Wie funktioniert 3DS? (Fortsetzung)
Seite zurückUnten folgt unsere erweiterte Erklärung der oben beschriebenen Schritte. Wir haben aus Gründen der Verständlichkeit versucht, die Darstellung einfach zu halten. Wenn Sie genauere technische Informationen zu 3DS benötigen, können Sie bei Visa und MasterCard sehr detaillierte Dokumentationen herunterladen.
| Schritt | Vorgang |
|---|---|
| 1. | Der Käufer durchsucht die Site eines Händlers, füllt den Warenkorb und schließt den Kauf ab. |
| 2. | Der Server des Händlers sendet Informationen an den Verzeichnisserver; der funktioniert als Traffic Director, der die erste Ziffernfolge der Kreditkarte untersucht und herausfindet, welche Bank für die Karte zuständig ist. |
| 3. | Der Verzeichnisserver identifiziert die kartenausstellende Bank des Kunden und fragt den Access Control Server (ACS) dieser Bank, ob 3DS-Authentifikation zur Verfügung steht, das heißt, ob der Kunde sich für 3DS angemeldet hat und eine PIN oder eine andere Passphrase erhalten hat. |
| 4. | Der ACS der Bank antwortet dem Verzeichnisserver. |
| 5. | Der Verzeichnisserver leitet die Antwort des ACS an das MPI-a-Plug-in auf der Website des Händlers weiter, dieses prüft, ob der Karteninhaber für 3DS angemeldet ist. Ist das nicht der Fall, wird eine traditionelle Bezahlung durchgeführt. |
| 6. | Ist der Kunde für 3DS angemeldet, wird über den Browser des Käufers eine Anforderung zur Authentifizierung des Karteninhabers (Payer Authentication Request) an den ACS der kartenausstellenden Bank gesendet. |
| 7. | Der ACS erhält die Anforderung zur Authentifizierung des Karteninhabers. |
| 8. | Der ACS authentifiziert den Käufer. |
| 9. | Der ACS sendet die Antwort der Authentifizierung des Karteninhabers (Payer Authentication Response) an das MPI über den Browser des Kunden zurück. Der ACS sendet die ausgewählten Daten an den Authentifizierungs-History-Server. |
| 10. | Das MPI erhält die Antwort der Authentifizierung des Karteninhabers. |
| 11. | Das MPI bestätigt die Signatur der Antwort der Authentifizierung des Karteninhabers. |
| 12. | Der Händler tauscht Daten zur Authentifizierung mit seinem Geldempfänger aus. |
Gut, und was bedeutet das konkret?
Kurz gesagt, der Karteninhaber erhält einen persönlichen ID-Code, entweder eine PIN oder eine Passphrase. Wenn er seine Kreditkarteninformationen zur Validierung abgeschickt hat, erscheint ein Bildschirm, auf dem er aufgefordert wird, diesen ID-Code einzugeben. Die kartenausstellende Bank verifiziert dann, ob der eingegebene Code korrekt ist, und der Bezahlprozess geht in die nächste Runde.
Für den Karteninhaber bedeutet 3DS keinen kompletten Umbruch bei der Brauchbarkeit. Doch jeder andere, der mit diesem Prozess zu tun hat, wird erhebliche Kopfschmerzen bekommen. Software-Entwicklung und -Implementierung sind teuer, und wenn man verlangt, dass viele Organisationen miteinander kommunizieren, wird das Verfahren wirklich schwierig. Es gibt Internet-Technologien, die verschiedene Systeme in Echtzeit miteinander kommunizieren und Daten austauschen lassen. Die Zahl möglicher technischer Störungen ist jedoch riesig, und die Gefahr, dass diese Systeme während des Transaktionsprozesses unsynchron werden, ist erheblich.
Wenn Sie eine Kreditkarte haben und im Internet einkaufen, dann sollten Sie jetzt etwas nervös werden. Aber es ist noch nicht alles verloren. 3D Secure ist ein Protokoll für Händler, und es wird die Händler sicherlich dazu veranlassen, mehr Waren ins Internet zu stellen, aber das hat seinen Preis. Tatsache ist, dass für die Sicherheit von Karteninhabern 2-Factor-Authentication zum normalen Standard werden muss. 3D Secure kann Betrug mittels Session-Hijacking und anderer Techniken, die in früheren Artikeln dieser Reihe beschrieben wurden, nicht verhindern.
//
Das aktuelle Artikelarchiv für Sicherheit
