БЕЗОПАСНОСТЬ
Visa и MasterCard выбирают различные подходы к аутентификации
Компаниям, занимающимся розничной электронной торговлей и принимающим оплату по кредитным карточкам, в скором будущем предстоит столкнуться со сложностями, связанными с интеграцией конкурирующих технологий аутентификации покупателей. Эти технологии - Verified by Visa фирмы Visa USA (ее широкое внедрение запланировано на нынешнюю осень) и Secure Payment Application фирмы MasterCard (Перчейс, шт. Нью-Йорк), которая будет развернута в будущем году, - основаны на существенно различных подходах. В схеме Visa аутентификация выполняется на узле продавца, а технология MasterCard возлагает эту работу на специальный аплет, предварительно загружаемый на ПК клиента.
В результате компаниям-продавцам придется поддерживать оба механизма аутентификации. Более того, некоторые обозреватели считают вполне вероятным, что ни одна из этих систем не добьется успеха на рынке, как его не добился печально известный протокол аутентификации SET (Secure Electronic Transaction), пользовавшийся в свое время поддержкой одновременно и Visa, и MasterCard.
Visa постаралась сделать свое предложение более привлекательным, объявив, что берет на себя ответственность за транзакции, проведенные ее клиентами с использованием Verified by Visa. Нынешней осенью, когда служба будет запущена в промышленную эксплуатацию, Visa планирует развернуть маркетинговый блицкриг. Серверное ПО Verified by Visa (эта система, известная также под названием Visa Payer Authentication, обходится без специального клиентского компонента ПО и использует парольную защиту) уже установлено на нескольких Web-узлах.
Создаваемая MasterCard служба Secure Payment Application должна быть готова к опытной эксплуатации в апреле. Она также использует пароль, или PIN-код, но кроме того, требует установки на пользовательский компьютер специального аплета для аутентификации.
MasterCard и Visa, ранее активно сотрудничавшие, теперь занимаются поиском недостатков в подходах друг друга. Например, схеме Visa присуща большая продолжительность обработки транзакций; в процессе аутентификации осуществляется переход с Web-узла продавца на другие Web-узлы; требуется сложная работа по интеграции. А будущая служба MasterCard основана по существу на концепции электронного бумажника, неприятие которой пользователи уже продемонстрировали.
По-видимому, у Visa и MasterCard нет расхождений в единственном пункте - обе компании согласны, что протокол SET, принятый ими в декабре 1997 г., потерпел неудачу.
При использовании SET клиентам приходится терять время на длительную загрузку на свои машины необходимых компонентов; к тому же в этой технологии применена неуклюжая система цифровых сертификатов. А интегрировать ее в системы продавцов и банков, эмитирующих кредитные карты, оказалось непросто. Практически всякая активность вокруг этого протокола сошла на нет к концу 1998 г. Visa и MasterCard теперь идут каждая своим путем, а некоторые продавцы уже вообще не видят смысла прибегать к каким-то специальным технологиям аутентификации. “У нас нет серьезного интереса к системам Visa или MasterCard, по крайней мере сейчас, - заявил Кант Гопалпур, вице-президент по электронной торговле корпорации Djangos Music (Портленд, шт. Орегон), специализирующейся на торговле по Сети музыкальной и видеопродукцией. - Это же лишняя головная боль для покупателей. Им уже и так приходится передавать номер кредитной карточки, а теперь будет нужно запоминать еще и пароль”.
VISA против MASTERCARD
Как работают системы аутентификации двух компаний при осуществлении электронных платежей:
Verified by Visa
- Владелец кредитной карточки задает свой пароль в процессе подписки на услугу аутентификации.
- После нажатия на кнопку “Buy” (купить) с соответствующей страницы узла продавца у покупателя запрашивается пароль.
- Банк - эмитент кредитной карточки верифицирует пароль и передает продавцу уведомление о результате аутентификации вместе с параметрами платежа.
MasterCard Secure Payment Application
- Владелец кредитной карты задает пароль, или PIN-код, на узле банка-эмитента и загружает с него клиентский аплет.
- Работающая на сервере программа - электронный бумажник - автоматически заполняет за пользователя все стандартные поля формы заказа; аплет генерирует код аутентификации.
- Клиент вводит свой пароль, или PIN-код.
- Уведомление о результате аутентификации и параметры платежа передаются банку-эмитенту.