3-D sicher – Wikipedia

Posted on by
before-content-x4

3-D sicher ist ein Protokoll, das als zusätzliche Sicherheitsschicht für Online-Kredit- und Debitkartentransaktionen konzipiert wurde. Der Name bezieht sich auf die “drei Domänen”, die über das Protokoll interagieren: die Händler- / Erwerberdomäne, die Ausstellerdomäne und die Interoperabilitätsdomäne.[1]

Es wurde ursprünglich von Arcot Systems (jetzt CA Technologies) und Visa entwickelt[2] mit der Absicht, die Sicherheit von Internet-Zahlungen zu verbessern, und den Kunden im Rahmen der angeboten Verifiziert von VISA Marke. Auf dem Protokoll basierende Dienste wurden ebenfalls von Mastercard als übernommen Sicherheitscode, von Discover as ProtectBuy,[3] von JCB International als J / Sicherund mit American Express als American Express SafeKey.[4] Spätere Überarbeitungen des Protokolls wurden von EMVCo unter dem Namen erstellt EMV 3-D Secure. Version 2 des Protokolls wurde 2016 mit dem Ziel veröffentlicht, die neuen EU-Authentifizierungsanforderungen einzuhalten und einige der Mängel des ursprünglichen Protokolls zu beheben.[5]

Die Analyse der ersten Version des Protokolls durch die Wissenschaft hat gezeigt, dass es viele Sicherheitsprobleme gibt, die den Verbraucher betreffen, einschließlich einer größeren Fläche für Phishing und einer Verlagerung der Haftung bei betrügerischen Zahlungen.[6]

Beschreibung und grundlegende Aspekte[edit]

Das Grundkonzept des Protokolls besteht darin, den Finanzautorisierungsprozess mit der Online-Authentifizierung zu verknüpfen. Diese zusätzliche Sicherheitsauthentifizierung basiert auf einem Drei-Domänen-Modell (daher die 3D-Authentifizierung im Namen selbst). Die drei Domänen sind:

  • Acquirer Domain (die Bank und der Händler, an die das Geld gezahlt wird).
  • Ausstellerdomäne (die Bank, die die verwendete Karte ausgestellt hat).
  • Interoperabilitätsdomäne (die vom Kartenschema bereitgestellte Infrastruktur, Kredit-, Debit-, Prepaid- oder andere Arten von Zahlungskarten zur Unterstützung des 3-D Secure-Protokolls). Es umfasst das Internet, das Händler-Plug-In, den Zugriffskontrollserver und andere Softwareanbieter

Das Protokoll verwendet XML-Nachrichten, die über SSL-Verbindungen mit Clientauthentifizierung gesendet werden[7] (Dies stellt die Authentizität beider Peers, des Servers und des Clients mithilfe digitaler Zertifikate sicher.)

Bei einer Transaktion mit Verified-by-Visa oder SecureCode wird eine Weiterleitung auf die Website der kartenausgebenden Bank eingeleitet, um die Transaktion zu autorisieren. Jeder Aussteller kann jede Art von Authentifizierungsmethode verwenden (das Protokoll deckt dies nicht ab). Bei Online-Einkäufen wird jedoch normalerweise ein an die Karte gebundenes Kennwort eingegeben. Das Verified-by-Visa-Protokoll empfiehlt, die Verifizierungsseite der Bank in einer Inline-Frame-Sitzung zu laden. Auf diese Weise können die Systeme der Bank für die meisten Sicherheitsverletzungen verantwortlich gemacht werden. Heutzutage ist es einfach, ein Einmalkennwort als Teil einer SMS-Textnachricht zur Authentifizierung an die Mobiltelefone und E-Mails der Benutzer zu senden, zumindest während der Registrierung und für vergessene Kennwörter.

Der Hauptunterschied zwischen Visa und Mastercard-Implementierungen liegt in der Methode zum Generieren des UCAF (Universal Cardholder Authentication Field): Mastercard verwendet AAV (Accountholder Authentication Value) und Visa verwendet CAVV (Cardholder Authentication Verification Value).[clarification needed]

ACS-Anbieter[edit]

Im 3-D Secure-Protokoll befindet sich der ACS (Access Control Server) auf der Ausstellerseite (Banken). Derzeit lagern die meisten Banken ACS an Dritte aus. In der Regel zeigt der Webbrowser des Käufers den Domainnamen des ACS-Anbieters und nicht den Domainnamen der Bank an. Dies ist jedoch vom Protokoll nicht erforderlich. Abhängig vom ACS-Anbieter kann ein bankeigener Domainname zur Verwendung durch das ACS angegeben werden.

MPI-Anbieter[edit]

Jede 3-D Secure Version 1-Transaktion umfasst zwei Internet-Anforderungs- / Antwortpaare: VEReq / VERes und PAReq / PARes.[8] Mit Visa und Mastercard können Händler keine Anfragen direkt an ihre Server senden. Händler müssen stattdessen MPI-Anbieter (Merchant Plug-In) verwenden.

Kaufleute[edit]

Der Vorteil für Händler ist die Reduzierung von Rückbuchungen bei “nicht autorisierten Transaktionen”. Ein Nachteil für Händler besteht darin, dass sie ein Händler-Plug-In (MPI) erwerben müssen, um eine Verbindung zum Visa oder Mastercard-Verzeichnisserver herzustellen. Das ist teuer[clarification needed] (Einrichtungsgebühr, monatliche Gebühr und Gebühr pro Transaktion); Gleichzeitig bedeutet dies zusätzliche Einnahmen für MPI-Anbieter. Die Unterstützung von 3-D Secure ist kompliziert und führt manchmal zu Transaktionsfehlern. Der vielleicht größte Nachteil für Händler besteht darin, dass viele Benutzer den zusätzlichen Authentifizierungsschritt als störend oder hinderlich ansehen, was zu einer erheblichen Zunahme des Abbruchs von Transaktionen und zu Einnahmeverlusten führt.[9]

Käufer und Kreditkarteninhaber[edit]

In den meisten aktuellen Implementierungen von 3-D Secure fordert die ausstellende Bank oder ihr ACS-Anbieter den Käufer zur Eingabe eines Kennworts auf, das nur der Bank / dem ACS-Anbieter und dem Käufer bekannt ist. Da der Händler dieses Passwort nicht kennt und nicht für die Erfassung verantwortlich ist, kann es von der ausstellenden Bank als Beweis dafür verwendet werden, dass der Käufer tatsächlich sein Karteninhaber ist. Dies soll dazu beitragen, das Risiko auf zwei Arten zu verringern:

  1. Das Kopieren von Kartendetails, entweder durch Aufschreiben der Nummern auf der Karte selbst oder über modifizierte Terminals oder Geldautomaten, führt aufgrund des zusätzlichen Passworts, das nicht auf der Karte gespeichert oder auf der Karte geschrieben ist, nicht zum Kauf über das Internet .
  2. Da der Händler das Passwort nicht erfasst, besteht ein geringeres Risiko durch Sicherheitsvorfälle bei Online-Händlern. Während ein Vorfall immer noch dazu führen kann, dass Hacker andere Kartendetails erhalten, gibt es für sie keine Möglichkeit, das zugehörige Passwort zu erhalten.

3-D Secure ist nicht streng benötigen die Verwendung der Passwortauthentifizierung. Es soll möglich sein[citation needed] um es in Verbindung mit Chipkartenlesern, Sicherheitstoken und dergleichen zu verwenden. Diese Gerätetypen bieten Kunden möglicherweise eine bessere Benutzererfahrung, da sie den Käufer von der Verwendung eines sicheren Kennworts befreien. Einige Emittenten verwenden solche Geräte jetzt als Teil des Chip-Authentifizierungsprogramms oder der dynamischen Passcode-Authentifizierung.[citation needed]

Ein wesentlicher Nachteil besteht darin, dass Karteninhaber aufgrund der MPI-Implementierungen von Anbietern und der Verwendung ausgelagerter ACS-Implementierungen durch ausstellende Banken wahrscheinlich feststellen, dass ihr Browser eine Verbindung zu unbekannten Domainnamen herstellt, was die Durchführung von Phishing-Angriffen auf Karteninhaber möglicherweise erleichtert.

Allgemeine Kritik[edit]

Überprüfbarkeit der Site-Identität[edit]

Das System umfasst ein Popup-Fenster oder einen Inline-Frame, der während des Online-Transaktionsprozesses angezeigt wird. Der Karteninhaber muss ein Kennwort eingeben, das die kartenausgebende Bank authentifizieren kann, wenn die Transaktion legitim ist. Das Problem für den Karteninhaber besteht darin, festzustellen, ob das Popup-Fenster oder der Rahmen tatsächlich von seinem Kartenaussteller stammt, wenn es sich um eine betrügerische Website handelt, die versucht, die Daten des Karteninhabers zu sammeln. Solche Popup-Fenster oder skriptbasierten Frames haben keinen Zugriff auf Sicherheitszertifikate, sodass die Anmeldeinformationen für die Implementierung von 3-DS nicht mehr bestätigt werden können.

Das Verified-by-Visa-System hat einige Kritik hervorgerufen,[10][11][12][13] da es für Benutzer schwierig ist, zwischen dem legitimen Popup-Fenster “Verified by Visa” oder dem Inline-Frame und einer betrügerischen Phishing-Site zu unterscheiden. Dies liegt daran, dass das Popup-Fenster von einer Domäne aus bereitgestellt wird, die:

  • Nicht die Seite, auf der der Benutzer einkauft
  • Nicht die kartenausgebende Bank
  • Nicht visum.com oder mastercard.com

In einigen Fällen wurde das von Visa verifizierte System von Benutzern mit einem Phishing-Betrug verwechselt[14] und ist selbst zum Ziel einiger Phishing-Betrügereien geworden.[15] Die neuere Empfehlung, einen Inline-Frame (Iframe) anstelle eines Popups zu verwenden, hat die Verwirrung der Benutzer verringert, was es dem Benutzer erschwert, wenn nicht unmöglich macht, zu überprüfen, ob die Seite überhaupt echt ist. Ab 2011[needs update] Die meisten Webbrowser bieten keine Möglichkeit, das Sicherheitszertifikat auf den Inhalt eines Iframes zu überprüfen. Einige dieser Bedenken hinsichtlich der Gültigkeit der Website für Verified-by-Visa werden jedoch ausgeräumt, da für die aktuelle Implementierung des Registrierungsprozesses eine persönliche Nachricht eingegeben werden muss, die in späteren Popups von Verified-by-Visa angezeigt wird, um dem zu eine gewisse Sicherheit zu geben Benutzer die Popups sind echt.[16]

Einige Kartenaussteller verwenden auch die Aktivierung während des Einkaufs (ADS).[17] bei denen Karteninhabern, die nicht im System registriert sind, die Möglichkeit geboten wird, sich während des Kaufvorgangs anzumelden (oder zur Anmeldung gezwungen zu werden). Dies führt sie normalerweise zu einer Form, in der von ihnen erwartet wird, dass sie ihre Identität bestätigen, indem sie Sicherheitsfragen beantworten, die ihrem Kartenaussteller bekannt sein sollten. Dies geschieht wiederum innerhalb des Iframes, in dem die Site, für die sie diese Informationen bereitstellen, nicht einfach überprüft werden kann. Eine geknackte Site oder ein illegitimer Händler können auf diese Weise alle Details erfassen, die sie als Kunden angeben müssen.

Durch die Implementierung der 3-D Secure-Anmeldung kann ein Benutzer häufig erst dann mit dem Kauf fortfahren, wenn er sich bereit erklärt hat, sich bei 3-D Secure und seinen Allgemeinen Geschäftsbedingungen anzumelden, und keine andere Möglichkeit bietet, von der Seite weg zu navigieren als Schließen und damit die Transaktion aussetzen.

Karteninhaber, die nicht bereit sind, das Risiko einzugehen, ihre Karte während eines Kaufs zu registrieren, wobei die Commerce-Website den Browser in gewissem Umfang kontrolliert, können in einigen Fällen die Homepage ihrer Bank im Internet in einem separaten Browserfenster aufrufen und sich von dort aus registrieren. Wenn sie zur Commerce-Website zurückkehren und von vorne beginnen, sollten sie sehen, dass ihre Karte registriert ist. Das Vorhandensein der PAM (Personal Assurance Message) auf der Kennwortseite, die sie bei der Registrierung ausgewählt haben, ist ihre Bestätigung, dass die Seite von der Bank stammt. Dies lässt immer noch die Möglichkeit eines Man-in-the-Middle-Angriffs, wenn der Karteninhaber das SSL-Serverzertifikat für die Kennwortseite nicht überprüfen kann. Einige Commerce-Websites widmen die vollständige Browserseite der Authentifizierung, anstatt einen Frame (nicht unbedingt einen iFrame) zu verwenden, der ein weniger sicheres Objekt ist. In diesem Fall sollte das Schlosssymbol im Browser die Identität der Bank oder des Betreibers der Überprüfungssite anzeigen. Der Karteninhaber kann bestätigen, dass sich dies in derselben Domain befindet, die er bei der Registrierung seiner Karte besucht hat, wenn es sich nicht um die Domain seiner Bank handelt.

Mobile Browser stellen 3-D Secure vor besondere Probleme, da bestimmte Funktionen wie Frames und Popups häufig fehlen. Selbst wenn der Händler über eine mobile Website verfügt, werden die Authentifizierungsseiten möglicherweise nicht richtig oder gar nicht gerendert, es sei denn, der Aussteller ist auch mobil. Am Ende viele[vague] Analysten sind zu dem Schluss gekommen, dass die ADS-Protokolle (Activation-While-Shopping) mehr Risiken bergen als sie beseitigen und dieses erhöhte Risiko außerdem auf den Verbraucher übertragen.

In einigen Fällen bietet 3-D Secure dem Karteninhaber nur wenig Sicherheit und kann als Mittel dienen, um die Haftung für betrügerische Transaktionen von der Bank oder dem Einzelhändler auf den Karteninhaber zu übertragen. Die für den 3-D Secure-Dienst geltenden rechtlichen Bedingungen werden manchmal so formuliert, dass es für den Karteninhaber schwierig ist, sich der Haftung aus betrügerischen Transaktionen zu entziehen, bei denen der Karteninhaber nicht anwesend ist.[18]

Geografische Diskriminierung[edit]

Banken und Händler verwenden möglicherweise 3-D Secure-Systeme ungleichmäßig in Bezug auf Banken, die Karten an mehreren geografischen Standorten ausstellen, wodurch beispielsweise zwischen inländischen US-amerikanischen und nicht US-amerikanischen Karten unterschieden wird. Da beispielsweise Visa und Mastercard das nicht rechtsfähige US-Territorium von Puerto Rico als nicht US-amerikanisches internationales und nicht als inländisches US-amerikanisches Gebiet behandeln, sind Karteninhaber dort möglicherweise häufiger mit 3-D Secure-Anfragen konfrontiert als Karteninhaber in den fünfzig Bundesstaaten. Diesbezügliche Beschwerden gingen bei der Website für wirtschaftliche Diskriminierung “Gleichbehandlung” des Ministeriums für Verbraucherangelegenheiten in Puerto Rico ein.[19]

3-D Sicher als starke Kundenauthentifizierung[edit]

Version 2 von 3-D Secure, die Einmalkennwörter enthält, ist eine Form der softwarebasierten starken Kundenauthentifizierung im Sinne der überarbeiteten EU-Richtlinie über Zahlungsdienste (PSD2). In früheren Varianten wurden statische Kennwörter verwendet, die nicht ausreichen, um die Anforderungen der Richtlinie zu erfüllen.

3-D Secure setzt voraus, dass der Aussteller aktiv beteiligt ist und sicherstellt, dass alle ausgestellten Karten vom Karteninhaber registriert werden. Als solche müssen Acquirer entweder nicht registrierte Karten akzeptieren, ohne eine starke Kundenauthentifizierung durchzuführen, oder solche Transaktionen ablehnen, einschließlich solcher aus kleineren Kartenschemata, die keine 3-D Secure-Implementierungen haben.

Alternative Ansätze führen eine Authentifizierung auf der erwerbenden Seite durch, ohne dass eine vorherige Registrierung beim Emittenten erforderlich ist. Zum Beispiel die patentierte “Verifikation” von PayPal[20] verwendet eine oder mehrere Dummy-Transaktionen, die an eine Kreditkarte gerichtet sind, und der Karteninhaber muss den Wert dieser Transaktionen bestätigen, obwohl die resultierende Authentifizierung nicht direkt mit einer bestimmten Transaktion zwischen Händler und Karteninhaber verknüpft werden kann. Ein patentiertes[21] Das System mit dem Namen iSignthis teilt den vereinbarten Transaktionsbetrag in zwei (oder mehr) zufällige Beträge auf, wobei der Karteninhaber durch Bestätigung der Beträge auf seinem Kontoauszug nachweist, dass er der Eigentümer des Kontos ist.[22]

ACCC blockiert 3-D Secure-Vorschlag[edit]

Ein Vorschlag, 3-D Secure in Australien verbindlich zu machen, wurde von der australischen Wettbewerbs- und Verbraucherkommission (ACCC) blockiert, nachdem zahlreiche Einwände und fehlerbezogene Eingaben eingegangen waren.[23]

Indien[edit]

Einige Länder wie Indien verwendeten nicht nur CVV2, sondern auch die obligatorische 3-D-Sicherheit, einen SMS-Code, der von einer Bank gesendet und im Browser eingegeben wurde, wenn Sie umgeleitet werden, wenn Sie auf “Kaufen” zum Zahlungssystem oder zur Bankensystem-Site klicken, auf der Sie diesen eingeben Code und erst dann wird die Operation akzeptiert. Trotzdem kann Amazon mit aktivierter 3-D-Sicherheit weiterhin Transaktionen aus anderen Ländern durchführen.[24]

3-D Secure 2.0[edit]

Im Oktober 2016 veröffentlichte EMVCo die Spezifikation für 3-D Secure 2.0. Es ist weniger aufdringlich als die erste Version der Spezifikation und ermöglicht es, mehr Kontextdaten an die Bank des Kunden zu senden (einschließlich Postanschriften und Transaktionsverlauf), um das Risiko der Transaktion zu überprüfen und zu bewerten. Der Kunde müsste eine Authentifizierungsaufforderung nur bestehen, wenn bei seiner Transaktion ein hohes Risiko festgestellt wird. Darüber hinaus ist der Workflow für die Authentifizierung so konzipiert, dass keine Weiterleitungen auf eine separate Seite mehr erforderlich sind. Außerdem kann die Out-of-Band-Authentifizierung über die mobile App einer Institution aktiviert werden (die wiederum auch für die biometrische Authentifizierung verwendet werden kann). . 3-D Secure 2.0 entspricht den EU-Mandaten zur “starken Kundenauthentifizierung”.[5][25][26]

Siehe auch[edit]

Verweise[edit]

Externe Links[edit]

after-content-x4