“分布式猜解”攻击可六秒钟内搞定Visa卡的安全验证

xman

　　如果在电商网站输错多次某信用卡的有效期和CVV安全码，该网站将禁止使用该信用卡，以防止网络罪犯猜解信用卡。但是电商网站有很多，如果把这些网站同时利用起来猜解信用卡的凭证信息呢?结果是只需6秒钟，就可达到目的。

　　英国纽卡斯尔大学的研究人员在其论文中介绍，猜解信用卡的有效期并不难，一般Visa信用卡的有效期最多5年，猜解次数就是5*12等于60次，而3位的CVV码是1000次。通过把不同的猜解以"分布式"的方法发送到各个有信用卡支付功能的网站上，可以很快的得到正确的有效期和CVV码。
　　研究人员研究了世界排名前400个网站中的389个网站，只有47个网站使用3D安全授权机制，对此种攻击免疫。有238家网站允许输错6次或6次以上，而更差劲的网站，甚至只需要卡号和有效期，而无需输入CVV码。即便是信用卡拥有者的地址(25个网站需要输入这个地址)也可以被猜出，因为有些银行的分支机构代码就隐含在卡号中。
　　为了测试网站对此事的关心程度，研究人员按照他们获取信息的不同，把这些网站分成了三类，然后选择了三类用户最多的网站，把他们的研究结果发给这些网站。其中，有28个网站在四个星期内给予了回复，有8家网站打上了补丁(如限制每个IP或卡号输错的次数，添加图片验证，以及需要输入额外的信息)。
　　解决这种分布式猜解攻击的唯一办就是中心化或标准化，比如万事达卡的支付系统就是中心化的，不管你在哪个支付平台输错了验证信息，都会统一累加到中心系统中，从而有效的避免了分布式猜解攻击。
　　研究论文下载地址：
19180242-D02E-47AC-BDB3-73C22D6E1FDB.pdf (832.83 KB, 下载次数: 1)

2016-12-8 06:40 上传

点击文件名下载附件
阅读权限: 10