DE102005053848B4 - Method for image-based authentication of online transactions - Google Patents
Method for image-based authentication of online transactions Download PDFInfo
- Publication number
- DE102005053848B4 DE102005053848B4 DE200510053848 DE102005053848A DE102005053848B4 DE 102005053848 B4 DE102005053848 B4 DE 102005053848B4 DE 200510053848 DE200510053848 DE 200510053848 DE 102005053848 A DE102005053848 A DE 102005053848A DE 102005053848 B4 DE102005053848 B4 DE 102005053848B4
- Authority
- DE
- Germany
- Prior art keywords
- user
- image
- central service
- transaction data
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000005540 biological transmission Effects 0.000 claims abstract description 4
- 230000004913 activation Effects 0.000 claims description 2
- 238000012015 optical character recognition Methods 0.000 claims 1
- 238000012790 confirmation Methods 0.000 description 2
- JXYWFNAQESKDNC-BTJKTKAUSA-N (z)-4-hydroxy-4-oxobut-2-enoate;2-[(4-methoxyphenyl)methyl-pyridin-2-ylamino]ethyl-dimethylazanium Chemical compound OC(=O)\C=C/C(O)=O.C1=CC(OC)=CC=C1CN(CCN(C)C)C1=CC=CC=N1 JXYWFNAQESKDNC-BTJKTKAUSA-N 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000010348 incorporation Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/12—Payment architectures specially adapted for electronic shopping systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Verfahren
zur sicheren Übermittlung von
Transaktionsdaten zwischen einem Benutzer und einem zentralen Dienst über ein
offenes Netzwerk, insbesondere über
das Internet, bei dem
a) während
eines Registrierungsprozesses zwischen dem Benutzer und dem zentralem
Dienst ein digitales Bild, z. B. ein persönliches digitales Photo des
Benutzers, als zu verwendender Informationsträger vereinbart wird,
b)
der Benutzer nach erfolgreicher Benutzer-Authentifizierung gegenüber dem
zentralen Dienst die von ihm gewünschten
Transaktionsdaten an den zentralen Dienst sendet,
c) das Bild
modifiziert wird, indem die Transaktionsdaten und weitere Informationen
für den
Benutzer sichtbar in das Bild eingebracht werden, wobei die Wiedererkennung
des ursprünglich
vereinbarten Bildes durch den Benutzer weiterhin möglich bleibt,
die Originaldaten des Bildes jedoch hinreichend verändert werden,
d)
das modifizierte Bild an den Benutzer zurückgesendet wird,
e) der
Benutzer nach Prüfung
der im Bild enthaltenen Transaktionsdaten eine TAN an den zentralen
Dienst sendet, und
f) der zentrale Dienst die...Method for the secure transmission of transaction data between a user and a central service via an open network, in particular via the Internet, in which
a) during a registration process between the user and the central service, a digital image, z. B. a personal digital photo of the user is agreed as the information carrier to be used,
b) the user, after successful user authentication to the central service, sends the desired transaction data to the central service,
c) modifying the image by visibly inserting the transaction data and other information into the image for the user, while allowing the recognition of the originally agreed image by the user, but sufficiently altering the original image data;
d) the modified image is returned to the user,
e) the user sends a TAN to the central service after checking the transaction data contained in the image, and
f) the central service the ...
Description
Die Erfindung betrifft ein Verfahren zur sicheren Übermittlung von Transaktionsdaten zwischen einem Benutzer und einem zentralen Dienst über ein offenes Netzwerk, insbesondere über das Internet.The The invention relates to a method for the secure transmission of transaction data between a user and a central service over an open one Network, especially about the Internet.
Einer starken, also sicheren Authentifizierung von Online-Transaktionen im Internet, bspw. im Bereich des „Electronic Banking", stehen im Wesentlichen zwei Aspekte entgegen: zum einen kann nicht davon ausgegangen werden, dass die IT-Sicherheitsumgebung auf der Benutzerseite vertrauenswürdig ist, zum anderen werden existierende IT-Sicherheitsmaßnahmen durch unvorsichtiges Benutzerverhalten häufig entkräftet.one strong, ie secure authentication of online transactions in the Internet, for example in the field of "Electronic Banking", are essentially two aspects: on the one hand, it can not be assumed that the IT security environment is trusted on the user side, on the other hand, existing IT security measures become imprudent User behavior often invalidated.
Eine Verstärkung der IT-Sicherheitsumgebung auf der Benutzerseite – bspw. durch die Anwendung Hardware-basierter digitaler Signaturen und/oder Verschlüsselung (s. a. HBCI) – ist in der Regel mit einem substanziellen Kostenaufwand verbunden. Neben Hard- und Softwarekosten muss der Benutzer bei Installation und Anwendung dieser zusätzlichen Komponenten in der Regel erheblich unterstützt werden. Abgesehen davon ist letztendlich auch bei solchen Maßnahmen eine vertrauenswürdige IT-Sicherheitsumgebung auf der Benutzerseite vorauszusetzen, um Angriffen mit einem hohen Angriffspotenzial widerstehen zu können.A reinforcement the IT security environment on the user side - eg. by the application of hardware-based digital signatures and / or encoding (see also HBCI) - is usually associated with a substantial cost. Next Hardware and software costs the user at installation and Application of this additional Components are usually supported considerably. Apart from this Ultimately, such measures are also a trusted IT security environment on the user side to anticipate attacks with a high To withstand attack potential.
Um dem vorgenannten Aspekten gerecht zu werden, werden in heute üblichen Verfahren zur Authentifizierung von Benutzern und Online-Transaktionen Wissensdaten eingesetzt, die nur dem Benutzer und dem zentralen Dienst, mit dem der Benutzer kommuniziert, bekannt sein dürfen. Übliche Wissensdaten sind die Benutzer-ID, ein zugehöriges Benutzer-Passwort und Einmal-Passwörter zur Absicherung einzelner Online-Transaktionen (TAN-Verfahren). Diese Wissensdaten werden dem Benutzer durch den zentralen Dienst in der Regel auf einem als vertrauenswürdigen angenommenen Weg übermittelt, z. B. per Post oder per SMS.Around To meet the above aspects, are common in today Method for authenticating users and online transactions Knowledge data used only the user and the central Service with which the user communicates may be known. Usual knowledge data are the user ID, an associated one User password and one-time passwords to secure individual Online transactions (TAN procedure). This knowledge will be the user by the central service usually on a trusted accepted Transmitted way, z. B. by mail or by SMS.
Übliche Angriffe zielen darauf die vorgenannten Wissensdaten zu stehlen, um hiermit an weitere private Daten des Benutzers zu gelangen, oder in seinem Namen – aber entgegen seinem Willen – Online-Transaktionen auszuführen. Angriffe dieser Art setzen häufig auf die Naivität des Benutzers. Hierbei wird der Benutzer beispielsweise per E-Mail mit einem fingierten Grund aufgefordert, auf einer gefälschten Webseite seine Wissensdaten einzugeben („Phishing"). Komplexere Angriffe zielen durch eine Manipulation der IT-Umgebung des Benutzers darauf, den Aufruf der Webseite des zentralen Dienstes auf eine gefälschte Webseite umzulenken („Pharming"). Hierbei kann dem Benutzer hier auch die tatsächliche Webseite des Dienstes präsentiert werden (Proxy), wobei der Angreifer die zwischen dem Benutzer und dem zentralen Dienst ausgetauschten Wissensdaten „belauscht" und sie gegebenenfalls in seinem Sinne verändert. Ein solcher „Man in the Middle"-Angriff ist auch möglich, wenn die IT-Sicherheitsumgebung des Benutzers direkt manipuliert wird („Trojaner", etc.).Usual attacks aim to steal the aforementioned knowledge data to herewith to get to further private data of the user, or in his Name - but against his will - online transactions perform. Attacks of this kind often set on the naivety the user. In this case, the user is, for example, by e-mail prompted on a fake reason with a fake reason Web page to enter its knowledge data ("phishing") More complex attacks aim a manipulation of the user's IT environment on it, the call redirect the website of the central service to a fake website ("Pharming") Users here also the actual Website of the service presented be (proxy), whereby the attacker the between the user and knowledge data exchanged with the central service "overhears" and, if changed in his mind. Such a "Man in the Middle "attack is possible, too, when the IT security environment of the user is directly manipulated becomes ("Trojan", etc.).
Auf „Phishing"-Angriffe haben diverse Banken mit der Einführung des sog. „iTAN"-Verfahrens reagiert. Bei indizierten TANs (iTANs) fragt die Bank statt nach einer beliebigen TAN auf der TAN-Liste des Benutzers nach einer bestimmten TAN. Für den Benutzer oder einen Angreifer ist nicht vorhersehbar, welche iTAN abgefragt wird. Zudem ist eine iTAN immer an eine bestimmte Transaktion gebunden, so dass eine „abgefangene" iTAN nicht für eine andere als die originäre Transaktion verwendet werden kann.On "phishing" attacks have various Banks with the introduction the so-called "iTAN" procedure. For indexed TANs (iTANs), the bank asks instead of any TAN on the user's TAN list for a particular TAN. For the user or an attacker is unpredictable, which queried iTAN becomes. In addition, an iTAN is always tied to a specific transaction, so that a "intercepted" iTAN is not for any other than the original ones Transaction can be used.
Leider bietet auch das „iTAN"-Verfahren” bei „Pharming-„, bzw. „Man in the Middle"-Angriffen keinen hinreichenden Schutz. Ein Angreifer kann die Transaktionsdaten eines Benutzers abfangen und anstelle dieser seine eigenen Transaktionsdaten an die Bank senden. Die anschließende Aufforderung der Bank zur Eingabe einer bestimmten iTAN wird durch den Angreifer an den Benutzer durchgereicht. Dieser gibt die entsprechende iTAN ein, wobei er glaubt seine eigenen Transaktionsdaten zu bestätigen. Tatsächlich werden jedoch die Transaktionsdaten des Angereifers erfolgreich bestätigt.Unfortunately also offers the "iTAN" method "at" Pharming "or" Man in the Middle "attacks no adequate protection. An attacker can use the transaction data intercept a user's and instead of this his own transaction data send to the bank. The subsequent call of the bank to enter a specific iTAN is sent by the attacker to the User passed. This enters the corresponding iTAN, where he believes to confirm his own transaction data. Actually However, the transactional data of the aggressor successfully confirmed.
Stand der TechnikState of the art
Eine Übersicht der heute üblichen Verfahren zur Authentifizierung von Online-Transaktionen – insbesondere im Bereich des „Electronic Banking” wurde in der Einleitung gegeben.An overview the usual today Method for authenticating online transactions - in particular in the field of "Electronic Banking "was given in the introduction.
Die Vereinbarung eines Benutzer-individuellen Bildes zwischen zentralem Dienst und Benutzer ist aus dem Stand der Technik bekannt. Verfahren dieser Art dienen jedoch dazu, den zentralen Dienst gegenüber dem Benutzer durch Anzeige des Benutzer-individuellen Bildes zu authentifizieren, wodurch einfachen „Phishing"-Angriffen entgegengewirkt werden kann. Im Gegensatz zum hier vorgestellten Verfahren werden weder „Man in the Middle"-Angriffe abgewehrt, noch dient das vereinbarte Bild zur Übermittlung der eigentlichen Transaktionsdaten. Ebenso muss das Original-Bild übermittelt werden, während die Original-Bilddaten in dem hier vorgestellten Verfahren außerhalb des Registrierungsprozesses niemals vollständig übermittelt werden dürfen.The Agreement of a user-individual image between central Service and user is known in the art. Method of this Art, however, serve the central service opposite the Authenticate users by displaying the user-specific image, which counteracts simple "phishing" attacks can be. In contrast to the procedure presented here neither "Man in the Middle "attacks repulsed, nor does the agreed image serve to transmit the actual Transaction data. Likewise, the original image must be transmitted be while the Original image data in the procedure presented here outside never be fully transmitted during the registration process.
Die Einbringung zusätzlicher sichtbarer oder unsichtbarer Informationen in Bilddaten ist aus dem Bereich von Wasserzeichentechnologien (Steganographie) bekannt. Hier existieren zahlreiche Verfahren, die entweder der Übermittelung einer geheimen Botschaft oder der Authentifizierung von Bildern dienen. Verfahren zum Einbringen von Wasserzeichen in Bilder oder Bilddaten werden insbesondere im Zusammenhang mit dem Urheberrechtsschutz („Digital Rights Management") eingesetzt. Die Einbringung sichtbarer Wasserzeichen dient in der Regel dazu, eine nicht-lizensierte Weiterverwendung von Bilddaten zu verhindern. So werden bei Bilddatenbanken in der Regel Bilder dargestellt, die ein deutlich sichtbares Wasserzeichen des Bilddatenbankbetreibers beinhalten. Die entsprechenden Bilder ohne Wasserzeichen müssen käuflich erworben werden.The incorporation of additional visible or invisible information in image data is well known in the field of watermarking technologies (steganography). There are numerous procedures here which serve either to convey a secret message or to authenticate images. Methods for introducing watermarks into images or image data are used in particular in connection with copyright protection ("digital rights management") .The introduction of visible watermarks is generally used to prevent non-licensed reuse of image data Usually, images containing a clearly visible watermark from the image database operator are displayed, and the corresponding images without watermarks must be purchased.
Aus
der
Bildbasierte Authentifizierung von Online-TransaktionenImage-based authentication of online transactions
Die Aufgabe der vorliegenden Erfindung besteht darin, ein Verfahren zu schaffen, dass die eingangs beschriebenen Angriffe zur Auslösung von gefälschten Online-Transaktionen erschwert oder unmöglich macht und darüber hinaus einfach zu handhaben ist.The The object of the present invention is a method to create that the attacks described above to trigger fake Making online transactions difficult or impossible and beyond easy to handle.
Diese Aufgabe wird gelöst mit einem Verfahren mit den Merkmalen des Anspruchs 1. Besondere Ausführungsformen der Erfindung ergeben sich aus den Merkmalen der Unteransprüche.These Task is solved with a method having the features of claim 1. Particular embodiments The invention results from the features of the subclaims.
Durch die Verwendung eines Bildes, über dessen vollständige Originaldaten nur der Benutzer und der zentralen Dienst verfügen, wird ein vertrauenswürdiger Informationsträger geschaffen. Das zu verwendende Bild wird während des Registrierungsprozesses festgelegt. Hier können durch den zentralen Dienst geeignete Bilder zur Auswahl angeboten werden. Alternativ übermittelt der Benutzer ein eigenes digitales Bild, dessen Eignung in Bezug auf hinreichende Größe und Varianz der Bilddaten automatisiert durch den zentralen Dienst geprüft werden kann. Ebenfalls kann eine Vorverarbeitung stattfinden, um verfahrensbezogen beispielsweise einheitliche Bildgrößen zu verwenden.By the use of an image over which full Original data only the user and the central service will have a trustworthy one information carrier created. The image to be used will be during the registration process established. here we can suitable images are offered for selection by the central service. Alternatively transmitted the user's own digital image, its suitability in relation to sufficient size and variance The image data can be automatically checked by the central service. Likewise, pre-processing may take place in order to process-related for example, to use uniform image sizes.
Das Prinzip des Verfahrens basiert auf dem Umstand, dass einem digitalen Bild zusätzliche Informationen sichtbar überlagert werden können, ohne die Möglichkeit der Wiedererkennung des Original-Bilds durch einen menschlichen Betrachter einzuschränken. Das resultierende Bild ist in Bezug auf das Original-Bild jedoch so stark verfremdet, dass ein ähnliches Bild mit anderen zusätzlichen Informationen ohne den Besitz der Original-Bilddaten nicht erzeugt werden kann. Eine Veränderung der zusätzlichen Informationen durch einen Angrei fer – insbesondere im Sinne des oben beschriebenen „Man in the Middle"-Angriffs ist somit nicht möglich. Dies gilt insbesondere dann, wenn sich die bildlichen Darstellungen der hinzugefügten Informationen überlappen. Als zusätzliche Information kann beispielsweise die Referenz auf eine bestimmte TAN (iTAN) oder – wie weiter unten dargestellt – die TAN selbst dienen.The Principle of the procedure is based on the circumstance that a digital Picture additional Information superimposed visibly can be without the possibility the recognition of the original image by a human Restrict viewers. However, the resulting image is relative to the original image so much alienated that a similar one Picture with other additional Information without the ownership of the original image data not generated can be. A change the additional Information by an aggressor - in particular in the sense of described above "Man in the Middle "attack is not possible. This is especially true when the pictorial representations the added one Overlap information. When additional For example, information can be the reference to a particular one TAN (iTAN) or - how next shown below - the TAN serve yourself.
Nicht-autorisierte Veränderungen des resultierenden Bilds wären durch den Benutzer sofort erkennbar. Gleichermaßen erkennt der Benutzer auch das durch den zentralen Dienst auf Basis der Original-Bilddaten modifizierte Bild unmittelbar als korrekt, d. h. als authentisch an.Unauthorized changes the resulting image would be instantly recognizable by the user. Likewise, the user also recognizes that modified by the central service based on the original image data Picture immediately as correct, d. H. as authentic.
Hat der Benutzer die vom zentralen Dienst übermittelten Transaktionsdaten als authentisch erkannt und sendet er seine TAN an den zentralen Dienst, kann der zentrale Dienst nach Überprüfung der TAN, wenn er diese als richtig erkannt hat, die Transaktion/den Auftrag ausführen.Has the user the transaction data transmitted by the central service recognized as authentic and sends his TAN to the central service, can the central service after checking the TAN, if he has recognized this as correct, the transaction / Execute an order.
In einer bevorzugten Ausführungsform können zwischen Benutzer und zentralem Dienst mehrere Bilder vereinbart werden. In diesem Fall kann der zentrale Dienst ein Bild aus einer Menge von Bildern für das Übersenden von Transaktionsdaten wählen, wobei er bei aufeinander folgenden Transaktionen eine bestimmte Reihenfolge von Bildern, die gegebenenfalls mit dem Benutzer vorher vereinbart wurde, einhalten kann, oder für jede Transaktion zufällig ein Bild zum Übermitteln der Transaktionsdaten zum Benutzer auswählt.In a preferred embodiment can several pictures agreed between user and central service become. In this case, the central service can take a picture from a Lot of pictures for the sending choose from transaction data, where he orders a sequence in successive transactions images, if necessary, agreed in advance with the user was, can, or for every transaction happens a picture to submit the transaction data to the user selects.
Des weiteren kann es von Vorteil sein, wenn die Transaktionsdaten in Lettern in das Bild eingebracht werden, die für ein optisches Schrifterkennungsprogramm schwer oder gar nicht entzifferbar sind.Furthermore, it may be advantageous if the transaction data are inserted in letters in the image, which are for optical writing difficult or impossible to decipher.
In einer anderen besonderen Ausprägung des Verfahrens kann die transaktionsbezogene TAN direkt und unmittelbar lesbar gemeinsam mit den zugehörigen Transaktionsdaten als Teil des Bildes übermittelt werden. Eine separate, vorherige Übermittlung von TAN-Listen an den Benutzer per Post oder SMS würde hierdurch entfallen. Hierdurch entfallt ebenfalls der administrative Aufwand zur Verwaltung von TANs. Ein Missbrauch der übermittelten TAN wird erheblich erschwert, da sie sich die TAN ausschließlich auf die gemeinsam mit ihr übermittelten Transaktionsdaten bezieht, und eine automatisierte Extrahierung der TAN durch heutige Zeichenerkennungsverfahren aufgrund der Komplexität der im Rahmen des hier vorgestellten Verfahrens verwendeten Bildverarbeitungsoperationen nicht möglich ist. Dies gilt insbesondere dann, wenn zuvor eine starke Benutzer-Authentifizierung erfolgt ist, und der Zeitraum zur Ausführung einer Transaktion nach Übermittlung des Bildes an den Benutzer begrenzt wird.In another special form of the Procedure, the transaction-related TAN can directly and immediately readable together with the associated Transaction data is transmitted as part of the image. A separate, previous transmission from TAN lists to the user by mail or SMS would thereby omitted. This also eliminates the administrative burden for managing TANs. Abuse of the transmitted TAN becomes significant complicates, since they agree with the TAN exclusively on the you submitted Transaction data, and an automated extraction the TAN due to today's character recognition process due to the complexity of the Frames of the method presented here used image processing operations not possible is. This is especially true if previously a strong user authentication is done, and the time to complete a transaction after delivery the image is limited to the user.
Als Mittel für eine starke Benutzer-Authentifizierung könnte bspw. ein SSL-Client-Zertifikat oder ein Verfahren verwendet werden, bei dem der Benutzer zur zeitlich begrenzten Freischaltung des Zugangs zum zentralen Dienst oder zur finalen Freigabe aller in Auftrag gegebenen Transaktionen zusätzlich weitere Wissensdaten z. B. per SMS an den Dienst sendet.When Funds for For example, a strong user authentication could be an SSL client certificate or a method can be used in which the user to time limited activation of access to the central service or to final release of all commissioned transactions additionally additional Knowledge data z. B. sends SMS to the service.
Weiterhin sind auch Authentizität und Integrität der Inhalte der übermittelten Daten geschützt, was bei heute üblichen Verfahren nur durch die Verwendung digitaler Signaturen, d. h. spezieller Hard- und Software (HBCI) erreicht werden kann.Farther are also authenticity and integrity the contents of the transmitted Data protected, what is usual today Method only by the use of digital signatures, d. H. special Hardware and software (HBCI) can be achieved.
Die
nachfolgende
In
- 1. Zunächst werden zwischen dem zentralen Dienst und dem Benutzer die originären Bilddaten bzw. Bilder vereinbart, die als Informationsträger vom zentralen Dienst für die Bestätigung der Transaktionsdaten verwendet werden. Dies kann einmalig geschehen, beispielsweise zu einem Zeitpunkt, zu dem zwischen einem Kontoinhaber und einer Bank vereinbart wird, dass zu einem Konto online über das Internet Trans aktionen beauftragt werden können. Es kann ein Bild, es können aber auch mehrere Bilder als Informationsträger vereinbart werden. Auch ist es möglich zu vereinbaren, dass das als Informationsträger zu verwendende Bild aus mehreren, beispielsweise vier Einzelbildern aus der Menge der vereinbarten Bilder zufällig zusammengesetzt ist.
- 1. First, the original image data or images are used between the central service and the user, which are used as information carriers by the central service for confirming the transaction data. This can be done once, for example, at a time when it is agreed between an account holder and a bank that an account can be charged online with an account via the Internet. It can be a picture, but also several pictures can be arranged as information carrier. It is also possible to agree that the image to be used as an information carrier is made up randomly from a plurality of, for example, four individual images from the set of agreed images.
Danach erfolgt die Authentifizierung von Transaktionsdaten mit den folgenden Schritten:
- 2. Der zentrale Dienst sendet zwecks Benutzer-Authentifizierung ein Login-Formular.
- 3. Der Benutzer sendet seine Authentifizierungsdaten an den zentralen Dienst.
- 4. Der zentrale Dienst sendet ein Formular zur Eingabe der Transaktionsdaten.
- 5. Der Benutzer sendet die gewünschten Transaktionsdaten an den Dienst.
- 6. Der zentrale Dienst fügt gemäß dem hier beschriebenen Verfahren die Transaktionsdaten in das unter 1. vereinbarte Bild ein und sendet dieses an den Benutzer.
- 7. Der Benutzer sendet zur Bestätigung eine Transaktionsnummer an den zentralen Dienst.
- 8. Der zentrale Dienst prüft die TAN, führt die Transaktion aus und sendet eine Bestätigung an den Benutzer.
- 2. The central service sends a login form for user authentication.
- 3. The user sends his authentication data to the central service.
- 4. The central service sends a form for entering the transaction data.
- 5. The user sends the desired transaction data to the service.
- 6. The central service, according to the method described here, inserts the transaction data into the image agreed upon under 1. and sends it to the user.
- 7. The user sends a transaction number to the central service for confirmation.
- 8. The central service checks the TAN, executes the transaction and sends a confirmation to the user.
Claims (6)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200510053848 DE102005053848B4 (en) | 2005-11-09 | 2005-11-09 | Method for image-based authentication of online transactions |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200510053848 DE102005053848B4 (en) | 2005-11-09 | 2005-11-09 | Method for image-based authentication of online transactions |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102005053848A1 DE102005053848A1 (en) | 2007-05-10 |
DE102005053848B4 true DE102005053848B4 (en) | 2009-01-15 |
Family
ID=37950025
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE200510053848 Expired - Fee Related DE102005053848B4 (en) | 2005-11-09 | 2005-11-09 | Method for image-based authentication of online transactions |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102005053848B4 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2264969A2 (en) | 2009-06-16 | 2010-12-22 | Giesecke & Devrient GmbH | Method for backing up transaction data |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102007045981A1 (en) * | 2007-09-25 | 2009-04-02 | Fiducia It Ag | Online banking system and online banking method for data-secure electronic communication |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6332193B1 (en) * | 1999-01-18 | 2001-12-18 | Sensar, Inc. | Method and apparatus for securely transmitting and authenticating biometric data over a network |
US20040024709A1 (en) * | 2002-08-05 | 2004-02-05 | Yu Paul D. | System and method for determining the identity of a party associated with a transaction |
US20040073813A1 (en) * | 2002-04-25 | 2004-04-15 | Intertrust Technologies Corporation | Establishing a secure channel with a human user |
DE10315940A1 (en) * | 2003-04-06 | 2004-11-04 | Steffens, Sebastian, Dr. | PIN-TAN authentication method for online banking in which generation of transaction numbers occurs in a self-based authorization step within an application via a secure connection between a user and his bank |
-
2005
- 2005-11-09 DE DE200510053848 patent/DE102005053848B4/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6332193B1 (en) * | 1999-01-18 | 2001-12-18 | Sensar, Inc. | Method and apparatus for securely transmitting and authenticating biometric data over a network |
US20040073813A1 (en) * | 2002-04-25 | 2004-04-15 | Intertrust Technologies Corporation | Establishing a secure channel with a human user |
US20040024709A1 (en) * | 2002-08-05 | 2004-02-05 | Yu Paul D. | System and method for determining the identity of a party associated with a transaction |
DE10315940A1 (en) * | 2003-04-06 | 2004-11-04 | Steffens, Sebastian, Dr. | PIN-TAN authentication method for online banking in which generation of transaction numbers occurs in a self-based authorization step within an application via a secure connection between a user and his bank |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2264969A2 (en) | 2009-06-16 | 2010-12-22 | Giesecke & Devrient GmbH | Method for backing up transaction data |
DE102009024986A1 (en) | 2009-06-16 | 2010-12-23 | Giesecke & Devrient Gmbh | Method for backing up transaction data |
Also Published As
Publication number | Publication date |
---|---|
DE102005053848A1 (en) | 2007-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60132931T2 (en) | ACCESS AND USE METHODS FOR WEBSITES | |
EP2454704B1 (en) | Method to read attributes from an id-token | |
EP2713345B1 (en) | Method and system for the secure input of identifying data for authenticating a transaction performed by means of a self-service terminal | |
WO2007051842A1 (en) | Method and system for transmitting data from a first data processing device to a second data processing device | |
EP2106605B1 (en) | Method and system for increasing security when creating electronic signatures using a chip card | |
DE10233297A1 (en) | Digital signing device for electronic document, only generates digital signature when user has input information | |
DE102011116489A1 (en) | A mobile terminal, transaction terminal and method for performing a transaction at a transaction terminal by means of a mobile terminal | |
EP2080147A1 (en) | Method for executing an application with the aid of a portable data storage medium | |
EP2043021A1 (en) | Online banking system and method for electronic communication that keeps data secure | |
EP1697820B1 (en) | Method for activation of an access to a computer system or to a programme | |
EP2512090A1 (en) | Method for authenticating a subscriber | |
DE102005053848B4 (en) | Method for image-based authentication of online transactions | |
WO2016041843A1 (en) | Method and arrangement for authorising an action on a self-service system | |
EP2562669A2 (en) | Method for performing a write protection operation, computer program product, computer system and chip card | |
EP3358488B1 (en) | Method for detecting unauthorised copies of a digital security token | |
DE102010052666A1 (en) | Method for safely performing e.g. bank transaction, involves receiving one-time-password at keyboard by extracting sequence from display, and comparing one-time-password with comparison one-time-password in trusted region | |
EP2920754B1 (en) | Method for carrying out transactions | |
EP3361436B1 (en) | Method for releasing a transaction | |
EP2230648A1 (en) | Single-use code mask for deriving a single-use code | |
DE102017121497A1 (en) | NETWORK TERMINATION FOR MANAGING A PASSWORD FROM A USER | |
DE102005058275B4 (en) | A method and apparatus for verifying a secure delivery of a provided document to a privacy module and method and apparatus for securely verifying authenticity of a received protected document | |
WO2019162082A1 (en) | Method for providing secure access to hardware components within a user terminal, and user terminal of this type | |
DE102005044953A1 (en) | Portable encryption device for financial transactions and/or Internet banking, has input device, where transactions are executable after display of its data record and input of data, and stored private key is not read from encryption device | |
DE102013022448B3 (en) | Electronic transaction process and computer system | |
EP2264969B1 (en) | Securing a Datatransaction Between Data-Processing Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: FIDUCIA IT AG, 76227 KARLSRUHE, DE |
|
8381 | Inventor (new situation) |
Inventor name: DAHM, PERCY,DR., 44577 CASTROP-RAUXEL, DE |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |