authentication requirements and application of psd2 in e-commerce - presentation of our payment...
TRANSCRIPT
27. SmartCard Workshop – Fraunhofer SIT
Authentisierungsvorgaben und Anwendung der PSD2 im
e-Commerce
15./16. Februar 2017 – Dr. Thomas Fromherz, Ronnie Brunner
Netcetera | 3
RTS … immer noch für Anfänger
Draft
Regulatory Technical Standardson strong customer authentication
and common secure communication
under PDS2
Netcetera | 4
RTS … was genau?
Wann anzuwenden?
Starke Kundenauthentisierung?
Sonst noch?
Ausnahmen?
Netcetera | 5
Wann ist starke Authentisierung anzuwenden?
Online Zugriff auf Konto
Elektronische Transaktion
«Risiko-Remote-Aktion»
Netcetera | 6
Was gilt als starke Authentisierung?
sA = { el | nel ≥ 2 ^ el ∈ Kat(egorien) }
Wissen Besitz Inhärenz
2FA
Netcetera | 9
2FA – Inhärenz
Keine vertraulichen Informationen
an nichtautorisierte Nutzer
Tiefe Wahrscheinlichkeit für Authentisierung von
nichtautorisierten Parteien als legitime Nutzer
Netcetera | 10
Und sonst noch?
Unabhängigkeit der Elemente
Vertraulichkeit & Integrität der Elemente
Vertraulichkeit, Authenzität, Integrität
von Betrag und Zahlendem
Netcetera | 11
Und sonst noch?
Mehrzweckgeräte (TEE, Rooted Devices)
Fehlversuch Fehlerhaftes Authelement
Komm.schnittstellen/Sessions
Verschlüsselung
Max. Fehlversuche
×
Netcetera | 15
3-D Secure ACSFirewall der BankEinkaufsgerät des Kunden
Mobiles Gerät des Kunden
Entersekt Message
Router
Transakt Secure Gateway
1
7
3
4 5 6
Trusted Channel2
8
Authentisierungsprozess im e-Commerce
Netcetera | 17
Der «Trusted Channel» im Detail
FIDO U2F zertifizierter «Authenticator» als erster Faktor
Unabhängiger KanalPKI-Setup mit X.509 v3
Zertifikaten
SHA-384, RSA
2048/4096, ECC 304
Offline Fallback TOTP
gemäß RFC6238
FIPS 140-2
Hardware HSM
TEE, Secure Enclave
(iOS), Nexus Imprint
(Android)
Netcetera | 19
Der zweite Faktor
Wissenselement
PIN als klassischer Wissensfaktor
Einfach bei der Registration erfassbar
Bei Bestätigung der «Auth Message»
zusätzlich (statische) PIN abfragen
Vollständiger zusätzlicher Faktor,
unabhängig vom ersten Faktor
Grosser Nachteil: PIN wird sehr gerne
vergessen, Eingabe ist mühsam
→ sehr «benutzerfeindlich»
Netcetera | 21
Das mit der Biometrie…
Inhärenzelement
Touch ID / Fingerprint Scanning
Aktuelle Implementationen sind «sicher»
Hauptproblem: Erfassung ist nicht Teil
der Registration
Gilt nicht als sicher
Kein zentraler Angriffspunkt, da im
Gerät geprüft
Grosser Vorteil: sehr benutzerfreundlich
Netcetera | 23
Weitere Sicherheitsmassnahmen
Härtung der App
Root detection
Code obfuscation
Verhinderung von Backup
Runtime Tamper Detection
(Safety Net Support geplant, aktuell
nicht implementiert)
Nativer Quellcode (aktuell
nicht implementiert)
Netcetera | 25
+41 44 297 5818
+41 44 297 5979
Dr. Thomas Fromherz
Head of Payment & Card Services
Ronnie Brunner
Head of Products / Co-Founder
Kontakte