Re: [心得] 3D驗證很可怕?

看板 creditcard
作者 secv (河豚)
時間 2012-09-12 19:25:15
留言 71則留言 (21推 0噓 50→)

大家拒絕使用的原因跟3D驗證安不安全一點關係都沒有 今天如果是一般情況的盜刷,銀行要跟客戶請這筆錢必須能證明這筆款 項的確是在客戶知情的情況下刷的 但如果有使用3D驗證,銀行就可以在不需舉證的情況下認定是客戶疏於 保管資料導致被盜刷而強制請款 這個情況就好像你的車被偷了拿去做案後,警方查出車主是你就可以直 接把你抓走由法官判刑不必經過求證,就因為你沒保管好你的車(而且還 一再強調你的車防盜措施有多棒,會被偷一定跟你有關係) 在做網管的朋友告訴我,如果這密碼不是隨機產生而是固定存放就有被 盜出的可能性,只要肯砸時間跟設備就沒有不能破的系統,我倒是很好 奇銀行憑什麼說他的系統絕對不會被破 -- ◆ From: 59.127.251.33 大家這麼喜歡那台車子啊 XD 我自己隔一天再看也覺得最後一段有點多餘 申請3D驗證時條文中就有提到責任歸咎持卡人,法官也是依照契約內容來判定 ,並沒有什麼問題(有問題的是契約條文)
※ 批踢踢實業坊(ptt.cc)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1347449117.A.197.html

silentone:直指核心 09/12 19:32

DSNT:大家在意的點就在本篇第一行,但是就是有人故意裝傻裝不懂呀 09/12 19:32

ainor:有人會說他車都亂停也沒被偷過 XD 09/12 19:34

silentone:某:我實在不明白為什麼會有人被偷車 我車都亂停且不上鎖 09/12 19:41

silentone:十年都是如此,該說我運氣太好嗎? 09/12 19:41

domain:某: 而且車窗不關也沒關係 09/12 19:45

silentone:某: 有人的車上了五道鎖 車窗緊閉 09/12 19:51

silentone:還被破解了自設的防盜密碼,這也該說是運氣太好? 09/12 19:53

LV3000:本篇第一行超重要,有些人是故意忽略?還是裝傻? 09/12 21:46

domain:銀行如果都使用簡訊OTP, 被盜刷我會吞下去! 3D驗證我吞不下 09/12 22:03

domain:除非所有的銀行3D驗證通通上線且不得不使用, 否則我不會用! 09/12 22:04

now99:這要金管會處理了 09/12 22:31

jrkai:推3樓...比喻非常恰當 XD 09/13 01:44

sese5566:一人一信金管會 09/13 05:14

scott2009:推 銀行免除責任部份說得太好了 舉例也相當正確 09/13 05:46

fatcats:老實說最後一段的內容有點似是而非的味道... 09/13 07:58

fatcats:如果沒有任何前提去討論 那...之前的法院都遇到恐龍法官? 09/13 08:14

windsson:不推不行了~完全打某人的臉 09/13 09:21

Saddy:推說明清楚 09/13 09:52

muzikforme:同意+1 在安全都會有漏洞 但不該完全歸咎於持卡人... 09/13 09:53

fatcats:法官不是只看契約條文 還有條文公不公平 合不合理 09/13 11:14

fatcats:所以銀行方面一定有提出讓法官採信的證據跟說法 09/13 11:14

fatcats:所以我才說最後一段沒有任何前提做討論 有點似是而非 09/13 11:15

fatcats:我也可以說只要每天存一元 總有一天我會是億萬富翁... 09/13 11:16

fatcats:這個需要前提就更明顯了...必須要可以活.很.久. 09/13 11:24

fatcats:不過其實我比較好奇的是 資料破解到轉手去盜刷也需要時間 09/13 11:26

fatcats:而銀行端也都要持卡人定期換密碼 也許正是這些條件都成立 09/13 11:27

fatcats:才會讓密碼很安全 不知道被盜刷的原PO多久沒換密碼了@@" 09/13 11:28

fatcats:也許這是銀行會攻擊的點 要小心...XDD 09/13 11:32

ColdDark:固定密碼多久沒換不是重點, 只要銀行端被破, 09/13 11:48

ColdDark:即使是一秒鐘前才剛換的密碼也還是會被取得 09/13 11:49

ColdDark:不過要被盜刷人舉證銀行端被破好像難度很高 XD 09/13 11:50

ColdDark:話又說回來, 每隔一段時間就換密碼到底是不是有必要的? 09/13 11:51

ColdDark:就我所認識的資安專業人士似乎也都沒在換密碼 09/13 11:52

ColdDark:有機會的話來問問那些專業人對於換密碼的看法好了 09/13 11:53

creation0304:我們公司在做資安的,都不敢保證主機不會被盜資料 09/13 11:58

fatcats:銀行有盜刷疑慮就幫大家換卡(不少人有過經驗) 如果銀行端 09/13 12:20

fatcats:被破 銀行為了停損 一定也會主動幫大家恢復未註冊 09/13 12:21

fatcats:要大家重新註冊 或是用其他方式來阻止災情擴大吧? 09/13 12:22

fatcats:這樣的話 就正好證明這非消費者的消費了~~~ 09/13 12:24

ColdDark:不要要是在銀行發現被破之前就被盜刷了呢? 09/13 14:00

fatcats:銀行被破 = 銀行承擔 越晚發現損失越大 銀行資安如果這 09/13 14:11

fatcats:麼弱 被下載資料都不會被發現的話 那股票應該變壁紙了XD 09/13 14:12

fatcats:所以我說要討論這些相關問題都要去研究到底成立的前提 09/13 14:12

fatcats:是甚麼 不然前提不確定 又不斷假設新情境 沒甚麼意思 09/13 14:13

KYOFIGHTER:被下載沒被發現=很多人會多接電話 股票大概不會變壁紙 09/13 14:13

fatcats:我猜這就是為何銀行都要升級成金控的原因 共同行銷勾 09/13 14:16

fatcats:不同意 也還是會收到不少電話行銷 09/13 14:17

fatcats:這要歸類在被下載沒被發現...我沒有根據 所以不知道... 09/13 14:18

KYOFIGHTER:我是做銀行資訊系統相關 在板上不太方便講這種東西:p 09/13 14:31

tn915694:一個系統能不能被迫解是可以被記算得 09/13 15:16

tn915694:好比現在的加密系統 就是在有限時間內使用目前最快的電腦 09/13 15:16

tn915694:所被迫解得機率跟完全用猜得差不多 或者低於一定值 09/13 15:17

tn915694:哪天 當一個演算變成NP COMPLETE就可稱為無法破解 09/13 15:18

tn915694:ColdDark 每隔一段時間換密碼是非常有必要得!!! 09/13 15:24

tn915694:假設花足夠時間就能破解~ 那我們就不能讓他有足夠的時間 09/13 15:25

tn915694:所以 OTP 與 網路目前唯一公認加密法SSL都是不斷變換密馬 09/13 15:25

tn915694:來防止破解 09/13 15:26

tn915694:BTW 目前得密碼 就算是銀行端被迫也無法取得~ 09/13 15:28

tn915694:因為你的密碼也再次被加密 就連銀行都不知道你的密碼 09/13 15:29

tn915694:如果忘記只能重射 他無法幫你查詢~ 09/13 15:29

tn915694:反而是你使用者端電腦被駭 比較有機會密碼外留 =口=!! 09/13 15:31

tn915694:但是我們都知道 使用者端其實不難被駭!!! 09/13 15:31

tn915694:不過我有個問題!! 如果3D被 "盜開啟" 責任歸屬?????? 09/13 15:46

DSNT:我確定不會比你開好 3D 然後被盜密碼後要負責的責任比例高喔 09/13 17:10

Ruthcat:就說啦~銀行只是為了要 "確定能找到冤大頭付帳",才不是 09/13 19:14

Ruthcat:為了啥安全因素咧~想太多! 09/13 19:14

googleptt:我刷卡的帳戶固定1個月自動存1萬,避免被盜刷 09/14 19:29

akirakid:所以我遇到非3D驗證不可的消費就用中信OTP, 這是留著中信 09/15 16:00

akirakid:卡的少數原因之一 09/15 16:00

akirakid:聯邦理財白金就不行... 09/15 16:00

您可能感興趣