PSD2-konforme Authentifizierung

PSD2: Neue Deadline für den Handel löst die Probleme nicht

PSD2: Neue Deadline für den Handel löst die Probleme nicht

Starke Authentifizierung

Von Sebastian Mayer, Experte für Verhaltensbasierte Biometrie bei BehavioSec

Sebastian Mayer, Experte für Verhaltensbasierte Biometrie bei BehavioSec

Nun ist sie da, die neue Deadline für den Online-Handel zur Einführung der wichtigsten Anforderung der PSD2-Richtlinie: Die Zwei- bzw. Mehrfaktor-Authentifizierung.

Bis zum 31. Dezember 2020 haben die Unternehmen nun Zeit eine wie es in der Richtlinie heißt „starke Authentifizierung“ zu implementieren, um ihre Kunden besser vor Online-Diebstahl auf Englisch „Fraud“ zu schützen. Banken mussten bereits am 14. September ihre Online-Banking-Seiten aufrüsten, um einen zweiten Faktor bei der Anmeldung abzufragen. Vielfach wurde das mit einem SMS-TAN-Verfahren gelöst.

Nach wie vor funktioniert das nicht überall so reibungslos wie es laufen sollte, noch immer häufen sich Kundenbeschwerden über gesperrte Konten, schlechten Service aber auch technische Mängel . Verschiedenste Banken hat hier ihre Probleme, die der Handel nun vermeiden will.

Die Handelsunternehmen wollen nun die Zeit nutzen und den Zahlungsstandard EMV 3D Secure für Kreditkartenzahlungen ausgiebig testen. Diese von Europay International, MasterCard und VISA (EMV) entwickelte Lösung für Zahlungen mit Kreditkarte erfordert allerdings erneut, dass sich Online-Shopper ein Passwort merken müssen. Zwar gibt es mit der neuesten Version EMV 3D Secure 2.0 auch die Möglichkeit sich per Fingerabdruck oder per Gesichtserkennung zu authentifizieren, jedoch erfordern die Eingabe dieser biometrischen Merkmale ein gewisses Maß an Überwindung. Nicht jeder möchte seinen Fingerabdruck verwenden, bei der Gesichtserkennung ist die Hemmschwelle noch höher. Online-Händler sollten jedoch generell über wirkungsvolle Alternativen nachdenken. Alternativen können verhaltensbasierte Lösungen sein, die per Tastendruck funktionieren.

Eine Identifizierung per Tippverhalten verschafft der Bank oder dem Händler die benötigte Sicherheit bei der Verifizierung des Käufers und bietet dem Nutzer die altbekannte Benutzerfreundlichkeit beim Login-Prozess. Der zweite Faktor wird in diesem Fall die Art und Weise, wie der Nutzer seinen Benutzernamen und sein Passwort in die Eingabemasken eintippt. Gemessen werden Tippverhalten also Rhythmus, die Stärke des Tastendrucks, die Geschwindigkeit kurz zusammengefasst, die Melodie des Nutzers. Für ihn bleibt der Komfort sich lediglich ein Passwort merken zu müssen, eine Eingabe eines weiteren Pin-Codes oder einer TAN-Nummer ist nicht mehr nötig. Möglich macht diese eine innovative Technologie aus Schweden und Deutschland. Während des Besuchs der Webseite oder aber in der jeweiligen App des Anbieters misst die Lösung die benötigten Messgrößen, die zusammen für jede Person ein einzigartiges Informationspaket bilden. Die Algorithmen berechnen daraus ein Scoring, die Wahrscheinlichkeit ob es sich eben um den berechtigten User handelt. Der daraus berechnete Risikofaktor führt dann zur Akzeptanz oder Ablehnung und der Vorgang kann fortgesetzt werden oder aber er wird abgebrochen. Darüber hinaus wird anders als bei anderen Zwei- oder Mehrfaktor Authentifizierungen kontinuierlich ein Identitätsabgleich während der gesamten Session durchgeführt. Dies erhöht die Sicherheit zusätzlich.

Mit dieser Technologie erleben die Nutzer keine langen Wartezeiten, weil irgendwelche TAN-Nummern per SMS, oder aber sonstige Zahlencodes an ein externes Gerät übertragen und von Hand eingetippt werden müssen. Darüber hinaus reduziert sich auch das Risiko, dass ein Dritter diesen Code abfängt und sich per Man-in-the-Middle-Angriff die Session einfach kapert und ungewollte Transaktionen durchführt.