Logo des Repositoriums

Auflistung nach Schlagwort "PSD2"

1 - 2 von 2
  • Konferenzbeitrag
    Auf dem Weg zu sicheren abgeleiteten Identitäten mit Payment Service Directive 2
    (SICHERHEIT 2018, 2018) Träder, Daniel; Zeier, Alexander; Heinemann, Andreas
    Online-Dienste erfordern eine eindeutige Identifizierung der Benutzer und somit eine sichere Authentisierung. Insbesondere eGovernment-Dienste innerhalb der EU erfordern eine starke Absicherung der Benutzeridentität. Auch die mobile Nutzung solcher Dienste wird bevorzugt. Das Smartphone kann hier als einer der Faktoren für eine Zwei-Faktor-Authentifizierung dienen, um eine höhere Sicherheit zu erreichen. Diese Arbeit schlägt vor, den Zugang und die Nutzung einer abgeleiteten Identität mit einem Smartphone zu sichern, um es dem Benutzer zu ermöglichen, sich auf sichere Weise gegenüber einem Online-Dienst zu identifizieren. Dazu beschreiben wir ein Schema zur Ableitung der Identität eines Benutzers mithilfe eines Account Servicing Payment Service Provider (ASPSP) unter Verwendung der Payment Service Directive 2 (PSD2) der Europäischen Union. PSD2 erfordert eine Schnittstelle für Dritte, die von ASPSPs implementiert werden muss. Diese Schnittstelle wird genutzt, um auf die beim ASPSP gespeicherten Kontoinformationen zuzugreifen und daraus die Identität des Kontoinhabers abzuleiten. Zur Sicherung der abgeleiteten Identität ist der Einsatz von FIDO (Fast Identity Online) vorgesehen. Wir bewerten unseren Vorschlag anhand der Richtlinien von eIDAS LoA (Level of Assurance) und zeigen, dass für die meisten Bereiche das Vertrauensniveau substantiell erreicht werden kann. Um diesem Level vollständig gerecht zu werden, ist zusätzlicher Arbeitsaufwand erforderlich: Zunächst ist es erforderlich, Extended Validation-Zertifikate für alle Institutionen zu verwenden. Zweitens muss der ASPSP sichere TAN-Methoden verwenden. Schließlich kann derWiderruf einer abgeleiteten Identität nicht erfolgen, wenn der Benutzer keinen Zugriff auf sein Smartphone hat, das mit der abgeleiteten ID verknüpft ist. Daher ist ein anderes Widerrufsverfahren erforderlich (z. B. eine Support-Hotline).
  • Konferenzbeitrag
    Ich sehe was, das du nicht siehst - Die Realität von Mobilebanking zwischen allgemeinen und rechtlichen Anforderungen
    (SICHERHEIT 2018, 2018) Haupert, Vincent; Pugliese, Gaston
    Kürzlich hat die Europäische Kommission die Technischen Regulierungsstandards im Rahmen der Zahlungsdiensterichtlinie II vorgelegt. Sie regeln unter anderem auch die Anforderungen an die starke Kundenauthentifizierung, die für digitale Zahlungsvorgänge zumindest eine Zwei-Faktor-Authentifizierung vorschreiben. Der Beitrag setzt sich mit den rechtlichen Vorgaben auseinander, indem zunächst allgemeine Anforderungen formuliert werden, ehe darauf eingegangen wird, ob und wie Transaktionen auf nur einem mobilen Endgerät diesen Anforderungen genügen können. Hierbei wird die Transaktionssicherheit der Ein-Gerät-Authentifizierung anhand von smsTAN- und App-basierten Mobilebankingverfahren mittels allgemeiner wie auch rechtlicher Anforderungen bewertet. Es zeigt sich, dass die vorherrschenden Plattformen Android und iOS die Anforderung an ein unkopierbares Besitzelement bereits heute erfüllen können, während eine sichere Anzeige weiter eine Zukunftsaufgabe bleibt, gerade auch, weil der Gesetzgeber klare Anforderungen versäumt hat.