Die Deutsche Kreditwirtschaft (DK) setzt sich für eine Erweiterung des FIDO2-Standards ein, um die sichere Anzeige von Transaktionsdaten zu gewährleisten.

FIDO2 ist eine Spezifikation der nichtkommerziellen FIDO-Allianz für eine sichere, weltweite Multifaktor-Authentifizierung bei Web-Anmeldungen. Sie ist darauf ausgerichtet, die Privatsphäre der User bestmöglich zu schützen. Diese weisen sich über kryptografische Authentifikatoren (wie Biometrie; PINs) oder externe Authentifikatoren (wie FIDO-Keys, Wearables oder mobile Geräte) bei einem FIDO2-Server aus, der zu angewählten Webseite oder Web-App gehört.

Derzeit ermöglicht der Standard lediglich die Übermittlung eines Hash-Wertes – den Fingerabdruck eines sehr langen Datensatzes – an den Authenticator, nicht jedoch die vollständigen Transaktionsdetails. Dies stellt insbesondere in PC-Architekturen ein Sicherheitsrisiko dar. Aus diesem Grund schlägt die DK vor, dass die vollständigen Transaktionsdaten direkt an den Authenticator übermittelt und dort auf einem sicheren Display angezeigt werden.

Dadurch hätten Nutzende die Möglichkeit, die Transaktionsdetails vor der Bestätigung sicher zu überprüfen. Zudem sollte der Authentifizierungscode mit den angezeigten Daten verknüpft werden, um die Integrität der Transaktion zu gewährleisten.
Die Erweiterung der Spezifikation um eine standardisierte Schnittstelle für diese Funktionen ist wesentlich, um regulatorische Anforderungen hinreichend zu erfüllen und damit den Standard auch im Finanzsektor nutzbar zu machen.

Quelle: die-dk.de/themen/stellungnahmen/dk-stellungnahme-zur-sicheren-anzeige-transaktionsdaten-fido2-standard/