Mit FIDO und Secure Payment Confirmation (SPC) stehen jetzt zwei Möglichkeiten zur Verfügung, mit deren Hilfe sich die Authentifizierung von Kartenzahlungen im Rahmen von 3-D Secure noch kundenfreundlicher gestalten lässt. Wie das funktioniert und welche Perspektiven sich daraus ergeben, erläutern Kurt Schmid, Marketing and Innovation Director Secure Digital Payments bei Netcetera, und Rolf Lindemann, Vice President Products bei Nok Nok.

Die FIDO-Alliance (Fast Identity Online) hat einen eigenständigen Standard für die Authentifizierung entwickelt. Zum Einsatz kommen dabei Hardware (USB-Token, Dongle, Schlüsselanhänger) oder integrierte FIDO-Authentikatoren. Damit lässt sich eine Zwei-Faktor-Authentifizierung so durchführen, dass sie die Anforderungen der Zahlungsdiensterichtlinie PDS2 erfüllt.

Das World Wide Web Consortium (W3C), das die Techniken im Internet standardisiert, hat Secure Payment Confirmation als einen neuen Standard angekündigt. Dieser soll die Authentifizierung bei Zahlungstransaktionen auf der Basis von FIDO vereinfachen und beschleunigen.

Herausforderungen durch starke Kundenauthentifizierung

Nach wie vor bestehen bei Kartenzahlungen im E-Commerce vor allem drei Herausforderungen: Die Verbraucher empfinden die Authentifizierung bei 3-D Secure als umständlich und unbequem. Dies führt immer wieder zu Kaufabbrüchen. Auf der anderen Seite entfallen 65 Prozent der Verluste durch Kartenmissbrauch auf den Bereich Card-Not-Present (CNP), also hauptsächlich auf den E-Commerce. Hier besteht offensichtlich grosser Handlungsbedarf. Dazu kommt, dass die derzeit genutzten Methoden zur Risikobewertung nicht ausgereift genug sind. Dadurch werden korrekte Kartentransaktionen fälschlicherweise abgelehnt und die davon betroffenen Kunden verärgert.

Seit die starke Kundenauthentifizierung bei Kartenzahlungen im E-Commerce vorgeschrieben ist, sind dafür verschiedene Lösungen entwickelt worden. So gibt es zum Beispiel von Mastercard das Chip Authentication Program (CAP) mit technischen Spezifikationen für die Nutzung von EMV-Chipkarten zur Authentifizierung von Nutzern und Transaktionen beim Online-Banking. Diese und weitere Initiativen stehen vor der Herausforderung, eine breite Unterstützung durch die gesamte Industrie zu organisieren und gleichzeitig ein hohes Sicherheitsniveau zu gewährleisten.

FIDO kann mehrere Probleme lösen

Ausgangspunkt für die Entwicklung von FIDO war die Unzulänglichkeit der herkömmlichen Passwörter. Verbraucher unterhalten durchschnittlich 70 bis 80 Kundenkonten bei den verschiedensten Anbietern. Dabei vergessen 65 Prozent der Nutzer regelmässig eines oder mehrere Passwörter. Ausserdem gibt es ausreichend Beispiele dafür, wie leicht sich diese Passwörter durch Phishing-Attacken erlangen oder von den Servern der Anbieter entwenden lassen. One-Time-Passwörter (OTP) können hier keine Abhilfe schaffen, weil diese Technologie zu langsam arbeitet und eine Erfolgsquote von höchsten 85 Prozent erreicht.

Ziel von FIDO ist es, das Sicherheitsniveau zu erhöhen und die Anwenderfreundlichkeit zu verbessern. Im Prinzip funktioniert FIDO so, dass Nutzer ihre Berechtigung mit einem „Authenticator“ nachweisen, der ihnen eindeutig zugeordnet werden kann. Der Datenaustausch wird dabei mit einer Public-Key-Infrastruktur (PKI) verschlüsselt.

Als Authenticators können die unterschiedlichsten Lösungen zum Einsatz kommen: von einer App in Verbindung mit Touch ID bis hin zu einem USB-Token. FIDO wird inzwischen von allen grossen Hard- und Softwareanbietern unterstützt. Dazu gehören unter anderem Apple, Google, Microsoft und Samsung sowie die Kartenorganisationen American Express, Mastercard und Visa.

In den Spezifikationen für 3-D Secure ist festgelegt, wie FIDO für die Authentifizierung genutzt werden kann. Dazu hat die FIDO-Alliance ein Dokument erstellt, dass erklärt, wie die Anforderungen der Zahlungsdiensterichtlinie PSD2 an die Starke Kundenauthentifizierung mit einem FIDO-Authenticator erfüllt werden.

Eine Authentifizierung auf Basis von FIDO kann sowohl von Issuern als auch von Online-Händlern genutzt werden. Für eine Authentifizierung gegenüber dem Issuer reicht es beispielsweise aus, wenn Karteninhaber eine Transaktion per Fingerabdruck an ihrem Smartphone bestätigen. Wenn ein Händler seine Kunden über FIDO sicher registriert hat, kann das Login in das Kundenkonto beim Händler als Authentifizierung für Zahlungstransaktionen genutzt werden (Delegated Authentication). Für Kunden bedeutet dies, dass sie beim Checkout nicht mehr zwischen Händler-App und Bank-App hin- und hergeschoben werden, sondern die Zahlung mit einem einzigen Click erledigen können.

Secure Payment Confirmation in der Entwicklung

Bei Secure Payment Confirmation (SPC) handelt es sich um ein Web API (Application Programming Interface), das von der Web Payment Working Group innerhalb des World Wide Web Consortium (W3C) entwickelt wurde. Es liegt aktuell als Entwurf (Draft) vor. Im Google-Browser Chrome gibt es eine erste Implementation als Prototyp. Zudem ist im neuen EMV ® 3DS 2.3 Protokoll der Einsatz von SPC nun standardisiert. Issuer, Händler und PSPs sind daher gut beraten, SPC rasch zu analysieren und zu unterstützen.

SPC unterstützt eine reibungslose Authentifizierung während einer Zahlungstransaktion. Es ist so konzipiert, dass die Authentifizierung bei verschiedenen Händlern skaliert werden kann. Es kann in einer Vielzahl von Authentifizierungsprotokollen verwendet werden und erbringt einen kryptografischen Nachweis dafür, dass der Benutzer die Transaktionsdaten bestätigt hat. Die Funktion ermöglicht eine konsistente, reibungsarme und starke Authentifizierung unter Verwendung von Plattform-Authentifikatoren. Für die Nutzung von SPC ist die Registrierung der Kunden erforderlich. Dies kann durch den Issuer zum Beispiel direkt im Anschluss an eine erfolgreiche Authentifizierung mit einem speziellen Pop-up-Fenster erfolgen. Bei der Registrierung kommt wiederum FIDO zum Einsatz.

Erste Experimente eines PSPs zeigen, dass mit SPC die Konversion signifikant gesteigert und die Transaktionszeit deutlich verringert werden können.

Note:
EMV® is a registered trademark in the U.S. and other countries and an unregistered trademark elsewhere. The EMV trademark is owned by EMVCo, LLC.