Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
27. SmartCard Workshop – Fraunhofer SIT
Authentisierungsvorgaben und Anwendung der PSD2 im
e-Commerce
15./16. Februar 2017...
Netcetera | 2
PSD2 für Anfänger
Starke Kundenauthentisierung
Access to Account (X2A)
Netcetera | 3
RTS … immer noch für Anfänger
Draft
Regulatory Technical Standards
on strong customer authentication
and com...
Netcetera | 4
RTS … was genau?
Wann anzuwenden?
Starke Kundenauthentisierung?
Sonst noch?
Ausnahmen?
Netcetera | 5
Wann ist starke Authentisierung anzuwenden?
Online Zugriff auf Konto
Elektronische Transaktion
«Risiko-Remot...
Netcetera | 6
Was gilt als starke Authentisierung?
sA = { el | nel ≥ 2 ^ el ∈ Kat(egorien) }
Wissen Besitz Inhärenz
2FA
Netcetera | 7
2FA – Wissen
Ausreichende Länge / Komplexität
TTL
Sich nicht wiederholdende Zeichen
Netcetera | 8
2FA – Besitz
Widerstand gegen nichtautorisierte Nutzung
Replizierung verhindert
Netcetera | 9
2FA – Inhärenz
Keine vertraulichen Informationen
an nichtautorisierte Nutzer
Tiefe Wahrscheinlichkeit für Au...
Netcetera | 10
Und sonst noch?
Unabhängigkeit der Elemente
Vertraulichkeit & Integrität der Elemente
Vertraulichkeit, Auth...
Netcetera | 11
Und sonst noch?
Mehrzweckgeräte (TEE, Rooted Devices)
Fehlversuch  Fehlerhaftes Authelement
Komm.schnittst...
Netcetera | 12
Authentisierung im e-Commerce – Kartenzahlung
DSRP
3-D Secure
Netcetera | 13
Authentisierung im e-Commerce – Browser
Browser
Netcetera | 14
Authentisierung im e-Commerce
Netcetera | 15
3-D Secure ACSFirewall der BankEinkaufsgerät des Kunden
Mobiles Gerät des Kunden
Entersekt Message
Router
T...
Netcetera | 17
Der «Trusted Channel» im Detail
FIDO U2F zertifizierter «Authenticator» als erster Faktor
Unabhängiger Kana...
Netcetera | 19
Der zweite Faktor
Wissenselement
 PIN als klassischer Wissensfaktor
 Einfach bei der Registration erfassb...
Netcetera | 21
Das mit der Biometrie…
Inhärenzelement
 Touch ID / Fingerprint Scanning
 Aktuelle Implementationen sind «...
Netcetera | 23
Weitere Sicherheitsmassnahmen
Härtung der App
 Root detection
 Code obfuscation
 Verhinderung von Backup...
Netcetera | 25
thomas.fromherz@netcetera.com
+41 44 297 5818
ronnie.brunner@netcetera.com
+41 44 297 5979
Dr. Thomas Fromh...
Upcoming SlideShare
Loading in …5
×

Authentication requirements and application of PSD2 in e-Commerce - Presentation of our payment experts Dr. Thomas Fromherz und Ronnie Brunner

538 views

Published on

In their presentation at the 27th SmartCard Workshop in Darmstadt (Germany), our payment experts, Dr Thomas Fromherz and Ronnie Brunner discussed the core challenges of the regulatory technical standards by means of the chosen technology. We meet these challenges on behalf of the Sparkassen and the Deutsche Kreditbank by employing the S-ID-Check-App for the Sparkassen, and the DKB-Card-Secure-App. These apps are based on Transakt technology from Entersekt.

Published in: Internet
  • Login to see the comments

  • Be the first to like this

Authentication requirements and application of PSD2 in e-Commerce - Presentation of our payment experts Dr. Thomas Fromherz und Ronnie Brunner

  1. 1. 27. SmartCard Workshop – Fraunhofer SIT Authentisierungsvorgaben und Anwendung der PSD2 im e-Commerce 15./16. Februar 2017 – Dr. Thomas Fromherz, Ronnie Brunner
  2. 2. Netcetera | 2 PSD2 für Anfänger Starke Kundenauthentisierung Access to Account (X2A)
  3. 3. Netcetera | 3 RTS … immer noch für Anfänger Draft Regulatory Technical Standards on strong customer authentication and common secure communication under PDS2
  4. 4. Netcetera | 4 RTS … was genau? Wann anzuwenden? Starke Kundenauthentisierung? Sonst noch? Ausnahmen?
  5. 5. Netcetera | 5 Wann ist starke Authentisierung anzuwenden? Online Zugriff auf Konto Elektronische Transaktion «Risiko-Remote-Aktion»
  6. 6. Netcetera | 6 Was gilt als starke Authentisierung? sA = { el | nel ≥ 2 ^ el ∈ Kat(egorien) } Wissen Besitz Inhärenz 2FA
  7. 7. Netcetera | 7 2FA – Wissen Ausreichende Länge / Komplexität TTL Sich nicht wiederholdende Zeichen
  8. 8. Netcetera | 8 2FA – Besitz Widerstand gegen nichtautorisierte Nutzung Replizierung verhindert
  9. 9. Netcetera | 9 2FA – Inhärenz Keine vertraulichen Informationen an nichtautorisierte Nutzer Tiefe Wahrscheinlichkeit für Authentisierung von nichtautorisierten Parteien als legitime Nutzer
  10. 10. Netcetera | 10 Und sonst noch? Unabhängigkeit der Elemente Vertraulichkeit & Integrität der Elemente Vertraulichkeit, Authenzität, Integrität von Betrag und Zahlendem
  11. 11. Netcetera | 11 Und sonst noch? Mehrzweckgeräte (TEE, Rooted Devices) Fehlversuch  Fehlerhaftes Authelement Komm.schnittstellen/Sessions Verschlüsselung Max. Fehlversuche ×
  12. 12. Netcetera | 12 Authentisierung im e-Commerce – Kartenzahlung DSRP 3-D Secure
  13. 13. Netcetera | 13 Authentisierung im e-Commerce – Browser Browser
  14. 14. Netcetera | 14 Authentisierung im e-Commerce
  15. 15. Netcetera | 15 3-D Secure ACSFirewall der BankEinkaufsgerät des Kunden Mobiles Gerät des Kunden Entersekt Message Router Transakt Secure Gateway 1 7 3 4 5 6 Trusted Channel 2 8 Authentisierungsprozess im e-Commerce
  16. 16. Netcetera | 17 Der «Trusted Channel» im Detail FIDO U2F zertifizierter «Authenticator» als erster Faktor Unabhängiger Kanal PKI-Setup mit X.509 v3 Zertifikaten SHA-384, RSA 2048/4096, ECC 304 Offline Fallback TOTP gemäß RFC6238 FIPS 140-2 Hardware HSM TEE, Secure Enclave (iOS), Nexus Imprint (Android)
  17. 17. Netcetera | 19 Der zweite Faktor Wissenselement  PIN als klassischer Wissensfaktor  Einfach bei der Registration erfassbar  Bei Bestätigung der «Auth Message» zusätzlich (statische) PIN abfragen  Vollständiger zusätzlicher Faktor, unabhängig vom ersten Faktor Grosser Nachteil: PIN wird sehr gerne vergessen, Eingabe ist mühsam → sehr «benutzerfeindlich»
  18. 18. Netcetera | 21 Das mit der Biometrie… Inhärenzelement  Touch ID / Fingerprint Scanning  Aktuelle Implementationen sind «sicher»  Hauptproblem: Erfassung ist nicht Teil der Registration  Gilt nicht als sicher  Kein zentraler Angriffspunkt, da im Gerät geprüft Grosser Vorteil: sehr benutzerfreundlich
  19. 19. Netcetera | 23 Weitere Sicherheitsmassnahmen Härtung der App  Root detection  Code obfuscation  Verhinderung von Backup  Runtime Tamper Detection (Safety Net Support geplant, aktuell nicht implementiert)  Nativer Quellcode (aktuell nicht implementiert)
  20. 20. Netcetera | 25 thomas.fromherz@netcetera.com +41 44 297 5818 ronnie.brunner@netcetera.com +41 44 297 5979 Dr. Thomas Fromherz Head of Payment & Card Services Ronnie Brunner Head of Products / Co-Founder Kontakte

×