SMS ETP erfüllt laut EBA nicht die Anforderungen für die dynamische PSD2-Verknüpfung

Frederik Mennes, 11. März 2021

Banken und Zahlungsdienstleister verlassen sich manchmal auf SMS, um eine Person zu authentifizieren, die sich bei einem Online-Zahlungskonto anmelden oder eine Zahlung bestätigen möchte. Sie senden eine SMS mit einem Einmalpasswort (OTP) auf das Mobiltelefon des Benutzers, und der Benutzer gibt dieses OTP in die Zahlungsanwendung der Bank oder des Zahlungsdienstleisters ein. Im Falle einer Zahlung enthält die SMS normalerweise auch Zahlungsinformationen, wie z. B. den Betrag und den Begünstigten der Zahlung.

Zusätzlich zum OTP verlangen Bank- und Zahlungsdienstleister manchmal, dass der Benutzer ein statisches Kennwort in die Zahlungsanwendung eingibt, damit der Benutzer mithilfe eines Zwei-Faktor-Authentifizierungssystems authentifiziert wird. Das SMS-OTP repräsentiert einen Besitzfaktor ("etwas, das nur der Benutzer hat"), während das statische Passwort einen Wissensfaktor darstellt ("etwas, das nur der Benutzer weiß").

Seit der Einführung der überarbeiteten Richtlinie über Zahlungsdienste (PSD2) und der regulatorischen technischen Standards (RTS) für starke Kundenauthentifizierung (SCA) und gemeinsame und sichere Kommunikation (CSC) wurde viel über die Einhaltung von Authentifizierungssystemen auf der Grundlage von Authentifizierungssystemen diskutiert SMS mit den SCA-Anforderungen. Insbesondere stellte sich die Frage, ob SMS OTP die dynamischen Verknüpfungsanforderungen von PSD2 erfüllen kann, die festlegen, wie Zahlungen authentifiziert werden sollen. Diese Anforderungen besagen im Wesentlichen, dass:

  • Der Authentifizierungscode muss über bestimmte Zahlungsinformationen berechnet werden (mindestens den Betrag und den Begünstigten der Zahlung). und
  • Die Vertraulichkeit, Integrität und Authentizität der Zahlungsinformationen muss während des gesamten Authentifizierungsprozesses geschützt werden.

Lassen Sie uns weiter sehen, ob SMS OTP einerseits den Anforderungen für die Kontoanmeldung und andererseits für die dynamische Verknüpfung entspricht.

Fall 1: SMS OTP für die Kontoanmeldung

Die erste Frage, die wir weiter untersuchen, ist, ob SMS OTP die SCA-Anforderungen für die Anmeldung bei Zahlungskonten erfüllt. Diese Frage wurde von der Europäischen Bankenaufsichtsbehörde (EBA) bereits in einem Meinung veröffentlicht am 21. Juni 2019 und auch über die EBAs Single Rulebook Q & A-Tool .

In der Stellungnahme wird klargestellt, dass SMS als gültiges Besitzelement angesehen werden kann. Insbesondere ist die SIM-Karte in dem mobilen Gerät, das die SMS empfängt, ein gültiges Besitzelement. Dies bedeutet, dass per SMS übermittelte Einmalkennwörter (OTPs) verwendet werden können, um einen starken Authentifizierungsmechanismus zu erstellen, wenn sie mit einem zweiten Faktor (z. B. einem Kennwort oder einer PIN) kombiniert werden. Mit anderen Worten, SMS OTP entspricht den von uns befürworteten SCA-Anforderungen von PSD2 in der Vergangenheit .

Dies bedeutet jedoch nicht, dass es eine gute Idee ist, SMS OTP für die Kontoanmeldung zu verwenden, da SMS einer Vielzahl von Sicherheitslücken unterliegt. Insbesondere können SMS-Nachrichten abgefangen / geändert werden, indem Schwachstellen des zugrunde liegenden SS7-Protokolls ausgenutzt werden und Malware auf Mobilgeräten gespeichert wird.Darüber hinaus ermöglichen SIM-Tausch-Angriffe Kriminellen, die Mobiltelefonnummer eines Opfers zu übernehmen, sodass der Kriminelle die für das Opfer bestimmten SMS-Nachrichten erhält. Angriffe auf die Authentifizierungsmechanismen von Online-Banking-Systemen, die diese Sicherheitsanfälligkeiten ausnutzen, sind bekannt und gibt es schon seit vielen Jahren.

Fall 2: SMS OTP für Dynamic Linking

In der Stellungnahme wird jedoch nicht auf SMS-OTP im Zusammenhang mit der dynamischen Verknüpfung eingegangen und es wird nicht klargestellt, ob SMS-OTP die Anforderungen für die dynamische Verknüpfung erfüllt. Seit der dynamische Verknüpfungsanforderung legt fest, dass die Vertraulichkeit, Integrität und Authentizität von Zahlungsinformationen geschützt werden muss, und da der Inhalt von SMS-Nachrichten nicht geschützt ist, würde man dies erwarten SMS erfüllt nicht die Anforderungen für dynamische Verknüpfungen . Bisher gab es jedoch keine klare Meinung der EBA zu diesem Thema.

Um die Situation zu klären, habe ich im Dezember 2018 die EBA über ihren Beamten gefragt Q & A-Tool für ein einziges Regelwerk ob SMS OTP die Anforderungen für die dynamische Verknüpfung erfüllt. Letzte Woche, mehr als 2 Jahre später, stellte die EBA eine Antworten . Die letzten beiden Absätze der Antwort sind am relevantesten:

In dem Fall, in dem die SMS für die Übertragung eines OTP verwendet wird, jedoch weder den Authentifizierungscode noch Zahlungsinformationen wie den Zahlungsempfänger oder den Betrag der Transaktion enthält, wäre der Emittent gemäß Artikel 5 Absatz 2 des Gesetzes nicht verpflichtet Delegierte Verordnung zur Gewährleistung der Vertraulichkeit, Authentizität und Integrität der per SMS übermittelten Informationen.
In dem Fall, in dem die SMS den Authentifizierungscode und / oder die Zahlungsinformationen enthält, wie z. B. den Zahlungsempfänger oder den Betrag der Transaktion, kann der Emittent weiterhin ein SMS-OTP verwenden, um das in Ziffer 25 der EBA-Stellungnahme erläuterte Besitzelement nachzuweisen In Bezug auf die Elemente einer starken Kundenauthentifizierung gemäß PSD2 (EBA-Op-2019-06) und Fragen und Antworten 2018_4039 sollte der Emittent gemäß Artikel 5 Absatz 2 der delegierten Verordnung alle erforderlichen Sicherheitsmaßnahmen treffen, um die Vertraulichkeit, Authentizität und Sicherheit zu gewährleisten Integrität des Authentifizierungscodes und / oder der per SMS übermittelten Zahlungsinformationen.

Diese Absätze können wahrscheinlich wie folgt interpretiert werden:

  • Wenn eine SMS keine Zahlungsinformationen oder einen Authentifizierungscode enthält, muss die SMS nicht geschützt werden. Dies ist logisch, da die SMS keine vertraulichen Daten enthält. Seltsamerweise unterscheidet dieser Absatz zwischen "OTP" und "Authentifizierungscode", was bemerkenswert ist, da das OTP normalerweise der Authentifizierungscode ist.
  • Wenn Zahlungsinformationen in der SMS vorhanden sind, bietet SMS selbst keine ausreichende Sicherheit, und die Informationen in der SMS müssen geschützt werden. Dies bedeutet effektiv, dass das einfache Senden einer SMS mit Zahlungsinformationen und Authentifizierungscode nicht ausreicht, um die Anforderungen für die dynamische Verknüpfung zu erfüllen. Es wäre möglich, den Inhalt der SMS zu verschlüsseln, aber dann stellt sich die Frage, wie der Inhalt auf dem Mobiltelefon entschlüsselt werden kann - dies ist alles andere als trivial und erfordert wahrscheinlich eine mobile App, die auf den Grund für die Verwendung von SMS in der SMS verzichtet erster Platz.

Fazit

Wir können die Konformität von SMS OTP mit den SCA-Anforderungen von PSD2 wie folgt zusammenfassen:

  • SMS OTP für die Anmeldung entspricht PSD2
  • SMS OTP für die dynamische Verknüpfung entspricht nicht PSD2, es sei denn, der Inhalt der SMS ist geschützt (dies ist jedoch nicht einfach).

OneSpan hat intensiv mit Banken und anderen Finanzinstituten zusammengearbeitet, um ihnen dabei zu helfen, die PSD2-Anforderungen für SCA und dynamische Verknüpfung zu erfüllen. Wir wissen, dass es für Finanzdienstleistungen wichtig ist, einen Sicherheitspartner mit umfassender PSD2-Expertise zu haben, der sich auf die Vereinfachung des Kundenerlebnisses konzentriert. Sehen Sie, wie diese Banken dynamische Verknüpfungen implementiert haben und wie ihre Authentifizierungsbenutzer auf konforme und bequeme Weise fließen:

Odeabank | Verbessern der Authentifizierungserfahrung für Benutzer mobiler Apps

Odeabank | Verbessern der Authentifizierungserfahrung für Benutzer mobiler Apps

Zum Schutz ihrer Mobile-Banking-Anwendung hat Odeabank die OneSpan Mobile Security Suite mit allen erforderlichen Bausteinen zum Schutz einer Anwendung integriert.

Jetzt herunterladen

Frederik leitet das Sicherheitskompetenzzentrum von OneSpan, wo er für die Sicherheitsaspekte der Produkte und der Infrastruktur von OneSpan verantwortlich ist. Er verfügt über fundierte Kenntnisse in den Bereichen Authentifizierung, Identitätsmanagement, Regulierungs- und Sicherheitstechnologien für Cloud- und mobile Anwendungen.