Sichere Zahlungsbestätigung

Die sichere Zahlungsbestätigung (Secure Payment Confirmation, SPC) ist ein vorgeschlagener Webstandard, mit dem sich Kunden über einen Plattform-Authenticator bei einem Kreditkartenaussteller, einer Bank oder einem anderen Zahlungsdienstleister authentifizieren können:

  • Entsperrfunktion mit Touch ID auf einem macOS-Gerät
  • Windows Hello auf einem Windows-Gerät

Mit SPC können Händler Kunden die Möglichkeit bieten, ihre Käufe schnell und nahtlos zu authentifizieren, während die Ausstellerbanken ihre Kunden vor Betrug schützen.

Die SPC-Authentifizierung umfasst zwei Phasen: Registrierung und Authentifizierung.

  • Registrierung: Der Zahlungspflichtige verknüpft sein Gerät mit einer vertrauenden Partei (RP). Die vertrauende Partei kann ein Kreditkartenaussteller, eine Bank oder ein anderer Zahlungsdienstleister sein.
  • Authentifizierung: Der Zahlungspflichtige verwendet das registrierte Gerät, um seine Identität beim RP direkt über die Plattform des Händlers zu bestätigen, bevor er Zahlungen bestätigt.

Authentifizierung zur Betrugsprävention

Die Authentifizierung spielt eine wichtige Rolle beim Schutz vor Zahlungsbetrug. Dieser Überprüfungsprozess basiert jedoch oft auf schwachen Mechanismen, z. B. einer Kombination aus der Kreditkartennummer und dem Namen des Karteninhabers oder einem zusätzlichen CVC-Code, der auf der Rückseite der Karte steht. Diese Mechanismen können leicht manipuliert und gehackt werden, wenn die Kartendaten aufgrund von Datenpannen wie Kontohack oder Phishing-Angriffen gehackt werden.

Es wurden zusätzliche Mechanismen zur Betrugsprävention eingeführt, z. B. EMV® 3-D Secure, bei denen der Zahlungspflichtige zur Authentifizierung beim Kartenaussteller oder bei der Bank aufgefordert werden kann. Zur Authentifizierung meldet sich der Nutzer mit einem Nutzernamen und Passwort oder einem Einmalpasswort (OTP) an, das per SMS an das Smartphone des Zahlungspflichtigen gesendet wird. Das dient dem Schutz der Kunden vor Betrug, kann aber für einige berechtigte Kunden ein Hindernis darstellen, die Zahlung abzuschließen. Ziel von SPC ist es, die Authentifizierung zu vereinfachen und so die Anzahl der verlassenen Einkaufswagen zu verringern.

In der Zwischenzeit wird ein neuer Authentifizierungsstandard namens WebAuthn immer beliebter.

Was ist WebAuthn?

Webauthentifizierung (kurz WebAuthn) ist ein Webstandard, mit dem RP-Server (Reklamation) Nutzer im Browser mithilfe von Public-Key-Kryptografie anstelle eines Passworts registrieren und authentifizieren können.

RPs nutzen physische Authentifikatoren wie einen Sicherheitsschlüssel. RPs fordern den Sicherheitsschlüssel an, um ein privates/öffentliches Schlüsselpaar zu generieren und den öffentlichen Schlüssel dann auf dem Server zu speichern (Registrierung). Diese generierten Schlüssel sind für das Gerät eindeutig, was verhindert, dass Angreifer sich als Nutzer ausgeben. Dieser Standard ist phishingresistent, da das Schlüsselpaar an den Ursprung gebunden ist.

Die FIDO Alliance standardisiert das Verhalten von Authentifikatoren. Einige Authentifikatoren unterstützen die lokale Nutzerbestätigung mit einem biometrischen Faktor (z. B. Fingerabdruck- oder Gesichtserkennung) oder einem Wissensfaktor (z. B. PIN-Code). Viele davon sind in Computern wie Laptops oder Smartphones integriert und werden als Plattform-Authentifikatoren bezeichnet. WebAuthn wird in allen gängigen Browsern (Desktop und Mobilgeräte) unterstützt und Authenticator sind auf Milliarden von Geräten verfügbar. Nutzer können sich registrieren und authentifizieren, indem sie ihre Identität lokal auf der Plattform bestätigen.

SPC ist für die Verwendung mit UVPAs (User Verifying Platform Authenticators) konzipiert.

Beispiele für UVPAs sind Apple Touch ID und eine Smartphonekamera
Viele Geräte sind mit einem biometrischen Sensor ausgestattet. Diese Authentifikatoren werden als UVPA (User Verifying Platform Authenticator) bezeichnet.

Wie funktioniert die sichere Zahlungsbestätigung?

Die sichere Zahlungsbestätigung (Secure Payment Confirmation, SPC) basiert auf WebAuthn und wurde speziell für Zahlungszwecke entwickelt. Da WebAuthn-Anmeldedaten für bestimmte Domains registriert sind, können sie nicht zur Authentifizierung auf nicht registrierten Websites verwendet werden, die sich als Händler ausgeben. Diese Funktion macht WebAuthn wirksam gegen Phishingangriffe.

SPC fügt WebAuthn eine Zahlungsinformationenebene hinzu, damit der Kartenaussteller oder die Bank eine einheitliche Zahlungserfahrung bieten kann. Sobald ein Zahler einen Authenticator bei der vertrauenden Partei registriert hat, kann er sich damit auf verschiedenen Händlerwebsites authentifizieren. Die vertrauende Partei kann die Zahlungsanmeldedaten auch als normale WebAuthn-Anmeldedaten verwenden.

Stripe hat im Rahmen der Ursprungstests von Chrome einen Test mit SPC in seiner Produktionsumgebung durchgeführt. In diesem Test konnte Stripe eine um 8 % höhere Conversion-Rate erzielen und der Bezahlvorgang war dreimal schneller. Weitere Informationen zu den Ergebnissen finden Sie im SPC-Bericht der W3C Web Payments Working Group.

Wie erleben Nutzer die Produktseite im Vergleich?

Das SPC-Front-End besteht aus zwei Phasen: Registrierung und Authentifizierung.

Der Kunde muss sein Gerät zuerst mit dem UVPA (User-Verifying Platform Authenticator) registrieren. Nach der Registrierung kann das Gerät verwendet werden, um den Nutzer zu authentifizieren und Zahlungen zu bestätigen, wenn die sichere Kundenauthentifizierung auf der Website eines Händlers durchgeführt wird.

Anmeldung

Nutzer können sich auf zwei Arten für SPC registrieren:

  • Registriere dich direkt auf der RP-Website.
  • Indirekt auf der Website eines Händlers registrieren

Registrierung auf der RP-Website

Auf der Website des RP unterscheidet sich die Registrierung von SPC nicht von der WebAuthn-Registrierung. Wir empfehlen, dass der RP den Kunden auffordert, seine UVPA als Teil eines Anmeldevorgangs zu registrieren.

Ein typisches Szenario könnte so aussehen:

  1. Ein Kunde meldet sich auf der Website Ihrer Bank mit einem Nutzernamen, einem Passwort und einem zusätzlichen Bestätigungsschritt (in der Regel mit einem Einmalpasswort oder OTP) an.
  2. Zeige nach erfolgreicher Authentifizierung eine Berechtigungsanfrage an, in der der Kunde aufgefordert wird, sein Gerät zu registrieren (UVPA).
  3. Nachdem die Berechtigung gewährt wurde, zeigt der Browser ein Dialogfeld für die WebAuthn-Registrierung an.
  4. Der Kunde erklärt sich durch eine biometrische Authentifizierung damit einverstanden, das Gerät zu registrieren.
  5. Der Kunde kann sich jetzt anmelden und sicher mit seinem Gerät bezahlen.

Bei der erneuten Authentifizierung ist ein Nutzer bereits angemeldet, wird jedoch aufgefordert, sich noch einmal zu authentifizieren, um sicherzustellen, dass derselbe Nutzer noch vorhanden ist. Dieses Design wird normalerweise bei sicherheitskritischen Vorgängen wie einer Anfrage zur Passwortänderung oder bei der Ausführung einer Zahlung verwendet. Mit einer WebAuthn-UVPA ist die erneute Authentifizierung viel schneller und sicherer als bei der Verwendung von Passwörtern.

Informationen zum Erstellen eines WebAuthn-Registrierungs- und Authentifizierungsvorgangs für die erneute Authentifizierung finden Sie unter Erste WebAuthn-Anwendung erstellen.

Registrierung auf der Website eines Händlers während der Zahlung

Wenn Ihr Kunde sein Gerät nicht auf der Website des Zahlungsausstellers registriert, kann er dies direkt auf der Website eines Händlers tun. Die Schnittstelle sieht genauso aus, aber die Registrierung des Nutzers wird durch den Code des RP initiiert.

Dies ist ideal, wenn Kunden die Website des RP nicht häufig besuchen, der RP aber trotzdem die Authentifizierungsoption anbieten möchte.

Authentifizierung (Zahlungsbestätigung)

Eine Authentifizierung ist erforderlich, wenn ein Zahlungspflichtiger während einer Zahlungstransaktion Anmeldedaten zur Verfügung stellt.

  1. Der Zahlungspflichtige stellt Zahlungsinformationen (z. B. Kreditkartendaten) zur Verfügung.
  2. Der Händler prüft, ob der Browser die sichere Zahlungsbestätigung unterstützt.
  3. Wenn der Browser SPC unterstützt, rufen Sie die Payment Request API mit SPC als Zahlungsmethode auf. Andernfalls wird auf die vorhandene Authentifizierungsmethode zurückgegriffen.
  4. Der Zahlungspflichtige bestätigt die Transaktionsdetails und schließt die Authentifizierung ab (z. B. durch Berühren des biometrischen Plattform-Authenticators).

Unterstützte Plattformen

Die Bestätigung sicherer Zahlungen wird derzeit von Google Chrome unter macOS und Windows unterstützt. Andere Plattformen wie Android, iOS und ChromeOS werden seit Mai 2022 nicht mehr unterstützt.

Nächste Schritte