איך מתודת Two Factor Authenrication יכלה למנוע שימוש לא מורשה בכרטיסי אשראי


(פוסט זה נבחר ל”נבחרי השבוע 6.1.2012 בNewsGeek).

פרשת גניבת מספרי כרטיסי האשראי יצרה בהלה רבה והותירה רבים בתחושה של היעדר ביטחון בדבר שעד כה נחשב בטוח, והוא רכישה מקוונת בכרטיס אשראי.

חקירה מעמיקה יותר העלתה שהמחדל היה במספר אתרים אשר בניגוד לכל הכללים והנהלים, שמרו מספרי כרטיסי אשראי מלאים בצירוף פרטים מזהים נוספים באופן לא מוצפן ולא מאובטח. ההאקרים אינם ממש האקרים אלא עוברי אורח שעברו באתרים אלה. ראו אור ודלת פתוחה (בעוד שאיש אינו בבית), ופשוט נכנסו ולקחו. לא צריך מומחיות מיוחדת על מנת לעשות את מה שהם עשו.

הבעיתיות באופן הרכישה המקוונת כיום

על מנת להציע פתרון לבעיה, יש לתת את הדעת לאופן שבו מתבצעות רכישות באינטרנט. כיום, וברוב החנויות או האתרים, די בכרטיס אשראי תקף על פרטיו (מספר, תוקף ו-3 ספרות מאחור) על מנת לבצע רכישה. כאן טמונה הבעיה. נכון שלו נמנעו אותם אתרים מלהחזיק מספרי כרטיס אשראי של לקוחות, או דאגו להצפין אותם בהצפנה העומדת בתקן, לא ניתן היה להשיג את פרטיהם, ברם אם יתבצע מעבר לאימות מורכב יותר, לא תהיה כלל פירצה הקוראת לגנב.

מתודת Two Factor Authenticaiton

Two Factor Authentication – אימות באמצעות שני אופנים, הנו מושג באבטחת מידע שפירושו אימות אשר מתבצע על ידי שני אמצעים, האחד, פיסי (או בג’רגון המקצועי – Something you have), והשני, מידע (או something you know).

עכשיו, קחו מושג זה צעד קדימה ובהנחה שאופן ביצוע רכישות מקוונות ישתנה ויתבסס על צורת אימות זו, והנה ונגנב מספר כרטיס האשראי שלך, הרי שהמספר נופל תחת הקטגוריה – something you know, בעוד שהמרכיב הנוסף, שהנו פיסי, לא יהיה בידי ההאקר, ומכאן שלא יגרם כל נזק.

מתיאוריה לפרקטיקה

הפרקטיקה הנדרשת כאן יכולה להתממש בדרך כל אביזר שכל בעל כרטיס יקבל. האביזר יציג מספר אקראי אשר יאומת על ידי אתר הרכישה כאותנטי, וללא הקלדת מספר זה (המשתנה בכל לחיצה על כפתור ההפעלה של האביזר) לא ניתן יהיה לבצע רכישה. למרות שחברות אשראי, במיוחד ביפן, נותנות לכל לקוח אביזר כזה, והשימוש בשיטה זו הפך שם לסטנדרט, יש שיטות נוספות ליישום המתודה. למשל, קבלת מסרון ובו מספר בן 4 ספרות, שונה בכל פעם. מאחורי שיטה זו עומד הרעיון שמספר הכרטיס הוא המידע שידוע (something you know), בעוד שמכשיר הטלפון והימצאותו ברשות המשתמש הנו (something you have).

כיוונים נוספים

ניתן לפתח שיטות נוספות על בסיס השילוב בין פרטי כרטיס לכתובת IP או מידע חד ערכי המשוייך למחשב נייד או טלפון נייד, ברמה של MAC Address או HardwareID המיוצר באופן אחר, ועל ידי כך להבטיח הגנה מקסימלית נגד שימוש לא מורשה בכרטיס אשראי.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s