Abo
  • Services:
Anzeige
Wissenschaftler: Neue Sicherheit für Kreditkarten trügerisch

Wissenschaftler: Neue Sicherheit für Kreditkarten trügerisch

3D Secure gibt Phishing-Sites neue Möglichkeiten und schwächt Verbraucherrechte

Das neue 3D-Secure-Verfahren, das Visa und Mastercard zertifiziert haben, wird von Wissenschaftlern kritisiert. 3D Secure sei schlecht gemacht und erlaube das Abfischen der Passwörter. Verbraucherschützer warnen aus einem anderen Grund vor dem Einsatz.

Zwei Wissenschaftler der University of Cambridge haben das neue 3D-Secure-Verfahren kritisiert, das die Sicherheit bei Kreditkartenzahlungen im Internet erhöhen soll. Steven Murdoch und Ross Anderson vom Computer Laboratory bezeichnen in einem Forschungsbericht das von Visa und Mastercard zertifizierte Protokoll als Lehrbuchbeispiel dafür, wie ein Authentifizierungssystem nicht aussehen sollte.

Anzeige

Die Studie wurde auf der FC10-Konferenz für Finanzkryptographie und Datensicherheit, die vom 25. bis 28. Januar 2010 in Spanien stattfindet, vorgestellt. Eine der Schwachstellen des XML-basierenden Protokolls sei das verwendete Pop-up oder das eingebettete iFrame in Onlineshops. Diese würden ohne eine eindeutige Webadresse angezeigt, was es dem Käufer unmöglich mache, deren Herkunft zu prüfen. Banken würden den Kunden aber raten, Zugangsdaten nur in Websites der Bank einzugeben, um nicht auf Phishingsites hereinzufallen.

Murdoch und Anderson kritisieren, dass die 3D-Secure-Nutzer ihr persönliches Passwort während des ersten Einsatzes des Verfahrens beim Onlineshopping festlegen. Wer beim Einkaufen sei, neige dazu, in aller Schnelle ein schwaches Passwort festzulegen.

Selbst festgelegtes Passwort

Wer im Internet Waren kauft und mit Kreditkarte bezahlen möchte, benötigt dazu derzeit nur die Kreditkartennummer sowie eine Prüfnummer und das Ablaufdatum. Im Internet kursieren deshalb unzählige Kreditkartendatensätze, die häufig missbräuchlich für Onlinezahlungen genutzt werden. Beim 3D-Secure-Verfahren identifiziert sich der Kunde vor einer Kreditkartenzahlung im Internet mit einem selbst festgelegten Passwort. Erst nach Eingabe des korrekten Passworts wird die Zahlung mit der Kreditkarte ausgeführt. So soll sichergestellt werden, dass nur der rechtmäßige Karteninhaber seine Kreditkarte einsetzt.

Für die Registrierung zum 3D-Secure-Verfahren muss der Karteninhaber einmal seine Kartennummer, das Gültigkeitsdatum, sein Geburtsdatum sowie die Abrechnungskontonummer eingeben. Danach vergibt der Nutzer ein eigenes Passwort sowie eine persönliche Begrüßung. Bei jeder 3D-Secure-Transaktion wird dem Karteninhaber zunächst seine persönliche Begrüßung in einem Pop-up-Fenster oder iFrame angezeigt. Anschließend gibt der Karteninhaber sein festgelegtes Passwort ein und kann die Kreditkartenzahlung online auslösen.

In Deutschland wirbt die Deutsche Bank derzeit besonders aktiv für 3D-Secure. Verbraucherschützer raten aber davon ab, das Protokoll zu nutzen, denn Onlineshopper seien rechtlich ohne den zusätzlichen Code bisher besser geschützt, so Andrea Heyer, Finanzexpertin der Verbraucherzentrale Sachsen. Bisher haften Onlinehändler oder das Finanzinstitut, das die Kreditkarte ausgegeben hat, wenn Zahlungen nicht autorisiert wurden; die Nutzer können eine Rückbuchung verlangen. Beim 3D-Secure-Verfahren könnte sich die Rechtsposition der Verbraucher aber verschlechtern, sagte Heyer. Im Schadensfall müssen die Verbraucher unter Umständen nachweisen, dass sie das Codewort nicht grob fahrlässig aufbewahrt haben.


eye home zur Startseite
nochwersonst 28. Jan 2010

Bei den Millionen von Überweisungen täglich wäre das schon ein riesiger Aufwand. Selbst...

Tom02 28. Jan 2010

Soweit ich weiss, hängt das vom Onlineshop ab. Wenn der 3d-Secure verlangt, dann geht...



Anzeige

Stellenmarkt
  1. Landeskreditbank Baden-Württemberg -Förderbank-, Karlsruhe
  2. T-Systems International GmbH, Berlin, Darmstadt
  3. MOBOTIX AG, Langmeil
  4. Landratsamt Calw, Calw


Anzeige
Spiele-Angebote
  1. 59,99€/69,99€ (Vorbesteller-Preisgarantie)
  2. 49,99€ (Vorbesteller-Preisgarantie)
  3. 59,99€ (Vorbesteller-Preisgarantie) - Release 02.08.

Folgen Sie uns
       


  1. Künstliche Intelligenz

    Softbank und Honda wollen sprechendes Auto bauen

  2. Alternatives Android

    Cyanogen soll zahlreiche Mitarbeiter entlassen

  3. Update

    Onedrive erstellt automatisierte Alben und erkennt Pokémon

  4. Die Woche im Video

    Ausgesperrt, ausprobiert, ausgetüftelt

  5. 100 MBit/s

    Zusagen der Bundesnetzagentur drücken Preis für Vectoring

  6. Insolvenz

    Unister Holding mit 39 Millionen Euro verschuldet

  7. Radeons RX 480

    Die Designs von AMDs Partnern takten höher - und konstanter

  8. Koelnmesse

    Tagestickets für Gamescom ausverkauft

  9. Kluge Uhren

    Weltweiter Smartwatch-Markt bricht um ein Drittel ein

  10. Linux

    Nvidia ist bereit für einheitliche Wayland-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Xiaomi Hugo Barra verkündet Premium-Smartphone
  2. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro
  3. Mi Band 2 Xiaomis neues Fitness-Armband mit Pulsmesser kostet 20 Euro

Geforce GTX 1060 im Test: Knapper Konter
Geforce GTX 1060 im Test
Knapper Konter
  1. Grafikkarte Nvidia bringt neue Titan X mit GP102-Chip für 1200 US-Dollar
  2. Notebooks Nvidia bringt Pascal-Grafikchips für Mobile im August
  3. Geforce GTX 1060 Schneller und sparsamer als die RX 480 - aber teurer

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Vodafone EasyBox 804 Angeblich Hochladen von Schadsoftware möglich
  2. Cyber Grand Challenge Finale US-Militär lässt Computer als Hacker aufeinander los
  3. Patchday Sicherheitslücke lässt Drucker Malware verteilen

  1. Re: Riecht irgendwie faul...

    ve2000 | 03:18

  2. Re: Fragwürdiges Funktionsprinzip

    ve2000 | 03:17

  3. Re: 5 jahre für pkw

    ecv | 03:11

  4. Re: Gut so, hoffentlich bald alle arbeitslos

    sardello | 02:58

  5. Re: Ist das Problem nicht die Größe, des Cache?

    christi1992 | 02:55


  1. 15:17

  2. 14:19

  3. 13:08

  4. 09:01

  5. 18:26

  6. 18:00

  7. 17:00

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel