四位数字最早出现于1995年,属无卡交易(不用刷卡付款的交易方式)的安全措施,用来降低盗用风险。
时至今日,网站个人资料失窃时有所闻,其中信用卡号码更是常见目标,假如罪犯取得你的信用卡号码,在网上交易通常还需要卡的有效期(到期月份和年份)以及验证码。不过这些数字未必太难取得,例如黑客可设计「钓鱼网站」伪装真正需要交易的网页,骗取受害人乖乖交出所有交易资讯。
此外,早有安全研究员发现,他们能利用多个接受信用卡交易的网站,分散式输入不同数值,以猜测信用卡的有效期及验证码,即使只知道信用卡号码,亦能在半小时内开设帐户、猜中资料并传送金钱。
现在不少银行都会提供双重认证,在交易时以手机短讯(SMS)传送单次使用密码,以确认卡主身份。撇除SMS在潜在的安全风险外,并非人人都会启用双重认证,亦未必方便海外交易的用户。
另一种解决方法是引入「动态安全码」,在信用卡上加入晶片及装置显示随时间改变的安全码。总部设于法国巴黎的IDEMIA公司数年推出其「Motion Code」信用卡,能够显示动态安全码,法国的兴业银行(Société Générale)及BPCE集团已採用此项技术。
位于匹兹堡的PNC银行在今年11月推出先导计划,让部分中型及大型公司的企业信用卡开始採用「Motion Code」技术,显示Visa的dCVV2动态安全码。测试期暂定为90天,如果一切顺利,银行方面将于来年第一季内的企业信用卡全面启用此新技术,但未有透露会否应用至消费者的信用卡上。
计划其中一项要测试的数据,是安全码更新的最佳时间间隔。如果更新得太快,客户可能不够时间填完所需资料,影响交易。此外,由于显示装置需要用电,其电量仍受卡身厚度及大小限制,假如安全码更新较密,信用卡可使用的时间便会下降,令客户须提早换卡。
动态安全码较安全,却同时增加製作成本,据估计,新技术的信用卡成本为15美元,远高于平常的两至四美元。但PNC银行的执行副主席禾特(Christopher Ward)表示,採用动态安全码所增加的成本并没有那么多,而且银行方面预期这些成本能透过减少信用卡欺诈案来抵消。
相关文章︰
使用「双重认证」登入便安全?首先别再以SMS接收验证码 比特币价格20个月内升近10倍,但他忘记了钱包密码 银行为了赚钱滥发信用卡,连可爱的小狗狗都不放过资料来源︰
Pilot project demos credit cards with shifting CVV codes to stop fraud (Ars Technica) PNC testing fraud-busting credit cards with rotating numbers (Pittsburgh Post-Gazette) Can credit cards with CVVs that automatically change every hour kill off card fraud? (CSO Online) Credit card with fraud-busting display (BBC) Thieves can guess your secret Visa card details in just seconds (Ars Technica)