EPI - TOP ODER FLOP? PASSWORTLOSE ZAHLUNGSAUTHENTIFIKATION MIT FIDO - ZUKUNFTSMUSIK ODER REALITÄT? - kreditwesen.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
1
15. Februar 2022
Fritz Knapp Verlag
KARTEN
33. Jahrgang
ISSN 0937-597 X
D 25079
cards | cartes
ZEITSCHRIFT FÜR ZAHLUNGSVERKEHR UND PAYMENTS
Digitaler
Sonderdruck
EPI –
TOP ODER
FLOP?
PASSWORTLOSE ZAHLUNGSAUTHENTIFIKATION
MIT FIDO – ZUKUNFTSMUSIK ODER REALITÄT?
Von Uwe Härtel
Foto: AdobeStock / Alexey Novikov
PAYMENT-STRATEGIEN
Passwortlose Zahlungsauthentifikation
mit Fido – Zukunftsmusik oder Realität?
Von Uwe Härtel
Fido2 erfüllt die höchsten Sicherheits
Foto: Entersekt
anforderungen und adressiert verschie
dene Einsatzszenarien für Authentifi
zierung. Darunter fallen passwortloses
Login, passwortloses Multi-Faktor-
Login mit Biometrie, delegierte Authen
tifizierung, digitale Registrierung und
Identitätswiederherstellung. Sehr gut
eignet sich Fido auch für die Authen
tifizierung von Online-Zahlungen.
Durchsetzung braucht noch Zeit
Mit der Einführung der Revised Pay
ment Services Directive (PSD2) wurde
die Verwendung von starker Multi-Fak
tor-Authentifizierung für Online-Zah
lungen verpflichtend. Dadurch hat sich
Die Zeit der Passwörter ist definitiv vorbei, sagt Uwe Härtel – und die pass die Zahlungsverkehrslandschaft grund
wortlose Zukunft zum Greifen nah. Zum Game Changer werden könnte hier legend verändert. Fido2 passt perfekt
der Fido-Standard. Die europaweit erste Fido-basierte Lösung im Payment zu PSD2: Mit einem starken Faktor der
ist bereits bei Pluscard implementiert. Bis der Fido-Standard bei der Authen Kategorie „Besitz“ – also einem Smart
tifizierung von Online-Zahlungen eine bedeutende Rolle spielen wird, wird phone oder Laptop – können sich die
es wohl noch eine gewisse Zeit dauern. Weil im neuen EMV 3DS 2.3 Proto- Fido-Nutzer selbst auf einer Webseite
koll der Einsatz der Secure Payment Confirmation (SPC) nun standardisiert während des Step-up-Prozesses au
ist, ist sich der Autor jedoch sicher: Spätestens, wenn 3D-Secure 2.3 umgesetzt thentifizieren.
ist und SPC zum Standard wird, wird Fido im Payment-Bereich nicht mehr
wegzudenken sein. Red. Neue Standards brauchen immer eine
gewisse Zeit, bis sie sich durchgesetzt
haben. Bei Fido ist das nicht anders.
Heutzutage ist es bequem, mit der Kre ohne den Einsatz von Passwörtern aus Obwohl die großen Player wie Micro
ditkarte schnell und einfach online ein sehen? soft, Google und Apple von Fido über
zukaufen. Um Betrug zu verhindern, zeugt sind, ist diese Anwendung (bis
muss jede dieser Zahlungen authenti Als Lösung mit Zukunftspotenzial jetzt) in der Praxis zwar technisch mög
fiziert werden. Das heißt, bei jeder kommt Fido ins Spiel. Mit Fido (Fast
Transaktion wird geprüft, ob die Konto- IDentity Online) ist bereits seit 2013 eine
oder Kartendaten tatsächlich vom Kar Alternative zur Abhängigkeit von Pass
Foto: Entersekt
teninhaber eingegeben wurden. Zur wörtern verfügbar. Die Non-Profit-
Legitimation sind Passwörter immer Organisation Fido Alliance wurde 2012
noch weitverbreitet. Sie werden mittler von den Unternehmen Agnitio, Infineon,
weile jedoch als unsicher eingestuft, Lenovo, Nok Nok Labs, Paypal und
weil sie leicht abgefangen oder erraten Validity Sensors gegründet. Ziel war die
werden können. Entwicklung offener und lizenzfreier
Industriestandards für die weltweite
Zudem ist es für den Anwender sehr Authentifizierung im Internet.
umständlich, sich unterschiedliche
Passwörter für die zahlreichen verschie Die aktualisierte Version Fido2 basiert Uwe Härtel,
denen Anwendungen zu merken. Die auf den freien und offenen Standards Country Manager Central Europe,
Zeit der Passwörter ist also definitiv der Fido Alliance und kombiniert zwei Entersekt Europe Cooperatif U.A.,
vorbei. Aber wie kann eine sichere Au Standards des World Wide Web Con Utrecht/München
thentifizierung von Online-Zahlungen sortiums (W3C): WebAuthn und CTAP2.
2 cards KARTEN cartes 1/2022 – Digitaler SonderdruckPAYMENT-STRATEGIEN
lich, aber bislang kaum verbreitet. Hier rührt man dann den Sensor, zum Bei te. Dieser Vorgang, der in der PSD2
könnte der Zahlungsverkehr in Zukunft spiel des eigenen Fido-Tokens. beschrieben wird, ermöglicht es On
eine wichtige Rolle spielen. Es ist davon line-Händlern, die Authentifizierung bei
auszugehen, dass Fido bei der Authen der Zahlung mit Kreditkarten selbst zu
tifizierung von Online-Zahlungen in Kartenherausgeber favorisieren übernehmen. Normalerweise sind die
Zukunft eine wichtige Rolle spielt und 3D-Secure Banken, die die Karten herausgeben,
dadurch insgesamt dem Fido-Standard zuständig für die Authentifizierung der
zu größerer Popularität verhilft. Für die Authentifizierung von Karten Konsumenten und ihrer Transaktionen.
zahlungen lassen sich drei Einsatzsze So wird der Zahlungswunsch des Kun
narien unterscheiden, bei denen Fido den von der Webseite des Händlers
Plattform-Authentifikatoren eingesetzt werden kann: zum Server der kartenausgebenden
sind die Zukunft Bank weitergeleitet und nach Überprü
– Klassisches 3D-Secure-Verfahren, fung wieder zurückgeschickt. Dabei
Wenn man heute Fido für die Freigabe kann es zu Reibungsverlusten bis hin
von Online-Zahlungen nutzen möchte, – Delegated Authentication und zum Abbruch des Kaufs kommen.
stehen dazu generell zwei technische
Lösungen zur Verfügung: – Secure Payment Confirmation (SPC). Auf Basis detaillierter „Delegated Au
thentication“-Konzepte von Mastercard
– Roaming-Authentifikatoren (zum Bei Bei 3D-Secure handelt es sich um einen und Visa kann der Händler beantragen,
spiel ein Hardware-Token) und weitverbreiteten Industriestandard, der die Authentifizierung selbst durch
– Plattform-Authentifikatoren (für mo
bile Geräte und Laptops/PCs).
Foto: Entersekt
Künftig werden neben den physischen
Roaming-Authentifikatoren vermehrt
sogenannte Plattform-Authentifikato
ren zum Einsatz kommen. So unterstüt
zen nun alle aktuellen Versionen der
Betriebssysteme der großen Anbieter
wie Apple, Microsoft und Google den
Fido-Standard für sicheres Log-in so
wohl für PC/Notebooks als auch mobile
Endgeräte. Alle gängigen Webbrowser
wie Edge, Firefox oder Chrome unter
stützen Fido2/WebAuthn ebenso wie Fido-Nutzung von Roaming-Authentifikatoren zur Authentifizierung – bei
die mobilen Browser von Android ab Pluscard bereits im Einsatz
Version 7.0 sowie iOS ab Version 13.3.
Zur Registrierung reicht im einfachsten einen Großteil des Marktes abdeckt zuführen. Das macht den Vorgang
Fall die Eingabe des Benutzernamens und von den Kartenherausgebern ge schneller, einfacher und minimiert die
oder der Mailadresse aus. Anschlie puscht wird. In den Spezifikationen für Schnittstellen, die technische Probleme
ßend wählt man die Registriermethode 3D-Secure ist festgelegt, wie Fido für erzeugen können. Dazu müssen jedoch
sowie den bevorzugten Authentica die Authentifizierung genutzt werden die technischen Voraussetzungen ge
tor-Type, also entweder das Notebook kann. 3D-Secure wird von manchen schaffen werden, wobei Fido2 in Zu
beziehungsweise Mobilgerät oder ei Händlern mit Skepsis betrachtet, da es kunft eine wichtige Rolle spielen könnte.
nen separaten Fido-Hardware-Token. im Checkout-Vorgang zu vermehrten Leider gibt es bisher für dieses Konzept
Zum Abschluss der Registrierung be Kaufabbrüchen kommen kann, wenn noch keinen verbreiteten Industrie
der Authentifizierungsschritt zu um standard. Zudem wird es von den Kar
ständlich aufgesetzt ist. Je nahtloser tenherausgebern nicht unbedingt fa
und mit je weniger Schritten der Au vorisiert, weil sie damit einen Teil ihrer
Authentifikatoren in Kürze thentifizierungsprozess auskommt, des Kontrolle über den Authentifizierungs
Roaming-Authentifikatoren sind to besser ist die User Experience und vorgang abgeben. Außerdem ist die
portable Hardware-Token, die mit damit die Akzeptanz durch die Nutzer. Implementierung dieses Verfahrens
jedem Computer oder Smartphone wahrscheinlich für die Mehrheit der
über USB, Bluetooth oder Near- kleineren Händler zu aufwendig.
Field Communication (NFC) verbun Delegated Authentication für
den werden können. kleine Händler noch aufwendig Das World Wide Web Consortium
Plattform-Authentifikatoren sind in (W3C), das die Techniken im Internet
Laptops oder Smartphones integ Im Zusammenhang mit der Einführung standardisiert, hat bereits einen Entwurf
riert, sodass die Geräte selbst als von Fido2 gewinnt ein weiterer Ansatz für Secure Payment Confirmation (SPC)
Authentifikatoren fungieren. an Aufmerksamkeit, der die Situation als neuen Standard veröffentlicht. Dieser
der Händler deutlich verbessern könn soll die Authentifizierung bei Zahlungs
Digitaler Sonderdruck – cards KARTEN cartes 1/2022 3PAYMENT-STRATEGIEN
transaktionen auf der Basis von Fido Nutzer so angenehm und unkompliziert. gen bequem und sicher über den Fido-
vereinfachen und beschleunigen. Somit Experten erwarten deshalb, dass sich Token freigeben zu können. Zusammen
ergänzen sich Fido und SPC ideal, um mit SPC die Konversionsraten signi mit Netcetera und Entersekt wurde mit
die Authentifizierung von Kartenzahlun fikant steigern sowie die Transaktions dem Fido-Standard eine zukunftssichere
gen im Rahmen von 3D-Secure noch zeiten deutlich verringern lassen. Lösung umgesetzt. Diese ist bisher eine
kundenfreundlicher zu gestalten. einzigartige Alternative zur App-ba
sierten Authentifizierung auf dem deut
Erste Fido-Implementierung schen Markt. Da mittelfristig neben
Secure Payment Confirmation im Payment-Bereich Roaming-Authentifikatoren auch Platt
(SPC) als goldener Mittelweg form-Authentifikatoren eine größere
Viele Konzepte für eine sichere Authen Rolle spielen werden und die Lösung von
Bei Secure Payment Confirmation tifizierung mit Fido befinden sich noch Pluscard auf die Nutzung beider Metho
(SPC) handelt es sich um ein Web API im Entwicklungsstadium. Bis auf eine den ausgerichtet ist, hat diese Lösung
(Application Programming Interface), Ausnahme: In einem gemeinsamen viel Potenzial für die Zukunft.
das von der Web Payment Working Projekt lancierten Pluscard, Full-Service
Group innerhalb des World Wide Web Processor für zahlreiche kartenausge
Consortium (W3C) entwickelt wurde. bende Institute deutschlandweit, Net Die passwortlose Zukunft
Google hat es in seinem Browser Chro cetera, Marktführer für digitale Be ist zum Greifen nah
me 95 bereits implementiert. Zudem ist zahllösungen, und Entersekt, Spezialist
im neuen EMV 3DS 2.3 Protokoll der für starke Kundenauthentifizierung, im Für Unternehmen, die die geforderte
Einsatz von SPC nun standardisiert. Juni 2021 die erste Authentifizierungs Sicherheit mit einer guten Nutzererfah
Issuer, Händler und PSPs können also alternative gemäß Fido-Standard in rung verbinden wollen und auf eine
nicht umhin, sich mit dem Thema zu be Europa. Diese verspricht sicheres, un einheitliche Lösung setzen, die über
fassen und seine Chancen auszuloten. eingeschränktes Zahlen mit der Kredit alle Kanäle hinweg funktioniert, ist
karte im Internet, ohne den Einsatz ei Fido bereits heute eine Authentifizie
Laut W3C unterstützt das API eine rei nes mobilen Endgerätes. rungslösung. Spätestens dann, wenn
bungslose Authentifizierung während 3D-Secure 2.3 umgesetzt ist, wird die
einer Zahlungstransaktion. Es erbringt Die Authentifizierung wird über einen passwortlose, sichere und gleichzeitig
den kryptografischen Beleg dafür, dass physischen Token abgewickelt. Diesen nutzerfreundliche Authentifizierung im
der Nutzer die Daten des Bezahlvor Token bekommen die Kunden von der Bereich Payments nicht mehr wegzu
gangs bestätigt hat. Ein wichtiges Bank für die Verwendung am Compu denken sein.
Merkmal der sicheren Zahlungsbestä ter. Die Kunden registrieren den Token
tigung ist, dass der Händler die Authen über eine eingerichtete Registrie Und wenn SPC zum neuen Standard
tifizierung selbst einleiten kann. Hier rungsseite. Der Token ist danach mit wird, hat Fido das Potenzial, zum „Game
kommt das oben beschriebene Konzept der Kreditkarte verknüpft und Kunden Changer“ für reibungslose, sichere Zah
der „Delegated Authentication“ zum können damit ganz einfach ihre On lungsvorgänge zu werden. Jedoch wird
Tragen. Sowohl bei der Registrierung line-Transaktionen authentifizieren. es noch einige Zeit dauern, bis alle Vor
als auch bei der Authentifizierung aussetzungen am Markt geschaffen sind
kommt Fido zum Einsatz und macht die Kunden ohne mobiles Endgerät haben und sich alle relevanten Marktteilnehmer
ses neue Verfahren dadurch für den nun die Möglichkeit, ihre Online-Zahlun dem Standard angeschlossen haben.M
4 cards KARTEN cartes 1/2022 – Digitaler SonderdruckSie können auch lesen
