▲為確保交易安全,信用卡網路交易有愈來愈嚴謹的認證機制。(圖/取自免費圖庫pixabay)
記者沈君帆/綜合報導
使用信用卡面對面交易時,收卡的店員需要確認持卡人身份,從簽名筆跡、卡片真偽,到取得銀行授權,有許多認證步驟,通過這些過程才能刷卡成功。那麼非面對面交易如網路刷卡,又需要經過什麼認證機制?以下說明。
姓名、卡號、到期日、安全碼
大部分的非面對面交易都需要這些信用卡資訊:姓名、卡號、到期日、安全碼(信用卡背面,通常在姓名欄後面3或4碼,VISA卡稱為CVV2,MasterCard叫做CVC2),早期甚至只需要卡號、到期日就可以刷卡了。即使現在,還是有些網站刷卡不用提供安全碼,例如AMAZONE。
不管需要2個還是4個資訊,這些資訊都在信用卡上,任何人只要看到抄下、拍照,或信用卡失竊,就可以用來網路盜刷,非常不安全,因此有需要發展出更嚴謹的防制辦法。
刷卡簡訊通知
最先出現的信用卡防盜刷機制為刷卡簡訊通知,不管是面對面或非面對面交易,只要信用卡被刷卡,就會以電話簡訊通知持卡人。依金管會規定,3000元以上的消費才需要通知,因此也衍生了小額盜刷的手法。此外,在國外刷卡消費也會收不到手機簡訊,讓盜刷也有機可乘。近年許多銀行推出了LINE即時刷卡通知,不管金額大小全都通知,只要有網路就不會錯過,可以更有效降低小額盜刷和境外盜刷。
刷卡簡訊通知畢竟是發生在刷卡之後,雖然能即時發現,但盜刷已發生,損失就會依責任歸屬由銀行、店家或持卡人承擔。那麼有沒有辦法在刷卡成交之前,還有一道驗證的機制,讓損失不要發生?
3D認證
早在2000年代初,VISA、MasterCard 及 JCB 就已推出網路購物安全機制「3D認證」,其中3D(Three-Domain Secure,縮寫3DS)指參與認證的三方:收單方(Acquirer Domain)、發卡方(Issuer Domain),以及連接前兩者的數據交換方(Interoperability Domain)。3D認證可以在電子商務交易中認證持卡人,如果不是本人消費,則無法通過驗證而交易失敗。由於認證的時機在交易之前,可以真正防止損失。推出到現在歷經幾次改良:
固定密碼
早期的3D認證是要求持卡人設定一組「固定密碼」,在網路上用信用卡消費時,會彈出網頁要求輸入密碼,輸入確定無誤之後才能完成交易。雖然有效防止盜刷,但常有持卡人因忘記密碼而無法交易,或有民眾反應,開通3D驗證的固定密碼之後,盜刷的責任竟落到持卡人身上。信用卡達人寶可孟認為,這是保護銀行而不是保護消費者,他甚至主張不要註冊「3D認證固定密碼」。
動態密碼(OTP)
由於固定密碼的缺陷,發卡組織再推出動態密碼的3D認證機制,稱為OTP(one-time password),亦即只使用一次的密碼。當網路刷卡時,會發送一組動態密碼到持卡人的手機,持卡人再將密碼填入網頁,認證通過即繼續程序至交易完成。現在所有的發卡銀行都已採用動態密碼,少數還保有固定密碼的認證方式。
第二代3D認證(3D Secure 2,也稱為 EMV 3-D Secure、3D Secure 2.0 或 3DS2.0)
因應在手機刷卡已取代在PC刷卡,2016年發卡組織發布了3D認證第二代(3D Secure 2,又稱3DS2.0),除了延續OTP動態密碼,改善跨平台使用,更引進生物特徵(OBB)如指紋、臉部辨識或是新的驗證技術,來確認持卡人的身份,大大的增進了行動裝置電子商務的便利性。
讀者迴響