PC Pro baru-baru ini menerbitkan ulasan grup tentang layanan perbankan online, dan saya bertanggung jawab atas bagian fitur yang memperhatikan keamanan. Saya berbicara dengan Ken Munro, direktur pelaksana di perusahaan pengujian penetrasi independen SecureTest, yang mengatakan kepada saya: “Jika bank Anda menginginkannya jawaban atas pertanyaan yang mudah diingat, jangan memilih pertanyaan yang dapat dengan mudah dijawab melalui riset Anda di jejaring sosial situs. Anda bahkan dapat memilih jawaban palsu, selama Anda dapat mengingatnya!” Saran yang sangat bagus, seperti yang Anda harapkan dari seseorang yang memiliki banyak pengalaman langsung di bidang batubara pengujian penetrasi, tapi saya ragu Ken pun akan siap menghadapi kenaifan yang ditunjukkan oleh salah satu bank yang terungkap berkat pembaca PC Pro Matthew Cunliffe.
Seperti banyak pembaca kami (petunjuknya ada pada judul majalahnya) Matthew adalah seorang profesional TI: bahkan, dia sendiri pernah bekerja pada akreditasi bank untuk sistem 3DSecure yang digunakan oleh skema “Verified by Visa” (VbV) dan “MasterCard SecureCode” yang menambahkan lapisan keamanan ekstra pada transaksi online. Saya sebenarnya penggemar sistem ini, meskipun sistem ini sedikit memperlambat pembelian online dan memasukkan kata sandi lain ke dalamnya. Yang terjadi adalah ketika Anda ingin membeli sesuatu dengan menggunakan kartu kredit yang terdaftar dalam skema tersebut, padahal sebenarnya Anda sudah memasukkan data yang benar untuk nomor kartu, masa berlaku, nama yang tertera dan yang penting nomor CCV (verifikasi kartu kredit) yang digunakan terutama untuk transaksi CNP (pemegang kartu tidak hadir), Anda kemudian harus menyelesaikan login terpisah lainnya yang lengkap dengan kata sandi unik. Idenya adalah meskipun ada kemungkinan seseorang telah mencuri kartu kredit Anda, atau Anda bisa saja dipaksa untuk mengungkapkan informasi yang diperlukan. informasi, sangat tidak mungkin dalam istilah analisis risiko keamanan bahwa penipu yang sama juga memiliki akses ke kata sandi apa pun yang Anda gunakan untuk Sistem 3DSaman. Gagal pada bagian transaksi itu dan semuanya menjadi seperti buah pir.
Itu sebabnya email dari Matthew sangat mengkhawatirkan. Memang, saya tidak hanya mendapat satu email dari Matthew, tapi saya mendapat salinan seluruh korespondensi emailnya dengan Smile, bagian dari Bank Koperasi, mengenai masalah kecil tentang bagaimana mereka memilih untuk menerapkan pengenalan sistem VbV untuk Senyumannya kartu kredit. “Saya terkejut ketika mereka memberi tahu saya bahwa mereka akan mendaftarkan saya untuk Verified by Visa, dan kata sandi saya akan menjadi 'nama yang mudah diingat' dari akun saya. akun online saya,” kata Matthew kepada saya, seraya menambahkan: “Jadi bukan hanya kata sandi VbV saya yang agak tidak aman, tapi juga tertaut ke akun online saya: coba tebak, dapatkan lainnya!"
Sepanjang waktunya mengerjakan 3DSecure dari sisi perbankan, Matthew belum pernah melihatnya dilakukan dengan cara ini, dan saya harus mengakui bahwa saya juga tidak. Semua kartu kredit saya yang terdaftar di bawah skema ini memungkinkan saya memilih kata sandi saya sendiri, unik dan dibuat dengan hati-hati agar seaman mungkin. Faktanya, semua penyedia kartu yang pernah saya temui bersikeras akan hal itu. Tidak demikian halnya dengan Smile, yang tanggapan dari layanan pelanggannya memang harus dibaca agar dapat dipercaya.
Matthew, tidak mengherankan, menghubungi mereka dan mengatakan: “Saya baru saja menerima email tentang Verified by Visa untuk kartu kredit saya. Saya terkejut karena menurut Anda menggunakan nama saya yang mudah diingat untuk VbV itu aman! Ini mudah diingat dan oleh karena itu mudah bagi orang lain untuk mengetahuinya. Menautkan kata sandi VbV saya ke akun online saya hanya membuat keduanya semakin tidak aman. Saya telah diminta untuk menelepon Anda dan mengubah nama saya yang mudah diingat. Ini tidak meningkatkan keamanan jika tetap tertaut ke akun dan kartu kredit saya. Saya ingin dapat memilih kata sandi VbV saya sendiri dan memisahkannya dari akun online saya. Metode Anda saat ini tidak dapat diterima dan saya menolak bertanggung jawab atas transaksi web apa pun sampai Anda mengubah proses ini. PC Pro telah memberikan ulasan buruk pada situs web Smile mengenai keamanan. Ini hanya memperburuk keadaan.”
