Schlusskapitel: Starke Kundenauthentifizierung (SCA) für PSD2
Veröffentlicht: 2018-09-05Dies ist der dritte einer dreiteiligen Reihe von Posts, in denen die PSD2 Strong Customer Authentication (SCA) der EU beschrieben wird.
Wir haben den dritten und letzten Teil dieser Serie erreicht. In der ersten Ausgabe haben wir die Richtlinie der Europäischen Bankenaufsichtsbehörde (oder EBA) der Europäischen Union mit dem Namen PSD2 (kurz für The Second Payment Services Directive) vorgestellt und einige der Leitprinzipien der starken Kundenauthentifizierung (oder SCA) skizziert. In der zweiten Folge wurden die SCA-Beschränkungen und -Vorschriften untersucht, die Implementierer berücksichtigen müssen, einschließlich der Authentifizierungscodes, der dynamischen Verknüpfung der Transaktionen und der Kanalunabhängigkeit.
In diesem Beitrag werden wir SCA-Implementierungsoptionen skizzieren, die die Anforderungen des PSD2 RTS (Regulatory Technical Standard) erfüllen sollten, sowie einige gute Orte, an denen Sie nach weiteren Informationen suchen können.
Bevor wir uns einige Implementierungsoptionen für SCA ansehen, sollten wir auch darauf hinweisen, dass es einige Ausnahmen von der starken Authentifizierung und dem dynamischen Linken gibt.
In den häufig gestellten Fragen zur PSD2-Pressemitteilung stellen sie fest: „[Ausnahmen sind], um zu vermeiden, dass die Art und Weise, wie Verbraucher, Händler und Zahlungsdienstleister heute arbeiten, gestört wird. Dies liegt auch daran, dass es möglicherweise alternative Authentifizierungsmechanismen gibt, die gleichermaßen sicher und geschützt sind. Allerdings „müssen Zahlungsdienstleister, die von SCA ausgenommen werden möchten, zunächst Mechanismen zur Überwachung von Transaktionen anwenden, um zu beurteilen, ob das Betrugsrisiko gering ist.“ Die spezifischen Ausnahmen sind in Kapitel III der PSD2 RTS beschrieben.
Zwei Bereiche, in denen eine starke Kundenauthentifizierung in PSD2 erforderlich ist
- Kontozugriff – Dies ist der Zugriff auf Zahlungskonten über jedes Gerät: Desktop, Laptop, Tablet oder Mobiltelefon.
- Zahlungen – dies ist die eigentliche Authentifizierung einer Zahlung, einschließlich der dynamischen Verknüpfung der Zahlungsinformationen mit der Authentifizierungsmethode.
In der heutigen Welt mit mehreren Geräten und Kanälen gibt es eine Vielzahl von Methoden für Banking-/Zahlungsanwendungen, um die Authentifizierung durchzuführen, von der einfachen SMS-basierten 2FA bis zum anspruchsvolleren (und sichereren) Universal 2nd Factor (U2F) von Fido Allianz zusammen mit allem dazwischen.
Wir haben heute normalerweise vier Hauptkonfigurationen:
- Zwei Geräte – eines führt die Banking-/Händleranwendung aus; ein anderer, der die Authentifizierung bereitstellt. Dazu gehören Hardware-Token sowie U2F-Geräte als Authentifizierungsgeräte, aber auch ein mobiles Gerät und ein Laptop, wobei auf dem Laptop die Banking-/Händleranwendung ausgeführt wird und das mobile Gerät die Authentifizierung bereitstellt (sogar Out-of-Band-Authentifizierung).
- Zwei Apps, ein Gerät – auf einem einzigen Gerät, typischerweise einem Mobiltelefon, hätten wir die Banking-/Händler-App und eine Authentifizierungs-App. Die Authentifizierungs-App könnte eine Soft-Token-Lösung wie Google Authenticator oder eine speziell entwickelte Authentifizierungs-App umfassen, die sich in die Bank/den Händler integrieren würde, um beispielsweise dynamisch verknüpfte Kaufinformationen an die Authentifizierungs-App zu übertragen.
- Eine App, ein Gerät – ein Beispiel wäre eine mobile Banking-App, die auch die Authentifizierungsfunktion innerhalb dieser App bereitstellt.
- Out-of-Band – oder OOB-Authentifizierung – dies umfasst SMS, die an eine Mobiltelefonnummer gesendet werden, die durch eine SIM-Karte gesichert ist. In diesem Fall ist das mobile Gerät, das über einen Out-of-Band-Kanal wie SMS (oder sogar RCS, wenn es unterstützt wird) erreicht wird, der zweite Faktor (Besitz).
Was wären angesichts all dieser Optionen die besten Optionen und Methoden, um PSD2 SCA zu unterstützen und konform zu sein?
Die Out-of-Band-Option (OOB) ist die einfachste und den Verbrauchern bekannteste Methode. Es entspricht vollständig den Regeln für den Kontozugriff und sollte eine Option für Zahlungen sein, solange die Zahlungsinformationen in der SMS enthalten sind. Es erfüllt auch die Anforderung der Kanalunabhängigkeit.
Natürlich gibt es heutzutage einige Sicherheitsprobleme mit SMS; Viele davon werden jedoch in der Presse etwas übertrieben (z. B. SIM-Swap, SMS-Abfangen). Allerdings gibt es bessere und sicherere Methoden. Wenn Sie SMS als OOB-Kanal für 2FA verwenden, sollten Sie einen zusätzlichen Wissensfaktor hinzufügen, um das Konto oder die Zahlung weiter zu sichern. Dies bietet zusätzliche Sicherheit gegen bestimmte SIM-Swap- oder SMS-Abfangszenarien, falls diese auftreten sollten.
Eines der Probleme bei der Authentifizierungsoption für mehrere Geräte (2 Geräte), bei der verschiedene Hardwaregeräte zur Authentifizierung für Zahlungen verwendet werden, besteht darin, dass es schwierig ist, die dynamische Verknüpfung von Zahlungs-/Händlerinformationen zurück zu diesem Authentifizierungsgerät zu integrieren. Während viele davon ziemlich sicher sind, wie z. B. U2F-Geräte, ist es schwierig, eine dynamische Verknüpfung der Kauf-/Zahlungsinformationen zu integrieren.
Eine nützliche Methode wäre die Verwendung einer Authentifizierungslösung, die immer noch einen standardisierten PIN-Code in der Cloud erstellt, aber verschlüsselte Informationen verwendet, die an eine spezialisierte Authentifizierungs-App gesendet werden. Die Bank-/Händler-App könnte auch die Zahlungsinformationen zusammen mit einem Code enthalten, der an die Authentifizierungs-App gesendet würde.
Die Authentifizierungs-App würde dem Benutzer die Informationen präsentieren und dann mit „Akzeptieren“ oder „Verweigern“ antworten. Die Authentifizierungs-App könnte Teil einer Zwei-Geräte-Strategie sowie einer Zwei-App-Strategie (ein Gerät) sein. Die App wäre nicht von Telefonnummern (z. B. OOB) abhängig und wäre daher resistent gegen SIM-Swap oder Geräte-Hijacking. Außerdem müsste sich das Gerät zusammen mit wissensbasierten Informationen des Kontoinhabers im physischen Besitz des Kontoinhabers befinden.
Glücklicherweise stehen EU-Zahlungsanbietern, die PSD2 SCA in den kommenden Monaten implementieren müssen, viele Optionen zur Verfügung. Jeder hat spezifische Anwendungsfälle, die genau untersucht werden sollten, um festzustellen, ob SCA-Ressourcen angewendet werden sollten. Hier sind ein paar Tipps:
- Untersuchen Sie jeden Anwendungsfall
- Verstehen Sie, ob SCA-Ausnahmen angewendet werden können
- Bestimmen Sie den Anwendungsfall in Bezug auf Kontozugriff oder Zahlungen
- Bestimmen Sie für Zahlungen, wie Sie die Zahlungsinformationen und den Händler dem Benutzer präsentieren (dynamische Verknüpfung).
- Für den Kontozugriff empfehlen wir, bei Anmeldungen immer die Zwei-Faktor-Authentifizierung anzuwenden – das ist einfach sicherer
Für die meisten EU-Märkte gehen wir davon aus, dass die am weitesten verbreitete Methode für Online-Einkäufe und Zahlungen über ein mobiles Gerät erfolgen wird. Das bedeutet also, dass das Gerät sowohl als primäres Gerät zum Einkaufen/Bezahlen als auch zur Authentifizierung verwendet wird. Erwarten Sie nicht immer, dass Benutzer Desktops oder Laptops verwenden. Die Nutzung mobiler Geräte (einschließlich Tablets) wird nur als primäre Geräte zunehmen.
PSD2 SCA ist ein komplexes Regelwerk, aber mit etwas gesundem Menschenverstand und Verständnis für die heutigen Authentifizierungsherausforderungen und -optionen kann es implementiert werden, um diese Vorschriften zu erfüllen und alle Beteiligten zu schützen. In den letzten Monaten gab es einige Kritik an einigen der Anforderungen von SCA und einigen der Einschränkungen, die sie auferlegen. Tatsächlich kann es in den kommenden Monaten und Jahren zu Nachfolgeregelungen (PSD3?) kommen.
Scheuen Sie sich nicht, SCA zu implementieren, wenn Sie an Online-Zahlungen beteiligt sind. Warten Sie nicht bis zur letzten Minute. Nehmen Sie sich die Zeit, die Anforderungen zu lesen, sie zu studieren und dann Entscheidungen zu treffen. Es gibt viele Optionen und wir hoffen, dass diese dreiteilige Serie hilfreich war, um Sie durch die verschiedenen Optionen und Elemente von PSD2 SCA zu führen.