Anzeige
Wissenschaftler: Neue Sicherheit für Kreditkarten trügerisch

Wissenschaftler: Neue Sicherheit für Kreditkarten trügerisch

3D Secure gibt Phishing-Sites neue Möglichkeiten und schwächt Verbraucherrechte

Das neue 3D-Secure-Verfahren, das Visa und Mastercard zertifiziert haben, wird von Wissenschaftlern kritisiert. 3D Secure sei schlecht gemacht und erlaube das Abfischen der Passwörter. Verbraucherschützer warnen aus einem anderen Grund vor dem Einsatz.

Anzeige

Zwei Wissenschaftler der University of Cambridge haben das neue 3D-Secure-Verfahren kritisiert, das die Sicherheit bei Kreditkartenzahlungen im Internet erhöhen soll. Steven Murdoch und Ross Anderson vom Computer Laboratory bezeichnen in einem Forschungsbericht das von Visa und Mastercard zertifizierte Protokoll als Lehrbuchbeispiel dafür, wie ein Authentifizierungssystem nicht aussehen sollte.

Die Studie wurde auf der FC10-Konferenz für Finanzkryptographie und Datensicherheit, die vom 25. bis 28. Januar 2010 in Spanien stattfindet, vorgestellt. Eine der Schwachstellen des XML-basierenden Protokolls sei das verwendete Pop-up oder das eingebettete iFrame in Onlineshops. Diese würden ohne eine eindeutige Webadresse angezeigt, was es dem Käufer unmöglich mache, deren Herkunft zu prüfen. Banken würden den Kunden aber raten, Zugangsdaten nur in Websites der Bank einzugeben, um nicht auf Phishingsites hereinzufallen.

Murdoch und Anderson kritisieren, dass die 3D-Secure-Nutzer ihr persönliches Passwort während des ersten Einsatzes des Verfahrens beim Onlineshopping festlegen. Wer beim Einkaufen sei, neige dazu, in aller Schnelle ein schwaches Passwort festzulegen.

Selbst festgelegtes Passwort

Wer im Internet Waren kauft und mit Kreditkarte bezahlen möchte, benötigt dazu derzeit nur die Kreditkartennummer sowie eine Prüfnummer und das Ablaufdatum. Im Internet kursieren deshalb unzählige Kreditkartendatensätze, die häufig missbräuchlich für Onlinezahlungen genutzt werden. Beim 3D-Secure-Verfahren identifiziert sich der Kunde vor einer Kreditkartenzahlung im Internet mit einem selbst festgelegten Passwort. Erst nach Eingabe des korrekten Passworts wird die Zahlung mit der Kreditkarte ausgeführt. So soll sichergestellt werden, dass nur der rechtmäßige Karteninhaber seine Kreditkarte einsetzt.

Für die Registrierung zum 3D-Secure-Verfahren muss der Karteninhaber einmal seine Kartennummer, das Gültigkeitsdatum, sein Geburtsdatum sowie die Abrechnungskontonummer eingeben. Danach vergibt der Nutzer ein eigenes Passwort sowie eine persönliche Begrüßung. Bei jeder 3D-Secure-Transaktion wird dem Karteninhaber zunächst seine persönliche Begrüßung in einem Pop-up-Fenster oder iFrame angezeigt. Anschließend gibt der Karteninhaber sein festgelegtes Passwort ein und kann die Kreditkartenzahlung online auslösen.

In Deutschland wirbt die Deutsche Bank derzeit besonders aktiv für 3D-Secure. Verbraucherschützer raten aber davon ab, das Protokoll zu nutzen, denn Onlineshopper seien rechtlich ohne den zusätzlichen Code bisher besser geschützt, so Andrea Heyer, Finanzexpertin der Verbraucherzentrale Sachsen. Bisher haften Onlinehändler oder das Finanzinstitut, das die Kreditkarte ausgegeben hat, wenn Zahlungen nicht autorisiert wurden; die Nutzer können eine Rückbuchung verlangen. Beim 3D-Secure-Verfahren könnte sich die Rechtsposition der Verbraucher aber verschlechtern, sagte Heyer. Im Schadensfall müssen die Verbraucher unter Umständen nachweisen, dass sie das Codewort nicht grob fahrlässig aufbewahrt haben.


eye home zur Startseite
nochwersonst 28. Jan 2010

Bei den Millionen von Überweisungen täglich wäre das schon ein riesiger Aufwand. Selbst...

Tom02 28. Jan 2010

Soweit ich weiss, hängt das vom Onlineshop ab. Wenn der 3d-Secure verlangt, dann geht...

Kommentieren



Anzeige

  1. System Administrator Linux (m/w)
    Wirecard Technologies GmbH, Aschheim/München
  2. Softwareentwickler (m/w) C++
    CST - Computer Simulation Technology AG, Darmstadt
  3. Projektleiter (m/w) Arbeitsplatzinfrastruktur in der Betriebsorganisation
    Allianz Deutschland AG, München-Unterföhring
  4. Softwareentwickler (m/w)
    Dr. Noll GmbH, Bad Kreuznach

Detailsuche



Anzeige
Blu-ray-Angebote
  1. VORBESTELLBAR: Warcraft: The Beginning (+ Blu-ray)
    32,99€
  2. VORBESTELLBAR: X-Men Apocalypse [Blu-ray]
    19,99€ (Vorbesteller-Preisgarantie)
  3. Game of Thrones [dt./OV] Staffel 6
    (jeden Dienstag ist eine neue Folge verfügbar)

Weitere Angebote


Folgen Sie uns
       


  1. Internetwirtschaft

    Das ist so was von 2006

  2. NVM Express und U.2

    Supermicro gibt SATA- und SAS-SSDs bald auf

  3. 100 MBit/s

    Telekom bringt 10.000 Haushalten in Großstadt Vectoring

  4. Zum Weltnichtrauchertag

    BSI warnt vor Malware in E-Zigaretten

  5. Analoges Radio

    UKW-Sendeanlage bei laufendem Betrieb umgezogen

  6. Kernel

    Linux 4.7-rc1 unterstützt AMDs Polaris

  7. Fehler in Blogsystem

    200.000 Zugangsdaten von SZ-Magazin kopiert

  8. Aufräumen von Prozessen beim Logout

    Systemd-Neuerung sorgt für Nutzerkontroversen

  9. Overwatch im Test

    Superhelden ohne Sammelsucht

  10. Mobilfunk

    Wirtschaftssenatorin will 5G-Testbed in Berlin durchsetzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Gran Turismo Sport Ein Bündnis mit der Realität
  2. Xbox Scorpio Schneller als Playstation Neo und mit Rift-Unterstützung
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Xperia X im Hands on: Sonys vorgetäuschte Oberklasse
Xperia X im Hands on
Sonys vorgetäuschte Oberklasse
  1. Die Woche im Video Die Schoko-Burger-Woche bei Golem.de - mmhhhh!
  2. Android 6.0 Ein großer Haufen Marshmallow für Samsung und Co.
  3. Google Android N erscheint auch für Nicht-Nexus-Smartphones

Oracle vs. Google: Wie man Geschworene am besten verwirrt
Oracle vs. Google
Wie man Geschworene am besten verwirrt
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie viel Fair Use steckt in 11.000 Codezeilen?

  1. Eigentlich ist es eher eine Kilofactory

    Gamma Ray Burst | 03:21

  2. Re: Irgendwie schade

    as (Golem.de) | 03:15

  3. Re: Einfach nicht wählen.

    plutoniumsulfat | 03:06

  4. Killerspiel!!11

    Aslo | 02:38

  5. SuperMicro sind schon super.

    grslbr | 01:59


  1. 18:53

  2. 18:47

  3. 18:38

  4. 17:41

  5. 16:36

  6. 16:29

  7. 15:57

  8. 15:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel