如果在電商網站輸錯多次某信用卡的有效期和CVV安全碼，該網站將禁止使用該信用卡，以防止網絡罪犯猜解信用卡。但是電商網站有很多，如果把這些網站同時利用起來猜解信用卡的憑證信息呢?結果是只需6秒鐘，就可達到目的。

[[178317]]

英國紐卡斯爾大學的研究人員在其論文中介紹，猜解信用卡的有效期并不難，一般Visa信用卡的有效期最多5年，猜解次數就是5*12等于60次，而3位的CVV碼是1000次。通過把不同的猜解以“分布式”的方法發送到各個有信用卡支付功能的網站上，可以很快的得到正確的有效期和CVV碼。

研究人員研究了世界排名前400個網站中的389個網站，只有47個網站使用3D安全授權機制，對此種攻擊免疫。有238家網站允許輸錯6次或6次以上，而更差勁的網站，甚至只需要卡號和有效期，而無需輸入CVV碼。即便是信用卡擁有者的地址(25個網站需要輸入這個地址)也可以被猜出，因為有些銀行的分支機構代碼就隱含在卡號中。

為了測試網站對此事的關心程度，研究人員按照他們獲取信息的不同，把這些網站分成了三類，然后選擇了三類用戶最多的網站，把他們的研究結果發給這些網站。其中，有28個網站在四個星期內給予了回復，有8家網站打上了補丁(如限制每個IP或卡號輸錯的次數，添加圖片驗證，以及需要輸入額外的信息)。

解決這種分布式猜解攻擊的唯一辦就是中心化或標準化，比如萬事達卡的支付系統就是中心化的，不管你在哪個支付平臺輸錯了驗證信息，都會統一累加到中心系統中，從而有效的避免了分布式猜解攻擊。

研究論文下載地址：

http://eprint.ncl.ac.uk/file_store/production/230123/19180242-D02E-47AC-BDB3-73C22D6E1FDB.pdf