Mi az értelme online fizetéskor a PSD2-ben elvárt jelszónak?

Flame

Az ember online fizetni szeretne. Közbeiktatnak egy fintech szolgáltatót, mondjuk nekem már az sem világos, hogy miért, de ezen most lépjünk túl. Megadom a kártyaadatokat, jön az SMS, majd megadom az online fizetéshez használt jelszavamat, ha emlékszem rá. De minek? Az a jelszó semmire sem jó szerintem, hiszen a fintech szolgáltató megismerhette, mint ahogyan a kártyaadatokat is. Hol van itt a biztonság? Semmi szükség adathalászokra, ha az adathalászat legalizálva van, és minden infó eljut a fintech szolgáltatóhoz, azaz a bankon és rajtam kívül egy harmadik félhez. Ha jól sejtem, talán az az egyetlen szalmaszál, hogy jön a telefonomra egy SMS, de ez sem igazi biztonság, mert a PSD2 auth sem kell minden esetben.

Ez nekem olyan albán vírus érzetű dolog, amikor e-mailben megkérik a felhasználót, hogy törölje a saját file-jait a gépről. :)

  • 161 megtekintés

( andrej_ v | 2024. 02. 26., h – 21:45 )

Pontosan milyen fintech szolgáltatót iktatnak közbe? Tudod, hogy a PCI-DSS miatt azért nem olyan, hogy ukkmukkfukk iktatnak ezt azt?

( vilmos.nagy | 2024. 02. 26., h – 21:54 )

AFAIK a 3ds-t a bankod oldalán adod meg, onnan max egy ok/nemok jut vissza a fizetési szolgáltatóhoz (nyilván megfelelően titkosítva).

Tehát ha az OTP oldalán fizetek, de Rafis vagyok, akkor az OTPhez sosem jut el a 3ds-ből az SMSes jelszó, azt a Rafi oldalán adom meg, rafis hostingon, rafis ssl felett, stb. 

( locsemege v | 2024. 02. 26., h – 22:52 )

Mindkettőtöknek írom válaszként. Online fizetek, utána jellemzően Barion vagy Simple pay jön. Itt bekérik a kártya adatokat, majd az SMS-ben kapott második faktor egyszer használatos jelszót, továbbá az online fizetéshez szükséges jelszót. Nekem azzal van bajom, hogy így szerintem csak önbevallásos, úttörő becsszóra megígért az, hogy mi megy honnan hova titkosítva, simán hozzájuthat a Barion illetve Simplepay mindenhez, amellyel lenyúlhat pénzt a számláról, vagy amit negyedik félnek tovább adhat.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Szerintem nem elég alaposan nézed meg a folyamatot. Egy egyszerű példát végigveszek: rendelek kaját a jofalat.hu-n, akiknél a Barionnal tudok fizetni. A Gránitos kártyámra push üziben kikldött kód kell (a Gránitnál nincs jelszó, de képzeld oda a push üzenetbeli token helyett, a lényegen nem változtat).

Lépések:

  1. jofalat.hu-n megnyomom a fizetést, elirányít a barion.hu-ra
  2. barion.hu-n beírom a kártyaadataimat (kártyaszám, név, CVC, lejárat), rákattintok a fizetésre. A Barion három dolgot tehet
    1. átirányít a masodikfaktor.granitbank.hu-ra
    2. betölti egy iframe-ben a masodikfaktor.granitbank.hu-t
    3. betölti egy popupban az iframeben a masodikfaktor.granitbank.hu-t
  3. én a masodikfaktor.granitbank.hu-n adom meg a pushban kiküldött kódot, és rákattintok az OK-ra
  4. visszakerülök a barion.hu-hoz, aki kap a Gránittól vagy URL paraméterben vagy async egy jóváhagyó-kódot, hogy a 3DS-t sikeresen abszolváltam
  5. visszakerülök a jofalat.hu-ra, aki kap a Bariontól vagy URL paraméterben vagy async egy jóváhagyó-kódot, hogy a kártyás fizetés pöpec

Ami a lényeg, az a harmadik pont: a 3DS-t mindig a saját bankod domainjén csinálod - max el van rejtve előlet egy iframe-mel, de a network tabban akkor is színtisztán tudod ellenőrizni. Itt most két dologban kételkedhetsz:

  • masodikfaktor.granitbank.hu tényleg a Gránithoz tartozik-e -> de ha ebben kételkedsz, az egész DNS rendszerben kételkedj
  • a masodikfaktor.granitbank.hu nem adja vissza a Barionnak a kódodat -> de ha ebben kételkedsz, kételkedj abban is, hogy a barion nem adja a jofalatnak oda a kártyaadataidat

(én oauth körökben mozgok az utóbbi években, szóval) kicsit olyan ez, minzha a kedvenc webshopodba a Google/Facebook/Twitter  fiókoddal lépnél be [1] - attól, mert a twitterrel lépsz be, a kedvenc webshopod nem fogja tudni a twitter jelszavadat. Bogarászd itt végig, hogy mondjuk egy OAuth PKCE-vel hogy megy, és képzeld bele a Client Appnak a Bariont, míg az Auth Servernek a bankodat - a bankodnál írod be a 3DS jelszavadat, de az a Barionhoz sosem jut el.

[1]: tudom, neked nincs ilyen - lépjünk ezen túl.

szerk.: itt már csak tippelek, de a 2-es és a 3-as pont között a barion valszeg elmegy a Visa/Mastercardhoz, és elkéri onnan, hogy a te kártyád melyik bankhoz tartozik, és annak mi a 3DS oldala. Ugyanitt, abból is láthatod, hogy ez a banki oldalon megy, hogy nekem pl nincs online fizetéshez szükséges jelszavam [2], cserébe nálam push van, a banki mobilappba. Azt könnyen beláthatjuk, hogy a Barion nem tud nemhogy a hazai ~10 bank egyedi megoldásaihoz (online vásárlás jelszó; SMS; push üzenet a banki appba; stb) integrálódni, de főleg nem az EU-ban jelen lévő rengeteghez. 

[2]: AFAIK csak az OTP csinálja ezt az online vásárlásos jelszót, legalábbis se a Rafi, se a Gránit, se az Unicredit, se a Revolut nem.

Az online vásárlásos jelszót minden bank csinálja, mivel EU-s kötelezettség, PSD2-nek hívják. Lehet, rosszul fogalmaztam, s ezért a félreértés. Ha jól emlékszem, 4-től 32 elemű karaktersorozatig, de nem biztos, lehet, hogy csak számsor lehet, fogalmam sincs.

Nekem azzal van a bajom, hogy ha megadom a Barionnnak vagy Simplepaynek a kártyaadataimat, az egy klasszikus adathalász szituáció. Mondhatod, hogy nem is nekik adom meg, de ez akkor is csak azon múlik, hogy becsszó megígérték, ami aztán vagy így van, vagy nem. Olyan ez, mintha a jogosultság kezelés nem a kernelben, hanem a filemanagerben lenne implementálva, s onnantól kezdve, ha írok magamnak userspace-be egy saját filemanagert, akkor abból mindenhez lehet rwx jogom.

Tehát fizetéskor lényegében felelőtlenül kiadom harmadik félnek a kártyaadataimat, s ha ezután eltűnik a pénzem, a bank legfeljebb annyit mond, minek adtam ki a kártyaadataimat.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Az online vásárlásos jelszót minden bank csinálja

Nem. :) A PSD2 erős ügyfélhitelesítést ír elő (s azt sem minden esetben) - amiből ez az online vásárlásos jelszó egy implementáció. Jól sejtem, hogy OTP-s vagy?

Elmondom, hogy a Rafi hogy csinálja:

  • beírom a barion.hu-n a kártyaadataimat, Fizetés
  • elvisz a 3ds.rafi.hu-ra, ahol kiírja, hogy „küldtünk egy pusht a mobilappba, hagyd jóvá”
  • megnyitom a mobilappot: „fizettél a barion.hu-n 12345 Ft-ot, te voltál, jóváhagyod?” Rábökök, hogy igen
  • a Rafi mobilappja kér egy biometrikus azonosítást, az nálam ujjlenyomat
  • a mobilapp kiírja, hogy Köszi, a gépemen a 3ds.rafi.hu visszavisz a Barion felületére, és minden boldog

Sehol semmilyen SMS, se online jelszó, semmi. 

Nekem azzal van a bajom, hogy ha megadom a Barionnnak vagy Simplepaynek

A kártyaadataidat igen - de eddig nem erről volt szó. Eddig az volt a kérdés, hogy a 3DS-nek mi értelme - és erről regélek hosszan fent, hogy a 3DS-t NEM ezeknek a szolgáltatóknak adod meg, hanem MINDIG a saját bankodnak. Tényleg nézd meg legközelebb, de a saját bankod domainjéről betöltött oldalon fogod megadni az online vásárlásos jelszavadat.

Az online kártyás fizetés egy szar rendszer, ebben nem vitatkozunk. Akkor találták ki, amikor ilyenekre nem gondoltak. Velünk maradt, mint megannyi szar megoldás szerte a világban - de a 3DS-t már úgy tákolták bele, hogy ne küzdjön ezekkel a problémákkal.

Tehát fizetéskor lényegében felelőtlenül kiadom harmadik félnek a kártyaadataimat, s ha ezután eltűnik a pénzem, a bank legfeljebb annyit mond, minek adtam ki a kártyaadataimat.

Ez azért bőven nem így van, hála égnek, de nem kívánom, hogy végigmenj rajta :) 

Szerintem utána kellene nézned, hogyan működik az <iframe />.

https://security.stackexchange.com/questions/67889/why-do-browsers-enfo…

Nincs becs szó, a browser tartatja be, abban kell megbízni, de ha már netbankolsz, akkor ezen túl vagy.

Amire viszont én sem tudom a választ, hogy honnan tudhatod egy <iframe />-ről, hogy honnan van. Oké, desktop-on browser dev tools-ban meg lehet nézni de pl mobilos böngészben erre egyáltalán nincs lehetőség.

Az nem online vásárlásos jelszó, hanem bármi második faktor. Ez lehet one-time password, ha nincs semmi más lehetőség, de egyre több bank száll le erről a megoldásról.

csak azon múlik, hogy becsszó megígérték

Nem olvastad el figyelmesen azt a hozzászólást, amire reagáltál. Nem megígérésről van szó, hanem az egy másik alkalmazás, a fizetési szolgáltató ezt az adatot nem látja.