Question:
Amazon m'a laissé passer une commande sans jamais me demander de mot de passe sécurisé 3D
Stefan Monov
2017-09-03 22:03:35 UTC
view on stackexchange narkive permalink

J'ai défini un "mot de passe 3-d secure" pour ma carte de débit sur le site Web de ma banque. Mais quand j'ai acheté quelque chose sur amazon.co.uk, j'ai suivi tout le processus sans jamais me demander ce mot de passe 3D. On m'a demandé un numéro de carte et sa date d'expiration.

Quelqu'un peut-il m'expliquer ce qui s'est passé?

Je vis en Bulgarie.

Remarque: moi aussi n'a pas été demandé CVC.

[ce fil] (https://security.stackexchange.com/questions/21168/how-does-amazon-bill-me-without-the-cvc-cvv-cvv2) semble pertinent.
@Stefan: pas une réponse, mais veuillez noter que le comportement est acceptable dans le contexte des États-Unis.En cas de fraude de transaction, les clients américains peuvent facilement récupérer leur argent.Je ne sais pas si c'est le cas avec votre banque ou les règles de votre pays.
@HoàngLong pays ne fait aucune différence à cet égard AFAIK
IIRC, lorsque "Vérifié par Visa", etc. ont été introduits pour la première fois, ils ont demandé l'authentification pour chaque transaction.Ils ont ensuite assoupli cela (probablement à cause du refoulement des clients) pour ne l'exiger que pour un échantillon aléatoire de transactions et / ou pour de gros montants.Cela peut également dépendre du fait que vous ayez des antécédents de transactions avec la même société à partir de la même adresse IP et / ou PC - mon service bancaire en ligne ne considère pas que les transferts de quelques centaines de livres sterling valent la peine d'être vérifiés * à chaque * fois, par exemple.
@HoàngLong le pays concerné fait certainement partie de la psychologie de «l'expérience utilisateur».Vivant au Royaume-Uni, j'achète parfois des articles aux États-Unis par carte de crédit, et j'ai généralement le * sentiment * que l'approche américaine de la «sécurité» est à peu près au même niveau que si j'achetais quelque part enle tiers monde.Et cela provient de sociétés multinationales basées aux États-Unis, pas de sites de commerce électronique relativement petits!
Préparez-vous.L'étonnement et la déception face à la sécurité du système de carte de crédit sont en retour.C'est toute une industrie où le principe de la saucisse s'applique.
@eis: d'après ce que j'ai vécu, cela fait la différence.J'ai lu les spécifications de 3D Secure (mon travail nécessite une compréhension du système de paiement) et la théorie est parfaite.Pourtant, la pratique bancaire est un autre problème.Dans certains cas, la réponse à votre appel peut prendre des mois.Vous pouvez toujours récupérer l'argent, mais c'est assez gênant.
Expérience Echo @alephzero's.Surtout la spéculation sur la même entreprise / adresse IP / PC, car j'ai vu des transactions régulières (une semaine) avec la même entreprise passer de «demander à chaque fois» à «pas demandé depuis de nombreux mois».
[Ce] (https://nakedsecurity.sophos.com/2016/12/05/how-to-guess-credit-card-security-codes/) pourrait être une lecture intéressante.
Compte tenu de la sécurité: pour les cartes de débit, j'utilise depuis longtemps la méthode consistant à avoir un compte séparé pour la carte et pour mon utilisation normale.Lorsque j'achète quelque chose avec une carte, je transfère l'argent sur mon compte de carte depuis mon compte principal (qui n'est pas connecté à une carte).Donc, même si quelqu'un obtient tous les détails de ma carte (même le code PIN), tout ce qu'il peut faire est d'utiliser ce qu'il me reste.Habituellement quelques euros - le "changement" si vous voulez.Et la carte est limitée à l'Europe, sauf si je visite un autre continent.
J'ai ajouté un deuxième facteur à mon compte Amazon et je n'ai pas encore été invité à l'utiliser.Je peux me connecter et acheter des choses sans le deuxième facteur.
Huit réponses:
Stefan Monov
2017-09-03 22:32:47 UTC
view on stackexchange narkive permalink

Je viens de lire la page de ma banque sur la sécurité 3D. Il dit:

Si le site prend en charge les paiements à effectuer avec une sécurité supplémentaire, vous verrez les logos de l'organisation de la carte respective Vérifié par Visa ou MasterCard SecureCode

Donc apparemment c'est au site d'exiger ou non mon mot de passe 3D.

En fait, cela ne profite généralement qu'au fournisseur.Parfois, il est encore pire pour vous d'utiliser les trucs 3D, car certaines banques ont ajouté des petits caractères qui vous rendent responsable de la fraude si le mot de passe 3D était utilisé, alors que vous ne seriez pas responsable si vous ne l'utilisiez pas.
Bien qu'il soit bon que vous lisiez cette page (et l'auriez idéalement fait lors de votre inscription), elle pourrait être considérée comme faisant partie de la recherche que vous auriez dû faire avant de poser la question.
"Parfois, il est encore pire pour vous d'utiliser le truc 3D, car certaines banques ont ajouté des petits caractères qui vous rendent responsable de la fraude si le mot de passe 3D était utilisé, alors que vous ne seriez pas responsable si vous ne l'utilisiez pas."Qu'est-ce qui donne à la banque le droit de donner à quelqu'un le pouvoir de vous voler?Comment peuvent-ils dire que * vous * serez responsable de l'accusation et non celui qui vous a volé l'information?N'est-ce pas comme faire une loi pour dire que vous ne pouvez pas facturer quelqu'un pour avoir volé votre maison simplement parce qu'il a choisi votre serrure ou piraté votre ouvre-porte de garage?
@typhon Non, car la banque ne fait pas la loi.C'est comme si la compagnie d'assurance disait qu'elle ne paierait pas d'assurance si vous ne preniez pas la peine de verrouiller le garage.Cela n'a rien à voir avec qui a commis une infraction pénale.Cela a strictement à voir avec la question de savoir si la banque assumera les frais frauduleux ou si vous devrez le faire.Vous acceptez cela lorsque vous obtenez une carte de crédit de leur part.Essentiellement, ils disent "hé, nous allons vous donner ce morceau de plastique cool et envoyer de l'argent aux gens qui peuvent montrer qu'ils l'ont vu. De plus, ce sont les règles supplémentaires que nous avons lorsque nous payons et que vous devez nous payer."
@DRF Ah, j'ai pris comme vous le fait d'accepter légalement de ne facturer personne qui vole cette chose 3d.
@Typhon: bienvenue dans le bourbier juridique de la légalité des pratiques bancaires.Ces cartes à puce sont un excellent exemple, car elles étaient au départ un moyen pour les banques de se dégager de leur responsabilité dans le traitement de la fraude, au lieu de la pousser sur d'autres personnes (qui n'avaient généralement pas non plus les ressources nécessaires pour enquêter).Les banques ** adorent ** les marchands.
@whatisname Pas * entièrement * juste.Plus précisément, c'était une acceptation que les banques * ne pouvaient * littéralement * pas * valider chaque signature sur chaque transaction par carte dans un pays comme le Royaume-Uni, où les espèces réelles sont à la limite de l'obsolescence.
R.. GitHub STOP HELPING ICE
2017-09-04 05:52:41 UTC
view on stackexchange narkive permalink

Les mesures de sécurité telles que "mot de passe 3D", CVV, etc. n'existent pas pour vous protéger le titulaire de la carte . Ne présumez pas qu'une personne qui n'en a pas ne peut pas utiliser votre numéro de carte de manière frauduleuse. Tout ce qu'ils font, c'est permettre à un commerçant qui choisit de les utiliser dans le cadre de son accord marchand de traitement de carte d'obtenir des frais de transaction inférieurs, car cette fonctionnalité réduit le taux de transactions frauduleuses et donc de rétrofacturation.

En fait, ces caractéristiques vous nuisent en tant que titulaire de la carte, car elles permettent au commerçant de «prouver» plus facilement que vous avez autorisé une transaction et plus difficile pour vous de la contester. Voir ma réponse à une question connexe ici:

https://money.stackexchange.com/questions/54772/why-does-the-introduction-of-chip-pin-appear-to -be-si-controversé-dans-l'uni / 54780 # 54780

"Ne supposez pas que leur manque empêchera quelqu'un d'utiliser votre carte de manière frauduleuse."peut-être vouliez-vous dire autrement?
@Eis Je ne pense pas qu'il le fasse.La phrase la plus basique est la suivante: ne présumez pas que le fait de ne pas avoir le mot de passe empêchera quelqu'un d'utiliser la carte.Ce qui est exactement le cas :)
@EpicKip ah.la phrase précédente parlait de mesures de sécurité, donc je suppose que cela pouvait être compris de toute façon.Mais oui, dans ce contexte, c'est ce que cela doit signifier, de toute façon.
La phrase signifie exactement ce qu'elle dit: ne supposez pas que quelqu'un qui a votre numéro de carte mais pas le "mot de passe" ne peut pas utiliser la carte.
J'ai également mal lu la phrase de la même manière que eis jusqu'à la lecture de ces commentaires;vous voudrez peut-être envisager de reformuler en "Ne présumez pas que quelqu'un qui ne dispose pas de ces informations l'empêchera d'utiliser votre carte de manière frauduleuse" pour supprimer toute ambiguïté
Cela me semble exagéré, car vous interprétez les responsabilités des commerçants comme un objectif, plutôt que comme un moyen pour un objectif différent.L'objectif déclaré des sociétés de traitement des cartes * est * de protéger les titulaires de carte, mais elles ont besoin de la coopération des commerçants pour ce faire.Ils incitent donc les commerçants qui mettent en œuvre les nouvelles mesures de sécurité, et / ou pénalisent ceux qui ne le font pas.Le titulaire de la carte en profite également directement si sa réclamation de fraude est maintenue contre un commerçant qui n'utilisait pas le mécanisme de sécurité.
@IMSoP sauf que le titulaire de la carte était déjà entièrement protégé car ils ne supportent pas le coût de la fraude.Tout ce que les nouvelles fonctionnalités ajoutent du point de vue du titulaire de la carte, ce sont davantage de moyens de refuser une réclamation pour fraude.
@Ukko Cela dépend si vous considérez la prévention et l'indemnisation comme équivalentes.Le coût de la déclaration d'une transaction frauduleuse, même si elle est immédiatement confirmée, est non nul, donc une mesure qui réduit les transactions frauduleuses profite au titulaire de la carte.
@IMSoP Bien sûr, si quelque chose me coûte un nickel tous les deux ans et que vous pouvez le réduire à 3 cents, j'en ai bénéficié.Mais l'avantage est si petit qu'il est sans importance.Il y a eu des centaines de dollars de fraude sur mes cartes au cours des deux dernières décennies, la responsabilité potentielle de devoir payer ne serait-ce qu'une de ces transactions l'emporte largement sur les économies réalisées en réclamant des frais frauduleux.
@Ukko Très bien, c'est un jugement que vous pouvez porter, c'est pourquoi j'ai dit que c'était exagéré, pas complètement faux.Il n'en reste pas moins que le transfert de responsabilité est au moins partiellement une conséquence de la conviction des émetteurs de cartes (peut-être mal placée) que les mesures supplémentaires rendent plus probable que vous falsifiez votre réclamation, car il est moins probable que vous deviez faire une déclaration légitime.réclamer en premier lieu.
rendre une transaction plus difficile à falsifier ne fait pas vraiment de mal au titulaire de la carte
@Ukko * le titulaire de la carte était déjà entièrement protégé car il ne supporte pas le coût de la fraude. * - vous ne pensez donc pas que la baisse des coûts du côté bancaire (en raison de la diminution de la fraude)prix du titulaire de la carte?
@FooBar: Ukko a déjà noté qu'il pourrait * dans une certaine mesure *, sous la forme de quelques centimes.Ce n'est pas un montant perceptible ou utile pour le titulaire de la carte.
@njzk2: Oui, c'est le cas.Cliquez sur la réponse liée sur money.SE et sur celles auxquelles elle renvoie.Toute preuve supplémentaire de validité d'une transaction est * plus de travail pour le titulaire de la carte * à réfuter.La meilleure situation pour un titulaire de carte qui a reçu une charge frauduleuse est celle où le commerçant n'a absolument aucune preuve à présenter, et le titulaire de la carte remporte essentiellement la rétrofacturation par défaut.
@R .. mais il est moins susceptible d'exiger une réfutation en premier lieu
@njzk2: Je ne pense pas que cette affirmation soit bien prise en charge.Les erreurs du commerçant (ou la tromperie) telles que la double exécution d'une carte ou l'affirmation qu'une transaction n'a pas été effectuée alors qu'elle n'est pas moins probable, et que la fraude par des tiers criminels peut simplement se déplacer vers les marchands où il est plus facile de faire passer..
@R .. les processeurs de paiement et la banque ne sont généralement pas dupes des doubles transactions.C'est un peu trop évident.Et en tant que client (d'accord, la responsabilité incombe au client), vous devriez demander un reçu chaque fois qu'une transaction ne «passe» pas
@njzk2: Les transactions doubles ne doivent pas nécessairement être effectuées sur la même carte;ils peuvent être "essayer une autre carte" ou "notre lecteur de carte ne fonctionne pas, avez-vous de l'argent liquide?"Avez-vous réellement lu le post lié où cela est arrivé au PO?Même si votre commentaire était l'histoire complète, "la responsabilité incombe au client" prouve mon point: ** avec toute "preuve" supplémentaire de transaction, le titulaire de la carte est toujours le perdant **.
@R .. vos arguments ont de la valeur, mais ce que je ne comprends pas, je suppose, c'est comment un vendeur peut-il faire confiance aux clients qui paient par carte de crédit?En gros, qu'est-ce qui empêche quelqu'un de contester des transactions légitimes?
@njzk2: Quelqu'un qui fait cela à plusieurs reprises se fera facilement prendre par l'émetteur de la carte.Ainsi, le nombre de ceux qui le font est petit, moins impactant que le vol à l'étalage.Et pour les grosses ventes, le commerçant a probablement des preuves supplémentaires telles que des enregistrements d'expédition, des vidéos de surveillance, des signatures papier, des enregistrements téléphoniques ou électroniques, etc.
Mark
2017-09-04 01:54:40 UTC
view on stackexchange narkive permalink

Les transactions par carte de crédit ont différents niveaux d'authentification, allant de la simple soumission du numéro de carte à la carte + cvc, divers systèmes de mot de passe, puce et code PIN, etc.

L'important ici est que c'est la transaction , pas la carte , qui a ceci. Le type d'authentification utilisé influe sur des éléments tels que la responsabilité des transactions frauduleuses, la facilité avec laquelle le titulaire de la carte peut contester les transactions, le montant des frais de transaction et la probabilité que la transaction soit rejetée comme potentiellement frauduleuse.

Amazon a probablement constaté que l'augmentation des ventes d'un système de paiement simplifié compense largement les coûts accrus de la fraude, de sorte que la seule information dont ils ont besoin pour un paiement est le numéro de carte de crédit.

Des choses comme la commande en un clic sont impossibles si elles nécessitent le mot de passe 3D sécurisé à chaque fois.
Certains fournisseurs de paiement appliquent également des heuristiques pour décider de demander ou non le code 3DS.L'idée étant qu'ils (le commerçant) obtiennent une certaine protection de la société de carte de crédit, sans gêner les utilisateurs réguliers.Je ne sais pas à quel point ils sont efficaces, mais vous pourriez être demandé parfois et pas à d'autres du même site
Ángel
2017-09-04 03:05:43 UTC
view on stackexchange narkive permalink

Amazon ne demande même pas le CVV. La seule pièce nécessaire pour facturer une carte est le numéro de la carte. Le traitement de la transaction sans le CVV ou la 3D sera considéré comme plus risqué par le processeur de la carte (étant donc plus cher, voire refusant de leur fournir un service), mais Amazon tient à le faire en échange d'un processus plus rationalisé pour ses visiteurs.

Pour mémoire: il y a quelques mois, une chaîne de télévision locale a expérimenté une fraude (faite de manière consensuelle avec la victime choisie) dans laquelle elle a cloné le PAN et la date d'expiration de la carte à l'aide d'un lecteur NFC amélioré, puis ils ont utilisé ces informations pour commander des marchandises.Le site Web cible était partiellement flou dans la vidéo, mais ** c'était clairement Amazon ** à en juger par les couleurs et la mise en page floues
@usr-local-ΕΨΗΕΛΩΝ Pourquoi ont-ils même pris la peine de cloner la carte pour faire cette expérience?Au Royaume-Uni, vous n'avez pas besoin de la carte physique pour effectuer des transactions sur un site Web - il vous suffit de connaître le numéro de la carte, la date d'expiration et le code de sécurité.Mais je suppose que si le propriétaire de la carte venait de leur donner cette information à taper, cela n'aurait pas été un élément aussi "intéressant" (bien que trompeur) pour le programme télévisé!
Vous pouvez obtenir le numéro et la date d'expiration d'une carte de crédit à courte distance (2 mètres de distance) avec un émetteur RFID spécial avec une puissance radio supplémentaire, à travers la poche stockée dans la poche du titulaire de la carte, ce qui dans ce cas était consensuel.Par exemple.en file d'attente dans un musée.L'expérience télévisuelle voulait discuter de la sécurité des cartes sans contact montrant comment passer une commande Amazon * facilement *
Phil M
2017-09-06 00:16:00 UTC
view on stackexchange narkive permalink

Les fonctionnalités de sécurité des cartes de crédit sont conçues pour protéger le marchand. D'autres champs comme le nom, l'expiration, le CVV, Secure 3D, etc. ne sont là que pour réduire le risque de fraude pour le commerçant.

Si le commerçant est prêt à assumer le risque d'une carte de crédit, ils ne sont techniquement que besoin du numéro de carte de crédit pour traiter un paiement.

Dans la plupart des cas, tout ce qu'un titulaire de carte de crédit (non débiteur) doit faire est de déclarer «fraude» et les fonds sont annulés en peu de temps. En effet, dans un litige, la charge de la preuve incombe au commerçant que le paiement par un client est légitime.

REMARQUE: Ces protections pour les consommateurs ne sont PAS valables pour les cartes de débit, y compris PayPal ... la charge de la preuve revient au client pour les cartes de débit de compte bancaire, et cela prend souvent des mois à résoudre.

C'est pourquoi vous devriez plutôt utiliser des cartes de crédit réelles pour les stations de paiement publiques, y compris l'essence, les parcomètres, etc.

Niklas R.
2017-09-06 06:15:57 UTC
view on stackexchange narkive permalink

La sécurité 3D est facultative. C'est aussi simple que ça. Il se peut qu'il ne soit pas conforme à la norme PCI DSS de ne pas appliquer la sécurité 3D dans ce cas.

Kamria
2019-08-22 07:22:54 UTC
view on stackexchange narkive permalink

La mise en œuvre de 3D Secure est la prérogative du marchand. 3D Secure permet un transfert de responsabilité en cas de fraude. 3D Secure est mandaté dans certaines zones géographiques en raison des mandats des banques centrales / autorités.

RalphB
2017-09-05 20:33:47 UTC
view on stackexchange narkive permalink

Vous avez peut-être activé la commande en un clic, comme je l'ai fait. Mon fournisseur ne demande jamais de cvv sur Amazon mais le fait sur d'autres sites. Peut-être parce que j'ai confirmé avec l'authentification à deux facteurs?



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...