What is 3D secure 2.0?

Online payments have revolutionized how we shop and do business.

But they have also opened the door to a new kind of crime. Annual worldwide eCommerce fraud is estimated to be at 48 Billion dollars this year.

One of the best defenses against it is 3D Secure 2.0.

Let's take a look at what it is, what its predecessor (and contemporary) 3D Secure is, and more. We also explain how it relates to Strong Customer Authentication.

What is 3D Secure?

3D Secure (3DS) is an authentication protocol used for online payments and mobile payments.

The earliest version of it appeared in 1999. It provided an advanced extra layer of security for cardholders and merchants.

'3D' refers to the 'three domains' involved in the authentication process. These three domains are the card issuer, the merchant, and the 3D Secure infrastructure:

1. The card issuer is the financial institution that issues a debit or credit card to the customer, i.e., the ca`rdholder's bank
2. The merchant is the business that will receive the payment
3. The 3D Secure infrastructure is the layer of added security between customers and merchants through the card issuer.

3D Secure is implemented to prevent and reduce fraud. It does this primarily by placing additional authentication factors into the transaction process.

Is implementing 3D Secure mandatory?

The Financial Conduct Authority's Strong Customer Authentication (SCA) regulation requires the use of 3D Secure for all online transactions in the European Economic Area (EEA).

In other international regions, it is optional but highly encouraged.

How does the 3D Secure process appear to the customer?

When a cardholder enters their card details to confirm a payment, they might be redirected to an authentication page or portal.

This is where the issuing bank will ask the customer for additional verification with a static password.

Authentication pages are typically co-branded by the given card network. These are usually familiar and trusted brand names from the major card schemes, such as Visa Secure, American Express' SafeKey, and Mastercard's Identity Check.

After completing authentication, the customer will be redirected to the checkout page. The customer and merchant will see the authentication result.

What is 3D Secure 2.0?

3D Secure 2.0 is a security protocol for online transactions that provides higher level identity verification information than standard 3D Secure.

It is designed by some of the major card networks to address some of the shortcomings of the original version released in 2016.

It has a less disruptive authentication process, better user experience and a higher level of security than the original version for reduced risk.

Its mass adoption has taken place alongside the consumer shift to using mobile devices and online shopping.

How does 3D Secure 2.0's authentication protocol work?

1. Initial assessment

It performs high-risk based authentication on an access control server (ACS) - an advanced type of server that that can validate credentials and control access to resources.

Using 3D Secure 2.0, a cardholder's issuing bank can quickly assess a transaction's risk levels. It looks at a wealth of rich data, including merchant's contextual data, the cardholder's previous transactions, etc.

2. 1. Immediate authorization of authentication

If each authentication standard is met, the initial transaction process can be completed with no additional cardholder input.

2. 2. Additional customer authentication

If the protocol raises a red flag indicating a high risk rather than a normal transaction risk, an advanced layer of security is requested from the person trying to make the transaction.

At checkout they will be sent through a 'challenge flow'. This will be an iframe (an element within a html page) which uses the entire existing browser window or just part of it. Here, the customer is asked to provide additional information for authentication.

What are the differences between 3D Secure and 3D Secure 2.0?

1. Customer experience

Ein Ziel der Version 2.0 ist es, einen einfacheren Checkout-Prozess zu bieten als das ursprüngliche 3D Secure.

Dies geschieht, indem der Challenge Flow direkt in den Browser und den mobilen Checkout Flow eingebettet wird, ohne dass eine Seitenumleitung erforderlich ist. Die Authentifizierung von Zahlungen mit 3D Secure erfordert dagegen eine Weiterleitung.

2. Reibungslose Authentifizierung

3D Secure 2.0-Zahlungen bieten ein reibungsloseres Authentifizierungserlebnis als 3D Secure-Zahlungen.

Im Zahlungsverkehr bezieht sich der Begriff"reibungslos" auf Zahlungsprozesse, die einfach, schnell und bequem sind.

In diesem Fall kann eine Authentifizierungsanfrage als Reibung angesehen werden, da sie eine Transaktion verkompliziert und verlangsamt. Dies kann dazu führen, dass Nutzer/innen Online-Kartenzahlungen am Point-of-Sale (POS) aufgeben.

3D Secure erfordert Zwei-Faktoren-Authentifizierungsmaßnahmen wie statische Passwörter und Pop-up-Fenster. 3D Secure 2.0 hingegen authentifiziert Transaktionen an der gleichen digitalen Stelle und mit weniger Eingaben des Karteninhabers (siehe unten, "Authentifizierungsmethoden").

Dieser Unterschied wirkt sich auf den Umsatz aus. Laut Visa reduziert die Verwendung des 3D Secure 2.0-Protokolls die Zahl der Kartenabbrüche um 70 % und die Checkout-Zeiten um 85 %.

3. Mobile Integration

3D Secure 2.0 verfügt über eine zusätzliche mobile SDK-Komponente (Software Development Kit). Sie ermöglicht es Händlern, einen In-App-Authentifizierungsablauf zu erstellen und Browserumleitungen zu vermeiden.

Diese Funktion macht den mobilen Checkout schneller und nahtloser.

4. Authentifizierung bei Nicht-Zahlung

Im Gegensatz zu 3D Secure kann 3D Secure 2.0 nicht nur zur Überprüfung von Online-Käufen und -Transaktionen verwendet werden. Die Authentifizierungsfunktionen für Nicht-Zahlungen ermöglichen es den ausstellenden Banken, den Karteninhaber zu verifizieren, ohne dass dieser einen Online-Kauf tätigt.

Damit kannst du z.B. eine Debit- oder Kreditkarte zu einer mobilen Geldbörse hinzufügen. Die kartenausgebende Bank verifiziert die Informationen des Karteninhabers und des Geräts durch einen reibungslosen Ablauf, um Betrug zu verhindern.

5. Authentifizierungsmethoden

Die 3D Secure-Authentifizierung beruht auf der manuellen Eingabe von Passwörtern oder einem PIN-Code, um die Identität eines Kunden zu überprüfen.

3D Secure 2.0 bietet verschiedene Methoden zur Kundenauthentifizierung, wie biometrische Authentifizierung (Fingerabdruck oder Gesichtserkennung), Einmalpasswörter oder PINs.

Weniger Unterstützung, geringere Kosten

Menschen vergessen oft Passwörter. Eine Studie von Google aus dem Jahr 2019 ergab, dass 75 % der Befragten angaben, frustriert zu sein, weil sie den Überblick über Passwörter behalten müssen.

Eine der negativen Folgen davon ist, dass 24 % sich für gängige und leicht zu merkende Passwörter wie "Passwort", abc123, 111111 usw. entscheiden. Das ist natürlich kein effektiver Schutz vor Betrug.

Ein weiteres negatives Ergebnis ist der Kundensupport oder die Systeme, die benötigt werden, um die Passwörter von legitimen Kunden abzurufen oder zurückzusetzen.

3D Secure und 3D Secure 2.0 können zusammenarbeiten

Viele Zahlungsdienstleister bieten beide Versionen von 3D Secure als Option für ihre Kunden an.

Sie können zusammenarbeiten, um einen sicheren und flexiblen Authentifizierungsprozess zu ermöglichen.

Dies hängt von der Risikostufe der Transaktion und den Möglichkeiten der ausstellenden Bank des Kunden ab.

Der Authentifizierungsprozess kann zum Beispiel mit 3D Secure 2.0 beginnen und dann für eine zusätzliche Authentifizierung über die Standardpasswort- oder PIN-Eingabe zu 3D Secure weitergeleitet werden.

Die 3D Secure 2.0 Lösung von Nuvei

Mit Nuvei ist dein Unternehmen durch leistungsstarke Betrugserkennung und -prävention geschützt.

Unsere Software ermöglicht es dir, starke Kundenauthentifizierung (SCA), Sicherheit und Konversionen für dein E-Commerce-Geschäft in Einklang zu bringen.

Du kannst jeden Zahlungsstrom automatisch durch unseren hochmodernen Authentifizierungsprozess leiten, der auf Ausnahmen, Regeln und individuellen Risikobewertungen basiert.

Wir bieten eine bankenunabhängige Lösung an, die dir dabei hilft, die Komplexität von 3D Secure 2.0 zu bewältigen, wie es die marktrechtlichen Beschränkungen und die PSD2 SCA-Vorschriften verlangen.

Zusammenfassung

3D Secure ist ein Sicherheitsprotokoll, das zur Authentifizierung von Online-Zahlungen verwendet wird. Seit 1999 verhindert und reduziert es Zahlungsbetrug durch zusätzliche Authentifizierungsfaktoren.

Der Authentifizierungsprozess umfasst die Weiterleitung zu einer Authentifizierungsseite oder einem Portal, auf dem die ausstellende Bank eine zusätzliche Verifizierung wie die Eingabe eines registrierten Passworts verlangt.

3D Secure 2.0 ist die nächste Version des Protokolls. Es behebt einige Mängel der ursprünglichen Version und bietet einen weniger störenden Authentifizierungsprozess, ein besseres Nutzererlebnis und ein höheres Maß an Sicherheit.

Zu den wichtigsten Unterschieden zwischen 3D Secure und 3D Secure 2.0 gehören die Verbesserung des Kundenerlebnisses, die reibungslose Authentifizierung, die Integration mobiler Geräte, die Authentifizierung ohne Zahlung, die Authentifizierungsmethoden und die geringeren Kosten.

Beide profitieren von den Karteninhabern und können sogar nahtlos zusammenarbeiten.