27. SmartCard Workshop – Fraunhofer SIT

Authentisierungsvorgaben und Anwendung der PSD2 im

e-Commerce

15./16. Februar 2017 – Dr. Thomas Fromherz, Ronnie Brunner

Netcetera | 2

PSD2 für Anfänger

Starke Kundenauthentisierung

Access to Account (X2A)

Netcetera | 3

RTS … immer noch für Anfänger

Draft

Regulatory Technical Standardson strong customer authentication

and common secure communication

under PDS2

Netcetera | 4

RTS … was genau?

Wann anzuwenden?

Starke Kundenauthentisierung?

Sonst noch?

Ausnahmen?

Netcetera | 5

Wann ist starke Authentisierung anzuwenden?

Online Zugriff auf Konto

Elektronische Transaktion

«Risiko-Remote-Aktion»

Netcetera | 6

Was gilt als starke Authentisierung?

sA = { el | nel ≥ 2 ^ el ∈ Kat(egorien) }

Wissen Besitz Inhärenz

2FA

Netcetera | 7

2FA – Wissen

Ausreichende Länge / Komplexität

TTL

Sich nicht wiederholdende Zeichen

Netcetera | 8

2FA – Besitz

Widerstand gegen nichtautorisierte Nutzung

Replizierung verhindert

Netcetera | 9

2FA – Inhärenz

Keine vertraulichen Informationen

an nichtautorisierte Nutzer

Tiefe Wahrscheinlichkeit für Authentisierung von

nichtautorisierten Parteien als legitime Nutzer

Netcetera | 10

Und sonst noch?

Unabhängigkeit der Elemente

Vertraulichkeit & Integrität der Elemente

Vertraulichkeit, Authenzität, Integrität

von Betrag und Zahlendem

Netcetera | 11

Und sonst noch?

Mehrzweckgeräte (TEE, Rooted Devices)

Fehlversuch Fehlerhaftes Authelement

Komm.schnittstellen/Sessions

Verschlüsselung

Max. Fehlversuche

×

Netcetera | 12

Authentisierung im e-Commerce – Kartenzahlung

DSRP

3-D Secure

Netcetera | 13

Authentisierung im e-Commerce – Browser

Browser

Netcetera | 14

Authentisierung im e-Commerce

Netcetera | 15

3-D Secure ACSFirewall der BankEinkaufsgerät des Kunden

Mobiles Gerät des Kunden

Entersekt Message

Router

Transakt Secure Gateway

1

7

3

4 5 6

Trusted Channel2

8

Authentisierungsprozess im e-Commerce

Netcetera | 17

Der «Trusted Channel» im Detail

FIDO U2F zertifizierter «Authenticator» als erster Faktor

Unabhängiger KanalPKI-Setup mit X.509 v3

Zertifikaten

SHA-384, RSA

2048/4096, ECC 304

Offline Fallback TOTP

gemäß RFC6238

FIPS 140-2

Hardware HSM

TEE, Secure Enclave

(iOS), Nexus Imprint

(Android)

Netcetera | 19

Der zweite Faktor

Wissenselement

PIN als klassischer Wissensfaktor

Einfach bei der Registration erfassbar

Bei Bestätigung der «Auth Message»

zusätzlich (statische) PIN abfragen

Vollständiger zusätzlicher Faktor,

unabhängig vom ersten Faktor

Grosser Nachteil: PIN wird sehr gerne

vergessen, Eingabe ist mühsam

→ sehr «benutzerfeindlich»

Netcetera | 21

Das mit der Biometrie…

Inhärenzelement

Touch ID / Fingerprint Scanning

Aktuelle Implementationen sind «sicher»

Hauptproblem: Erfassung ist nicht Teil

der Registration

Gilt nicht als sicher

Kein zentraler Angriffspunkt, da im

Gerät geprüft

Grosser Vorteil: sehr benutzerfreundlich

Netcetera | 23

Weitere Sicherheitsmassnahmen

Härtung der App

Root detection

Code obfuscation

Verhinderung von Backup

Runtime Tamper Detection

(Safety Net Support geplant, aktuell

nicht implementiert)

Nativer Quellcode (aktuell

nicht implementiert)

Netcetera | 25

thomas.fromherz@netcetera.com

+41 44 297 5818

ronnie.brunner@netcetera.com

+41 44 297 5979

Dr. Thomas Fromherz

Head of Payment & Card Services

Ronnie Brunner

Head of Products / Co-Founder

Kontakte