2FA in Zeiten von RTS & China
In dieser Folge wollen Kilian und Jochen sich dem Thema 2FA (steht für Two-Factor Authentication) widmen. 2FA bedeutet starke Authentifikation über einen zweiten Faktor. Dies kommt ihm Rahmen der EBA-RTS auf alle, oder fast alle Zahlmethoden zu.
Wie kann man starke Authentifikation benutzerfreundlich umsetzen? Unser Gast Jürgen Weiß ist CEO des FinTechs Sealone, welche starke Authentifikationslöungen anbietet. Jürgen war schon in Podcast 65 unser Gast. Durch die EBA RTS Umsetzung ist das Thema wieder brandaktuell. Durch seine berufliche Tätigkeit hält er sich oft in China auf, weshalb wir ihn natürlich auch über Payment in China befragten. Wir sprachen dabei über die Nutzung der starken Authentifikation in China sowie über die Rolle von WechatPay und Alipay in China und deren Implikationen auf den Zahlungsverkehr der Banken. Auch für uns immer wieder erhellen wie deutlich weiter China uns in diesem Kontext heute schon ist.
Hier geht es für Interessierte zu weiterführenden Details von Savedroid zu ihrem ICO
Wir danken unseren Sponsoren
und
Den Podcast bei Spotify und iTunes abonnnieren
Ihr könnt uns auch direkt unterstützen mit Eurer Spende! Danke!
Danke für den Beitrag zu einem wichtigen Thema! Leider wurde nur peripher über die RTS geredet, weil die Thematik schon dem Titel des Podcasts nach sofort auf eine Zwei-Faktor-Authentifizierung reduziert wurde; und das, obwohl der Begriff in den RTS nicht einmal vorkommt. Was die RTS fordern, ist starke Kundenauthentifizierung. Es ist zwar richtig, dass dies zumindest eine Zwei-Faktor-Authentifizierung i. S. v. zwei Authentifizierungselementen bestehend aus zumindest zwei unterschiedlichen Kategorien voraussetzt. Ein anderer wichtiger Aspekt ist aber Verifizierbarkeit, die in dem Beitrag aber mit keinem Wort erwähnt oder als entscheidend identifiziert wurde. Was nützt eine Zwei-Faktor-Authentifizierung (dazu noch über ein einziges Gerät realisiert), wenn ich dem Angezeigten nicht vertrauen kann? Dieses Problem ist im Übrigen auch bei dem vermeintlichen Heiligen Gral der IT-Sicherheit, Apple Pay, meines Wissens nach nicht gegeben, obwohl Apple zweifelsohne die besten Voraussetzungen hat, so etwas in der Zukunft anzubieten.
Unter diesem Gesichtspunkt wirkt es beinahe amüsant, dass der Beitrag den Banken rückwärtsgewandtes Denken statt grundlegende Innovation vorwirft, wenn man sich doch selbst auch nur am Status Quo der Transaktionssicherheit der Banken orientiert, statt Lösungen anhand der Voraussetzungen zu entwickeln. Hier scheint mir, zumindest in Bezug auf Smartphone-Apps, eher ein hochmodernes Elektroauto gebaut zu werden, obwohl eigentlich ein Flugzeug gefordert ist