In their presentation at the 27th SmartCard Workshop in Darmstadt (Germany), our payment experts, Dr Thomas Fromherz and Ronnie Brunner discussed the core challenges of the regulatory technical standards by means of the chosen technology. We meet these challenges on behalf of the Sparkassen and the Deutsche Kreditbank by employing the S-ID-Check-App for the Sparkassen, and the DKB-Card-Secure-App. These apps are based on Transakt technology from Entersekt.
Similar to Authentication requirements and application of PSD2 in e-Commerce - Presentation of our payment experts Dr. Thomas Fromherz und Ronnie Brunner
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Fujitsu Central Europe
Similar to Authentication requirements and application of PSD2 in e-Commerce - Presentation of our payment experts Dr. Thomas Fromherz und Ronnie Brunner (20)
Authentication requirements and application of PSD2 in e-Commerce - Presentation of our payment experts Dr. Thomas Fromherz und Ronnie Brunner
1. 27. SmartCard Workshop – Fraunhofer SIT
Authentisierungsvorgaben und Anwendung der PSD2 im
e-Commerce
15./16. Februar 2017 – Dr. Thomas Fromherz, Ronnie Brunner
2. Netcetera | 2
PSD2 für Anfänger
Starke Kundenauthentisierung
Access to Account (X2A)
3. Netcetera | 3
RTS … immer noch für Anfänger
Draft
Regulatory Technical Standards
on strong customer authentication
and common secure communication
under PDS2
4. Netcetera | 4
RTS … was genau?
Wann anzuwenden?
Starke Kundenauthentisierung?
Sonst noch?
Ausnahmen?
5. Netcetera | 5
Wann ist starke Authentisierung anzuwenden?
Online Zugriff auf Konto
Elektronische Transaktion
«Risiko-Remote-Aktion»
6. Netcetera | 6
Was gilt als starke Authentisierung?
sA = { el | nel ≥ 2 ^ el ∈ Kat(egorien) }
Wissen Besitz Inhärenz
2FA
7. Netcetera | 7
2FA – Wissen
Ausreichende Länge / Komplexität
TTL
Sich nicht wiederholdende Zeichen
8. Netcetera | 8
2FA – Besitz
Widerstand gegen nichtautorisierte Nutzung
Replizierung verhindert
9. Netcetera | 9
2FA – Inhärenz
Keine vertraulichen Informationen
an nichtautorisierte Nutzer
Tiefe Wahrscheinlichkeit für Authentisierung von
nichtautorisierten Parteien als legitime Nutzer
10. Netcetera | 10
Und sonst noch?
Unabhängigkeit der Elemente
Vertraulichkeit & Integrität der Elemente
Vertraulichkeit, Authenzität, Integrität
von Betrag und Zahlendem
15. Netcetera | 15
3-D Secure ACSFirewall der BankEinkaufsgerät des Kunden
Mobiles Gerät des Kunden
Entersekt Message
Router
Transakt Secure Gateway
1
7
3
4 5 6
Trusted Channel
2
8
Authentisierungsprozess im e-Commerce
16. Netcetera | 17
Der «Trusted Channel» im Detail
FIDO U2F zertifizierter «Authenticator» als erster Faktor
Unabhängiger Kanal
PKI-Setup mit X.509 v3
Zertifikaten
SHA-384, RSA
2048/4096, ECC 304
Offline Fallback TOTP
gemäß RFC6238
FIPS 140-2
Hardware HSM
TEE, Secure Enclave
(iOS), Nexus Imprint
(Android)
17. Netcetera | 19
Der zweite Faktor
Wissenselement
PIN als klassischer Wissensfaktor
Einfach bei der Registration erfassbar
Bei Bestätigung der «Auth Message»
zusätzlich (statische) PIN abfragen
Vollständiger zusätzlicher Faktor,
unabhängig vom ersten Faktor
Grosser Nachteil: PIN wird sehr gerne
vergessen, Eingabe ist mühsam
→ sehr «benutzerfeindlich»
18. Netcetera | 21
Das mit der Biometrie…
Inhärenzelement
Touch ID / Fingerprint Scanning
Aktuelle Implementationen sind «sicher»
Hauptproblem: Erfassung ist nicht Teil
der Registration
Gilt nicht als sicher
Kein zentraler Angriffspunkt, da im
Gerät geprüft
Grosser Vorteil: sehr benutzerfreundlich
19. Netcetera | 23
Weitere Sicherheitsmassnahmen
Härtung der App
Root detection
Code obfuscation
Verhinderung von Backup
Runtime Tamper Detection
(Safety Net Support geplant, aktuell
nicht implementiert)
Nativer Quellcode (aktuell
nicht implementiert)
20. Netcetera | 25
thomas.fromherz@netcetera.com
+41 44 297 5818
ronnie.brunner@netcetera.com
+41 44 297 5979
Dr. Thomas Fromherz
Head of Payment & Card Services
Ronnie Brunner
Head of Products / Co-Founder
Kontakte