PSD2 - Strong Customer Authentication - Customer Support - Bank Austria
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
PSD2 – Strong Customer Authentication Customer Support 8608 / E-Banking, Mobile & Self Service Development & Management Wien, Juli 2019
PSD2 – Strong Customer Authentication
• Zwei-Faktor Authentifizierung = Kombination aus 2 von 3 Faktoren
• Wissen (z.B. PIN, Passwort,) = etwas was nur Kunde weiß
• Besitz (z.B. Smartphone, Tablet) = etwas was nur Kunde hat
• Inhärenz (Biometrie) = etwas was nur der Kunde ist
• Aktuelle Anwendungsbereiche von 2FA
• Überweisungen, PIN Änderung, TAN-Limitänderung, etc… (Login mit "Wissen" +
Zeichnung mit "Besitz")
• Aktive Geräteverwaltung im MobileBanking (Login mit "Wissen" oder "Inhärenz" + Geräte-
Registrierung "Besitz")
• Erstellung des Sicherheitszertifikates zur Nutzung von MultiBankStandard (MBS)
2
PSD2 – Strong Customer Authentication
• Zukünftige Anwendungsbereiche von 2FA im Sinne von PSD2
• Erstlogin mit zusätzlicher Eingabe einer TAN bzw. bei Push mit Bestätigung am Handy
• Desktop (OLB, BN, 24You, Msite): Browser-Registrierung (Browser Name in
Geräteverwaltung); Cookie wird angelegt und dient als Faktor "Besitz"
• MobileBanking App: Geräte-Registrierung für jedes neue Smartphone / Tablet
• Login alle 90 Tage mit zusätzlicher Eingabe einer TAN bzw. bei Push mit Bestätigung am
Handy
• Desktop(OLB, BN, 24You, Msite): Browser Name bleibt, lediglich TAN ist einzugeben
• MobileBanking App: 2FA immer gegeben durch Gerätebindung
Browser-Registrierung ersetz die aktuelle Funktion "Erweiterte Sicherheit beim Login"
Geräteverwaltung kann nicht deaktiviert werden
Wenn Browser Cookie gelöscht wird muss der Browser erneut registriert werden mit TAN
3
Browser Registrierung in 24You 4
Browser Registrierung in 24You mit mobileTAN Push 5
Browser Registrierung in OnlineBanking / BusinessNet 6
Browser Registrierung in OnlineBanking / BusinessNet mit mobileTAN Push 7
Geräteverwaltung in 24You 8
Geräteverwaltung in OnlineBanking / BusinessNet 9
PSD2 – Strong Customer Authentication
• Weitere neue Anwendungsbereiche der 2FA
• Beim Login mit 1FA (Verfügernummer + PIN) am Desktop (OLB, BN, 24You, Msite) sind
nur Umsätze und Details der Zahlungsverkehrskonten der letzten 90 Tage im Klartext
ersichtlich
• Umsätze und Details älter als 90 Tage sind maskiert und können weder gedruckt noch
exportiert werden
• Will man Details der maskierten Umsätze einsehen muss eine TAN eigegeben werden
bzw. bei Push mit Bestätigung am Smartphone Klick auf maskierten Umsatz oder auf
Schlosssymbol auf der Maske um TAN anzufordern
• Maskierung betrifft den gesamten Kontoinfo-Bereich (inkl. Kontoauszüge, Export, etc…)
• MobileBanking App: Login immer mit 2FA, daher keine Maskierung von Umsätzen und
Details älter als 90 Tage
10Maskierung im Kontoinfo-Bereich in 24You mit mobileTAN Push
1.
3.
2.
11Maskierung im Kontoinfo-Bereich in OnlineBanking / BusinessNet 12
Maskierung im Kontoinfo-Bereich in OnlineBanking / BusinessNet
Nach dem Klick auf das Schlosssymbol oder auf einen Maskierten Umsatz
erscheint folgende Infobox. Mit dem Button "Autorisierung" öffnet sich das Feld
um eine TAN einzugeben.
13PSD2 – Strong Customer Authentication
• Weitere neue Funktionen im Internet-Banking
• Aufträge müssen innerhalb von 5 Minuten gezeichnet werden ab dem Zeitpunkt der TAN
Anforderung. Nach 4 Minuten wird eine Counter für die letzte Minute angezeigt. Nach 5
Minuten erfolgt ein Logout. Falsche TAN Eingabe bzw. Änderung der TAN Methode setzt
Counter zurück.
• MobileBanking App überprüft die Betriebssystemintegrität (Jailbreak, Bootloader
unlocking, Rooting). Warnung wir angezeigt und kann weggeklickt werden um die App
weiter zu verwenden.
• TANs sind in Banksystemen (SAM / EBNF / SMS Gateway) maskiert. TANs kommen bei
Kunden weiterhin im Klartext an.
14Auftragszeichnung in 24You 15
Auftragszeichnung in OnlineBanking / BusinessNet 16
PSD2 – Strong Customer Authentication im MBS Bereich
• Erstellung eines Sicherheitszertifikates
• Für jeden Fremdbankrechner muss im Zuge der PSD2 Strong Customer Authentication
ein neues Sicherheitszertifikat im BusinessNet Professional generiert und mittels TAN
gezeichnet werden. Bei der Generierung wird ein privater Schlüssel und ein
Sicherheitszertifikat erstellt, welche dem Kommunikationsberechtigten zugewiesen
werden und nur von diesem verwendet werden können.
das bedeutet, dass je BN-Vertrag je Fremdbankrechner 1 Mal durch einen BN-
Masteruser ein Zertifikat erstellt werden muss und anschließend von allen Verfügern,
die diesem Fremdbankrechner zugeordnet sind, genutzt werden kann.
• Das Zertifikat ist 20 Jahre lang gültig.
• Das Zertifikat kann auch widerrufen werden (zB bei Beendigung der Geschäftsbeziehung
mit der Fremdbank), sowie anschließend wieder neu erstellt werden.
17PSD2 – Strong Customer Authentication im MBS Bereich
• Weitere neue Anwendungsbereiche der 2FA im MBS Bereich
• Der Nutzen des Sicherheitszertifikates ist, dass mit der doppelten Authentifizierung der
Zeitraum von 90 Tagen für SCA für MBS nicht mehr benötigt wird, somit muss für die
Kontoinformationsabfrage, die älter als 90 Tage ist, keine TAN mehr eingegeben werden.
• MobileTAN Anforderung – um den Anforderungen von RTS (Delegierte Verordnung (EU)
2018/389) zu entsprechen muss eine Zwei-Faktor Authentifizierung erfolgen. Somit
muss für jede MobileTAN Eingabe auch die PIN aus Sicherheitsgründen eingegeben
werden.
• Beim CardTAN-Verfahren erfolgt eine Zwei-Faktor Authentifizierung, welche aufgrund der
Vorgaben von RTS (Delegierte Verordnung (EU) 2018/389) notwendig ist, derart, dass
die Anforderung einer CardTAN durch Eingabe der PIN am CardTAN-Generator erfolgt.
18Sicherheitszertifikatserstellung in BusinessNet 19
Sicherheitszertifikatserstellung in BusinessNet 20
Sicherheitszertifikatserstellung in BusinessNet
Anforderung einer SMS von der Fremdbank
Der SMS Text lautet:
Begleitzettel Verfüger: 158456434 Referenzcode: 05985 02341 Zertifikatsverwaltung TAN: W8SX0
21Sicherheitszertifikatserstellung in BusinessNet 22
Sicherheitszertifikatserstellung in BusinessNet 23
PIN Eingabe bei SMS-TAN Anforderung 24
Sie können auch lesen
