Diskussion:3-D Secure

Eine mögliche Redundanz der Artikel 3-D Secure und MasterCard SecureCode wurde von März 2011 bis April 2011 diskutiert (zugehörige Redundanzdiskussion). Bitte beachte dies vor der Anlage einer neuen Redundanzdiskussion.

Lizenzhinweis

Letzter Kommentar: vor 13 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

Dieser Baustein verhindert die automatische Archivierung dieses Abschnitts und seiner Unterabschnitte.

Diesen Hinweis bitte nicht entfernen oder archivieren und immer an erster Stelle auf dieser Diskussionsseite belassen.

Die Artikel 3-D Secure und MasterCard SecureCode haben sich thematisch überschnitten. Daher wurden aus dem Artikel MasterCard SecureCode einige Textpassagen übernommen und in 3-D Secure eingefügt.

• hier findet sich der Artikel MasterCard SecureCode zum Zeitpunkt der Übernahme
• hier findet sich die zusammengefasste Versionsgeschichte des Artikels MasterCard SecureCode.

Damit werden die Lizenzbestimmungen der GNU-Lizenz für freie Dokumentation (GNU FDL) und der CC-BY-SA 3.0 gewahrt.
NeoUrfahraner 12:05, 18. Apr. 2011 (CEST)Beantworten

Dieser Baustein verhindert die automatische Archivierung dieses Abschnitts und seiner Unterabschnitte.

Autoren von 'MasterCard SecureCode:

• 9 (8/1) NeoUrfahraner 2010-09-01 19:18 – 2011-04-12 13:03
• 4 (3/1) Edoe 2011-01-04 19:21 – 2011-04-12 10:52
• 3 (1/2) Fau.li 2010-07-05 11:57 – 2010-07-05 12:23
• 2 (0/2) Bigbug21 2008-03-07 10:28 – 2009-09-14 16:01
• 2 (1/1) Boepet 2009-11-14 14:30 – 2010-03-27 12:01
• 2 (1/1) Blauerflummi 2010-07-24 17:51 – 2010-07-24 17:54
• 2 (1/1) TKRegensburg 2008-02-13 15:56 – 2008-02-26 16:55
• 2 (1/1) MB-one 2009-01-05 20:48 – 2010-07-08 20:13
• 2 (2/0) Howwi 2009-08-24 20:31 – 2009-09-12 14:34
• 1 (1/0) Flominator 2011-01-01 11:14 – 2011-01-01 11:14
• 1 (0/1) WikiPimpi 2011-02-26 20:26 – 2011-02-26 20:26
• 1 (0/1) Giftmischer 2011-03-31 18:04 – 2011-03-31 18:04
• 1 (0/1) Blauebirke 2006-03-26 11:36 – 2006-03-26 11:36
• 1 (1/0) Hrydee 2006-11-30 09:37 – 2006-11-30 09:37
• 1 (1/0) RainerB. 2006-12-04 19:55 – 2006-12-04 19:55
• 1 (0/1) BerndP 2006-12-21 07:26 – 2006-12-21 07:26
• 1 (0/1) Leider 2007-02-01 14:41 – 2007-02-01 14:41
• 1 (1/0) Marc Zimmermann 2007-12-28 07:37 – 2007-12-28 07:37
• 1 (0/1) Millbart 2009-08-06 16:19 – 2009-08-06 16:19
• 1 (1/0) Danny Berlin 2009-08-24 19:27 – 2009-08-24 19:27
• 1 (0/1) Silkeweisheit 2010-01-12 21:00 – 2010-01-12 21:00
• 1 (1/0) Suit 2010-02-01 08:18 – 2010-02-01 08:18
• 1 (0/1) Astrobeamer 2010-04-27 00:35 – 2010-04-27 00:35
• 1 (0/1) Leyo 2010-06-18 14:35 – 2010-06-18 14:35
• 1 (0/1) Aloiswuest 2010-07-08 19:09 – 2010-07-08 19:09
• 1 (0/1) KHeitmann 2010-11-01 16:16 – 2010-11-01 16:16
• 1 (0/1) 9mag 2010-11-30 08:05 – 2010-11-30 08:05
• 1 (0/1) DampflokfanDR 2010-12-28 14:10 – 2010-12-28 14:10
• 1 (0/1) JensKohl 2006-03-16 16:13 – 2006-03-16 16:13
• 1 (1/0) Billy.shears 2006-12-04 08:50 – 2006-12-04 08:50
• 1 (1/0) Schwarzseher 2006-12-25 22:55 – 2006-12-25 22:55
• 1 (0/1) Jergen 2007-01-30 11:51 – 2007-01-30 11:51
• 1 (1/0) Muck31 2007-06-15 23:15 – 2007-06-15 23:15
• 1 (1/0) Vwm 2009-10-21 08:57 – 2009-10-21 08:57

Abschnitt Kritik

Letzter Kommentar: vor 11 Jahren12 Kommentare9 Personen sind an der Diskussion beteiligt

Mit dem Verfahren greift ja nur meine Bank mit der Angabe meiner Daten ein, wenn der Online-Shop teilnimmt. Schmuddelshops nehmen nicht teil und da benötigt man also auch keine extra Abfragen. Was ist denn das für eine Sicherheit für den Kunden, wenn der Shop sich bereiterklären muss da mit zu machen? (nicht signierter Beitrag von 91.34.165.157 (Diskussion) 01:10, 26. Nov. 2011 (CET)) Beantworten

Der von mir hinzugefügte Abschnitt "Kritik" wurde durch den Benutzer GrandpaScott gelöscht; ich halte ihn für relevant, da der bisherige Artikel sehr einseitig auf die Vorteile eingeht; ich hatte auch eine Quellenangabe hinzugefügt - ein Beitrag renommierter Forscher auf einer renommierten Konferenz. Von Vandalismus kann also keine Rede sein, und ich wäre für eine Begründung der Löschung dankbar. --109.90.68.249 19:43, 21. Jul. 2010 (CEST)Beantworten

Tja, stimmt … Denn das Verfahren ist offensichtlich nicht unumstritten, und die Kritikpunkte scheinen auch nicht aus der Luft gegriffen, sondern lassen sich beim Lesen des Papers im Großen und Ganzen auch von Laien zumindest nachvollziehen: S. J. Murdoch und R. Anderson, How Not to Design Authentication. --90.36.80.24 00:49, 21. Aug. 2010 (CEST)Beantworten

Ich habe den Abschnitt "Kritik" wieder hergestellt. Wenn man schaut, wie ausführlich Angriffe auf das relativ sichere mTan Verfahren bechrieben sind, gehört die Kritik im Sinne von WP:NPOV jedenfalls erwähnt. --NeoUrfahraner 21:11, 1. Sep. 2010 (CEST)Beantworten

Quelle für Kritik: http://www.heise.de/newsticker/meldung/Forscher-kritisieren-Kreditkartentechnik-3-D-Secure-914365.html -- 88.217.17.67 16:30, 28. Nov. 2010 (CET)Beantworten

Die Kritik sollte überarbeitet werden. Bisher erweckt sie den Eindruck, dass Kunden gar keine Chancen auf Ersatz haben. Wenn ich mir aber die Politik z.B. bei abgefischten iTan-Listen anschaue, dann ist das gar nicht so eindeutig. Oftmals bekommen Kunden sogar dann das Geld wieder, wenn sie so doof waren, am Stück 40 Tans auf einer gefälschten Seite einzugeben. Und das passiert echt öfter, als man glaubt.

Darüber hinaus liest sich der Text so, als ob es nur ein 3D-Secure-Verfahren mit Pin gäbe, die man nur abfischen müsse, um sich Zugriff zu verschaffen.

Außerdem sollte noch erwähnt werden, dass 3D-Secure reichlich intransparent wirken kann. Aus meiner eigenen Erfahrung weiß ich z.B., dass 3D-Secure-Zahlungen gelegentlich bei KLM zurückgewiesen werden, obwohl alle Daten korrekt sind. Für den Kunden, der sich in Besitz der Karte befindet erschließt sich da die Sicherheit nicht.

Wuschel11:51, 23. Mai 2011 (CEST) (ohne Benutzername signierter Beitrag von 178.25.0.117 (Diskussion) )

Wenn Du Quellen dazu hast, kann man das gerne einbauen. --NeoUrfahraner 15:13, 23. Mai 2011 (CEST)Beantworten

Thema passwort- bzw. pinfreien Variante: http://www.postbank.de/-snm-0184330278-1306160362-0201700012-0000000986-1306168537-enm-privatkunden/pk_3d_secure.html;jsessionid=8AFB065424AEBC6999F98DFE36AD8B516C6F.f091.

Zu den andren beiden Sachen: Da müsste man schauen, ob es Artikel darüber gibt. Ich kenne nur Interna und mit denen werden Banken nicht hausieren gehen. -- Wuschel 178.25.0.117 18:46, 23. Mai 2011 (CEST)Beantworten

Verstehe ich das richtig: bei der Postbank wird also nicht jedesmal, sondern nur bei "verdächtigen" Transaktionen nachgefragt. Gefragt wird dabei dann nach "persönlichen Merkmale ... in unmittelbarem Zusammenhang mit Ihrer Kundenbeziehung". Ist das dann beispielsweise der aktuelle Kontostand? --NeoUrfahraner 07:06, 24. Mai 2011 (CEST)Beantworten

Richtig. Sollten Transaktionen verdächtig erscheinen, dann werden persönliche Daten wie die PLZ des Kunden abgefragt. Soweit ich weiß, sind das nur Daten, die der Kunde nur direkt bei der Bank ändern kann. Der Kontostand fiele also nicht darunter.

Die Frage wäre natürlich, inwieweit sich eine Zwischenseite einschalten und solche Daten abfragen kann. Die technischen Hintergründe kenne ich haber nicht. Sollte es aber so simpel wie bei den Tanlisten sein, wo ja Kunden auch gern, ohne nachzudenken, zig Tans in ein Formular eingeben, dann wäre dem Missbrauch Tür und Tor geöffnet. Wuschel. 178.24.250.0 15:54, 25. Mai 2011 (CEST)Beantworten

Hab's eingebaut. Wenn da tatsächlich die PLZ abgefragt wird, so wirkt das nicht sehr beruhigend. Die PLZ lässt sich ja aus dem Namen des Kreditkarteninhabers oft leicht ergoogeln. --NeoUrfahraner 07:20, 26. Mai 2011 (CEST)Beantworten

Wenn ich noch etwas Genaueres rausfinden sollte, melde ich mich noch mal. --Wuschel 178.24.105.40 02:33, 27. Mai 2011 (CEST)Beantworten

Die Quellen für die Kritik sind von 2010 und mitlerweile also veraltet. Das Verfahren hat sich gewandelt und man kann auch nicht jeden Finanzdienstleister der dieses Verfahren anbietet in die gleiche Schublade stecken. Pop-Up Fenster gibt es nur zum Teil - die URL fehlt nicht - abgefragte Daten sind nicht leicht ermittelbar, sondern müssen von "nicht-so-intelligenten" Phishingopfern heraus gegeben werden. Dieser Abschnitt muss überarbeitet werden, da er nur auf Mutmaßungen beruht. (nicht signierter Beitrag von 77.244.100.157 (Diskussion) 10:55, 5. Okt. 2012 (CEST)) Beantworten

Sicherheit und Haftung

Letzter Kommentar: vor 11 Jahren5 Kommentare4 Personen sind an der Diskussion beteiligt

Ein passwort ist ja schon mal besser, als keins aber

• Wie stellt das VISA bzw. das Kreditkartenausgebende Institut sicher das, das Passwort nicht beim Bezahlvorgang vom Händler gespeichert wird und so in falsche Hände gerät. Es gibt bestimmt vergaberichtlinien aber kann der Benutzer prüfen ob der Händler berechtigt ist? Gibt es dann eine standartseite Website z.B. visa.de über die der Zahlungsvorgang abgewickelt wird, so das der Benutzer dieser Seite vertrauen kann?

In den Payment Card Industry Data Security Standard ist ganz klar definiert, wer welche Daten bei Kreditkarten speichern darf und wie das zu schützen ist. Daran müssen sich auch die Händler halten. Fragt sich wie die Kontrolle aussieht, wenn man immer wieder mal von Fällen gehört hat, dass ein Händler gehackt und seine Datenbank ausgelesen wurde. -- 88.217.17.67 16:28, 28. Nov. 2010 (CET)Beantworten

Bei Sparkassen, Volks- und Raifeisenbanken, norisbank und Deutsche Bank ist der Dienstleister, der die 3-D Secure Überprüfung/Registrierung/Passwort-Abfrage vornimmt, die Firma Arcot Systems. Man kommt als Karteninhaber also auf deren Seiten vorbei. Intelligenter Weise (sic) wird deren Seite meistens eingebettet, was das Phisingrisiko noch erhöht. Beispiel: https://secure4.arcot.com/vpas/DeutscheBank/enroll/index.jsp?locale=de_DE&bankid=7074 -- 88.217.17.67 16:28, 28. Nov. 2010 (CET)Beantworten

• Haftet der Benutzer jetzt auch im Zweifel für Betrugsfälle, er kann ja nicht beweisen, dass er sein Passwort nicht weitergegeben hat. (nicht signierter Beitrag von 91.48.145.126 (Diskussion) 14:22, 4. Nov. 2010 (CET)) Beantworten

Der Artikel beinhaltet noch nicht den Umstand dass der Kreditkarteninhaber bei der Registrierung für den Dienst auch eine persönliche Anrede (z.B. Spitzname) festlegen kann. Somit kann man bei der Abfrage sehr wohl erkennen ob die Anfrage vom Kreditkartenherausgeber oder einer Phishing-Seite kommt. (nicht signierter Beitrag von 62.156.2.25 (Diskussion) 12:18, 3. Jun. 2012 (CEST)) Beantworten

Mag sein, aber das überträgt eben noch mehr Verantwortung auf den Kreditkarteninhaber statt auf die KK-Gesellschaft. --NeoUrfahraner (Diskussion) 07:38, 4. Jun. 2012 (CEST)Beantworten

Zeitpunkt der Einführung

Letzter Kommentar: vor 13 Jahren2 Kommentare2 Personen sind an der Diskussion beteiligt

Hallo! Anmerkung: Sollte der Artikel nicht eine Anmerkung zum Zeitpunkt der Einführung oder Entwicklung wenigstens irgendeinen Hinweis darauf enthalten? Wenn es jemanden leicht fällt soetwas niederzuschreiben, wäre das sehr informativ. Ich gehe mal davon davon aus, dass es relativ neu ist, wenn ich die Daten der Diskussionsbeiträge so sehe. Hintergrund: Ich habe heute erstmals das Verfahren "Verified by Visa" anwenden müssen und mich registriert. Ich hatte nie zuvor davon gehört. Die Registrierungsseiten waren schlecht übersetzt und ich war allgemein skeptisch. Daher habe ich es auf Wikipedia nachgeschlagen. (nicht signierter Beitrag von 12.169.255.2 (Diskussion) 21:41, 15. Jan. 2011 (CET)) Beantworten

Beim Zusammenführen mit Master Card Secure Code hab ich den Abschnitt "Verbreitung" übernommen. Das sollte zumindest zum Teil reichen. --NeoUrfahraner 16:20, 19. Apr. 2011 (CEST)Beantworten

"Technisch"

Letzter Kommentar: vor 12 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

Der Nachsatz "Technisch beruht das Verfahren auf einem XML Protokoll." ist nichtssagend, da er in keiner Weise der komplexen Funktion gerecht wird. Auch der Begriff "Protokoll" passt hier vom Detailniveau überhaupt nicht. Wenn überhaupt, sollte die Technik in einem eigenen Absatz, übersichtlich und verständlich erklärt werden. Habe den Satz entfernt und bitte das zu übernehmen. (nicht signierter Beitrag von 88.73.53.176 (Diskussion) 18:04, 23. Okt. 2011 (CEST)) Beantworten

Änderung 10:14, 14. Dez. 2011‎

Letzter Kommentar: vor 12 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

Die Änderung klingt sehr nach Propaganda. Revert? --NeoUrfahraner 18:49, 14. Dez. 2011 (CET)Beantworten

altes phone - keine apps einsetzbar

Letzter Kommentar: vor 4 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

Hallo, mich interessiert, wie das mit einem alten und sehr einfachen phone von NOKIA, beispielsweise, funktionieren soll. Damit kann man keine apps nutzen, personenerkennung über die augen geht auch nicht - damit telefoniert man und sendet nur sms. touch id geht auch nicht. nur mal so gefragt. PS ich habe auch keine lust mir ein aktuelles smartphone zu kaufen - brauche es nicht. --Maxim Pouska (Diskussion) 14:31, 12. Jul. 2019 (CEST)Beantworten