5 Cronto-Anwendungsfälle jenseits der Transaktionsautorisierung

Sarah Van De Vyver, 15. Juli 2021

In einem früheren Blogbeitrag mit dem Titel „ Mit Cronto . sichere und einfache Transaktionssignaturen schaffen “ haben wir untersucht, wie die visuelle Transaktionssigniertechnologie Cronto von OneSpan dazu beiträgt, ein sicheres und einfaches Transaktionssigniererlebnis zu schaffen und gleichzeitig Banken und Finanzinstituten dabei hilft, einen sicheren und benutzerfreundlichen Transaktionsfluss anzubieten. Die Cronto-Lösungen von OneSpan beschränken sich jedoch nicht nur auf das Signieren von Transaktionen. Diese Lösungen erfreuen sich bei unseren Kunden großer Beliebtheit, da sie eine Vielzahl von Anwendungsfällen im Bankgeschäft abdecken. In diesem Blog behandeln wir fünf der wichtigsten Anwendungsfälle für Cronto über die Transaktionsautorisierung hinaus.

Top 5 Cronto-Anwendungsfälle

Cronto bietet einen mehrwinkeligen Ansatz

Die meisten heute auf dem Markt erhältlichen Authentifizierungslösungen sind darauf ausgelegt, eine sichere Benutzeranmeldung zu unterstützen. Cronto ist keine Ausnahme. Ich versende Passwörter. Sie sind umständlich; Benutzer müssen sie sich merken und regelmäßig ändern. In Wirklichkeit ist dies ein langwieriger Prozess, wenn der Benutzer sein Passwort vergisst und einen Helpdesk anruft oder eine frustrierende Benutzererfahrung durchmacht.

Geben Sie Cronto ein. Cronto ist eine passwortlose Lösung, die hohe Sicherheit mit einer komfortablen Benutzererfahrung kombiniert. Ihre Benutzer müssen keinen Benutzernamen, kein Kennwort oder keine Herausforderung mehr eingeben. Sie scannen einfach das Cronto-Image mit Ihrem mobilen oder Cronto-Hardware-Token-Authentifikator.

Die gleiche Erfahrung wird für die Transaktionssignierung bereitgestellt. Sie können eine Transaktion autorisieren, ohne Transaktionsdetails manuell hinzufügen zu müssen. Scannen Sie einfach das Cronto-Image und überprüfen Sie die Transaktionsdetails auf Ihrem Handy- oder Hardware-Token. Ein visueller Kryptogramm-Authentifizierungscode, der in gewisser Weise einem QR-Code ähnelt, wird dann in Echtzeit auf Ihrem Mobil- oder Hardwaregerät generiert und an den Server der Bank zurückgesendet, um die Transaktion abzuschließen.

Eine Lösung für Anmeldung und Transaktionssignierung

Das Tolle an dieser Lösung ist, dass die Benutzererfahrung und die Autorisierungsabläufe gleich bleiben, unabhängig davon, ob der Benutzer ein Mobilgerät oder ein Hardwaregerät bevorzugt. Cronto demonstriert seine Flexibilität, indem es der Bank ermöglicht, zu wählen, welche Anmelde- oder Transaktionssigniermethode verwendet werden soll. Bankkunden können sich über Push-Benachrichtigungen auf einem Mobilgerät oder einem Cronto-Hardwaregerät anmelden und/oder eine Transaktion signieren.

Alternativ kann der Nutzer die Transaktionsdetails in der Online-Banking-App eingeben und die Transaktion mit seinem Handy scannen und unterschreiben. Diese Vielseitigkeit macht Cronto zu einer idealen Lösung für Banken, die auf die Bedürfnisse einer unterschiedlichen Benutzerbasis eingehen und eine perfekte Mischung aus Hardware und Software bieten, ohne unterschiedliche Lösungen und Authentifizierungsabläufe bereitstellen und warten zu müssen.

Mobiles Bargeld

Neben den Vorteilen einer passwortlosen Anmeldung und Transaktionssignierung kann die Technologie von Cronto auch eingesetzt werden, um Bargeld abzuheben, ohne eine Karte zu verwenden. Das Interesse an kartenlosen Bargeldabhebungen ist seit der COVID-19-Pandemie gestiegen und wird zweifellos die Einführung von Methoden zur Minimierung des Kontakts mit Geldautomaten beschleunigen.

Cronto ermöglicht es Kunden, Bargeld abzuheben, ohne einen Bildschirm zu berühren. Ein Benutzer würde einfach seine sichere mobile Anwendung öffnen und das Konto und den Auszahlungsbetrag auswählen. Auf dem Bildschirm des Geldautomaten wird ein sicheres Cronto-Image generiert, das die Details der Transaktion enthält. Anschließend scannt der Benutzer dieses sichere Cronto-Image mit seinem Mobiltelefon. Sobald der Benutzer seine Anfrage über die bevorzugte Authentifizierungsmethode wie mobile Biometrie oder PIN-Eingabe genehmigt, sendet die mobile App den Transaktionsbestätigungscode zurück an die Bank und der Geldautomat gibt Bargeld aus.

Banken, die eine kartenlose Bargeldoption anbieten möchten, können sich auf die Cronto-Technologie verlassen, ohne in zusätzliche Software oder Lösungen investieren zu müssen, da dieselbe Cronto-Lösung für die Anmeldung und Transaktionsautorisierung eingesetzt werden kann.

Geldautomat mit Cronto

Sichere PIN-Zustellung

Haben Sie schon einmal ein Bankkonto eröffnet, Ihre Karte per Post erhalten und konnten sie immer noch nicht nutzen? PIN-Codes für Debit- und Kreditkarten werden aus Sicherheitsgründen getrennt verteilt, aber wie bequem ist es, wenn Sie auf einen PIN-Mailer warten müssen? Andere Alternativen sind SMS und E-Mail, wobei die PIN im Klartext zugestellt wird, dies sind jedoch unsichere Zustellmechanismen. SMS und Mail können problemlos abgefangen werden. Cronto löst dieses Problem und ermöglicht eine sichere PIN-Zustellung.

Anstatt dem Kunden eine PIN per Post zuzusenden, kann die Bank die PIN über ein verschlüsseltes Cronto-Image zustellen. Nur der vorgesehene Benutzer mit seinem sicheren Gerät (Mobilgerät oder Hardware) kann die neue PIN scannen und lesen. Banken können die verschlüsselte PIN auch über ihren Online-Banking-Kanal oder per E-Mail versenden, wodurch die zusätzlichen Kosten für den Versand von PINs in Papierform entfallen. Dies schafft einen kosteneffizienten und benutzerfreundlichen Prozess für Ihre Kunden.

Laptop & Handy mit Cronto

Dynamic Linking Anforderungen (PSD2) erfüllt

Cronto ist für jede Bank geeignet, die die spezifischen Anforderungen der dynamischen Verknüpfung von PSD2 erfüllen möchte. Der europäische Gesetzgeber hat die dynamische Verknüpfungsanforderung eingeführt, um Angriffe durch Angreifer in der Mitte (AitM) abzuwehren. In einem typischen Angreifer-in-the-Middle-Szenario fängt ein Cyberkrimineller die Kommunikation zwischen dem Kunden und dem Bankserver ab und ändert die Details einer Zahlungstransaktion, ohne dass der echte Zahler dies bemerkt. Die Kommunikation zwischen Kunde und Bank kann beispielsweise über ein bösartiges WLAN-Netzwerk, das als öffentlicher Hotspot angeboten wird, abgefangen werden.

Die dynamischen Verknüpfungsanforderungen von PSD2 bestehen aus vier Teilen:

  • Der Zahler kennt den Transaktionsbetrag und den Empfänger
  • Der Authentifizierungscode für jede Transaktion muss eindeutig sein und sollte spezifisch für den Empfänger und den Transaktionsbetrag sein, den der Zahler bei der Einleitung der Transaktion vereinbart hat
  • der Authentifizierungscode sollte dem ursprünglichen Betrag der Zahlungstransaktion und der vom Zahler beabsichtigten Identität des Empfängers entsprechen
  • Jede Änderung des Betrags oder des Empfängers (typisch für einen AitM-Angriff) sollte zu einem ungültigen Authentifizierungscode führen

Cronto bietet eine komfortable Lösung, um diese Anforderungen zu erfüllen. Wenn Sie eine Transaktion auslösen möchten, geben Sie einfach die Transaktionsdaten in die Online-Banking-Anwendung ein. Basierend auf dem von Ihnen eingegebenen Betrag, Empfänger und anderen Transaktionsdetails generiert der Bankserver einen Cronto-Code, der die Transaktionsdaten in verschlüsselter Form darstellt. Das Cronto-Bild wird dann sofort im Browser angezeigt.

Scannen Sie den Code mit Ihrem Mobil- oder Hardwaregerät, und das Gerät entschlüsselt das Bild, indem es die Transaktionsdaten entschlüsselt. Die Details der Transaktion werden dann im Klartext auf dem Mobilgerät oder dem Display des Hardwaregeräts angezeigt. Der Nutzer verifiziert die Zahlungsinformationen und kann, wenn alles in Ordnung ist, die Transaktion autorisieren, indem er sich beispielsweise mit PIN oder Biometrie authentifiziert.

Dieser Ansatz erfüllt alle oben beschriebenen Anforderungen an die dynamische Verknüpfung auf eine für den Benutzer bequeme Weise, da Sie keine Transaktionsdaten manuell auf dem Gerät eingeben müssen.

Eine Lösung, mehrere Anwendungsfälle und eine hervorragende Benutzererfahrung

Die oben genannten Anwendungsfälle zeigen, dass Cronto für jedes Finanzinstitut geeignet ist, das nach einer sicheren, benutzerfreundlichen, PSD2-konformen und kosteneffizienten Authentifizierungs- und Transaktionsautorisierungslösung sucht. Seine Vielseitigkeit ermöglicht die Verwendung über verschiedene Kanäle hinweg, ohne die Authentifizierungs- und Transaktionsabläufe zu ändern.

Cronto-Transaktionsautorisierung

Bekämpfen Sie Social-Engineering-Angriffe und verringern Sie das menschliche Risiko bei Bankgeschäften

Erfahren Sie mehr über die neuesten Social-Engineering-Angriffe und wie Cyberkriminelle Schwachstellen im Transaktionsautorisierungsprozess für die Kontoübernahme ausnutzen. Minimieren Sie das Risiko mit Best Practices und Technologieempfehlungen der Branche.

Laden Sie das Social Engineering eBook herunter

Sarah ist Product Marketing Manager bei OneSpan und verantwortlich für die FIDO-, Hardware- und Serverlösungen von OneSpan. Sie verfügt über mehr als 15 Jahre Erfahrung in den Bereichen IKT und Kommunikation und war zuvor in der Abteilung Unternehmenskommunikation von OneSpan tätig.