Auf dem Weg zu sicheren abgeleiteten Identitäten mit Payment Service Directive 2
dc.contributor.author | Träder, Daniel | |
dc.contributor.author | Zeier, Alexander | |
dc.contributor.author | Heinemann, Andreas | |
dc.contributor.editor | Langweg, Hanno | |
dc.contributor.editor | Meier, Michael | |
dc.contributor.editor | Witt, Bernhard C. | |
dc.contributor.editor | Reinhardt, Delphine | |
dc.date.accessioned | 2018-03-22T12:40:40Z | |
dc.date.available | 2018-03-22T12:40:40Z | |
dc.date.issued | 2018 | |
dc.description.abstract | Online-Dienste erfordern eine eindeutige Identifizierung der Benutzer und somit eine sichere Authentisierung. Insbesondere eGovernment-Dienste innerhalb der EU erfordern eine starke Absicherung der Benutzeridentität. Auch die mobile Nutzung solcher Dienste wird bevorzugt. Das Smartphone kann hier als einer der Faktoren für eine Zwei-Faktor-Authentifizierung dienen, um eine höhere Sicherheit zu erreichen. Diese Arbeit schlägt vor, den Zugang und die Nutzung einer abgeleiteten Identität mit einem Smartphone zu sichern, um es dem Benutzer zu ermöglichen, sich auf sichere Weise gegenüber einem Online-Dienst zu identifizieren. Dazu beschreiben wir ein Schema zur Ableitung der Identität eines Benutzers mithilfe eines Account Servicing Payment Service Provider (ASPSP) unter Verwendung der Payment Service Directive 2 (PSD2) der Europäischen Union. PSD2 erfordert eine Schnittstelle für Dritte, die von ASPSPs implementiert werden muss. Diese Schnittstelle wird genutzt, um auf die beim ASPSP gespeicherten Kontoinformationen zuzugreifen und daraus die Identität des Kontoinhabers abzuleiten. Zur Sicherung der abgeleiteten Identität ist der Einsatz von FIDO (Fast Identity Online) vorgesehen. Wir bewerten unseren Vorschlag anhand der Richtlinien von eIDAS LoA (Level of Assurance) und zeigen, dass für die meisten Bereiche das Vertrauensniveau substantiell erreicht werden kann. Um diesem Level vollständig gerecht zu werden, ist zusätzlicher Arbeitsaufwand erforderlich: Zunächst ist es erforderlich, Extended Validation-Zertifikate für alle Institutionen zu verwenden. Zweitens muss der ASPSP sichere TAN-Methoden verwenden. Schließlich kann derWiderruf einer abgeleiteten Identität nicht erfolgen, wenn der Benutzer keinen Zugriff auf sein Smartphone hat, das mit der abgeleiteten ID verknüpft ist. Daher ist ein anderes Widerrufsverfahren erforderlich (z. B. eine Support-Hotline). | de |
dc.identifier.doi | 10.18420/sicherheit2018_14 | |
dc.identifier.isbn | 978-3-88579-675-6 | |
dc.identifier.pissn | 1617-5468 | |
dc.identifier.uri | https://dl.gi.de/handle/20.500.12116/16279 | |
dc.language.iso | de | |
dc.publisher | Gesellschaft für Informatik e.V. | |
dc.relation.ispartof | SICHERHEIT 2018 | |
dc.relation.ispartofseries | Lecture Notes in Informatics (LNI) - Proceedings, Volume P-281 | |
dc.subject | Abgeleitete Identitäten | |
dc.subject | PSD2 | |
dc.subject | eIDAS | |
dc.subject | eGovernment | |
dc.subject | Identitätsmanagement | |
dc.title | Auf dem Weg zu sicheren abgeleiteten Identitäten mit Payment Service Directive 2 | de |
dc.type | Text/Conference Paper | |
gi.citation.endPage | 196 | |
gi.citation.publisherPlace | Bonn | |
gi.citation.startPage | 183 | |
gi.conference.date | 25.-27. April 2018 | |
gi.conference.location | Konstanz, Germany | |
gi.conference.sessiontitle | Wissenschaftliche Beiträge |
Dateien
Originalbündel
1 - 1 von 1