Das World Wide Web Consortium (W3C), das die Techniken im Internet standardisiert, hat Secure Payment Confirmation als einen neuen Standard angekündigt. Dieser soll die Authentifizierung bei Zahlungstransaktionen auf der Basis von FIDO vereinfachen und beschleunigen.
Herausforderungen durch starke Kundenauthentifizierung
Nach wie vor bestehen bei Kartenzahlungen im E-Commerce vor allem drei Herausforderungen: Die Verbraucher empfinden die Authentifizierung bei 3-D Secure als umständlich und unbequem. Dies führt immer wieder zu Kaufabbrüchen. Auf der anderen Seite entfallen 65 Prozent der Verluste durch Kartenmissbrauch auf den Bereich Card-Not-Present (CNP), also hauptsächlich auf den E-Commerce. Hier besteht offensichtlich grosser Handlungsbedarf. Dazu kommt, dass die derzeit genutzten Methoden zur Risikobewertung nicht ausgereift genug sind. Dadurch werden korrekte Kartentransaktionen fälschlicherweise abgelehnt und die davon betroffenen Kunden verärgert.
Seit die starke Kundenauthentifizierung bei Kartenzahlungen im E-Commerce vorgeschrieben ist, sind dafür verschiedene Lösungen entwickelt worden. So gibt es zum Beispiel von Mastercard das Chip Authentication Program (CAP) mit technischen Spezifikationen für die Nutzung von EMV-Chipkarten zur Authentifizierung von Nutzern und Transaktionen beim Online-Banking. Diese und weitere Initiativen stehen vor der Herausforderung, eine breite Unterstützung durch die gesamte Industrie zu organisieren und gleichzeitig ein hohes Sicherheitsniveau zu gewährleisten.
FIDO kann mehrere Probleme lösen
Ausgangspunkt für die Entwicklung von FIDO war die Unzulänglichkeit der herkömmlichen Passwörter. Verbraucher unterhalten durchschnittlich 70 bis 80 Kundenkonten bei den verschiedensten Anbietern. Dabei vergessen 65 Prozent der Nutzer regelmässig eines oder mehrere Passwörter. Ausserdem gibt es ausreichend Beispiele dafür, wie leicht sich diese Passwörter durch Phishing-Attacken erlangen oder von den Servern der Anbieter entwenden lassen. One-Time-Passwörter (OTP) können hier keine Abhilfe schaffen, weil diese Technologie zu langsam arbeitet und eine Erfolgsquote von höchsten 85 Prozent erreicht.
Ziel von FIDO ist es, das Sicherheitsniveau zu erhöhen und die Anwenderfreundlichkeit zu verbessern. Im Prinzip funktioniert FIDO so, dass Nutzer ihre Berechtigung mit einem „Authenticator“ nachweisen, der ihnen eindeutig zugeordnet werden kann. Der Datenaustausch wird dabei mit einer Public-Key-Infrastruktur (PKI) verschlüsselt.
Als Authenticators können die unterschiedlichsten Lösungen zum Einsatz kommen: von einer App in Verbindung mit Touch ID bis hin zu einem USB-Token. FIDO wird inzwischen von allen grossen Hard- und Softwareanbietern unterstützt. Dazu gehören unter anderem Apple, Google, Microsoft und Samsung sowie die Kartenorganisationen American Express, Mastercard und Visa.