Abo
  • Services:
Anzeige
Wissenschaftler: Neue Sicherheit für Kreditkarten trügerisch

Wissenschaftler: Neue Sicherheit für Kreditkarten trügerisch

3D Secure gibt Phishing-Sites neue Möglichkeiten und schwächt Verbraucherrechte

Das neue 3D-Secure-Verfahren, das Visa und Mastercard zertifiziert haben, wird von Wissenschaftlern kritisiert. 3D Secure sei schlecht gemacht und erlaube das Abfischen der Passwörter. Verbraucherschützer warnen aus einem anderen Grund vor dem Einsatz.

Zwei Wissenschaftler der University of Cambridge haben das neue 3D-Secure-Verfahren kritisiert, das die Sicherheit bei Kreditkartenzahlungen im Internet erhöhen soll. Steven Murdoch und Ross Anderson vom Computer Laboratory bezeichnen in einem Forschungsbericht das von Visa und Mastercard zertifizierte Protokoll als Lehrbuchbeispiel dafür, wie ein Authentifizierungssystem nicht aussehen sollte.

Anzeige

Die Studie wurde auf der FC10-Konferenz für Finanzkryptographie und Datensicherheit, die vom 25. bis 28. Januar 2010 in Spanien stattfindet, vorgestellt. Eine der Schwachstellen des XML-basierenden Protokolls sei das verwendete Pop-up oder das eingebettete iFrame in Onlineshops. Diese würden ohne eine eindeutige Webadresse angezeigt, was es dem Käufer unmöglich mache, deren Herkunft zu prüfen. Banken würden den Kunden aber raten, Zugangsdaten nur in Websites der Bank einzugeben, um nicht auf Phishingsites hereinzufallen.

Murdoch und Anderson kritisieren, dass die 3D-Secure-Nutzer ihr persönliches Passwort während des ersten Einsatzes des Verfahrens beim Onlineshopping festlegen. Wer beim Einkaufen sei, neige dazu, in aller Schnelle ein schwaches Passwort festzulegen.

Selbst festgelegtes Passwort

Wer im Internet Waren kauft und mit Kreditkarte bezahlen möchte, benötigt dazu derzeit nur die Kreditkartennummer sowie eine Prüfnummer und das Ablaufdatum. Im Internet kursieren deshalb unzählige Kreditkartendatensätze, die häufig missbräuchlich für Onlinezahlungen genutzt werden. Beim 3D-Secure-Verfahren identifiziert sich der Kunde vor einer Kreditkartenzahlung im Internet mit einem selbst festgelegten Passwort. Erst nach Eingabe des korrekten Passworts wird die Zahlung mit der Kreditkarte ausgeführt. So soll sichergestellt werden, dass nur der rechtmäßige Karteninhaber seine Kreditkarte einsetzt.

Für die Registrierung zum 3D-Secure-Verfahren muss der Karteninhaber einmal seine Kartennummer, das Gültigkeitsdatum, sein Geburtsdatum sowie die Abrechnungskontonummer eingeben. Danach vergibt der Nutzer ein eigenes Passwort sowie eine persönliche Begrüßung. Bei jeder 3D-Secure-Transaktion wird dem Karteninhaber zunächst seine persönliche Begrüßung in einem Pop-up-Fenster oder iFrame angezeigt. Anschließend gibt der Karteninhaber sein festgelegtes Passwort ein und kann die Kreditkartenzahlung online auslösen.

In Deutschland wirbt die Deutsche Bank derzeit besonders aktiv für 3D-Secure. Verbraucherschützer raten aber davon ab, das Protokoll zu nutzen, denn Onlineshopper seien rechtlich ohne den zusätzlichen Code bisher besser geschützt, so Andrea Heyer, Finanzexpertin der Verbraucherzentrale Sachsen. Bisher haften Onlinehändler oder das Finanzinstitut, das die Kreditkarte ausgegeben hat, wenn Zahlungen nicht autorisiert wurden; die Nutzer können eine Rückbuchung verlangen. Beim 3D-Secure-Verfahren könnte sich die Rechtsposition der Verbraucher aber verschlechtern, sagte Heyer. Im Schadensfall müssen die Verbraucher unter Umständen nachweisen, dass sie das Codewort nicht grob fahrlässig aufbewahrt haben.


eye home zur Startseite
nochwersonst 28. Jan 2010

Bei den Millionen von Überweisungen täglich wäre das schon ein riesiger Aufwand. Selbst...

Tom02 28. Jan 2010

Soweit ich weiss, hängt das vom Onlineshop ab. Wenn der 3d-Secure verlangt, dann geht...



Anzeige

Stellenmarkt
  1. FRITZ & MACZIOL group, deutschlandweit
  2. T-Systems International GmbH, München, Darmstadt, Bonn, Leinfelden-Echterdingen
  3. Robert Bosch GmbH, Crailsheim
  4. MBtech Group GmbH & Co. KGaA, Stuttgart, Sindelfingen, Neu-Ulm, Ulm


Anzeige
Spiele-Angebote
  1. 699,00€
  2. 44,99€
  3. 24,96€

Folgen Sie uns
       


  1. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  2. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  3. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  4. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  5. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  6. Sicherheit

    Operas Server wurden angegriffen

  7. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  8. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  9. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  10. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: Wenn wir jetzt noch den Faktor "bei gleicher...

    cherubium | 01:58

  2. Re: Die werden ihn wohl ausliefern

    Danijoo | 01:57

  3. Re: 30 Stunden auf Abruf ?!?

    DrWatson | 01:36

  4. Re: Wozu?

    Tamarrah | 01:22

  5. Re: Darf Russland den Dotcom auch verhaften?

    lear | 01:13


  1. 13:49

  2. 12:46

  3. 11:34

  4. 15:59

  5. 15:18

  6. 13:51

  7. 12:59

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel