Diskussion:MasterCard SecureCode

Eine mögliche Redundanz der Artikel 3-D Secure und MasterCard SecureCode wurde von März 2011 bis April 2011 diskutiert (zugehörige Redundanzdiskussion). Bitte beachte dies vor der Anlage einer neuen Redundanzdiskussion.

Werbetext?

Klingt das nicht etwas wie ein Werbetext?

Doch, da hast du recht. --SirPrize 10:57, 13. Jul 2006 (CEST)

Ich sag mal so - so richtig werthaltig ist der Text nicht, noch nicht mal für einen Werbetext. Da sollte mal ein Fachmann etwas mehr Infos zu einstellen. Ein bestimmtes Produkt eines Unternehmens zu erläutern, geht m.E. allerdings immer etwas in Richtung Werbetext, solange die Vor- und Nachteile nicht detailliert beschrieben sind. --JEnnoE 17:53, 22. Aug 2006 (CEST)

Grundsätzlich schon richtig, was du geschrieben hast. Allerdings ist noch hinzuzufügen, dass bei Zahlung mit einer Mastercard bzw. Visa, die nicht für Mastercard SecureCode oder Verified by Visa angemeldet ist, trotzdem ein Zahlungsvorgang stattfindet. Es wird einfach dieses Passwort nicht abgefragt. Das Problem an dem ganzen ist nun, dass es zwar im Kommen ist, aber sich noch nicht wirklich weit verbreitet hat. Möchte man nun als Händler eines Onlineshops Mastercard bzw. Visa mit den entsprechenden Passwörtern akzeptieren, ist die Zahlungsgarantie erst dann gegeben, wenn der Kunde sich auch wirklich dafür angemeldet hat. Anders ist das bei Maestro SecureCode. Hier findet tatsächlich KEIN Zahlungsvorgang ohne dieses Passwort statt. Möchte man also in einem Webshop mittels Maestro bezahlen, hat seine Karte jedoch nicht dafür angemeldet, erhält man eine Meldung, dass eine Zahlung mit Maestro nur dann möglich ist, wenn man seine Karte dafür anmeldet. Grundsätzlich also ein sehr gutes System, sollte jedoch etwas mehr von den Unternehmen beworben werden, bedeutet es doch schließlich nicht nur die Zahlungsgarantie für den Händler sondern auch die Sicherheit für den Kunden, dass seine Karte, selbst bei Verlust, nicht missbraucht werden kann (sofern der Kunde nicht sein Passwort neben der Kreditkarte mit sich rum trägt - soll doch schon vorgekommen sein :-))

Auch die SEB-Bank bietet jetzt (theoretisch) Mastercard SecureCode an, siehe 3d-secure.seb-bank.de. Insofern stimmt die Info auf der Seite nicht mehr. Einfach ändern? (andererseits funktioniert's noch nicht...)

Kritik

Kritiker bemängeln, dass das Verfahren für den Kunden fast nur Nachteile bietet: Beim herkömmlichen Verfahren haftet im Mißbrauchsfall im Internet in der Regel nicht der Kunde. Beim Kartendatenmissbrauch mit einem z.B. durch Phishing oder einen Trojaner erlangten Securecode wird der Kunde hingegen beweisen müssen, dass ihn kein grobes Verschulden trifft. Da dieser Beweis nahezu unmöglich ist wird der Kunde für den Schaden haften müssen. Ausserdem hat sich der Kunde ein weiteres sicheres Passwort dauerhaft einzuprägen, um die Karte weiter wie gewohnt im Internet einsetzen zu können.

Da mein vorstehender Beitrag sofort wieder revertiert wurde und ich keine Langeweile habe, um ihn "mit neutralen Quellen zu belegen", stelle ich ihn hier zur Diskussion. Dass man sich ein zusätzliches Passwort merken muss ist doch zum Beispiel völlig unstrittig und hätte daher keinesfalls revertiert werden müssen. Als nichtneutrale Quellen füge ich beispielhaft an [1] und [2]. 87.153.198.65 16:49, 12. Sep. 2009 (CEST)

Die Verschiebung des Haftungsrisikos gehört auf jeden Fall in den Artikel. Allerdings müssen wir aufpassen, dass das nicht in den Bereich der Theorienfindung abdriftet: Solange es keine Präzedenzfälle gibt, sind die Auswirkungen solcher Maßnahmen ziemlich unsicher. --vwm 11:16, 21. Okt. 2009 (CEST)

Ich habe die Kritik wieder hergestellt (Quelle wurde unten genannt). Eigentlich ist ja auch der Abschnitt "Vorteil für den Kunden" reine Herstellerpropaganda, da der Secure Code für den Kunden keinerlei Vorteile bringt. --NeoUrfahraner 21:34, 1. Sep. 2010 (CEST)

Diese Argumentation finde ich ein wenig abenteuerlich, da sie ja auch alle elektronsichen Abwicklungssystem ausgeweitet werden könnte: Online-Banking, Geldabheben usw. Je unsicherer ein System ist, desto besser für den Kunden, da er dann ja nichts nachweisen muss. Bzgl. Trojaner-Angriffe gibt es Präzidenzfälle aus dem Bereich Online-Banking: Wenn der Kunde übliche Sicherheitssysteme einsetzt (Virenscanner, Online-Updates), dann habe er seine "Schuldigkeit" getan. gtsml, 19.10.2010 (nicht signierter Beitrag von 195.140.123.22 (Diskussion) 15:49, 19. Okt. 2010 (CEST))

"Je unsicherer ein System ist, desto besser für den Kunden" stimmt nicht. mTAN z.B. ist für viele Kunden komfortabler als das klassische TAN Verfahren und dennoch sicherer. Wenn man dann noch schaut, wie ausführlich in mTAN die theoretischen Risiken analysiert werden, fällt erst so richtig auf, wie naiv hier die vorgebliche Sicherheit von Secure Code geschildert wird. --NeoUrfahraner 10:22, 12. Dez. 2010 (CET)

Noch ein Beispiel fällt mir ein: Erlaubt die Kreditkartenfirma einen laufende Kontrolle des aktuellen Kartenumsatzes im Internet, so erhöht das ebenfalls die Sicherheit (Missbrauch lässt sich viel früher erkennen) und ist gleichzeitig für viele Kunden komfortabler. Unverständlicherweise verlangt MasterCard zumindest in Österreich eine SecureCode-Anmeldung, wenn der Kunde Zugriff auf die Umsatzliste haben will. --NeoUrfahraner 16:03, 24. Jan. 2011 (CET)

Unabhängige Quelle?

Kartensicherheit.de stand bis gerade als "unabhängiges Infoportal" in den Weblinks. Das Portal wird betrieben von einer EURO Kartensysteme GmbH. Die wiederum stellt sich folgendermaßen vor: „[...] ein Gemeinschaftsunternehmen der deutschen Kreditwirtschaft. Als wettbewerbsneutrale Institution sind wir mit einer Reihe von Aufgaben betraut, die im Interesse aller Banken und Sparkassen liegen.“ Also definitiv nicht unabhängig, sondern eine Interessenvertretung. Hab die Linkbeschreibung daher angepasst. --vwm 11:16, 21. Okt. 2009 (CEST)

Wissenschaftliche Diskussion und Quellen

Zu sicherheitstechnischen Aspekten des Verfahrens gab es auf der "Financial Cryptography and Data Security '10" Konferenz im Januar 2010 einen Vortrag unter dem Titel "Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication" von den Autoren Steven Murdoch, University of Cambridge und Ross Anderson, University of Cambridge. Eine Meldung dazu hat Heise.de unter [3] veröffentlicht. Unter [4] (englisch) ist das entsprechende ausführliche Paper zu finden. Vielleicht mag dies als neutrale Quelle zu den oben angesprochenen Sicherheitsproblemen dienen. -- 77.185.208.245 18:37, 2. Mär. 2010 (CET)

Redundanz?

Wo ist denn hier die Redundanz zu CVC? Dann doch viel eher redundant zu 3-D Secure --89.0.25.11 19:14, 21. Jul. 2010 (CEST)

Hab's entfernt. --NeoUrfahraner 21:17, 1. Sep. 2010 (CEST)