Abo
  • IT-Karriere:

Wissenschaftler: Neue Sicherheit für Kreditkarten trügerisch

3D Secure gibt Phishing-Sites neue Möglichkeiten und schwächt Verbraucherrechte

Das neue 3D-Secure-Verfahren, das Visa und Mastercard zertifiziert haben, wird von Wissenschaftlern kritisiert. 3D Secure sei schlecht gemacht und erlaube das Abfischen der Passwörter. Verbraucherschützer warnen aus einem anderen Grund vor dem Einsatz.

Artikel veröffentlicht am ,
Wissenschaftler: Neue Sicherheit für Kreditkarten trügerisch

Zwei Wissenschaftler der University of Cambridge haben das neue 3D-Secure-Verfahren kritisiert, das die Sicherheit bei Kreditkartenzahlungen im Internet erhöhen soll. Steven Murdoch und Ross Anderson vom Computer Laboratory bezeichnen in einem Forschungsbericht das von Visa und Mastercard zertifizierte Protokoll als Lehrbuchbeispiel dafür, wie ein Authentifizierungssystem nicht aussehen sollte.

Stellenmarkt
  1. OEDIV KG, Oldenburg
  2. OEDIV Oetker Daten- und Informationsverarbeitung KG, Bielefeld

Die Studie wurde auf der FC10-Konferenz für Finanzkryptographie und Datensicherheit, die vom 25. bis 28. Januar 2010 in Spanien stattfindet, vorgestellt. Eine der Schwachstellen des XML-basierenden Protokolls sei das verwendete Pop-up oder das eingebettete iFrame in Onlineshops. Diese würden ohne eine eindeutige Webadresse angezeigt, was es dem Käufer unmöglich mache, deren Herkunft zu prüfen. Banken würden den Kunden aber raten, Zugangsdaten nur in Websites der Bank einzugeben, um nicht auf Phishingsites hereinzufallen.

Murdoch und Anderson kritisieren, dass die 3D-Secure-Nutzer ihr persönliches Passwort während des ersten Einsatzes des Verfahrens beim Onlineshopping festlegen. Wer beim Einkaufen sei, neige dazu, in aller Schnelle ein schwaches Passwort festzulegen.

Selbst festgelegtes Passwort

Wer im Internet Waren kauft und mit Kreditkarte bezahlen möchte, benötigt dazu derzeit nur die Kreditkartennummer sowie eine Prüfnummer und das Ablaufdatum. Im Internet kursieren deshalb unzählige Kreditkartendatensätze, die häufig missbräuchlich für Onlinezahlungen genutzt werden. Beim 3D-Secure-Verfahren identifiziert sich der Kunde vor einer Kreditkartenzahlung im Internet mit einem selbst festgelegten Passwort. Erst nach Eingabe des korrekten Passworts wird die Zahlung mit der Kreditkarte ausgeführt. So soll sichergestellt werden, dass nur der rechtmäßige Karteninhaber seine Kreditkarte einsetzt.

Für die Registrierung zum 3D-Secure-Verfahren muss der Karteninhaber einmal seine Kartennummer, das Gültigkeitsdatum, sein Geburtsdatum sowie die Abrechnungskontonummer eingeben. Danach vergibt der Nutzer ein eigenes Passwort sowie eine persönliche Begrüßung. Bei jeder 3D-Secure-Transaktion wird dem Karteninhaber zunächst seine persönliche Begrüßung in einem Pop-up-Fenster oder iFrame angezeigt. Anschließend gibt der Karteninhaber sein festgelegtes Passwort ein und kann die Kreditkartenzahlung online auslösen.

In Deutschland wirbt die Deutsche Bank derzeit besonders aktiv für 3D-Secure. Verbraucherschützer raten aber davon ab, das Protokoll zu nutzen, denn Onlineshopper seien rechtlich ohne den zusätzlichen Code bisher besser geschützt, so Andrea Heyer, Finanzexpertin der Verbraucherzentrale Sachsen. Bisher haften Onlinehändler oder das Finanzinstitut, das die Kreditkarte ausgegeben hat, wenn Zahlungen nicht autorisiert wurden; die Nutzer können eine Rückbuchung verlangen. Beim 3D-Secure-Verfahren könnte sich die Rechtsposition der Verbraucher aber verschlechtern, sagte Heyer. Im Schadensfall müssen die Verbraucher unter Umständen nachweisen, dass sie das Codewort nicht grob fahrlässig aufbewahrt haben.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. mit Gutschein: NBBGRATISH10
  3. täglich neue Deals bei Alternate.de
  4. 529,00€ (zzgl. Versand)

nochwersonst 28. Jan 2010

Bei den Millionen von Überweisungen täglich wäre das schon ein riesiger Aufwand. Selbst...

Tom02 28. Jan 2010

Soweit ich weiss, hängt das vom Onlineshop ab. Wenn der 3d-Secure verlangt, dann geht...


Folgen Sie uns
       


Bose Frames im Test

Die Sonnenbrille Frames von Bose hat integrierte Lautsprecher, die den Träger mit Musik beschallen können. Besonders im Straßenverkehr ist das offene Konzept praktisch.

Bose Frames im Test Video aufrufen
Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


    Erdbeobachtung: Satelliten im Dienst der erneuerbaren Energien
    Erdbeobachtung
    Satelliten im Dienst der erneuerbaren Energien

    Von oben ist der Blick auf die Erde am besten. Satelliten werden deshalb für die Energiewende eingesetzt: Mit ihnen lassen sich beispielsweise die Standorte für Windkraftwerke oder Solaranlagen bestimmen sowie deren Ertrag prognostizieren.
    Ein Bericht von Jan Oliver Löfken

    1. Rocketlab Kleine Rakete wird wiederverwendbar und trotzdem teurer
    2. Space Data Highway Esa bereitet Laser-Kommunikationsstation für den Start vor
    3. Iridium Certus Satelliten-Breitbandnetz startet mit 350 bis 700 KBit/s

      •  /