3 Methoden zum Umsetzen der Erfordernisse der starken Kundenauthentifizierung im Rahmen der PSD2

August 19, 2020
Autor:in:
Prüfer:in:

3 Methoden zum Umsetzen der Erfordernisse der starken Kundenauthentifizierung im Rahmen der PSD2


Hallo und Danke fürs Lesen! Dieser Blogpost ist eine Übersetzung von 3 ways to implement PSD2's strong customer authentication (SCA) requirement. Während wir unsere Übersetzungsprozesse verbessern, würden wir uns über Dein Feedback an help@twilio.com freuen, solltest Du etwas bemerken, was falsch übersetzt wurde. Wir bedanken uns für hilfreiche Beiträge mit Twilio Swag :)

Die Zweite Zahlungsdiensterichtlinie (PSD2) des Europäischen Parlaments und des Rates erfordert eine starke Kundenauthentifizierung, wenn der Zahler:

  • einen elektronischen Zahlungsvorgang von mehr als 30 € auslöst*
  • online auf sein Zahlungskonto zugreift
  • über einen Fernzugang eine Handlung vornimmt, „die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt“

Dies gilt für:

  • Unternehmen und/oder Kunden im Europäischen Wirtschaftsraum
  • Online-Transaktionen bzw. Transaktionen ohne Vorlage einer Debit- oder Kreditkarte (CNP, Card not present)

Ursprünglich sollte die Richtlinie bis zum September 2019 in Kraft treten, aber diese Frist wurde bis zum 31. Dezember 2020 verlängert (die Frist zur Umsetzung der starken Kundenauthentifizierung im Vereinigten Königreich endet jetzt am 14. September 2021).

Es gibt drei Optionen, die starke Kundenauthentifizierung für Zahlungsvorgänge in unseren Anwendungen mit Twilio umzusetzen:

  1. Verifizierung via SMS mit Einmalsicherheitscodes (OTP)
  2. Push-Authentifizierung
  3. Transaktions-TOTP

In diesem Blog wird jede dieser drei Optionen vorgestellt und auf Ressourcen verwiesen, die bei der Umsetzung helfen.

* davon ausgenommen sind:

  • Zahlungsvorgänge mit niedrigem Risiko (basierend auf den Betrugsraten des Zahlungsdienstleisters)
  • Wiederkehrende Zahlungen (feste oder variable Zahlungen, „vom Händler angestoßen“)
  • Zahlungen über Telefon

Erfordernisse der starken Kundenauthentifizierung für CNP-Transaktionen

Die starke Kundenauthentifizierung erfordert die Zwei-Faktor-Authentisierung mithilfe einer Kombination aus folgenden Faktoren. Konforme Faktoren werden in der Stellungnahme der Europäischen Bankenaufsichtsbehörde (EBA) vom Juni 2019 ausführlich beschrieben (siehe Tabellen 1, 2 und 3).

  1. Inhärenzfaktor (z. B. Fingerabdruck-Scan, Stimmerkennung, Tippverhalten)
  2. Besitzfaktor (z. B. SMS-OTP, Hardwaretoken, gerätegebundene Anwendung)
  3. Wissensfaktor (z. B. Passwort, PIN, eingeprägte Wischgeste)

Twilio kann beim Besitzfaktor (etwas, was man hat) behilflich sein, z. B. durch das Senden eines Einmalsicherheitscodes via SMS, durch die Push-Authentifizierung mit der Authy-App oder durch Einbettung in die eigene Anwendung oder durch Verwendung der Authy-API für transaktionsspezifische TOTP. Diese Optionen unterstützen alle die dynamische Verknüpfung, d. h. die Anforderung, transaktionsspezifische Informationen in die Authentifizierung einzubeziehen. Dazu gehören:

  • Zahlungsempfänger (Person oder Händler)
  • Zahlungsbetrag

Option 1: Twilio Verify-SMS

SMS ist zwar eine gute Option für die Verifizierung, allerdings nehmen Finanzinstitute in manchen Ländern wie Deutschland immer mehr Abstand davon.

Wir müssen sicherstellen, dass die Transaktionsverifizierung auf enabled für den Verify-Dienst in der Konsole eingestellt ist.

Aktivierung der Transktionsverifizierung

Anschließend können wir dynamische Verknüpfungsinformationen zur Transaktion hinzufügen, wenn wir die API-Anfrage stellen. Das sollte in etwa so aussehen:

# Install the twilio-cli from https://twil.io/cli

twilio api:verify:v2:services:verifications:create \
   --service-sid VAXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX \
   --amount €39.99 \
   --payee "Acme Inc." \
   --to +15017122661 \
   --channel sms

Du findest weitere Informationen zur Verwendung von Verify für die starke Kundenauthentifizierung in der Dokumentation.

Option 2: Push-Authentifizierung

Mit dem neuen Verify Push-SDK können Unternehmen Push-Authentifizierungslogik direkt in ihre mobile Anwendung einbetten und einen Authentifikator erstellen, der mit der starken Kundenauthentifizierung kompatibel ist. Dadurch können wir eine Funktion verwenden, die unsere Kunden wahrscheinlich schon installiert haben. Eine Einführung in Verify Push findest du in der Dokumentation. Da die API für die Push-Authentifizierung bereits zusätzliche Kontextfelder unterstützt, funktioniert das Hinzufügen von amount und payee reibungslos.

Einzelheiten zur Push-Authentifizierung – Starke Kundenauthentifizierung

Option 3: Transaktions-TOTP

Zeitbasierte Einmalpasswörter (TOTP) sind eine standardisierte Methode für die Offline-Authentifizierung. Der „Offline“-Teil stellt für viele Anwendungen eine Herausforderung dar, um die transaktionsspezifischen dynamischen Verknüpfungsanforderungen zu erfüllen. Aber Twilio konnte das Problem durch Implementierung der Transaktions-TOTP lösen.

Und so funktioniert das Ganze mit der Authy-API und Authy-App:

  • Wir fügen unserer Authy-Anwendung einen Benutzer hinzu.
  • Wir zeigen einen sekundären QR-Code auf der Zahlungsseite an, den der bereits registrierte Benutzer über die Authy-App scannt.

Transaktions-TOTP

Bei dieser Lösung handelt es sich um eine Eigenentwicklung, deshalb funktioniert sie auch nicht mit anderen Authentifikator-Anwendungen, mit denen TOTP normalerweise kein Problem hätte. Aber sie ist eine gute Option für die Unterstützung von Offline-Authentifikatoren. In diesem Blog findest du weitere Informationen zu den ersten Schritten mit Transaktions-TOTP.

Wie geht es weiter?

Wir haben noch ein paar Monate Zeit bis zur Umsetzung der starken Kundenauthentifizierung, im Vereinigten Königreich noch etwas länger. Wenn noch Fragen offen sind, beantworten wir diese gern. Wir haben bereits zahlreichen Unternehmen bei der Entwicklung konformer Lösungen geholfen und können auch dir helfen.

Auf der Suche nach anderen Möglichkeiten, einer Website oder einer Anwendung die starke Authentifizierung hinzuzufügen? Wir haben noch mehr Ideen und Tutorials für 2FA, z. B.: