Die sichere Zahlungsbestätigung (Secure Payment Confirmation, SPC) ist ein vorgeschlagener Webstandard, mit dem sich Kunden über einen Plattform-Authenticator bei einem Kreditkartenaussteller, einer Bank oder einem anderen Zahlungsdienstleister authentifizieren können:
- Entsperrfunktion mit Touch ID auf einem macOS-Gerät
- Windows Hello auf einem Windows-Gerät
Mit SPC können Händler Kunden die Möglichkeit bieten, ihre Käufe schnell und nahtlos zu authentifizieren, während die Ausstellerbanken ihre Kunden vor Betrug schützen.
Die SPC-Authentifizierung umfasst zwei Phasen: Registrierung und Authentifizierung.
- Registrierung: Der Zahlungspflichtige verknüpft sein Gerät mit einer vertrauenden Partei (RP). Die vertrauende Partei kann ein Kreditkartenaussteller, eine Bank oder ein anderer Zahlungsdienstleister sein.
- Authentifizierung: Der Zahlungspflichtige bestätigt seine Identität über das registrierte Gerät direkt über die Plattform des Händlers gegenüber dem RP, bevor er Zahlungen bestätigt.
Authentifizierung zur Betrugsprävention
Die Authentifizierung spielt eine wichtige Rolle bei der Betrugsprävention. Dieser Überprüfungsprozess basiert jedoch oft auf schwachen Mechanismen, z. B. einer Kombination aus der Kreditkartennummer und dem Namen des Karteninhabers oder einem zusätzlichen CVC-Code, der auf der Rückseite der Karte steht. Diese Mechanismen können leicht manipuliert und gehackt werden, wenn die Kartendaten aufgrund von Datenpannen wie Kontohack oder Phishing-Angriffen gehackt werden.
Es wurden zusätzliche Mechanismen zur Betrugsprävention eingeführt, z. B. EMV® 3-D Secure, bei dem der Zahlungspflichtige möglicherweise aufgefordert wird, sich beim Kartenaussteller oder bei der Bank zu authentifizieren. Zur Authentifizierung meldet sich der Nutzer mit einem Nutzernamen und Passwort oder einem Einmalpasswort (OTP) an, das per SMS an das Smartphone des Zahlungspflichtigen gesendet wird. Das schützt Kunden vor Betrug, kann aber für einige berechtigte Kunden ein Hindernis darstellen, die Zahlung abzuschließen. Mit der SPA soll die Authentifizierung vereinfacht und so die Anzahl der Kaufabbrüche reduziert werden.
In der Zwischenzeit wird ein neuer Authentifizierungsstandard namens WebAuthn immer beliebter.
Was ist WebAuthn?
Die Web-Authentifizierung (kurz WebAuthn) ist ein Webstandard, mit dem vertrauende Seiten-Server (Relying Parties, RP) Nutzer im Browser mithilfe der Public-Key-Kryptografie statt mit einem Passwort registrieren und authentifizieren können.
RPs setzen auf physische Authentifikatoren wie einen Sicherheitsschlüssel. RPs fordern den Sicherheitsschlüssel an, um ein privates/öffentliches Schlüsselpaar zu generieren und den öffentlichen Schlüssel dann auf dem Server zu speichern (Registrierung). Diese generierten Schlüssel sind für das Gerät eindeutig, was verhindert, dass Angreifer sich als Nutzer ausgeben. Dieser Standard ist phishingresistent, da das Schlüsselpaar an den Ursprung gebunden ist.
Die FIDO Alliance standardisiert das Verhalten von Authentifikatoren. Einige Authentifikatoren unterstützen die lokale Nutzerbestätigung mit einem biometrischen Faktor (z. B. Fingerabdruck- oder Gesichtserkennung) oder einem Wissensfaktor (z. B. PIN-Code). Viele davon sind in Computern wie Laptops oder Smartphones integriert und werden als Plattform-Authentifikatoren bezeichnet. WebAuthn wird in allen gängigen Browsern (Desktop und Mobilgeräte) unterstützt und Authenticator sind auf Milliarden von Geräten verfügbar. Nutzer können sich registrieren und authentifizieren, indem sie ihre Identität lokal auf der Plattform bestätigen.
SPC ist für die Verwendung mit UVPAs (User Verifying Platform Authenticators) konzipiert.
Wie funktioniert die Bestätigung der sicheren Zahlung?
Die sichere Zahlungsbestätigung (Secure Payment Confirmation, SPC) basiert auf WebAuthn und wurde speziell für Zahlungszwecke entwickelt. Da WebAuthn-Anmeldedaten für bestimmte Domains registriert sind, können sie nicht zur Authentifizierung auf nicht registrierten Websites verwendet werden, die sich als Händler ausgeben. Diese Funktion macht WebAuthn effektiv gegen Phishing-Angriffe.
SPC fügt WebAuthn eine Zahlungsinformationenebene hinzu, damit der Kartenaussteller oder die Bank eine einheitliche Zahlungserfahrung bieten kann. Sobald ein Zahler einen Authenticator bei der vertrauenden Partei registriert hat, kann er sich damit auf verschiedenen Händlerwebsites authentifizieren. Die vertrauende Partei kann die Zahlungsanmeldedaten auch als normale WebAuthn-Anmeldedaten verwenden.
Stripe hat im Rahmen der Ursprungstests von Chrome einen Test mit SPC in seiner Produktionsumgebung durchgeführt. In diesem Test konnte Stripe eine um 8% bessere Conversion-Rate erzielen und der Bezahlvorgang war dreimal schneller. Weitere Informationen zu den Ergebnissen finden Sie im SPC-Bericht der W3C Web Payments Working Group.
Wie erleben Nutzer die Produktseite im Vergleich?
Das SPC-Front-End besteht aus zwei Phasen: Registrierung und Authentifizierung.
Der Kunde muss sein Gerät zuerst mit dem UVPA (User-Verifying Platform Authenticator) registrieren. Nach der Registrierung kann das Gerät verwendet werden, um den Nutzer zu authentifizieren und Zahlungen zu bestätigen, wenn die sichere Kundenauthentifizierung auf der Website eines Händlers durchgeführt wird.
Anmeldung
Nutzer haben zwei Möglichkeiten, sich für SPC zu registrieren:
- Registrieren Sie sich direkt auf der RP-Website.
- Indirekt auf der Website eines Händlers registrieren
Registrierung auf der Website des RP
Auf der Website des RP unterscheidet sich die Registrierung von SPC nicht von der WebAuthn-Registrierung. Wir empfehlen, dass der RP den Kunden bittet, seine UVPA im Rahmen eines Anmeldevorgangs zu registrieren.
Ein typisches Szenario könnte so aussehen:
- Ein Kunde meldet sich mit einem Nutzernamen, Passwort und einem zusätzlichen Bestätigungsschritt (in der Regel ein Einmalpasswort oder OTP) auf der Website Ihrer Bank an.
- Nach einer erfolgreichen Authentifizierung wird eine Berechtigungsanfrage angezeigt, in der der Kunde aufgefordert wird, sein Gerät zu registrieren (UVPA).
- Sobald die Berechtigung erteilt wurde, wird im Browser ein WebAuthn-Registrierungsdialogfeld angezeigt.
- Der Kunde erklärt sich durch eine biometrische Authentifizierung damit einverstanden, das Gerät zu registrieren.
- Der Kunde kann sich jetzt mit seinem Gerät anmelden und sicher bezahlen.
Bei der erneuten Authentifizierung ist ein Nutzer bereits angemeldet, wird aber aufgefordert, sich noch einmal zu authentifizieren, um sicherzustellen, dass es sich um denselben Nutzer handelt. Dieses Design wird in der Regel bei sicherheitskritischen Vorgängen verwendet, z. B. bei der Aufforderung zur Änderung eines Passworts oder bei einer Zahlung. Mit einer WebAuthn-UVPA ist die erneute Authentifizierung viel schneller und sicherer als die Verwendung von Passwörtern.
Informationen zum Erstellen eines WebAuthn-Registrierungs- und Authentifizierungsvorgangs für die erneute Authentifizierung finden Sie unter Erste WebAuthn-App erstellen.
Registrierung auf der Website eines Händlers während der Zahlung
Wenn Ihr Kunde sein Gerät nicht auf der Website des Zahlungsausstellers registriert, kann er dies direkt auf der Website eines Händlers tun. Die Benutzeroberfläche sieht gleich aus, aber die Registrierung des Nutzers wird durch den Code des RP initiiert.
Dies ist ideal, wenn Kunden die Website des RP nicht häufig besuchen, der RP aber trotzdem die Authentifizierungsoption anbieten möchte.
Authentifizierung (Zahlungsbestätigung)
Die Authentifizierung ist erforderlich, wenn ein Zahlungspflichtiger während einer Zahlungstransaktion Zahlungsdaten angibt.
- Der Zahlungspflichtige stellt Zahlungsinformationen (z. B. Kreditkartendaten) zur Verfügung.
- Der Händler prüft, ob der Browser die sichere Zahlungsbestätigung unterstützt.
- Wenn der Browser SPC unterstützt, rufe die Payment Request API mit SPC als Zahlungsmethode auf. Andernfalls wird auf die vorhandene Authentifizierungsmethode zurückgegriffen.
- Der Zahlungspflichtige bestätigt die Transaktionsdetails und schließt die Authentifizierung ab, z. B. durch Berühren des Authentifikators der biometrischen Plattform.
Unterstützte Plattformen
Die Bestätigung sicherer Zahlungen wird derzeit von Google Chrome unter macOS und Windows unterstützt. Andere Plattformen wie Android, iOS und ChromeOS werden seit Mai 2022 nicht mehr unterstützt.