OneSpan Blog

PSD2: Ist dies das Ende der SMS-basierten Authentifizierung?

Cybersicherheit und starke Authentifizierung
Frederik Mennes, 30. Januar 2017

Banken und Zahlungsdienstleister Verlassen Sie sich manchmal auf SMS, um die Identität einer Person zu überprüfen, die eine Überweisung vornehmen oder eine Zahlung bestätigen möchte. Sie senden eine SMS mit einem Einmalpasswort (OTP) auf das Mobiltelefon der Person, und der Benutzer muss dieses OTP in die Anwendung der Bank oder des Zahlungsdienstleisters eingeben.

In diesem Blogbeitrag diskutiere ich ob SMS-basierte Authentifizierung wird weiterhin akzeptabel sein, wenn die Anforderungen für die starke Kundenauthentifizierung (SCA) gemäß PSD2 in Kraft treten. Im August 2016 veröffentlichte die Europäische Bankenaufsichtsbehörde (EBA) ihren Entwurf eines Vorschlags für den Regulatory Technical Standard (RTS) zur starken Kundenauthentifizierung (SCA). Meine Analyse basiert auf diesem Nachtrag zu PSD2. Wir erwarten, dass das RTS in den kommenden Wochen von der EBA fertiggestellt wird.

Um die Frage zu beantworten, ob eine SMS-basierte Authentifizierung akzeptabel ist, betrachten wir drei Szenarien für die Verwendung von SMS. Anschließend diskutieren wir, welches der drei Szenarien die Anforderungen des RTS erfüllt.

Szenario 1: Zwei-Geräte-Authentifizierung (2da)

In diesem Fall verfügt der Benutzer über zwei unabhängige Geräte: ein Gerät für den Zugriff auf eine Bankwebsite oder eine Bank-App und Ein weiterer Gerät, um sich oder eine Zahlung zu authentifizieren. Das erste Gerät, das wir als das bezeichnen Bankgerät ist in der Regel ein Desktop-PC, ein Laptop oder ein mobiles Gerät (z. B. ein Telefon, ein Tablet), auf dem eine Mobile-Banking-App ausgeführt wird. Das zweite Gerät, das wir das nennen Authentifizierungsgerät ist ein mobiles Gerät, das die SMS empfängt. Wir gehen davon aus, dass sich der Benutzer gegenüber der Bank-Website oder -App mithilfe des OTP aus der SMS und eines Passworts oder einer PIN authentifiziert.

Diese Lösung ist mit dem RTS kompatibel, wenn es gewohnt ist Einloggen auf die Banking-Website oder App. Die Lösung kann konform sein für Unterzeichnung eine Transaktion, aber nur, wenn zwei Bedingungen erfüllt sind. Zunächst muss die SMS-Nachricht die Transaktionsdetails enthalten (z. B. Betrag, Begünstigter). Zweitens muss der Inhalt der SMS-Nachricht vor Änderungen während der Übertragung und des Empfangs durch das mobile Gerät geschützt werden. Diese letztere Anforderung wird von SMS-Nachrichten nicht leicht erfüllt, da sie normalerweise nicht geschützt sind.

Daher kann die SMS-basierte Authentifizierung im Allgemeinen für die Anmeldung verwendet werden, nicht jedoch für die Signatur.

Szenario 2: Zwei-App-Authentifizierung (2aa)

Im Gegensatz zu 2da basiert dieser Ansatz nicht auf zwei verschiedenen Geräten, sondern auf zwei verschiedenen Apps, die auf demselben mobilen Gerät ausgeführt werden. Die Apps interagieren über die sogenannte App-zu-App-Kommunikation. Wir bezeichnen diese Apps als Banking App und Authentifizierungs-App beziehungsweise. Die Authentifizierungs-App fordert die SMS-Nachrichten an und empfängt sie.

Die standardmäßige SMS-basierte Authentifizierung ist aus zwei Gründen nicht kompatibel. Erstens kann die SMS während der Übertragung abgefangen und geändert werden. Zweitens kann die SMS von Malware auf dem mobilen Gerät abgefangen werden, was bedeutet, dass die Anforderung zur Kanalsegregation vom RTS nicht erfüllt ist.

Die Lösung kann konform gemacht werden, wenn der Inhalt der SMS-Nachricht über einen durchgängigen sicheren Kanal geschützt ist, der in der Authentifizierungs-App endet, sodass nur die App die SMS entschlüsseln kann. Dies ist jedoch nicht der Standardansatz.

Szenario 3: One-App-Authentifizierung (1aa)

In diesem Fall verwendet der Benutzer nicht nur ein einzelnes Gerät, sondern auch eine einzelne App, um Transaktionen zu initiieren und zu authentifizieren. Der Benutzer verwendet kein separates Authentifizierungsgerät oder keine separate App.

Dieses Szenario ist nicht entspricht den PSD2-Anforderungen , weil es keine Kanalsegregation gibt. Die Verwendung von SMS hat keinen Einfluss darauf.

Fazit

Wir warten noch auf die endgültigen Anforderungen für eine starke Kundenauthentifizierung unter PSD2. Wenn sich jedoch im Vergleich zum aktuellen Vorschlag nichts ändert, ist dies ziemlich klar SMS-basierte Authentifizierung Es wird schwierig sein, die Anforderungen zu erfüllen, insbesondere die für die Genehmigung von Zahlungen.

Apps Mobile App PSD2 SMS SMS-Authentifizierung
Frederik Mennes
Frederik Mennes

Frederik leitet das Sicherheitskompetenzzentrum von OneSpan, wo er für die Sicherheitsaspekte der Produkte und der Infrastruktur von OneSpan verantwortlich ist. Er verfügt über fundierte Kenntnisse in den Bereichen Authentifizierung, Identitätsmanagement, Regulierungs- und Sicherheitstechnologien für Cloud- und mobile Anwendungen.

Zur Spitze gehen