Wie kann eine sichere Authentifizierung von Online-Zahlungen ohne den Einsatz von Passwörtern aussehen?
Als Lösung mit Zukunftspotential kommt FIDO ins Spiel. Mit FIDO (Fast IDentity Online) ist bereits seit 2013 eine Alternative zur Abhängigkeit von Passwörtern verfügbar. Die aktualisierte Version FIDO2 basiert auf den freien und offenen Standards der FIDO Alliance und kombiniert zwei Standards des World Wide Web Consortiums (W3C): WebAuthn und CTAP2.
FIDO2 erfüllt die höchsten Sicherheitsanforderungen und adressiert verschiedene Einsatzszenarien für Authentifizierung. Darunter fallen passwortloses Login, passwortloses Multi-Faktor-Login mit Biometrie, delegierte Authentifizierung, digitale Registrierung und Identitätswiederherstellung. Sehr gut eignet sich FIDO auch für die Authentifizierung von Online-Zahlungen.
Mit der Einführung der Revised Payment Services Directive (PSD2) wurde die Verwendung von starker Multi-Faktor-Authentifizierung für Online-Zahlungen verpflichtend. Dadurch hat sich die Zahlungsverkehrslandschaft grundlegend verändert. FIDO2 passt perfekt zu PSD2: Mit einem starken Faktor der Kategorie „Besitz“ - also einem Smartphone oder Laptop - können sich die FIDO-Nutzer selbst auf einer Webseite während des Step-up-Prozesses authentifizieren.
Authentifizierung mit FIDO – wie läuft das in der Praxis?
Neue Standards brauchen immer eine gewisse Zeit, bis sie sich durchgesetzt haben. Bei FIDO ist das nicht anders. Obwohl die großen Player wie Microsoft, Google und Apple von FIDO überzeugt sind, ist diese Anwendung (bis jetzt) in der Praxis zwar technisch möglich, aber bislang kaum verbreitet. Hier könnte der Zahlungsverkehr in Zukunft eine wichtige Rolle spielen. Es ist davon auszugehen, dass FIDO bei der Authentifizierung von Online-Zahlungen in Zukunft eine wichtige Rolle spielt und dadurch insgesamt dem FIDO-Standard zu größerer Popularität verhilft.
Wenn man heute FIDO für die Freigabe von Online-Zahlungen nutzen möchte, stehen dazu generell zwei technische Lösungen zur Verfügung:
1. Roaming-Authentifikatoren (z. B. ein Hardware-Token)
2. Plattform-Authentifikatoren (für mobile Geräte und Laptops/PCs)
Künftig werden neben den physischen Roaming-Authentifikatoren vermehrt sogenannte Plattform-Authentifikatoren zum Einsatz kommen. So unterstützen nun alle aktuellen Versionen der Betriebssysteme der großen Anbieter wie Apple, Microsoft und Google den FIDO-Standard für sicheres Log-In sowohl für PC/Notebooks als auch mobile Endgeräte. Alle gängigen Webbrowser wie Edge, Firefox oder Chrome unterstützen FIDO2/WebAuthn ebenso wie die mobilen Browser von Android ab Version 7.0 sowie iOS ab Version 13.3.
Zur Registrierung reicht im einfachsten Fall die Eingabe des Benutzernamens oder der Mailadresse aus. Anschließend wählt man die Registriermethode sowie den bevorzugten Authenticator Type, also entweder das Notebook bzw. Mobile Device, oder einen separaten FIDO Hardware Token. Zum Abschluß der Registrierung berührt man dann den Sensor z.B. des eigenen FIDO Tokens.
Wie kann FIDO für die Authentifizierung von Kartenzahlungen genutzt werden?
Hier lassen sich drei Einsatzszenarien unterscheiden, bei denen FIDO eingesetzt werden kann:
1. Klassisches 3-D Secure-Verfahren
2. Delegated Authentication
3. Secure Payment Confirmation (SPC)
3-D Secure: Von den Kartenherausgebern favorisierte Lösung
Bei 3-D Secure handelt es sich um einen weit verbreiteten Industrie-Standard, der einen Großteil des Marktes abdeckt und von den Kartenherausgebern gepusht wird. In den Spezifikationen für 3-D Secure ist festgelegt, wie FIDO für die Authentifizierung genutzt werden kann. 3-D Secure wird von manchen Händlern mit Skepsis betrachtet, da es im Check-Out-Vorgang zu vermehrten Kaufabbrüchen kommen kann, wenn der Authentifizierungsschritt zu umständlich aufgesetzt ist. Je nahtloser und mit je weniger Schritten der Authentifizierungsprozess auskommt, desto besser ist die User Experience und damit die Akzeptanz durch die Nutzer.
Delegated Authentication: Händler übernehmen Authentifizierung selbst
Im Zusammenhang mit der Einführung von FIDO2 gewinnt ein Ansatz an Aufmerksamkeit, der die Situation der Händler deutlich verbessern könnte. Dieser Vorgang, der in der PSD2 beschrieben wird, ermöglicht es Online-Händlern, die Authentifizierung bei der Zahlung mit Kreditkarten selbst zu übernehmen. Normalerweise sind die Banken, die die Karten herausgeben, zuständig für die Authentifizierung der Konsumenten und ihrer Transaktionen. So wird der Zahlungswunsch des Kunden von der Webseite des Händlers zum Server der kartenausgebenden Bank weitergeleitet und nach Überprüfung wieder zurückgeschickt. Dabei kann es zu Reibungsverlusten bis hin zum Abbruch des Kaufs kommen.
Auf Basis detaillierter „Delegated Authentication“-Konzepte von Mastercard und Visa kann der Händler beantragen, die Authentifizierung selbst durchzuführen. Das macht den Vorgang schneller, einfacher und minimiert die Schnittstellen, die technische Probleme erzeugen können. Dazu müssen jedoch die technischen Voraussetzungen geschaffen werden, wobei FIDO2 in Zukunft eine wichtige Rolle spielen könnte.
Leider gibt es bisher für dieses Konzept noch keinen verbreiteten Industrie-Standard. Zudem wird es von den Kartenherausgebern nicht unbedingt favorisiert, weil sie damit einen Teil ihrer Kontrolle über den Authentifizierungsvorgang abgeben. Außerdem ist die Implementierung dieses Verfahren wahrscheinlich für die Mehrheit der kleineren Händler zu aufwändig.
Secure Payment Confirmation (SPC): Der goldene Mittelweg
Das World Wide Web Consortium (W3C), das die Techniken im Internet standardisiert, hat bereits einen Entwurf für Secure Payment Confirmation (SPC) als einem neuen Standard veröffentlicht. Dieser soll die Authentifizierung bei Zahlungstransaktionen auf der Basis von FIDO vereinfachen und beschleunigen.
Somit ergänzen sich FIDO und SPC ideal, um die Authentifizierung von Kartenzahlungen im Rahmen von 3-D Secure noch kundenfreundlicher zu gestalten.
Secure Payment Confirmation stark im Kommen
Bei Secure Payment Confirmation (SPC) handelt es sich um ein Web API (Application Programming Interface), das von der Web Payment Working Group innerhalb des World Wide Web Consortium (W3C) entwickelt wurde. Google hat es in seinem Browser Chrome 95 bereits implementiert. Zudem ist im neuen EMV ® 3DS 2.3 Protokoll der Einsatz von SPC nun standardisiert. Issuer, Händler und PSPs können also nicht umhin, sich mit dem Thema zu befassen und seine Chancen auszuloten.
Was macht SPC genau? Laut W3C unterstützt das API eine reibungslose Authentifizierung während einer Zahlungstransaktion. Es ist so konzipiert, dass es einen kryptografischen Beleg erbringt, dass der Nutzer die Daten des Bezahlvorgangs bestätigt hat. Ein wichtiges Merkmal der sicheren Zahlungsbestätigung ist, dass der Händler die Authentifizierung selbst einleiten kann. Hier kommt das oben beschriebene Konzept der „Delegated Authentication“ zum Einsatz. Sowohl bei der Registrierung als auch bei der Authentifizierung kommt FIDO zum Einsatz und macht dieses neue Verfahren dadurch für den Nutzer so angenehm und unkompliziert.
Experten erwarten, dass sich mit SPC die Konversion signifikant steigern sowie die Transaktionszeiten deutlich verringern lassen.
Europaweit erste erfolgreiche Implementierung für FIDO im Bereich Payments
Viele Konzepte für eine sichere Authentifizierung mit FIDO befinden sich noch im Entwicklungsstadium. Bis auf eine Ausnahme:
In einem gemeinsamen Projekt lancierten Pluscard, Full-Service Processor für zahlreiche kartenausgebende Institute deutschlandweit, Netcetera, Marktführer für digitale Bezahllösungen und Entersekt, Spezialist für starke Kundenauthentifizierung im Juni 2021 die erste Authentifizierungsalternative gemäß FIDO-Standard in Europa. Diese verspricht sicheres, uneingeschränktes Zahlen mit der Kreditkarte im Internet, ohne den Einsatz eines mobilen Endgerätes. Die Authentifizierung wird über einen physischen Token abgewickelt. Diesen Token bekommen die Kunden von der Bank für die Verwendung am Computer. Die Kunden registrieren den Token über eine eingerichtete Registrierungsseite. Der Token ist danach mit der Kreditkarte verknüpft und Kunden können damit ganz einfach ihre Online-Transaktionen authentifizieren.
„Kunden ohne mobiles Endgerät haben nun die Möglichkeit, ihre Online-Zahlungen bequem und sicher über den FIDO-Token freigeben zu können“, sagt Thomas Niederauer, Produktmanager bei Pluscard. „Zusammen mit Netcetera und Entersekt haben wir mit dem FIDO-Standard eine zukunftssichere Lösung umgesetzt. Diese ist bisher eine einzigartige Alternative zur App-basierten Authentifizierung auf dem deutschen Markt.“
Da mittelfristig neben Roaming-Authentifikatoren auch Plattform-Authentifikatoren eine größere Rolle spielen werden, und die Lösung von Pluscard auf die Nutzung beider Methoden ausgerichtet ist, hat sie viel Potential für die Zukunft.
Zusammenfassung: Die passwortlose Zukunft ist zum Greifen nah!
FIDO ist bereits heute eine hervorragende Authentifizierungs-Lösung für Unternehmen, die geforderte Sicherheit mit einer hervorragenden Nutzererfahrung verbinden wollen und auf eine einheitliche Lösung setzen, die über alle Kanäle hinweg funktioniert.
Spätestens wenn 3D-Secure 2.3 umgesetzt ist, wird die passwortlose, sichere und gleichzeitig nutzerfreundliche Authentifizierung mit FIDO im Bereich Payments nicht mehr wegzudenken sein.
Wenn SPC zum neuen Standard wird, hat FIDO das Potential, zum „Game Changer“ für reibungslose, sichere Zahlungsvorgänge zu werden. Jedoch wird es noch einige Zeit dauern, bis alle Voraussetzungen am Markt geschaffen sind und sich alle relevanten Marktteilnehmer dem Standard angeschlossen haben.
Kästchen Begriffserklärungen
Roaming-Authentifikatoren sind portable Hardware-Token, die mit jedem Computer oder Smartphone über USB, Bluetooth oder Near-Field Communication (NFC) verbunden werden können.
Plattform-Authentifikatoren sind in Laptops oder Smartphones integriert, sodass die Geräte selbst als Authentifikatoren fungieren.
FIDO Alliance: Die Non-Profit-Organisation wurde 2012 von den Unternehmen Agnitio, Infineon, Lenovo, Nok Nok Labs, PayPal und Validity Sensors gegründet. Ziel war die Entwicklung offener und lizenzfreier Industriestandards für die weltweite Authentifizierung im Internet.
