SECURITY14. Dezember 2021

FIDO – der Praxistest: Sichere 3DS-Authentifizierung bei Kreditkartenzahlung

Fido-Key für Pluscard
Sparkassen-Shop

Pluscard, Netcetera und Entersekt haben vor einigen Monaten als erste Unternehmen in Europa 3DS Autorisierungen für Kreditkartenzahlungen gemäß dem FIDO-Au­then­ti­fi­zie­rungs­stan­dard umgesetzt. Ein Praxistest, den sich unser Experte Rudolf Linsenbarth auf keinen Fall entgehen lassen wollte. Der Praxistest

von Rudolf Linsenbarth

Bevor wir in den Test einsteigen, soll zunächst der Anwendungsfall betrachtet werden. Eigentlich haben die Sparkassen-Kunden, deren Debit- und Kreditkarten von Mastercard und VISA bei PLUSCARD prozessiert werden, die Möglichkeit, ihre Online-Kartenzahlungen mit Hilfe der App S-ID-Check zu autorisieren. Die App und den zugehörigen Registrierungsprozess hat Marc-Oliver Schaake bereits in seinem nocash.blog beschrieben.

FIDO-Adapter
Rudolf Linsenbarth

Allerdings besitzt eben nicht jeder ein Smartphone oder will dieses für Geldgeschäfte jeglicher Form verwenden. Einige Banken bieten für diesen Fall eine SMS TAN an. Die ist allerdings aus Kostengründen und unter Sicherheitsaspekten nicht mehr die erste Wahl. Daher hat man sich bei PLUSCARD entschieden, den FIDO-Token zum Einsatz zu bringen.

Die Test-Hardware

Nach Erhalt der Kreditkarte muss ein FIDO Token mit der Karte verbunden werden. Dafür bietet der Sparkassen Shop den FEITIAN FIDO Token an. Im Prinzip funktioniert aber auch jeder andere FIDO Token, der die FIDO2-Spezifikation erfüllt. Ich habe für meine Tests einen  Yubico – YubiKey 5 NFC verwendet. Für diesen Token mit USB-A-Anschluss gibt es übrigens auch Adapter für USB C und Lightning. Damit kann man den Token auch an einem Tablet verwenden. Aber Achtung: Beim Lightning-Adapter funktioniert nur die auf diesem Bild dargestellte Original Apple Hardware.

Zur Registrierung des FIDO Token geht man auf die Webseite https://www.online-zahlen-mit-fido.de/ (Website).

Dort muss man dann seine Kartennummer eingeben und erhält anschließend die folgende Info:

“Um sich für das neue Mastercard® Identity Check™-Verfahren zu registrieren, benötigen Sie einen Aktivierungscode. Wenn Sie den Aktivierungscode über Briefpost erhalten wollen, dann klicken Sie jetzt auf „Aktivierungscode anfordern“. Die Zustellung dauert in der Regel drei Tage (ausgenommen sind Wochenenden und Feiertage).”

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Wer sich (im Gegensatz zu mir) alle Unterlagen sorgfältig durchgelesen hat, findet den Aktivierungscode auch auf dem PIN-Brief seiner Karte. Es gibt allerdings noch einen weiteren Trick. Man kann seine Karte zuerst für die S-ID-Check App registrieren und anschließend über einen Gerätewechsel auf den FIDO Token wechseln. Der Wechsel von der App auf den Fido Token und zurück, beziehungsweise auf einen anderen Token funktioniert problemlos.

Nachdem also diese Hürde genommen ist, geht es an den eigentlichen Test. Der ist aber gar nicht so einfach. Es gilt einen Webshop zu finden, bei dem man auch für kleinere Beträge mit einer 3DS Abfrage konfrontiert wird.

Die Kollegen bei PLUSCARD hatten hier mit Rewe Kartenwelt den ultimativen Tipp. Dort “darf” man schon bei einem Einkauf in Höhe von 10 € die 3DS-Freigabe mit dem FIDO Stick tätigen.

3DS mit FIDO
Rudolf Linsenbarth

Der Vorgang an sich ist dann ziemlich unspektakulär. Pin in das Pop-up Fenster eingeben und danach noch einmal auf den Token tippen – fertig!”

Das klappt sowohl am Notebook als auch am Tablet. Mangels Masse konnte ich leider keinen Token testen, der mit Bluetooth gekoppelt war.

Der Sicherheitsschlüssel
Rudolf Linsenbarth

Nicht funktioniert hat der Versuch, eine 3DS-Freigabe per FIDO und NFC zu bewerkstelligen. Hier gibt es anscheinend noch grundsätzliche Probleme in der Kommunikation des FIDO Stack bei FIDO2. Der Anwendungsfall ist aber für eine 3DS-Freigabe einer Kreditkartenzahlung eher nicht relevant. Ich werde darüber einmal gesondert berichten.

Allerdings ist mir während meiner Tests doch zweimal ein gravierenderer Fehler dazwischen gekommen. Im Rahmen der Autorisierung wird auf der Händlerwebseite ein sogenannter iFrame eingebunden. Damit können Fremdinhalte über ein Contentwindow geladen werden. Es kann dabei aber nicht immer sichergestellt werden, dass die für FIDO essentielle WebAuthn API erreicht werden kann.

Deshalb hat man sich für einen Workaround entschieden und nutzt für den Challenge Flow ein Pop-up Fenster.

Leider gibt es auch hier einige wenige Anbieter, die so etwas unterbinden. Dazu gehört zum Beispiel PayPal.”

Die Fehlermeldung zu diesem Problem war leider auch etwas verwirrend. Der Text, dass mein Browser kein FIDO unterstützen würde, ist jedenfalls definitiv nicht richtig. PLUSCARD, Netcetera und Entersekt sind aber mit den entsprechenden Dienstleistern im Gespräch.

"Ihr Browser unterstützt FIDO nicht"
Rudolf Linsenbarth

Mit Einführung von 3-D Secure Version 2.3 müssen alle Händler innerhalb des iFrames die Nutzung von WebAuthn zulassen.

Fazit

Bis auf das iFrame-Problem ist Freigabe mit dem FIDO Token eine gute Alternative zur App, für Online Einkäufe am PC oder Tablet.

Hier zeigt sich, dass 3D Secure ein komplexer Prozess mit vielen Beteiligten ist, bei dem alle Räder sauber ineinander greifen müssen. Gibt es Lücken im Regelwerk, führen diese leider zu einem Ausfall.”

Auch wenn das in meinen Tests selten vorkam, jeder Zahlungsausfall ist ein echtes Ärgernis. Ich bin aber zuversichtlich, dass mit fortschreitender Verbreitung von FIDO die Zahlungsdienstleister und Onlinehändler diesem geänderten Nutzerverhalten anpassen werden.

FIDO Alliance
Wünschenswert wäre vielleicht noch eine direkte Möglichkeit, den FIDO Token aus dem Online Banking heraus zu registrieren. Außerdem wäre es auch praktisch, wenn man mehr als nur einen Authenticator gleichzeitig registrieren könnte.

Ich würde dann zumindest für Online-Einkäufe am Notebook den Fido Token stets griffbereit daneben legen.Rudolf Linsenbarth

Weitere Beiträge zum Thema Authentifizierung:

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert