Eine starke Kundenauthentifizierung ist für das Auslösen von elektronischen Zahlungen notwendig. Dies ist beispielweise bei der Bezahlung mit Kreditkarte oder giropay der Fall. Hierdurch soll vermieden werden, dass Transaktionen durch Betrüger ausgeführt werden. Für die Umsetzung der gesetzlichen Anforderungen zur starken Kundenauthentifizierung (gemäß PSD2) beim Bezahlen mit Kreditkarte haben Mastercard und Visa das Sicherheitsprotokoll EMV 3D Secure 2 (EMV 3DS) als neuen Standard entwickelt.
Nach der PSD2 ist eine Kundenauthentifizierung dann stark, wenn mindestens zwei Faktoren zur Authentifizierung genutzt werden. Darüber hinaus müssen die gewählten Faktoren aus unterschiedlichen Kategorien stammen und unabhängig voneinander sein, um höchstmögliche Sicherheit zu erreichen.
Die drei Faktorenkategorien auf einen Blick
- Wissen (etwas, was nur der Nutzer weiß, z.B. Passwort)
- Besitz (etwas, was nur der Nutzer besitzt, z.B. Mobiltelefon)
- Inhärenz (etwas, was nur der Nutzer ist, z.B. Fingerabdruck)
Die Kombination der Zwei-Faktorauthentifizierung obliegt dem Kartenherausgeber und kann beispielsweise wie folgt aussehen:
Beispiel 1 für eine starke Authentifizierung: Einmalpasswort und Wissensfrage
Der Nutzer kann ein Einmalpasswort, dass er per SMS erhält mit einer persönlichen Wissensfrage kombinieren. Das Einmalpasswort steht für den ersten Faktor und gilt als „Besitz“. Die persönliche Frage steht für den zweiten Faktor und gilt als „Wissen“.
Beispiel 2 für eine starke Authentifizierung: Wissensfrage und Fingerscan
Denkbar wäre auch statt dem Einmalpasswort ein Fingerscan über die Banking-App auf seinem Smartphone mit einer persönlichen Wissensfrage zu kombinieren. Der Fingerabdruck steht dann für den zweiten Faktor und gilt als „Inhärenz“. Der Karteninhaber kann aber auch „Etwas, das er besitzt“, wie z. B. das Smartphone, mit „Etwas von ihm persönlich“, etwa einem Gesichtsscan, verknüpfen.