Authentifizierung im PSD2-Dschungel – Lehren aus 3D Secure

Als Folge von PSD2 wird eine Flut neuer Authentifizierungsanforderungen von einer ganzen Reihe seriöser, aber auch betrügerischer Quellen auf Konsumenten zukommen. Ganz klar ist, dass Kunden zukünftig eine deutlich aktivere Rolle beim Schutz ihrer Vermögenswerte und persönlichen Daten durch SCA zugeteilt wird. Die wichtige Frage ist dabei: Wie können Finanzinstitutionen, Zahlungsanbieter und Konteninformationsdienste diesen Prozess für Kunden so einfach wie möglich gestalten? Es wird vielfach befürchtet, dass die vorgeschriebene Zwei-Faktor-Authentifizierung zu deutlich geringerer Nutzerfreundlichkeit führt.

Um den Kunden nicht zu verlieren, muss die Bank eine überzeugende Anwendererfahrung bieten. Sie muss dem Kunden die Durchführung von Transaktionen zu jeder Zeit und an jedem Ort auf einfache und sichere Art und Weise ermöglichen. Aus Erfahrung weiß man, dass Menschen einfache und intuitive Anwendungserfahrungen bevorzugen, die Zeit sparen und Unsicherheiten vermeiden. Erfolgreiche Lösungen involvieren den Kunden und geben ihm das Gefühl, Kontrolle über den gesamten Prozess zu haben.

Aus den Erfahrungen mit 3D Secure kann man viel über das Zusammenspiel von Sicherheit und Bedienbarkeit lernen. Die Mehrheit der Online-Shopper in den Benelux-Staaten, Italien, der Schweiz und Großbritannien schützt heute Einkäufe im Internet (card-not-present) mittels 3D Secure. Trotzdem ist das System nicht beliebt: Konsumenten empfinden die meisten Implementierungen immer noch als frustrierend schwerfällig und zeitaufwändig, Händler registrieren häufige Abbrüche des Einkaufsprozesses, wenn Kunden ihr statisches Passwort vergessen haben oder die Eingabe von Einmal-Passwörtern zu umständlich ist.

Die Frustration, die Konsumenten bereits bei der Durchführung sicherer Zahlungen auf dem Desktop empfinden, multipliziert sich bei der Durchführung derselben Aktionen auf mobilen Geräten mit kleineren Bildschirmen und Touchpads um ein Vielfaches. Dies ist ein Problem für Service Provider, die ihre Authentifizierung nicht für mobile Geräte optimiert haben – und dieses Problem wird noch deutlich größer. Denn die Mehrzahl der digitalen Interaktionen europäischer Konsumenten mit Finanzinstitutionen und Drittanbietern wird in Zukunft über Mobilgeräte erfolgen.

Als besonders nutzerfreundlich haben sich SCA-Lösungen herausgestellt, die eine intuitive Anwendungserfahrung mit Hilfe mobiler Endgeräte bereitstellen. Weltweit erfolgreich mit seinem System, bei dem das Mobiltelefon als Token genutzt wird und der Kunde auf eine einfache Push-Nachricht mit „annehmen“ oder „ablehnen“ reagiert, ist der Technologie-Spezialist Entersekt. Deren Authentifizierungslösung für Card-not-present-Transaktionen wird von Visa, Mastercard und American Express vollumfänglich anerkannt und vielfach bereits eingesetzt. Der Authentifizierungsprozess von 3D Secure wird dadurch wesentlich einfacher gestaltet und basiert jetzt auf einem anwenderfreundlichen One-Touch-Verfahren. Da hier der Besitz des mobilen Endgeräts und die Nutzung biometrischer Merkmale zum Einsatz kommen, müssen sich Anwender keine Passwörter mehr merken oder auf anderen Geräten generierte Einmalpasswörter eingeben.

Dieser Gastbeitrag von Jonathan Knoll, Country Manager Central Europe, Entersekt wurde von Frank Braatz (Mitglied des Programmbeirats der ProfitCard) in der SOURCE 02/2018 veröffentlicht.

Im Rahmen der ProfitCard am 13. und 14. März in Berlin lädt Entersekt gemeinsam mit seinen beiden Kunden Pluscard und Swisscard zum Workshop „Combining user convenience and security by putting the customer in control“ ein.

Neueste Artikel

Städte und Gemeinden sehen auch nach den Ergebnissen der Neuauflage des Zukunftsradar Digitale Kommune im Jahr 2019 einen hohen Nutzen durch die Digitalisierung. Gleichzeitig werden auch in diesem…

Die Startups in Deutschland werden skeptischer. Aktuell sagen nur noch 39 Prozent der Gründer, dass sich in den vergangenen zwei Jahren die Lage für ihr eigenes Startup verbessert hat….

Seit Mai 2019 stellt das BSI ein zweistufiges Schulungskonzept zum Erwerb eines neuen Nachweises zum IT-Grundschutz-Praktiker und IT-Grundschutz-Berater zur Verfügung. Auf der BSI-Webseite steht nun der Antrag zur Zertifizierung…