Hadmut Danisch
Ansichten eines Informatikers

„3D-Authentifikation ist fehlgeschlagen.“

Hadmut
9.3.2022 19:39
Uncategorized

Wer baut sowas?

Manchmal könnt’ ich schier durchdrehen.

Ich wollte etwas online bezahlen.

Man sollte meinen, das wäre im Jahr 2022 kein so großes Problem. Ich zahle sehr, sehr oft online (um das Wort „öfters“ zu vermeiden), und normalerweise ist das per Paypal oder per Amazon Pay gar kein Problem. Sache von Sekunden, schnell, robust. Bisher keine Probleme.

Nun bin ich aber in der EU.

Und der Anbieter, der mir etwas (virtuelles) verkaufen wollte, akzeptierte nur Kreditkarten.

Nun habe ich zwei Kreditkarten. Die meiner Hausbank, und die einer anderen Bank.

Eigentlich meide ich die Kreditkarte meiner Hausbank für Online-Zahlungen, weil die so ein völlig beklopptes System haben, die Online-Zahlung zu verifizieren, was die EU vorschreibt. Heißt irgendwie so 3D-Authentification und heißt wohl soviel, dass die Kreditkarte allein (falls man sie gestohlen oder geklaut hat) nicht zur Zahlung reichen soll, sondern die Banken noch irgendwas turnen sollen.

Meine Hausbank macht das ziemlich bekloppt. Man kommt auf die fremde Webseite irgendeines Zahlungsdiensleisters, den man nicht kennt, der dann klein und hässlich das Logo der Bank anzeigt und einen zur Eingabe des Online-Banking-Passwortes (mit dem alleine man allerdings auch nicht reinkommt, man braucht da noch eine App mit einem Code, mit dem man sich allerdings neue App-Codes zuschicken lassen kann) auffordert, also wie so eine richtig dreckig-schlechte Phishing-Seite daherkommt. Da stehe ich davor und denke mir: Wer baut sowas?

Die andere Bank macht es etwas besser. Da nämlich muss man sich komplett am Zahlungsvorgang vorbei auf der Bankwebseite (oder mit deren App) einloggen und die Zahlung freigeben, läuft also nicht in eine Phishing-Gefahr. Kompliziert, nervig, aber zumindest mal nicht offensichtlich sicherheitslöchrig.

Also verwendete ich diese Kreditkarte, bekam aber immer nur die Fehlermeldung

3D-Authentifikation ist fehlgeschlagen. Die Richtlinien dieses Verkäufers erfordern eine erfolgreiche 3D-Authentifikation.

Nix auf der Webseite zu bestätigen, nix auf der App, kommt nichts, man hätte auch keine Chance, weil die Fehlermeldung sofort kommt. Kein Timeout.

Der erste Satz der Fehlermeldung ist grammatikalisch falsch (das Pronomen fehlt). Der zweite Satz ist sachlich falsch (die EU erfordert es, nicht der Verkäufer, der hat damit nämlich gar nichts zu tun, sondern das an einen Dienstleister ausgelagert.)

Nachdem es auch im dritten Versuch nicht funktioniert hat, und meine Hausbank das in ihrer enormen Dusseligkeit immerhin auf ihrer Webseite so beschreibt, dass sie das will, dass man das Bankpasswort auf einer fremden Webseite einer fremden Domain eingibt, weil die doch das Bank-Logo auf der Webseite zeigen (man möchte in die Tischplatte beißen), dachte ich mir, wenn die das so wollen, probiere ich es mal, weil es anders gerade gar nicht geht, man damit alleine nicht viel Unfug anstellen und ich es ja auch gleich ändern kann. Wenn man das Passwort eingibt, muss man die Zahlung dann noch ein weiteres Mal über die App bestätigen. Also kein direktes Missbrauchspotential über den Passwortdiebstahl, aber trotzdem eine enorm schlechte Fehlkonstruktion, das Bankpasswort auf einer fremden Webseite eingeben zu müssen.

Die App erkennt aber gerade meinen Fingerabdruck nicht, also aus dem Passwortmanager das App-Passwort ausgesucht und von Hand eingetippt.

Leider, leider, zu lang gebraucht. Hat ja auch alles Timeouts. Weil man aus irgendwelchen Gründen unterstellt, dass der Kunde diesen Hindernisparcours, den man da aufgebaut hat, so im Galopp durchlaufen könnte.

There was an error processing the payment. Please go back and try again.

Insgesamt bin ich jetzt zum mindestens achten Mal auf der Anmeldeseite zu dem, was ich kaufen will. Wo man jedesmal, wenn die Zahlung fehlschlägt, den ganzen Anmeldesermon neu eingeben muss. Darunter das Passwort, weil der Browser die Passwortwiederholung nicht automatisch ausfüllt und sich irgendwer wohl aus Sicherheitsgründen dachte, dass es eine gute Idee wäre, copy-paste bei der Passworteingabe zu unterbinden.

Insgesamt habe ich jetzt über 30 Minuten, zwei Rechner, zwei Handys (weil ich die Bank-Apps nicht auf meinem normalen Handy habe, wo SMS ankommen) gebraucht und ein Passwort auf einer fremden Seite eingeben müssen, um eine Online-Zahlung (dreistelliger Betrag) leisten zu können.

Weil die EU eine „3D-Authentication“ vorschreibt und dann meint, die Banken sollen sich selbst irgendwas ausdenken, und natürlich jede was anderes. Die eine Bank hält es nicht für nötig, ihr System kontinuierlich am Laufen zu halten, obwohl es prinzipiell besser ist. Das der anderen funktioniert kontinuierlich und zuverlässig, ist aber eine Sicherheitskatastrophe. Und die EU freut sich, weil es das ist, was sie gefordert hat.

Wer baut so eine Scheiße?

Wir sind doch im Ganzen, auf EU-Ebene, zu blöd, zu dämlich, zu unfähig, ein ordentliches Online-Zahlungssystem zu bauen.

Paypal und Amazon Pay funktionieren bisher nach meinen Erfahrungen problemlos (allerdings polititisiert, Paypal sperrt ja willkürlich Konten und behält Kontostände ein), schnell, komfortabel, aber die sind halt nicht in der EU gemacht. Warum schaffen die das bei Paypal, dass ich eine Zahlung auf einer Händlerwebseite anstoße, die Zahlungsangelegenheiten aber trotzdem auf der Webseite von Paypal selbst abwickeln kann, um danach auf die Webseite des Händlers zurückzukehren, nicht aber die hiesigen Banken?

Und dann wundern die sich, warum die Leute alle zu Paypal und Amazon Pay gehen?

Was arbeiten da für Leute, die so einen Murks zusammenrühren?