Forum » Loža » PSD3: Po novem potrjevanje spletnih plačil brez pametnega telefona
PSD3: Po novem potrjevanje spletnih plačil brez pametnega telefona
Sindrom ::
Pozdravljeni,
Zanima me, če je kdo opazil novo evropsko zakonodajo pod imenom PSD3 (Payment Services Directive 3), ki je trenutno v pripravi s strani evropske komisije. Ta je dejansko nadgradnja obstoječe zakonodaje PSD2 iz leta 2015, ki med drugim narekuje finančnim institucijam, da pri uporabi in izvajanju spletnih plačil ter nakupov uporabijo potrjevanje oz. da opravijo močno (dvo-faktorsko) avtentikacijo svojih uporabnikov. Trenutna zakonodaja PSD2 narekuje, da se pri izvajanju močne avtentikacije morata uporabiti dve izmed naslednjih treh kategorij: nekaj, kar veš (geslo), nekaj, kar imaš (naprava) in nekaj, kar si (biometrija). Vendar pa si ogromno institucij to klavzulo razlaga tako, kot da gre obvezno za (pametni) mobilni telefon (tega sicer zakonodaja izrecno ne zahteva) ter ga tudi nudijo kot edino možnost za dostop in potrjevanje elektronskih finančnih storitev. Posledično pa se tu pojavijo težave, saj se s tem dostop do storitev močno oteži tistim, ki ustrezne mobilne naprave nimajo ter tistim, ki je z določenih razlogov ne morejo uporabljati (npr. ni signala omrežja).
Po novem pa se pripravlja evropska direktiva PSD3, ki bo med drugim od finančnih institucij zahtevala, da takšnim osebam omogočijo oz. olajšajo dostop do svojih storitev. Izvajanje močne avtentikacijo bo po novem treba nuditi na več načinov oz. dodati način, ki ne temelji na eni sami tehnologiji. Z drugimi besedami, morali bodo ponuditi alternativo pametnim mobilnim telefonom oz. aplikacijam, ki nam jih danes tako pridno vsiljujejo.
Citat:
https://www.adyen.com/knowledge-hub/psd3
https://eur-lex.europa.eu/legal-content...
Jaz upam, da bomo uporabniki lahko končno potrjevali plačila in dostopali do spletne banke, kot so npr. Revolut in N26, tudi v brskalniku na naših namiznih računalnikih oz. brez aplikacije na mobilnem telefonu, čeprav te veljajo za "mobilne" banke.
Kaj menite drugi?
Zanima me, če je kdo opazil novo evropsko zakonodajo pod imenom PSD3 (Payment Services Directive 3), ki je trenutno v pripravi s strani evropske komisije. Ta je dejansko nadgradnja obstoječe zakonodaje PSD2 iz leta 2015, ki med drugim narekuje finančnim institucijam, da pri uporabi in izvajanju spletnih plačil ter nakupov uporabijo potrjevanje oz. da opravijo močno (dvo-faktorsko) avtentikacijo svojih uporabnikov. Trenutna zakonodaja PSD2 narekuje, da se pri izvajanju močne avtentikacije morata uporabiti dve izmed naslednjih treh kategorij: nekaj, kar veš (geslo), nekaj, kar imaš (naprava) in nekaj, kar si (biometrija). Vendar pa si ogromno institucij to klavzulo razlaga tako, kot da gre obvezno za (pametni) mobilni telefon (tega sicer zakonodaja izrecno ne zahteva) ter ga tudi nudijo kot edino možnost za dostop in potrjevanje elektronskih finančnih storitev. Posledično pa se tu pojavijo težave, saj se s tem dostop do storitev močno oteži tistim, ki ustrezne mobilne naprave nimajo ter tistim, ki je z določenih razlogov ne morejo uporabljati (npr. ni signala omrežja).
Po novem pa se pripravlja evropska direktiva PSD3, ki bo med drugim od finančnih institucij zahtevala, da takšnim osebam omogočijo oz. olajšajo dostop do svojih storitev. Izvajanje močne avtentikacijo bo po novem treba nuditi na več načinov oz. dodati način, ki ne temelji na eni sami tehnologiji. Z drugimi besedami, morali bodo ponuditi alternativo pametnim mobilnim telefonom oz. aplikacijam, ki nam jih danes tako pridno vsiljujejo.
Citat:
SCA (Strong Customer Authentication) must now be accessible for vulnerable customers such as the elderly, people with disabilities, and non-digitally savvy consumers by providing authentication methods that don’t rely solely on smartphones.
https://www.adyen.com/knowledge-hub/psd3
https://eur-lex.europa.eu/legal-content...
Jaz upam, da bomo uporabniki lahko končno potrjevali plačila in dostopali do spletne banke, kot so npr. Revolut in N26, tudi v brskalniku na naših namiznih računalnikih oz. brez aplikacije na mobilnem telefonu, čeprav te veljajo za "mobilne" banke.
Kaj menite drugi?
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman
Legon ::
Da je to vsekakor smiselna sprememba in da niti pod razno ne bo pomenila tega kar ti potegneš v zaključku. Sprememba se nanaša zgolj na to da bo potrebno omogočiti potrjevanje spletnih plačil in nakupov (beri plačevanje online s kartico) na alternativen način, ki ne bo zahteval uporabe mobilnega telefona. V 99% primerov bo to pomenilo povratek "kalkulatorčkov" za tiste, ki bodo to želeli.
Zgodovina sprememb…
- spremenilo: Legon ()
Ales ::
Tehnično ni nobenega razloga, da banke ne bi ponujale potrjevanja še s čim drugim in ne le aplikacijami na mobilnih napravah.
SKB je recimo dolga leta pri nas ponujala možnost uporabe namenskega generatorja gesel v obliki majhne napravice. Če se ne motim, je bila med prvimi in zelo dolgo so vztrajali pri tem. Pravzaprav so ti generatorji gesel delovali ves ta čas, do združitve v OTP banko, le ne vem koliko let nazaj so nehali izdajati nove. Stari so pa normalno delali naprej.
Ta direktiva se mi zdi korak v pravo smer.
SKB je recimo dolga leta pri nas ponujala možnost uporabe namenskega generatorja gesel v obliki majhne napravice. Če se ne motim, je bila med prvimi in zelo dolgo so vztrajali pri tem. Pravzaprav so ti generatorji gesel delovali ves ta čas, do združitve v OTP banko, le ne vem koliko let nazaj so nehali izdajati nove. Stari so pa normalno delali naprej.
Ta direktiva se mi zdi korak v pravo smer.
Legon ::
Tehnično ni nobenega razloga, da banke ne bi ponujale potrjevanja še s čim drugim in ne le aplikacijami na mobilnih napravah.
SKB je recimo dolga leta pri nas ponujala možnost uporabe namenskega generatorja gesel v obliki majhne napravice. Če se ne motim, je bila med prvimi in zelo dolgo so vztrajali pri tem. Pravzaprav so ti generatorji gesel delovali ves ta čas, do združitve v OTP banko, le ne vem koliko let nazaj so nehali izdajati nove. Stari so pa normalno delali naprej.
Ta direktiva se mi zdi korak v pravo smer.
SKB "kalkulatorčki" po mojem vedenju niso bili skladni z PSD2 in niso omogočali potrjevanja splenih plačil. Je pa res da že leta nisem pri SKB in je možno da so kaj spremenili na koncu.
Zgodovina sprememb…
- spremenilo: Legon ()
Sindrom ::
Jaz imam račun pri Sparkasse in za enkrat še vedno uporabljam tak kalkulatorček za dostop. Lahko ga uporabim za dostop do spletne banke in za potrjevanje plačil preko klasičnega IBAN nakazila. Ne morem ga pa uporabljati pri potrjevanju plačil preko njihovih Mastercard debetnih/kreditnih kartic, ker te funkcije niso dodali v spletno banko, samo v mobilno. Kljub temu pa sem bil malo razočaran, ko so lani oktobra spremenili pogoje poslovanja in s tem te njihove kalkulatorčke enkratnih gesel prenehali izdajati. Meni so te napravice veliko bolj všeč, kot pa kaka aplikacija, saj so ločene naprave brez dostopa do omrežja, zato pri njih ne more priti do okužbe s kakimi virusi, ipd. Gledam pa druge banke, ki počnejo podobno in ukinjajo te naprave. Ena izmed bank, ki jih zaenkrat še ponuja, je BKS banka.
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman
delavec44 ::
Jaz imam račun pri Sparkasse in za enkrat še vedno uporabljam tak kalkulatorček za dostop. Lahko ga uporabim za dostop do spletne banke in za potrjevanje plačil preko klasičnega IBAN nakazila. Ne morem ga pa uporabljati pri potrjevanju plačil preko njihovih Mastercard debetnih/kreditnih kartic, ker te funkcije niso dodali v spletno banko, samo v mobilno. Kljub temu pa sem bil malo razočaran, ko so lani oktobra spremenili pogoje poslovanja in s tem te njihove kalkulatorčke enkratnih gesel prenehali izdajati. Meni so te napravice veliko bolj všeč, kot pa kaka aplikacija, saj so ločene naprave brez dostopa do omrežja, zato pri njih ne more priti do okužbe s kakimi virusi, ipd. Gledam pa druge banke, ki počnejo podobno in ukinjajo te naprave. Ena izmed bank, ki jih zaenkrat še ponuja, je BKS banka.
Je na sparkasse možno spletno plačilo z novimi karticami, če nimaš spletne ali mobilne banke kar je spet dodaten mesečni strošek?
c3p0 ::
RSA ključek je bil čisto OK.
Potrjevanje v brskalniku samem, kot navaja OP, bi precej znižalo raven varnosti. Mora bit nek tretji device, po možnosti brez internetne povezave.
Potrjevanje v brskalniku samem, kot navaja OP, bi precej znižalo raven varnosti. Mora bit nek tretji device, po možnosti brez internetne povezave.
Knowledge factor
This is something you know. It can't be physically lost or found, but it can be copied -- like a password or PIN code.
Possession factor
This is something you have that can't be easily copied, but can be stolen -- like a bank card or physical key.
Inherence (biometric) factor
This is something you are, which can't be easily faked -- like a fingerprint or face ID.
WhiteAngel ::
Sindrom ::
Kaj pa tale FIDO2 U2F tehnologija, ki je v bistvu nek pameten USB ključek (npr. YubiKey ali NitroKey), ki ima naložen certifikat na zaščitenem mediju? Dovolj je, da imaš tak ključek vtaknjen v računalnik in ti ga potem brskalnik zazna. Pri prijavi v spletno stran pa te potem sistem avtomatsko prepozna in omogoči login. Se tega nihče ne poslužuje?
https://fidoalliance.org/fido2/
Če te pravilno razumem, mislim, da ni povsem. Ti ponavadi potrebuješ dostop do neke elektronske storitve, preko katere lahko potem plačila potrjuješ in izvajaš. Čeprav nisem čisto prepričan kako je s tem. Po zakonu naj bi vsi spletni trgovci v EU zahtevali močno avtentikacijo strank, ampak mislim, da so tudi izjeme. Npr. meni se je zgodilo, da so mi ponekod težili, drugje pa nič. Pri nemškem amazon.de mi še nikoli ni bilo treba kakšnega nakupa potrjevati ločeno, na Steam-u pa so vedno težili.
https://fidoalliance.org/fido2/
Je na sparkasse možno spletno plačilo z novimi karticami, če nimaš spletne ali mobilne banke kar je spet dodaten mesečni strošek?
Če te pravilno razumem, mislim, da ni povsem. Ti ponavadi potrebuješ dostop do neke elektronske storitve, preko katere lahko potem plačila potrjuješ in izvajaš. Čeprav nisem čisto prepričan kako je s tem. Po zakonu naj bi vsi spletni trgovci v EU zahtevali močno avtentikacijo strank, ampak mislim, da so tudi izjeme. Npr. meni se je zgodilo, da so mi ponekod težili, drugje pa nič. Pri nemškem amazon.de mi še nikoli ni bilo treba kakšnega nakupa potrjevati ločeno, na Steam-u pa so vedno težili.
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman
Legon ::
Treba razumet kaj je point zahtev EU po močni avtentikaciji strank. V prvi vrsti gre za vprašanje varnosti in predvsem odgovornosti v primeru zlorab. Obstoječa ureditev do določene mere dopušča odpstopanja, vendar samo in le ob polni odgovornosti ponudnika. In to je nekaj kar Amazon tradicionalno počne, zato recimo pri njih dolgo niti CVV kode nisi rabil vpisat, ali pa omogočajo spletno nakupovanje z uporabo SEPA direktnih bremenitev in podobno. V primerih ko poride do zlorab je amazon tisti, ki potem v celoti nosi stroške. In amazon je tradicionalno to počel, ker so ugotovili da enostavnost poslovanja odtehta stroške zlorab.
Fido2 u2f in podobne zadeve so vedno opcija, ampak je ključna težava, da zahteva dodatno napravo, ki ni zastonj ter po pravici povedano ne ustreza ravno namenu spremembe, ki zahteva, da se dostop naredi "accessible for vulnerable customers such as the elderly, people with disabilities, and non-digitally savvy consumers".
Odločitev bank, da uredi 2FA z uporabo mobilnega telefona je pač sledila logiki, kako izpolnit zakonsko zahtevo na čim cenejši in enostaven način, ki zajema kar se da velik delež komitentov. In mobitel hočeš nočeš je dejansko bil najbolj obtimalna rešitev za široko rabo. In tudi s to spremembo se za veliko večino uporabnikov ne bo popolnoma nič spremenilo. Tisti promil paranoikov in obe stari mami brez pametnega telefona bosta pa sedaj pač imeli na voljo alternatiovo.
Fido2 u2f in podobne zadeve so vedno opcija, ampak je ključna težava, da zahteva dodatno napravo, ki ni zastonj ter po pravici povedano ne ustreza ravno namenu spremembe, ki zahteva, da se dostop naredi "accessible for vulnerable customers such as the elderly, people with disabilities, and non-digitally savvy consumers".
Odločitev bank, da uredi 2FA z uporabo mobilnega telefona je pač sledila logiki, kako izpolnit zakonsko zahtevo na čim cenejši in enostaven način, ki zajema kar se da velik delež komitentov. In mobitel hočeš nočeš je dejansko bil najbolj obtimalna rešitev za široko rabo. In tudi s to spremembo se za veliko večino uporabnikov ne bo popolnoma nič spremenilo. Tisti promil paranoikov in obe stari mami brez pametnega telefona bosta pa sedaj pač imeli na voljo alternatiovo.
Zgodovina sprememb…
- spremenilo: Legon ()
delavec44 ::
Lahko bi bilo to potrjevanje preko telefona vsaj brezplačno, ne da pogojujejo z mobilno banko in jo mesečno zaračunavajo. Bi raje EU to odredila, če želi imeti dostopno vsem.
Legon ::
Ta bo težka, kaj točno bi bila osnova, da EU poseže v tržno politiko banke? Saj niso dobrodelna ustanova, da morajo kakroli brezplačno omogočat.
Ales ::
Vsaj za nekatere banke vem, da imajo ločene mobilne aplikacije za potrjevanje plačil. OTP banka in NLB recimo (mDenarnic@ in NLB Pay), verjetno pa še kaka. Pri teh torej prav mobilna banka ni pogoj.
V vsakem primeru se vse plača na nek način. Če ne zaračunavajo posebej, se pač strošek izdelave in vzdrževanja teh sistemov pokriva skozi ceno vodenja računa oz. bančnega paketa.
V vsakem primeru se vse plača na nek način. Če ne zaračunavajo posebej, se pač strošek izdelave in vzdrževanja teh sistemov pokriva skozi ceno vodenja računa oz. bančnega paketa.
delavec44 ::
Vsaj za nekatere banke vem, da imajo ločene mobilne aplikacije za potrjevanje plačil. OTP banka in NLB recimo (mDenarnic@ in NLB Pay), verjetno pa še kaka. Pri teh torej prav mobilna banka ni pogoj.
V vsakem primeru se vse plača na nek način. Če ne zaračunavajo posebej, se pač strošek izdelave in vzdrževanja teh sistemov pokriva skozi ceno vodenja računa oz. bančnega paketa.
NKBM imam ampak tam imajo vsi mobilno banko in sem mislil, da je pogojeno. Misliš, da imaš lahko mDenarnico brez mBanke?
Je failback na sms še dovoljen generalno gledano?
Razumem, da bi lahko dvignili ceno računa ampak to tako ali tako delajo.
Ta bo težka, kaj točno bi bila osnova, da EU poseže v tržno politiko banke? Saj niso dobrodelna ustanova, da morajo kakroli brezplačno omogočat.
Po pravici povedano se nisem tako poglabljal v to in sigurno si glede tega bolj informiran kot jaz. Mislil sem, da če lahko pogojujejo varnostno politiko, da lahko tudi cenovno oz. da mora biti ta opcija pač vključena v vse račune in pakete.
Zgodovina sprememb…
- spremenil: delavec44 ()
Legon ::
ja, to bi pilo vodo, če bi govorili o tem, da uvajajo neke dodatne zahteve za dobrino/storitev, ki je v osnovi zastonj oziroma regulirana. Samo plačilne kartice niso nekaj kar bi ti moralo pripadat brezplačno. V bistvu še bančni račun ni nekaj kar mora bit brezplačno na voljo, kaj šele dodatne storitve. Se pa povsem strinjam, da bi banke morale omogočat app za potrjevanje transkacij ločeno od mobilne banke, samo IMO je to dobra volja banke. Zagotovo pa tudi alternativne rešitve, ki so zahtevane s PSD3 ne bodo brezplačno na voljo, ker si ne znam predstavljat, da bi jih banke implementirale brez dodatnega hardweara,
Kar se pa SMS tiče, pa mislim, da že že pri PSD2 ni bilo čisto jasno ali SMS zadostuje ali ne. EBA je izdala menenje da ja, ampak ne v smislu, da je SMS kot tak oziroma njegova vsebina OK, ampak se je nanašalo na to, da je preko SMS mogoče izpolnit element posesti (something you have) v kontekstu posesti sim kartice. Ključen problem SMS je, da PSD2 zahteva, da mora bit izmenjava informacij narejena na varen način, ki zagotavlja zasebnost, kar pa plain tekst sporočilo, ki ga je relativno enostavno prestreč ne izpolnjuje. IMO uporaba SMS kot OTP ne bi zdržala v primeru zlorabe, kot ustrezen način zagotavljanja varnosti po PSD2.
Zato so tudi banke po večini opostile to verifikacijo, oziroma se uporablja v omejenem obsegu, recimo pri migraciji na nov aparat v kombinaciji z drugimi varnostnimi elementi.
Predvidevam da PSD3, podobno kot PSD2 ne be eksplicitno deifnirala ali je SMS ok ali ne, ampak da bo to v veliki meri odvisno od tega zakaj in kako bo SMS potencialno uporabljen.
Osnovni problem SMS v konkretnem kontekstu pa je v tem, da morata nujno bit izpolnjena dva pogoja in če imaš zgolj OTP kodo na SMS to še ni dovolj za verifikacijo online plačila. Zato je app na telefonu dejansko najenostavnejša implementacija, ker ob enem lahko izpolni pogoj something you have (sam aparat) in something you know (koda za dostop do appa) oziroma something you are (če se namesto kode uporabi biometrija). Zgolj z SMS to ne pije vode, ker plaint tekst sporočilo ni varno skladno z zahtevami PSD.
Je pa treba pazit, ker tukaj se pogovarjamo o verifikaciji spletnih plačil. Zato je tudi zahteva, da tak sistem deluje offline popolnoma zgrešena.
Kar se pa SMS tiče, pa mislim, da že že pri PSD2 ni bilo čisto jasno ali SMS zadostuje ali ne. EBA je izdala menenje da ja, ampak ne v smislu, da je SMS kot tak oziroma njegova vsebina OK, ampak se je nanašalo na to, da je preko SMS mogoče izpolnit element posesti (something you have) v kontekstu posesti sim kartice. Ključen problem SMS je, da PSD2 zahteva, da mora bit izmenjava informacij narejena na varen način, ki zagotavlja zasebnost, kar pa plain tekst sporočilo, ki ga je relativno enostavno prestreč ne izpolnjuje. IMO uporaba SMS kot OTP ne bi zdržala v primeru zlorabe, kot ustrezen način zagotavljanja varnosti po PSD2.
Zato so tudi banke po večini opostile to verifikacijo, oziroma se uporablja v omejenem obsegu, recimo pri migraciji na nov aparat v kombinaciji z drugimi varnostnimi elementi.
Predvidevam da PSD3, podobno kot PSD2 ne be eksplicitno deifnirala ali je SMS ok ali ne, ampak da bo to v veliki meri odvisno od tega zakaj in kako bo SMS potencialno uporabljen.
Osnovni problem SMS v konkretnem kontekstu pa je v tem, da morata nujno bit izpolnjena dva pogoja in če imaš zgolj OTP kodo na SMS to še ni dovolj za verifikacijo online plačila. Zato je app na telefonu dejansko najenostavnejša implementacija, ker ob enem lahko izpolni pogoj something you have (sam aparat) in something you know (koda za dostop do appa) oziroma something you are (če se namesto kode uporabi biometrija). Zgolj z SMS to ne pije vode, ker plaint tekst sporočilo ni varno skladno z zahtevami PSD.
Je pa treba pazit, ker tukaj se pogovarjamo o verifikaciji spletnih plačil. Zato je tudi zahteva, da tak sistem deluje offline popolnoma zgrešena.
Sindrom ::
Zanimivo je tudi, da bo nova direktiva PSD3 odpravila določene omejitve pri avtentikaciji.
Pri trenutni PSD2 morata biti pri avtentikaciji uporabljeni dve ločeni kategoriji izmed naštetih treh, pri PSD3 pa to ne bo več zahtevano.
Lahko se bo uporabila tudi kombinacija dveh enakih skupin npr. dva gesla (2x nekaj, kar veš).
Pri trenutni PSD2 morata biti pri avtentikaciji uporabljeni dve ločeni kategoriji izmed naštetih treh, pri PSD3 pa to ne bo več zahtevano.
Lahko se bo uporabila tudi kombinacija dveh enakih skupin npr. dva gesla (2x nekaj, kar veš).
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Potrjevanje spletnega nakupaOddelek: Pomoč in nasveti | 2488 (315) | Nazz |
| » | Primerjava spletnih bank (strani: 1 2 3 )Oddelek: Loža | 20623 (2465) | delavec44 |
| » | MOJ@SKBOddelek: Loža | 5772 (2300) | Redman |
| » | Nova KBM in Abanka težave pri novi kartici (strani: 1 2 3 4 … 17 18 19 20 )Oddelek: Loža | 154140 (43406) | V-i-p |
| » | NLB ukinitev certifikatov ? (strani: 1 2 3 4 … 11 12 13 14 )Oddelek: Loža | 134614 (41623) | WizzardOfOZ |