对于网上交易,三维安全层似乎是个不错的主意。它是老练的,经过良好的测试(读:旧的),而且欧洲的许多信用卡公司都提供它。例如,很多为银行账户客户发放信用卡的德国银行今天(那是在2016年)都默认开启了Verified by Visa或MasterCard Secure Code。
它的工作原理是将客户发送到他们的银行/卡的网站,在那里他们必须输入某种验证信息。这可以是一个密码(或沿着母亲的娘家姓的路线选择多个秘密信息),短信TAN,照片TAN,TAN列表或使用令牌生成器的双因素验证。如果银行喜欢,他们就会批准并将客户送回商家。
没有多少人会知道这叫什么,但他们知道在网上用信用卡支付飞机票的时候,需要做短信TAN这个事情。
但是美国呢?美国客户是否广泛使用三维安全,他们是否使用?
普通人能在网上买东西吗,比如说,乌克兰的航空公司网站执行3-D Secure,或者说如果你的卡不支持3-D Secure就会拒绝你?
美国的信用体系已经发展到以交易简单为名,对欺诈有非常健康的胃口。大体上,最终用户没有欺诈责任。非常大的商户可能会在谈判中吸收一些欺诈责任,以减少费用。但总的来说,美国系统关注的是提高交易率,并尽可能地保持交易的无摩擦性。
除了终端用户的抱怨,美国转向芯片交易的最大阻力来自沃尔玛。沃尔玛不喜欢Visa和万事达卡要求POS系统在卡有芯片的情况下强制进行芯片交易。沃尔玛已经吸收了部分欺诈责任,而且这些芯片交易速度较慢,最终要花钱。虽然估计每年的信用卡欺诈总数非常高,但与每年清算的交易总额相比,它只是几个基点。在我看来,没有理由重新发明轮子或增加繁琐的安全层,因为这将是一个非常微不足道的收益。
我不想为了给银行省钱而跳槽。我用卡的时候他们赚了钱,他们应该希望我用卡。我不承担欺诈风险,所以我不想记住密码,或者双重认证交易;除非也许如果交易特别大,比如大于500美元。生命太短,不能在杂货店排队等着前面的人收到短信验证码去买一包薯片。
我一直面对的是Verified by Visa和Mastercard Secure。说实话,我不知道是什么原因导致它们弹出,但我能够通过交易的额外步骤。如果我每次都要这样做,我很可能会使用不同的卡。
我来自美国,这是我对3D安全的看法。
它的使用不是很普遍。原因之一是购买时的验证过程本身就存在安全漏洞。它在用户的浏览器中弹出一个windoid,而这个windoid无法被验证为属于授权来源,所以会招致钓鱼/欺骗的漏洞。