DE102017118488B4 - Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers und Authentifizierungssystem zur Authentifizierung einer Mobiltelefonnummer eines Benutzers - Google Patents

Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers und Authentifizierungssystem zur Authentifizierung einer Mobiltelefonnummer eines Benutzers Download PDF

Info

Publication number
DE102017118488B4
DE102017118488B4 DE102017118488.0A DE102017118488A DE102017118488B4 DE 102017118488 B4 DE102017118488 B4 DE 102017118488B4 DE 102017118488 A DE102017118488 A DE 102017118488A DE 102017118488 B4 DE102017118488 B4 DE 102017118488B4
Authority
DE
Germany
Prior art keywords
authentication
user
phone number
mobile phone
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102017118488.0A
Other languages
English (en)
Other versions
DE102017118488A1 (de
Inventor
Niels Oeft
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ad Portable GmbH
Original Assignee
Ad Portable GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ad Portable GmbH filed Critical Ad Portable GmbH
Priority to DE102017118488.0A priority Critical patent/DE102017118488B4/de
Publication of DE102017118488A1 publication Critical patent/DE102017118488A1/de
Application granted granted Critical
Publication of DE102017118488B4 publication Critical patent/DE102017118488B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Abstract

Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers, wobei das Verfahren durch einen Authentifizierungsserver (30) durchgeführt wird und folgende Schritte umfasst:Empfangen einer Authentifizierungsanfrage zum Authentifizieren einer Mobiltelefonnummer eines Benutzers (60), wobei die Authentifizierungsanfrage von einem Server zum Durchführen eines Transaktionsvorgangs empfangen wird;Erzeugen einer ersten Nachricht mit einer ersten Authentifizierungsinformation (62);Senden der ersten Nachricht an den Benutzer (64) zur Anzeige der ersten Nachricht auf einem Bildschirm eines Computer oder eines Mobiltelefons des Benutzers (20);Empfangen einer zweiten Authentifizierungsinformation mittels einer zweiten Nachricht in Form einer short-message-service-Nachricht von der Mobiltelefonnummer (66),sowieVergleichen der empfangenen zweiten Authentifizierungsinformation mit der ersten Authentifizierungsinformation (68);Erzeugen eines positiven Authentifizierungssignals welches anzeigt, dass die Mobiltelefonnummer erfolgreich authentifiziert wurde, wenn die zweite Authentifizierungsinformation mit der ersten Authentifizierungsinformation übereinstimmt (70), undErzeugen eines negativen Authentifizierungssignals welches anzeigt, dass die Mobiltelefonnummer nicht erfolgreich authentifiziert wurde, wenn die zweite Authentifizierungsinformation nicht mit der ersten Authentifizierungsinformation übereinstimmt (72); undErzeugen eines negativen Authentifizierungssignals welches anzeigt, dass die Mobiltelefonnummer nicht erfolgreich authentifiziert wurde, wenn die zweite Authentifizierungsinformation nicht innerhalb eines vorgegeben Zeitlimits empfangen wird; undSenden des positiven oder negativen Authentifizierungssignals an den Server zum Durchführen des Transaktionsvorgangs durch den Benutzer.

Description

  • Die Erfindung betrifft ein Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers und ein Authentifizierungssystem zur Authentifizierung einer Mobiltelefonnummer eines Benutzers.
  • Eine Vielzahl von Authentifizierungsverfahren von Mobiltelefonnummern bzw. Handynummern ist bekannt. Immer mehr Dienstleistungen und/oder Verkäufe werden heutzutage über das Internet, Mobilfunk etc. abgewickelt. Hierbei ist wesentlich, dass der Benutzer bzw. Kunde über seine Mobiltelefonnummer authentifiziert wird. Dies gilt nicht nur, aber insbesondere bei Bezahlung von Dienstleistungen und/oder Gütern über die Mobilfunkrechnung.
  • Bei bisher bekannten Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers, z.B. dem mTAN-Verfahren (mobile-Transaktionsnummer-Verfahren), wird oftmals nach dem Starten des Authentifizierungsverfahrens eine SMS an die Mobiltelefonnummer eines Mobiltelefons des Benutzers bzw. Kunden gesandt. Die SMS kann z.B. mittels Schadsoftware (Trojaner oder ähnlichem), die sich auf dem Mobiltelefon des Benutzers bzw. Kunden befindet, jedoch abgefangen und/oder an Dritte weitergegeben werden, die TAN kann von Dritten z.B. auf der Webseite des Online-Shops oder der Bank eingegeben werden und folglich das Authentifizierungsverfahren durchgeführt werden, ohne dass der Benutzer bzw. Kunde etwas hiervon mitbekommt bzw. zunächst erfährt.
  • Auch ist es möglich, dass der Benutzer durch Dritte durch schriftliche oder mündliche Kommunikation dazu gebracht wird, die per SMS erhalte Transaktionsnummer weiterzugeben. Auf diese Weise kann der Dritte eine Authentifizierung des Benutzers durchführen, ohne dass der Benutzer bzw. Kunde etwas hiervon mitbekommt bzw. zunächst erfährt.
  • Diese Probleme gibt es insbesondere, wenn die Bezahlung einer Ware und/oder Dienstleistung über die Mobilfunkrechnung stattfindet. D.h., wenn mit der Authentifizierung zugleich eine Autorisierung verbunden ist.
  • US2005/0239447 A1 zeigt das Erstellen eines Kontos über ein mobiles Gerät. Eine Anforderung zum Erstellen eines Kontos wird von einem Benutzer über ein mobiles Gerät gemäß eines drahtlosen Kommunikationsprotokolls empfangen. Als Antwort wird eine Bestätigungsnachricht an das mobile Gerät gesendet, um dem Benutzer eine Challenge anzuzeigen. Diese Challenge wird von dem Benutzer über das mobile Gerät empfangen und es wird ermittelt, ob die empfangene Challenge der zugestellten Bestätigungsnachricht entspricht. Das Konto wird für den Benutzer erstellt, wenn festgestellt wird, dass die empfangene Antwort auf die zugestellte Bestätigungsnachricht entspricht.
  • US2016/0224970 A1 offenbart ein Betrugspräventionssystem für elektronische Transaktionen. Eine SMS wird für die Authentifizierung benutzt.
  • US2009/0111424 A1 offenbart ein System zum Erstellen einer authentifizierten Netzwerkverbindung in einem paketvermittelten Netzwerk.
  • Der Erfindung liegt daher die Aufgabe zu Grunde, ein Authentifizierungsverfahren bzw. ein Authentifizierungssystem aufzuzeigen, das eine besonders sichere technisch einfache Authentifizierung einer Mobiltelefonnummer ermöglicht.
  • Diese Aufgabe wird durch die Gegenstände der unabhängigen Ansprüche 1 und 8 gelöst.
  • Es wird ein Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers beschrieben, wobei das Verfahren folgende Schritte umfasst: Senden einer Authentifizierungsanfrage an einen Authentifizierungsserver; Erzeugen einer ersten Nachricht mit einer ersten Authentifizierungsinformation durch den Authentifizierungsserver; Senden der ersten Nachricht an den Benutzer; Empfangen einer zweiten Authentifizierungsinformation von der Mobiltelefonnummer durch den Authentifizierungsserver mittels einer zweiten Nachricht in Form einer short-message-service-Nachricht; Vergleichen der zweiten Authentifizierungsinformation mit der ersten Authentifizierungsinformation; und Erzeugen eines positiven Authentifizierungssignals, wenn die zweite Authentifizierungsinformation mit der ersten Authentifizierungsinformation übereinstimmt, oder Erzeugen eines negativen Authentifizierungssignals, wenn die zweite Authentifizierungsinformation nicht mit der ersten Authentifizierungsinformation übereinstimmt.
  • Ein Vorteil hiervon ist, dass ein reines Weitergeben von Informationen, die der Benutzer erhalten hat, an Dritte diesen nicht erlaubt, die Mobiltelefonnummer des Benutzers (erfolgreich) zu authentifizieren. Auch ein Abfangen einer SMS bzw. der ersten Authentifizierungsinformation, die zu dem Benutzer gesandt wird, reicht nicht aus, um das Authentifizierungsverfahren für die Mobiltelefonnummer des Benutzers erfolgreich abzuschließen. Dritte können nur dann das Authentifizierungsverfahren für die Mobiltelefonnummer des Benutzers erfolgreich beenden, wenn sie neben dem Zugriff auf die erste Authentifizierungsinformation auch noch Zugriff auf das zu der Mobiltelefonnummer gehörende Mobiltelefongerät bzw. dessen Schnittstelle zum Versenden von short-message-service-Nachrichten bzw. das zu der Mobiltelefonnummer gehörende SIM (subscriber identity module) haben. Um eine Authentifizierung der Mobiltelefonnummer des Benutzers ohne bewussten bzw. manuellen Eingriff des Benutzers erfolgreich durchzuführen, müsste auf dem Mobiltelefongerät des Benutzers eine bösartige Software (z.B. ein Trojaner oder ähnliches) installiert sein, die in der Lage ist, die erste Authentifizierungsinformation der ersten Nachricht zu entnehmen und SMS-Nachrichten zu versenden. Somit ist das Vorhandensein einer bösartigen Software auf dem Mobiltelefongerät des Benutzers, die lediglich Daten an Dritte weitergibt, nicht ausreichend, um die Authentifizierung der Mobiltelefonnummer des Benutzers erfolgreich durchzuführen. Eine höhere Sicherheit bzw. Zuverlässigkeit ist insbesondere gegeben, wenn nach der Authentifizierung eine Transaktion, z.B. eine Bezahlung in einem Onlineshop für eine Ware und/oder Dienstleistung, durchgeführt wird, die über die Mobilfunkrechnung des Benutzers abgerechnet wird. Dadurch, dass die Rufnummer bzw. Mobiltelefonnummer, insbesondere die A-Teilnehmerkennung, beim Senden bzw. Empfangen einer SMS übertragen wird, ist die Mobiltelefonnummer des Benutzers eindeutig bestimmt und eindeutig authentifizierbar. Somit kann das Authentifizierungsverfahren nicht mittels eines (externen) Massenversandtools erfolgreich durchgeführt werden, da die SMS mit der entsprechenden Rufnummer nur von der im Netz registrierten SIM aus möglich ist.
  • Insbesondere wird auch ein Authentifizierungssystem zur Authentifizierung einer Mobiltelefonnummer eines Benutzers beschrieben, wobei das Authentifizierungssystem folgendes umfasst: - eine erste Empfangsvorrichtung zum Empfangen einer Authentifizierungsanfrage an einen Authentifizierungsserver, wobei der Authentifizierungsserver zum Erzeugen einer ersten Nachricht mit einer ersten Authentifizierungsinformation ausgebildet ist, - eine Sendevorrichtung zum Senden der ersten Nachricht an den Benutzer, - eine zweite Empfangsvorrichtung zum Empfangen einer zweiten Authentifizierungsinformation von der Mobiltelefonnummer des Benutzers durch den Authentifizierungsserver mittels einer zweiten Nachricht in Form einer short-message-service-Nachricht, - eine Vergleichsvorrichtung zum Vergleichen der ersten Authentifizierungsinformation mit der zweiten Authentifizierungsinformation, und - eine Erzeugungsvorrichtung zum Erzeugen eines negativen oder positiven Authentifizierungssignals, wobei die Erzeugungsvorrichtung derart ausgebildet ist, dass die Erzeugungsvorrichtung dann ein positives Authentifizierungssignal erzeugt, wenn die Vergleichsvorrichtung feststellt, dass die von der Mobiltelefonnummer des Benutzers empfangene zweite Authentifizierungsinformation mit der ersten Authentifizierungsinformation übereinstimmt, und die Erzeugungsvorrichtung dann ein negatives Authentifizierungssignal erzeugt, wenn die Vergleichsvorrichtung feststellt, dass die von der Mobiltelefonnummer des Benutzers empfangene zweite Authentifizierungsinformation nicht mit der ersten Authentifizierungsinformation übereinstimmt.
  • Ein Vorteil dieses Authentifizierungssystems ist, dass ein reines Weitergeben von Informationen, die der Benutzer erhalten hat, an Dritte diesen nicht erlaubt, eine Authentifizierung für die Mobiltelefonnummer des Benutzers erfolgreich abzuschließen. Auch ein Abfangen einer SMS bzw. der ersten Authentifizierungsinformation, die zu dem Benutzer gesandt wird, reicht bei diesem Authentifizierungssystem nicht aus, um die Authentifizierung für die Mobiltelefonnummer des Benutzers erfolgreich abzuschließen. Dritte können nur dann die Authentifizierung erfolgreich beenden, wenn sie neben dem Zugriff auf die erste Authentifizierungsinformation auch noch Zugriff auf das zu der Mobiltelefonnummer gehörende Mobiltelefongerät bzw. dessen Schnittstelle zum Versenden von short-message-service-Nachrichten bzw. SIM (subscriber identity module) haben. Um eine erfolgreiche Authentifizierung der Mobiltelefonnummer des Benutzers ohne bewussten bzw. manuellen Eingriff des Benutzers durchzuführen, müsste auf dem Mobiltelefongerät des Benutzers eine bösartige Software (z.B. ein Trojaner oder ähnliches) installiert sein, die in der Lage ist, die erste Authentifizierungsinformation der ersten Nachricht zu entnehmen und SMS-Nachrichten zu versenden. Somit ist das Vorhandensein einer bösartigen Software auf dem Mobiltelefongerät des Benutzers, die lediglich Daten an Dritte weitergibt, nicht ausreichend, um eine erfolgreiche Authentifizierung der Mobiltelefonnummer des Benutzers durchzuführen. Eine höhere Sicherheit bzw. Zuverlässigkeit ist insbesondere gegeben, wenn nach der erfolgreichen Authentifizierung eine Transaktion, z.B. eine Bezahlung in einem Onlineshop für eine Ware und/oder Dienstleistung, durchgeführt wird, die über die Mobilfunkrechnung des Benutzers abgerechnet wird. Dadurch, dass die Rufnummer bei diesem Authentifizierungssystem beim Senden bzw. Empfangen einer SMS übertragen wird, ist die Mobiltelefonnummer des Benutzers bzw. des Kunden eindeutig bestimmt bzw. authentifiziert.
  • Gemäß einer Ausführungsform des Verfahrens umfasst die erste Authentifizierungsinformation eine dynamisch erzeugte erste Transaktionsinformation, insbesondere eine dynamisch erzeugte erste Transaktionsnummer (TAN). Hierdurch ist das Verfahren noch sicherer. Dynamisch generierte Transaktionsinformationen bzw. -nummern können insbesondere nur für einen begrenzten Zeitraum gültig und/oder für einen spezifischen Authentifizierungsvorgang gültig sein. Ein Missbrauch wird somit noch weiter erschwert.
  • Gemäß einer Ausführungsform des Verfahrens umfasst die erste Nachricht ein Captcha, wobei die erste Authentifizierungsinformation Teil des Captchas ist. Ein Vorteil hiervon ist, dass das automatisierte Auslesen bzw. Erfassen der ersten Authentifizierungsinformation erschwert oder sogar verhindert wird. Somit wird, auch bei einem Vorhandensein von Schadsoftware bzw. bösartiger Software (z.B. einem Trojaner oder ähnlichem) in dem Empfangsgerät bzw. Darstellungsgerät für die erste Authentifizierungsinformation, z.B. Befall des Computers und/oder des Mobiltelefongeräts des Benutzers mit einem Trojaner, sicher verhindert, dass die erste Authentisierungsinformation ohne Wissen des Benutzers verwendet werden kann. Captcha steht in diesem Zusammenhang insbesondere für Completely Automated Public Turing test to teil Computers and Humans Apart bzw. vollautomatischen öffentlichen Turing-Test zur Unterscheidung von Computern und Menschen. Daher ist sichergestellt, dass der Benutzer selbst sich des stattfindenden Authentifizierungsverfahrens bewusst ist; ein erfolgreiches Durchführen des Authentifizierungsverfahrens ohne Auslesen des Captchas durch den Benutzer selbst ist normalerweise nicht möglich. Ein automatisiertes Auslesen bzw. Erfassen der ersten Authentifizierungsinformation ist somit verhindert. Folglich sind automatisierte Angriffe auf das Authentifizierungsverfahren verhindert. Hierdurch ist das Authentifizierungsverfahren noch sicherer.
  • Gemäß einer Ausführungsform des Verfahrens wird die zweite Nachricht über eine Kurzwahlnummer, insbesondere eine Kurzwahlnummer im Mobilfunknetz, empfangen. Hierdurch ist das Verfahren technisch noch einfacher. Zudem kann, wenn die Kurzwahlnummer eine Kurzwahlnummer im Mobilfunknetz ist, die üblicherweise nur aus dem Mobilfunknetz erreichbar ist, sichergestellt werden, dass die SMS von einem Mobilfunkgerät gesendet wurde. Ein Fälschen der Absenderrufnummer bzw. der Mobiltelefonnummer des Benutzers, wie dies u.U. z.B. beim Versenden einer SMS über das Internet möglich ist, wird somit verhindert. Dies erhöht die Sicherheit des Authentifizierungsverfahrens noch weiter. Da die Kurzwahlnummer beim Netzbetreiber geschaltet ist, wird die tatsächliche Mobiltelefonnummer übertragen, auch wenn eine Rufnummerunterdrückung aktiviert ist.
  • Gemäß einer Ausführungsform umfasst das Verfahren ferner folgende Schritte, die vor dem Schritt des Erzeugens der ersten Nachricht mit der ersten Authentifizierungsinformation durch den Authentifizierungsserver ausgeführt werden: Empfangen der Mobiltelefonnummer des Benutzers durch den Authentifizierungsserver über ein IP-basiertes Netzwerk; Überprüfen, ob die Mobiltelefonnummer in einer Liste von gespeicherten Mobiltelefonnummern enthalten ist; wenn die Mobiltelefonnummer nicht in der Liste von gespeicherten Mobiltelefonnummern enthalten ist, Ausführen des Schritts des Erzeugens der ersten Nachricht mit der ersten Authentifizierungsinformation durch den Authentifizierungsserver; wenn die Mobiltelefonnummer in der Liste von gespeicherten Mobiltelefonnummern enthalten ist, Ausführen folgender Schritte: - Bestimmen einer Betrugswahrscheinlichkeit auf Grundlage einer IP-Adresse, von der die Mobiltelefonnummer gesendet wurde, und/oder eines fingerprints eines Betriebssystem und/oder eines Browsers, von dem aus die Authentifizierungsanfrage gestartet wurde, und/oder einer home location register (HLR) Abfrage der Mobiltelefonnummer, - wenn die bestimmte Betrugswahrscheinlichkeit oberhalb eines vorgegebenen Mindestwerts liegt, Ausführen des Schritts des Erzeugens der ersten Nachricht mit der ersten Authentifizierungsinformation durch den Authentifizierungsserver, sowie - wenn die bestimmte Betrugswahrscheinlichkeit kleiner gleich dem vorgegebenen Mindestwert ist, Erzeugen des positiven Authentifizierungssignals. Vorteilhaft hieran ist, dass auch bei bereits authentifizierten Mobiltelefonnummer ein erneutes Authentifizieren gestartet bzw. initialisiert wird, wenn weitere Informationen, wie z.B. die IP-Adresse, von der die Mobiltelefonnummer aus gesendet wurde, Zweifel an der Identität des Benutzers bzw. seiner Mobiltelefonnummer bzw. des Mobiltelefongeräts entstehen lassen bzw. begründen. Wenn ein Benutzer mit einer deutschen Mobilfunknummer beispielsweise einen Kauf in einem Onlineshop von einer nigerianischen IP-Adresse vornehmen will, besteht eine recht hohe Wahrscheinlichkeit, dass ein versuchter Betrug vorliegt, d.h. dass der Kauf nicht durch den tatsächlichen Inhaber der Mobilfunknummer durchgeführt werden soll. Somit wird hierdurch die Sicherheit des Verfahrens noch weiter erhöht. Darüber hinaus kann mittels einer Home Location Register (HLR)-Abfrage festgestellt werden, in welchem Land/Staat bzw. in welchem internationalen Vorwahlbereich (Country Code) die Mobilfunknummer bzw. die SIM der Mobilfunknummer im Mobilfunknetz eingebucht ist, und diese Information mit dem Ort bzw. Land, dem die jeweilige IP-Adresse, von der aus die Mobiltelefonnummer aus gesendet wurde, zugeordnet ist, verglichen werden. Wenn bei dem Vergleich Diskrepanzen bzw. Unstimmigkeiten auftreten, z.B. die Mobilfunknummer bzw. SIM der Mobilfunknummer ist aktuell in Deutschland im Mobilfunknetz eingebucht, aber die IP-Adresse, von der aus die Mobiltelefonnummer gesendet wurde, ist Nigeria zugeordnet, so besteht eine hohe Betrugswahrscheinlichkeit, so dass auch bei bereits zuvor authentifizierter Mobiltelefonnummer eine erneute Authentifizierung bzw. das erneute Durchlaufen des Authentifizierungsverfahrens verlangt wird.
  • Gemäß einer Ausführungsform umfasst das Verfahren ferner folgenden Schritt: wenn ein positives Authentifizierungssignal erzeugt wurde, Senden einer zweiten Transaktionsinformation, insbesondere einer zweiten Transaktionsnummer (mTAN), an den Benutzer, wobei die zweite Transaktionsinformation den Benutzer beim Ausführen eines Transaktionsvorgangs, insbesondere über ein IP-basiertes Netzwerk, autorisiert. Ein Vorteil hiervon ist, dass die Transaktionsinformation den Benutzer beim Ausführen der Transaktion, z.B. einem Kauf eines Produkts und/oder einer Dienstleistung, technisch einfach autorisiert. Da zuvor festgestellt wurde, dass der Benutzer Kontrolle über sein Mobiltelefon hat und den Authentifizierungsvorgang bewusst mit ausgeführt hat, ist sichergestellt, dass die zweite Transaktionsinformation zu dem authentifizierten Benutzer und nicht zur Dritten gelangt.
  • Gemäß einer Ausführungsform des Verfahrens umfasst die zweite Transaktionsinformation eine Telefonnummer, insbesondere eine Kurzwahlnummer, vorzugsweise eine Kurzwahlnummer im Mobilfunknetz, wobei der Benutzer beim Anrufen der Telefonnummer mittels seiner Mobiltelefonnummer identifiziert wird und dem Benutzer ein Transaktionscode, insbesondere ein Produktschlüssel und/oder ein Voucher-Code, mittels Abspielen einer Audionachricht mitgeteilt wird. Hierdurch wird sichergestellt, dass die Mobiltelefonnummer, die zuvor authentifiziert wurde, auch die Mobiltelefonnummer ist, an die der Transaktionscode mitgeteilt wird. Die Mobiltelefonnummer wird beim Anrufen der Telefonnummer vom Mobilfunknetz bzw. Mobilfunknetzsystem übertragen. Ein Fälschen der Absenderrufnummer bzw. der Mobiltelefonnummer des Benutzers ist bei einer Kurzwahlnummer nicht möglich. Dies erhöht die Sicherheit des Authentifizierungsverfahrens noch weiter. Die zweite Transaktionsinformation kann lediglich die Telefonnummer umfassen, die der Benutzer anrufen soll. Die Identifizierung des Benutzers mittels seiner Mobiltelefonnummer kann z.B. mittels einer Datenbank und/oder einer Liste durchgeführt werden. Je nach identifiziertem Benutzer können diesem, bei gleicher bzw. identischer Telefonnummer, unterschiedliche Transaktionscodes mitgeteilt werden. Der Transaktionscode kann z.B. ein alphanumerischer Code sein. Der Transaktionscode kann anschließend zum Ausführen eines Kaufvorgangs, eines Online-Banking-Vorgangs und/oder einer Newsletteranmeldung verwendet werden. Durch das Abspielen einer Audionachricht wird ein automatisiertes Auslesen des Transaktionscodes erschwert. Somit wird besonders sichergestellt, dass der Transaktionscode an den Benutzer ausgeliefert bzw. übermittelt wird, der sich zuvor mittels seiner Mobiltelefonnummer authentifiziert hat.
  • Gemäß einer Ausführungsform umfasst das Verfahren ferner folgenden Schritt, der vor dem Schritt des Erzeugens der ersten Nachricht mit der ersten Authentifizierungsinformation durch den Authentifizierungsserver ausgeführt wird: Authentifizieren des Benutzers durch Eingabe eines Benutzernamens und eines dem Benutzernamen zugeordneten Passworts, wobei bei nicht-erfolgreicher Authentifizierung des Benutzers das Verfahren abgebrochen wird. Vorteilhaft hieran ist, dass nur bereits registrierte Benutzer bzw. Kunden das Erzeugen und Versenden der ersten Authentifizierungsinformation auslösen können. Hierdurch wird die Sicherheit des Authentifizierungsverfahrens noch weiter erhöht, da nicht anonym eine Authentifizierungsanfrage gesendet werden kann.
  • Gemäß einer Ausführungsform des Authentifizierungssystems umfasst die erste Nachricht ein Captcha, wobei die erste Authentifizierungsinformation Teil des Captchas ist. Ein Vorteil dieses Authentifizierungssystems ist, dass das automatisierte Auslesen bzw. Erfassen der ersten Authentifizierungsinformation erschwert oder sogar verhindert wird. Somit wird, auch bei einem Vorhandensein von Schadsoftware in dem Empfangsgerät bzw. Darstellungsgerät für die erste Authentifizierungsinformation, z.B. Befall des Computers und/oder des Mobiltelefongeräts des Benutzers mit einem Trojaner, sicher verhindert, dass die erste Authentisierungsinformation ohne Wissen des Benutzers verwendet werden kann. Captcha steht in diesem Zusammenhang insbesondere für Completely Automated Public Turing test to tell Computers and Humans Apart bzw. vollautomatischen öffentlichen Turing-Test zur Unterscheidung von Computern und Menschen. Daher ist sichergestellt, dass der Benutzer selbst sich der stattfindenden Authentifizierung bewusst ist; ein Durchführen des Authentifizierungsverfahrens ohne manuellen Eingriff des Benutzers (Versenden der SMS) ist normalerweise nicht möglich. Die Durchführung der Authentifizierung ohne bewussten Eingriff bzw. ohne bewusstes Handeln des Benutzers ist somit sehr schwierig bis unmöglich.
  • Gemäß einer Ausführungsform des Authentifizierungssystems umfasst das Authentifizierungssystem ferner - eine Überprüfungsvorrichtung, wobei die Überprüfungsvorrichtung zum Empfangen einer über ein IP-basiertes Netzwerk gesendeten Mobilfunknummer und zum Überprüfen, ob die Mobiltelefonnummer in einer Liste von gespeicherten Mobiltelefonnummern enthalten, und derart ausgebildet ist, dass - wenn die Mobiltelefonnummer nicht in der Liste von gespeicherten Mobiltelefonnummern enthalten ist, die Überprüfungsvorrichtung veranlasst, dass der Authentifizierungsserver die erste Nachricht mit der ersten Authentifizierungsinformation erzeugt, und - wenn die Mobiltelefonnummer in der Liste von gespeicherten Mobiltelefonnummern enthalten ist, die Überprüfungsvorrichtung auf Grundlage einer IP-Adresse, von der die Mobiltelefonnummer gesendet wurde, und/oder eines fingerprints eines Betriebssystem und/oder eines Browsers, von dem aus die Authentifizierungsanfrage gestartet wurde, und/oder einer home location register (HLR) Abfrage der Mobiltelefonnummer eine Betrugswahrscheinlichkeit bestimmt und, -- wenn die bestimmte Betrugswahrscheinlichkeit oberhalb eines vorgegebenen Mindestwerts liegt, das Verfahren abbricht, sowie -- wenn die bestimmte Betrugswahrscheinlichkeit kleiner gleich dem vorgegebenen Mindestwert ist, veranlasst, dass der Authentifizierungsserver die erste Nachricht mit der ersten Authentifizierungsinformation erzeugt. Vorteilhaft an diesem Authentifizierungssystem ist, dass auch bei bereits authentifizierten Mobiltelefonnummer ein erneutes Authentifizieren gestartet bzw. initialisiert werden kann, wenn weitere Informationen, wie z.B. die IP-Adresse, von der die Mobiltelefonnummer aus gesendet wurde, Zweifel an der Identität des Benutzers bzw. seines Mobiltelefongeräts entstehen lassen bzw. begründen. Wenn ein Benutzer mit einer deutschen Mobilfunknummer beispielsweise einen Kauf in einem Onlineshop von einer nigerianischen IP-Adresse vornehmen will, besteht eine recht hohe Wahrscheinlichkeit, dass ein versuchter Betrug vorliegt, d.h. dass der Kauf nicht durch den tatsächlichen Inhaber der Mobilfunknummer durchgeführt werden soll. Somit wird hierdurch die Sicherheit der Authentifizierung bei diesem Authentifizierungssystem noch weiter erhöht. Darüber hinaus kann mittels einer Home Location Register (HLR)-Abfrage festgestellt werden, in welchem Land/Staat bzw. in welchem internationalen Vorwahlbereich (Country Code) die Mobilfunknummer bzw. die SIM der Mobilfunknummer im Mobilfunknetz eingebucht ist, und diese Information mit dem Ort bzw. Land, dem die jeweilige IP-Adresse, von der aus die Mobiltelefonnummer aus gesendet wurde, zugeordnet ist, verglichen werden. Wenn bei dem Vergleich Diskrepanzen bzw. Unstimmigkeiten auftreten, z.B. die Mobilfunknummer bzw. SIM der Mobilfunknummer ist aktuell in Deutschland im Mobilfunknetz eingebucht, aber die IP-Adresse, von der aus die Mobiltelefonnummer gesendet wurde, ist Nigeria zugeordnet, so besteht eine hohe Betrugswahrscheinlichkeit, so dass auch bei bereits zuvor authentifizierter Mobiltelefonnummer eine erneute Authentifizierung bzw. das erneute Durchlaufen des Authentifizierungsverfahrens verlangt wird.
  • Das Authentifizierungsverfahren kann für die Authentifizierung eines Benutzers bzw. Kunden z.B. bei Onlinebanking, bei der Anmeldung zu einem Newsletter, bei Kauf einer Dienstleistung und/oder einer Ware verwendet werden.
  • Bevorzugte Ausführungsformen ergeben sich aus den Unteransprüchen. Nachfolgend wird die Erfindung anhand von Zeichnungen von Ausführungsbeispielen näher erläutert. Hierbei zeigen
    • 1 eine Ausführungsform des erfindungsgemäßen Authentifizierungssystems; und
    • 2 ein Flussdiagram einer Ausführungsform des erfindungsgemäßen Authentifizierungsverfahrens.
  • Bei der nachfolgenden Beschreibung werden für gleiche und gleich wirkende Teile dieselben Bezugsziffern verwendet.
  • 1 zeigt eine Ausführungsform des erfindungsgemäßen Authentifizierungssystems 10. 2 zeigt ein Flussdiagram bzw. Ablaufdiagramm einer Ausführungsform des erfindungsgemäßen Authentifizierungsverfahrens.
  • Das Authentifizierungssystem 10 ist zum Authentifizieren einer Mobiltelefonnummer eines Benutzers ausgebildet. Der Benutzer befindet sich im Besitz eines Mobiltelefons mit der entsprechenden Mobiltelefonnummer, die authentifiziert werden soll.
  • Das Authentifizierungssystem 10 umfasst eine Sendeeinrichtung zum Senden einer Authentifizierungsanfrage an einen Authentifizierungsserver 30. Die Sendeinrichtung kann beispielsweise einen Computer umfassen bzw. ein Computer des Benutzers bzw. Kunden sein, der über ein IP-basiertes Netzwerk 55 (d.h. ein Internet-Protocol basiertes Netzwerk) oder ein TCP/IP-basiertes Netzwerk (d.h. Transmission Control Protocol/Internet Protocol basiertes Netzwerk), z.B. dem Internet, mit dem Authentifizierungsserver 30 verbunden ist. Vorstellbar ist auch, dass die Sendeinrichtung ein Mobiltelefongerät 20 (z.B. ein Handy, ein Tablet mit Mobilfunkfunktionalität etc.) ist. Die Sendeinrichtung kann auch ein Computer bzw. Server eines Webshops oder eins Betreibers eines Zahlungssystems sein. Relevant ist, dass die Authentifizierungsanfrage schließlich zu dem Authentifizierungsserver 30 gelangt. Die von der Sendeeinrichtung gesandte Authentifizierungsanfrage wird von einer ersten Empfangsvorrichtung 32 des Authentifizierungssystems 10 bzw. des Authentifizierungsservers 30 empfangen. Die erste Empfangsvorrichtung 32 kann z.B. ein Computer, ein Teil eines Computers, ein Mobilfunkgateway oder ähnliches umfassen bzw. sein.
  • Zudem umfasst das Authentifizierungssystem 10 eine Sendevorrichtung 36, die auf die Authentifizierungsanfrage hin eine erste Nachricht mit einer Authentifizierungsinformation an den Benutzer sendet. Die Sendevorrichtung 36 kann z.B. ein Computer, ein Teil eines Computers, ein SIM-Kartenmodul, ein Mobilfunkgateway oder ähnliches umfassen bzw. sein. Darüber hinaus weist das Authentifizierungssystem 10 eine zweite Empfangsvorrichtung 34 zum Empfangen einer zweiten Authentifizierungsinformation, die von der Mobiltelefonnummer des Benutzers an den Authentifizierungsserver 30 mittels einer zweiten Nachricht in Form einer short-message-service-Nachricht gesendet wurde, auf. Die zweite Empfangsvorrichtung 34 kann z.B. ein Computer, ein Teil eines Computers, ein Mobilfunkgateway oder ähnliches umfassen bzw. sein.
  • Das Authentifizierungssystem 10 umfasst darüber hinaus eine Vergleichsvorrichtung 38 zum Vergleichen der ersten Authentifizierungsinformation mit der zweiten Authentifizierungsinformation sowie eine Erzeugungsvorrichtung 40 zum Erzeugen eines positiven oder negativen Authentifizierungssignals abhängig davon, ob die erste Authentifizierungsinformation mit der zweiten Authentifizierungsinformation übereinstimmt oder nicht. Die Vergleichsvorrichtung 38 kann z.B. ein Computer oder ein Teils eines Computers sein. Insbesondere kann die Vergleichsvorrichtung 38 Software sein, die auf einem Computer läuft. Die Erzeugungsvorrichtung 40 kann ein Computer oder Teil eines Computers sein.
  • Der Authentifizierungsserver 30 ist zum Erzeugen einer ersten Nachricht mit einer ersten Authentifizierungsinformation ausgebildet. Die erste Nachricht umfasst die erste Authentifizierungsinformation. Die erste Authentifizierungsinformation kann z.B. ein alphanumerischer oder numerischer Code (sogenannte Transaktionsnummer, TAN) sein. Die Authentifizierungsinformation kann ein sogenannter unique session code sein. Die Authentifizierungsinformation kann eine dynamisch generierte Authentifizierungsinformation bzw. Transaktionsnummer sein. Dies bedeutet, dass die Authentifizierungsinformation bzw. Transaktionsnummer erst dann erzeugt wird, wenn die Authentifizierungsanfrage empfangen wird. Zudem hat die Authentifizierungsinformation bzw. die Transaktionsnummer nur für einen kurzen Zeitraum (z.B. ca. 1 min, ca. 2 min, ca. 5 min oder ca. 10 min) Gültigkeit.
  • Die Authentifizierungsinformation ist eine geheime Information, die dem Benutzer mittels der ersten Nachricht mitgeteilt wird.
  • Das Authentifizierungsverfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers bzw. zum Authentifizieren eines Benutzers läuft wie folgt ab:
    • Eine Authentifizierungsanfrage wird an einen Authentifizierungsserver 30 gesendet 60. Die Authentifizierungsanfrage kann z.B. durch den Computer bzw. Server eines Onlineshops gesendet werden. In diesem Onlineshop hat der Kunde (z.B. ein Privatkunde oder ein Geschäftskunde) ein Produkt bzw. eine Ware und/oder eine Dienstleistung ausgewählt und möchte diese im Rahmen des sogenannten Check-out-Vorgangs („zur Kasse gehen“) bezahlen. Die Authentifizierungsanfrage kann z.B. über ein IP-basiertes Netzwerk 55, z.B. das Internet, an den Authentifizierungsserver 30 gesendet werden.
  • Der Server des Onlineshops kann den Benutzer auf eine Seite eines anderen Servers weiterleiten und/oder in einem Webframe angezeigt werden. Auf dem Server des Onlineshops bzw. den Seiten des Onlineshops oder auf dem Server bzw. der Seite, zu dem bzw. der er weitergeleitet wurde, bzw. dem Webframe kann der Benutzer zur Eingabe einer Mobilfunktelefonnummer bzw. einer Mobiltelefonnummer bzw. seiner Mobiltelefonnummer (Mobile Subscriber Integrated Services Digital Network Number; MSISDN) aufgefordert werden. Die eingegebene Mobiltelefonnummer wird an den Authentifizierungsserver 30 gesandt und von diesem empfangen.
  • Wenn diese Mobiltelefonnummer in einer Datenbank bzw. einer Liste von bereits authentifizierten Mobiltelefonnummern enthalten ist, wird eine Betrugswahrscheinlichkeit bestimmt. Die Betrugswahrscheinlichkeit kann z.B. durch eine Überprüfungsvorrichtung 42 des Authentifizierungssystems 30 bestimmt werden. Die Überprüfungsvorrichtung 42 kann ein Computer, Teil eines Computers und/oder Software umfassen bzw. sein.
  • Die Betrugswahrscheinlichkeit gibt an, wie wahrscheinlich die Authentifizierungsanfrage nicht von dem Benutzer der registrierten Mobiltelefonnummer gestartet bzw. initialisiert wurde. Die Betrugswahrscheinlichkeit kann z.B. auf Grundlage einer IP-Adresse, von der die Mobiltelefonnummer gesendet wurde, und/oder eines fingerprints eines Betriebssystem und/oder eines Browsers, von dem aus die Authentifizierungsanfrage gestartet wurde, bestimmt werden. Der fingerprint kann z.B. ein sogenannter OS-fingerprint, insbesondere ein TCP/IP-Stack-Fingerprint sein, bei dem Eigenschaften des Verhalten des Betriebssystems (operating system; OS) bestimmt wird. Der (Web-)Browser-fingerprint kann z.B. die Liste der Browser-plugins, die Liste der MIME-Types, die Liste der installierten Schriftarten und/oder den User-Agent-String in einem Header einer http-Anfrage umfassen.
  • Bei der Bestimmung der Betrugswahrscheinlichkeit wird z.B. berücksichtigt, ob der fingerprint des Betriebssystems und/oder Browsers, mittels dem die Authentifizierungsanfrage gestartet wurde, nicht mit dem bei der zuvor durchgeführten Authentifizierung gespeicherten fingerprint übereinstimmt und/oder ist diesem größtenteils unähnlich. Je ungleicher der jetzige fingerprint mit dem vorherigen fingerprint, desto größer ist die bestimmte Betrugswahrscheinlichkeit, und umgekehrt.
  • Bei der Bestimmung der Betrugswahrscheinlichkeit wird z.B. berücksichtigt, ob die Authentifizierungsanfrage bzw. die Mobiltelefonnummer von einer IP-Adresse gesendet wird, die von dem Wohnort bzw. gewöhnlichen Aufenthalt des Benutzers weit entfernt ist und/oder einem Land bzw. einer Region zugeordnet ist, das bzw. die für Betrugsdelikte bekannt ist, und/oder aus einem Land bzw. einer Region stammt, das bzw. die sich von den Ländern bzw. Regionen unterscheidet, aus denen bisherige Einkäufe des Benutzers getätigt wurden. Je entfernter und/oder weniger entwickelt ein Land und/oder Region ist, im Vergleich zu dem Land bzw. der Region, in dem sich der Benutzer üblicherweise aufhält oder wohnt, desto höher ist die Betrugswahrscheinlichkeit, und umgekehrt.
  • Darüber hinaus kann mittels einer Home Location Register (HLR)-Abfrage festgestellt werden, in welchem Land/Staat bzw. in welchem internationalen Vorwahlbereich (Country Code) die Mobilfunknummer bzw. die SIM der Mobilfunknummer im Mobilfunknetz eingebucht ist, und diese Information mit dem Ort bzw. Land, dem die jeweilige IP-Adresse, von der aus die Mobiltelefonnummer aus gesendet wurde, zugeordnet ist, verglichen werden. Wenn bei dem Vergleich Diskrepanzen bzw. Unstimmigkeiten auftreten, z.B. die Mobilfunknummer bzw. SIM der Mobilfunknummer ist aktuell in Deutschland im Mobilfunknetz eingebucht, aber die IP-Adresse, von der aus die Mobiltelefonnummer gesendet wurde, ist Nigeria zugeordnet, so besteht eine hohe Betrugswahrscheinlichkeit bzw. erhöht diese Tatsache die Betrugswahrscheinlichkeit. Wenn bei der HLR-Abfrage festgestellt wird, dass das Land, in dessen Mobilfunknetz die SIM der Mobiltelefonnummer aktuell eingebucht ist, mit dem Land übereinstimmt, dem die IP-Adresse, von der aus die Mobiltelefonnummer gesendet wurde, zugeordnet ist, ist die Betrugswahrscheinlichkeit gering bzw. senkt diese Tatsache die Betrugswahrscheinlichkeit.
  • Die bestimmte Betrugswahrscheinlichkeit wird mit einem vorbestimmen Mindestwert verglichen. Liegt die Betrugswahrscheinlichkeit oberhalb des Mindestwerts, wird ein erneutes Authentifizieren verlangt bzw. durchgeführt, obwohl die Mobiltelefonnummer bereits zuvor einmal authentifiziert wurde (und daher gespeichert ist). Liegt die Betrugswahrscheinlichkeit auf Höhe des Mindestwerts oder darunter, wird, sofern die Mobiltelefonnummer bereits einmal authentifiziert wurde, kein erneutes Authentifizieren verlangt bzw. durchgeführt. In letzterem Fall wird ein positives Authentifizierungssignal erzeugt. Der Transaktionsvorgang bzw. Bezahlvorgang kann daran anschließend gestartet bzw. initialisiert werden.
  • Das Erzeugen des positiven Authentifizierungssignals kann auch davon abhängig gemacht werden, dass keine weiteren Anhaltspunkte vorhanden sind, die Hinweise auf einen Missbrauch bzw. einen Betrugsversuch geben.
  • Die Betrugswahrscheinlichkeit kann alternativ oder zusätzlich durch sogenanntes Greylisting bestimmt werden. Hierbei wird basiert auf Risk&Fraud-Algorithmen aus historischen Daten sowie aus Daten von Dritten und einer Big-Dat-Analytik die Betrugswahrscheinlichkeit bestimmt.
  • Anhaltspunkte, die Hinweise auf einen Missbrauch bzw. einen Betrugsversuch geben, können u.a. folgendes umfassen bzw. sein: Der Wert des Produkts und/oder der Dienstleistung liegt deutlich über bisherigen Einkäufen bzw. dem Durchschnitt der bisherigen Einkäufe des jeweiligen Benutzers, z.B. ist der Wert des Produkts bzw. der Dienstleistung mindestens zweimal, mindestens zehnmal oder mindestens zwanzigmal so groß wie der Wert der bisher eingekauften und bezahlten Produkte bzw. Dienstleistungen.
  • Hierbei kann ein sogenanntes Greylisting durchgeführt werden. D.h. mehrere unterschiedliche Aspekte werden gemeinsam berücksichtigt, um eine Wahrscheinlichkeit eines Missbrauchs, d.h. der angebliche Benutzer bzw. Käufer ist nicht der wirkliche Benutzer bzw. Käufer, zu bestimmen. Wenn die Wahrscheinlichkeit oberhalb eines vorbestimmten Grenzwerts liegt (z.B. oberhalb von ca. 10%, ca. 20%, ca. 50%, ca. 80% oder ca. 90%), wird trotz bereits zuvor durchgeführter erfolgreicher Authentifizierung bzw. bereits gespeicherter/authentifizierter Mobiltelefonnummer eine erneute Authentifizierung verlangt und durchgeführt.
  • Wenn kein positives Authentifizierungssignal in dem zuvor beschriebenen Schritt erzeugt wird, wird eine Authentifizierung des Benutzers durchgeführt. Hierfür kann der Benutzer bzw. Kunde des Onlineshops auf eine Authentifizierungsseite innerhalb des Onlineshops oder auf einem anderen Server weitergeleitet werden.
  • Der Authentifizierungsserver 30 erzeugt nun eine erste Nachricht mit einer ersten Authentifizierungsinformation 62. Die erste Nachricht kann z.B. eine Webseite, ein Webframe und/oder ein Element einer Webseite sein. Ebenso kann die erste Nachricht eine E-Mail und/oder eine SMS sein. Die erste Nachricht kann auch eine Kombination der genannten Elemente umfassen.
  • Die erste Nachricht kann als Teil des Onlineshops angezeigt werden. Die erste Nachricht kann über ein IP-basiertes Netzwerk 55, z.B. das Internet, gesendet werden. Die erste Nachricht kann z.B. auch eine short-message-service-Nachricht (SMS) über das Mobilfunknetz 50, eine In-App-Nachricht oder etwas ähnliches sein.
  • Die erste Authentifizierungsinformation ist eine geheime Information. Die erste Authentifizierungsinformation kann eine dynamisch erzeugte Information sein. Sie kann abhängig von Einkaufswert, der zu bezahlenden Ware und/oder Dienstleistung, dem Onlineshop, der eingegebenen Mobiltelefonnummer, dem Benutzer oder von ähnlichem abhängig erzeugt werden. Alternativ kann die erste Authentifizierungsinformation aus einer Liste bzw. Datenbank zufällig ausgewählt werden. Die erste Authentifizierungsinformation kann z.B. ein alphanumerischer Code oder ein numerischer Code sein. Andere Arten von Authentifizierungsinformation, z.B. ein Symbolcode, Noten, Töne oder ähnliches, sind möglich. Auch möglich ist, dass die erste Authentifizierungsinformation eine Audioinformation ist bzw. umfasst.
  • Die erste Nachricht wird dem Benutzer bzw. Kunden übermittelt 64 und angezeigt, z.B. auf einem Bildschirm eines Computers und/oder eines Mobiltelefons und/oder durch einen Lautsprecher vorgespielt. Die erste Nachricht kann eine Webseite oder Teil einer Webseite, z.B. ein Webframe, sein.
  • Die erste Nachricht kann ein Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart, vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen) bzw. eine Captcha-Nachricht umfassen oder sein. Die erste Authentifizierungsinformation kann Teil des Captchas sein. Dies bedeutet, dass die erste Authentifizierungsinformation innerhalb der ersten Nachricht derart enthalten ist, dass die erste Authentifizierungsinformation aus der ersten Nachricht nicht oder nur sehr schwer automatisiert bzw. mittels eines Computers entnehmbar bzw. lesbar ist. Z.B. können zusätzliche Zeichen im Hintergrund der ersten Authentifizierungsinformation vorhanden sein und/oder die Zeichen der ersten Authentifizierungsinformation können verzerrt dargestellt sein. Auch ist es möglich, dass bei einer Audioinformation als erste Authentifizierungsinformation Störgeräusche im Hintergrund der ersten Authentifizierungsinformation abgespielt werden bzw. vorhanden sind. Ein menschlicher Benutzer kann der ersten Nachricht die erste Authentifizierungsinformation jedoch weiteres bzw. ohne große Probleme entnehmen bzw. die erste Authentifizierungsinformation lesen und/oder akustisch wahrnehmen. Ein automatisiertes Erfassen bzw. Auslesen der ersten Authentifizierungsinformation ist somit nicht möglich. Somit wird verhindert, dass mittels einer bösartigen Software (z.B. eines Trojaners oder ähnlichem), die auf dem Mobiltelefongerät des Benutzers vorhanden ist, das Authentifizierungsverfahren für die Mobiltelefonnummer des Benutzers erfolgreich durchgeführt wird, ohne dass dieser etwas mitbekommt bzw. sich bewusst ist, dass ein Authentifizierungsverfahren für seine Mobiltelefonnummer durchgeführt wird.
  • Zusammen mit der Anzeige der ersten Nachricht mit der Authentifizierungsinformation wird der Benutzer bzw. Kunde aufgefordert, die Authentifizierungsinformation an den Authentifizierungsserver 30 per short-message-service-Nachricht (SMS) zu senden. Diese Aufforderung kann Teil der ersten Nachricht sein oder statischer Teil einer Webseite oder SMS. Hierzu wird dem Benutzer bzw. Kunde eine Telefonnummer angezeigt bzw. mitgeteilt, an die die Authentifizierungsinformation per SMS zu senden ist. Vorstellbar ist auch, dass die Telefonnummer, an die die SMS zu senden ist, als Teil eines Captchas dargestellt ist, so dass ein automatisiertes Erkennen bzw. Lesen der Telefonnummer erschwert oder sogar verhindert ist.
  • Insbesondere kann die Telefonnummer eine Mobiltelefonnummer sein. Vorzugsweise ist die Mobiltelefonnummer eine sogenannte Kurzwahlnummer, die nur innerhalb des Mobiltelefonnetzes bzw. Mobilfunknetzes 50 erreichbar ist. Die Kurzwahlnummer ist z.B. eine vierstellige Kurzwahlnummer, die nur innerhalb des Mobiltelefonnetzes erreichbar ist und an die keine short-message-service-Nachricht von dem Festnetz und/oder aus dem Internet aus gesendet werden kann. Da die Kurzwahlnummer beim Netzbetreiber geschaltet ist, wird die tatsächliche Mobiltelefonnummer übertragen, auch wenn eine Rufnummerunterdrückung aktiviert ist.
  • Die SMS wird von dem Mobiltelefon des Benutzers aus gesendet (mobile originated; MO).
  • Das Senden der zweiten Nachricht in Form der SMS wird vom Benutzer manuell bzw. aktiv durchgeführt. Wesentlich ist, dass die geheime Information bzw. die erste Authentifizierungsinformation von dem Benutzer mittels SMS an den Authentifizierungsserver 30 übermittelt werden muss, um das Authentifizierungsverfahren erfolgreich abzuschließen. D.h. die geheime Information wird von dem Benutzer bzw. Kunden aus der ersten Nachricht ausgelesen bzw. entnommen und über das Mobilfunknetz 50 bzw. sein Mobiltelefon an den Authentifizierungsserver 30 gesandt (mobile originated; MO) und nicht umgekehrt (mobile terminated; MT). Dies erschwert einen Missbrauch bzw. einen Betrug erheblich, da das Auslesen der ersten Authentifizierungsinformation aus der ersten Nachricht (aufgrund des Captchas) und das Versenden der SMS von einem Mobiltelefongerät 20 des Benutzers an den Authentifizierungsserver 30 für einen Trojaner, Malware oder ähnliches normalerweise nicht möglich sind. Zudem ist auch bei Weiterleitung der ersten Authentifizierungsinformation durch den Benutzer an einen Dritten und/oder ein Abfangen der ersten Authentifizierungsinformation ein Missbrauch nicht möglich, da beim Versenden der SMS an den Authentifizierungsserver 30 auch die Rufnummer bzw. Mobiltelefonnummer übertragen wird. Somit kann ohne Zugriff auf das Mobiltelefongerät 20 bzw. die zu der Mobiltelefonnummer gehörige SIM das Authentifizierungsverfahren für die Mobiltelefonnummer des Benutzers nicht erfolgreich durch Dritte durchgeführt werden.
  • Die zweite Nachricht in Form der SMS kann ein normale SMS oder eine Multimediamessaging-Service-Nachricht (MMS) sein, die über das GSM-Netz versendet wird. Es ist auch möglich, dass die zweite Nachricht in Form der SMS eine SMS in einer Mobile App bzw. einem Instant-Messenger, wie z.B. Signal, bzw. einem Instant-Messengersystem ist. Auf die Mobile App bzw. den Instant-Messenger kann durch Schadsoftware nur schwer bis gar nicht zugegriffen werden. Dies erhöht die Sicherheit noch weiter.
  • Die zweite Nachricht wird von dem Authentifizierungsserver 30 empfangen 66.
  • Die von dem Benutzer per SMS an den Authentifizierungsserver 30 gesandte Authentifizierungsinformation ist die zweite Authentifizierungsinformation. Die zweite Authentifizierungsinformation ist Teil einer zweiten Nachricht. Die zweite Nachricht kann noch neben der zweiten Authentifizierungsinformation noch weitere Information erhalten oder kann nur aus der zweiten Authentifizierungsinformation bestehen.
  • Die zweite Authentifizierungsinformation wird von dem Benutzer zu dem Authentifizierungsserver 30 gesandt. Dazwischen können mehrere Computer bzw. Server vorhanden sein. Sowohl bei der Übermittlung der ersten Nachricht zu dem Benutzer als auch bei der Übermittlung der zweiten Nachricht zu dem Authentifizierungsserver 30 können beliebig viele Computer bzw. Server dazwischengeschaltet sein.
  • Anschließend wird die zweite Authentifizierungsinformation, d.h. die vom Benutzer an den Authentifizierungsserver 30 gesandte Authentifizierungsinformation, mit der ersten Authentifizierungsinformation verglichen 68. Hierzu wird eine Vergleichsvorrichtung 38 verwendet. Die Vergleichsvorrichtung 38 kann ein Computer sein oder ein Teil eines Computers oder Software sein.
  • Bei (vollständiger) Übereinstimmung zwischen der ersten Authentifizierungsinformation und der zweiten Authentifizierungsinformation wird ein positives Authentifizierungssignals erzeugt 70, d.h. die Mobiltelefonnummer bzw. der Benutzer wurde erfolgreich authentifiziert. Hierüber kann der Benutzer per SMS an die angegebene Mobiltelefonnummer bzw. das Mobiltelefongerät 20 und/oder durch eine Anzeige auf einer Webseite und/oder eine E-Mail informiert werden. Die Mobiltelefonnummer wird gegebenenfalls zusammen mit weiteren Benutzerinformationen (z.B. dem Wert der Ware und/oder Dienstleistung, die gekauft werden soll, der IP-Adresse des Benutzers, dem fingerprint des Betriebssystems und/oder des Browsers des Benutzers etc.) in der Liste und/oder der Datenbank gespeichert.
  • Bei teilweiser oder vollständiger Nichtübereinstimmung zwischen der ersten Authentifizierungsinformation und der zweiten Authentifizierungsinformation wird ein negatives Authentifizierungssignal erzeugt 72. D.h. die Authentifizierung wurde nicht erfolgreich durchgeführt. Hierüber kann der Benutzer per SMS an die Mobiltelefonnummer bzw. das Mobiltelefongerät 20 und/oder durch eine Anzeige auf einer Webseite und/oder eine E-Mail informiert werden.
  • Auch möglich ist, dass bei teilweiser oder vollständiger Nichtübereinstimmung der ersten Authentifizierungsinformation und der zweiten Authentifizierungsinformation der Benutzer zunächst erneut aufgefordert wird, die zweite Authentifizierungsinformation an den Authentifizierungsserver 30 zu senden; erst nach mehreren (z.B. drei, vier oder fünf) erfolglosen Versuchen wird ein negatives Authentifizierungssignal erzeugt.
  • Möglich ist auch, dass bei teilweiser oder vollständiger Nichtübereinstimmung der ersten Authentifizierungsinformation und der zweiten Authentifizierungsinformation eine neue erste Authentifizierungsinformation dem Benutzer gesandt wird und dieser aufgefordert wird, diese mittels SMS an den Authentifizierungsserver 30 zu senden. Erst nach mehreren (z.B. zwei, drei, vier oder fünf) erfolglosen Versuchen wird ein negatives Authentifizierungssignal erzeugt.
  • Das Authentifizierungssignal (positiv oder negativ) kann von dem Authentifizierungsserver 30 bzw. der Erzeugungsvorrichtung 40 an einen Server gesandt werden, bei dem eine Transaktion durch den Benutzer durchgeführt werden soll.
  • Der Server kann z.B.
    • - der Server eines Onlineshops sein, bei dem der Benutzer einen Kauf durchführen möchte,
    • - der Server einer Bank sein, bei dem der Benutzer eine Überweisung oder ähnliches durchführen möchte, oder
    • - der Server eines Newsletterversands sein, bei dem der Benutzer einen Newsletter bestellen möchte.
  • Es kann mitgezählt werden, wie oft eine Mobiltelefonnummer für einen Authentifizierungsversuch bzw. bei einer Authentifizierungsanfrage verwendet wird. Bei Überschreiten einer vorgegebenen Anzahl (z.B. drei, fünf oder zehn) können weitere Authentifizierungsversuche mittels dieser Mobiltelefonnummer blockiert werden bzw. verhindert werden. Hierdurch können Missbräuche noch weiter erschwert werden.
  • Nach dem Erzeugen eines positiven Authentifizierungssignals kann die Bezahlung der Ware und/oder Dienstleistung initialisiert bzw. durchgeführt werden bzw. ein entsprechender Vorgang zur Bezahlung initialisiert werden.
  • Der Benutzer wird nach dem Erzeugen eines positiven Authentifizierungssignals auf eine Webseite weitergeleitet, auf der eine Transaktionsinformation oder Transaktionsnummer, die ihm von einem Server, z.B. dem Authentifizierungsserver 30, zum Bezahlen der Ware und/oder Dienstleistung über seine Mobilfunkrechnung (seinem Provider bzw. Mobilfunkanbieter) bzw. sein Mobilfunkguthaben, einzugeben ist. Die Transaktionsinformation oder Transaktionsnummer kann überein IP-basiertes Netzwerk 55 und/oder eine SMS an die Mobiltelefonnummer und/oder eine E-Mail gesendet werden. Die Transaktionsinformation oder Transaktionsnummer kann dynamisch erzeugt werden.
  • Wenn der Benutzer die Transaktionsnummer auf der Webseite korrekt eingibt, wird der Zahlungsvorgang ausgeführt bzw. autorisiert. Hierüber kann der Benutzer über eine Webseite, auf die er weitergeleitet wird, ein Webframe, eine E-Mail und/oder eine SMS informiert werden.
  • Alternativ oder zusätzlich kann nach dem Erzeugen eines positiven Authentifizierungssignals ein Bezahlungsvorgang mittels Kreditkarte, Paypal®, Sofortüberweisung® und/oder Lastschrifteinzug initialisiert bzw. gestartet werden.
  • Zudem wird die Lieferung bzw. Auslieferung und/oder Durchführung der bestellten und bezahlten Ware und/oder Dienstleistung initialisiert bzw. gestartet, sobald die Zahlung autorisiert wurde.
  • Bei digitalen Waren (Eintrittskarten etc.) kann die Ware per SMS an die Mobiltelefonnummer und/oder per E-Mail an die E-Mail-Adresse des authentifizierten Benutzers gesandt werden.
  • Die Auslieferung der digitalen Waren kann z.B. mittels eines interactive voice response-Systems (IVR-System) stattfinden. Hierbei erhält der Benutzer nach erfolgreicher Bezahlung eine Telefonnummer, insbesondere eine Kurzwahlnummer, die er zum Abrufen eines Codes anrufen soll. Das IVR-System prüft seine Mobiltelefonnummer bzw. A-Teilnehmernummer, die übertragen wird bzw. auf die der Netzbetreiber zugreifen kann, auch wenn die Telefonnummerübermittlung ausgeschaltet ist, und sucht auf Grundlage einer Datenbank bzw. einer entsprechenden Liste die Information heraus, die dem Benutzer mitgeteilt werden soll. Nach einem optionalen akustischen Hinweis, dass die folgenden Informationen nicht an Dritte weitergegeben werden sollen, und einer optionalen Bestätigung/Zustimmung durch den Benutzer mittels einer Wähltaste, wird der Code (z.B. ein Produktschlüssel, ein Voucher-Code etc.) einmal oder mehrmals akustisch vorgespielt, so dass der Benutzer die Information wahrnehmen und speichern bzw. niederschreiben kann. Hierbei kann bei dem akustischem Vorspielen des Codes Störgeräusche oder ähnliches eingeblendet werden bzw. abgespielt werden, damit ein automatisiertes Auslesen des Codes, z.B. durch Spracherkennung, erschwert oder sogar verhindert ist.
  • Anstelle eines Onlineshops kann das Authentifizierungsverfahren auch ausgeführt werden, um eine Mobiltelefonnummer bzw. einen Benutzer beim Onlinebanking, bei der Anmeldung zu einem Newsletter oder ähnlichem zu authentifizieren. Nach dem positiven Authentifizierungssignal ist der entsprechende Benutzer authentifiziert.
  • Jeder der beschriebenen Schritte bzw. Vorgänge kann mit einem Zeitlimit versehen sein. D.h., wenn z.B. die zweite Nachricht bzw. die zweite Authentifizierungsinformation nicht innerhalb des vorgegebenen Zeitlimits (beispielsweise 30 Sekunden, 1 Minute, 2 Minuten, 5 Minuten oder 10 Minuten) von dem Authentifizierungsserver 30 empfangen wird, wird der Authentifizierungsvorgang bzw. das Authentifizierungsverfahren abgebrochen und/oder ein negatives Authentifizierungssignal erzeugt.
  • Die Transaktionsinformation bzw. die Transaktionsnummer, die nach der erfolgreichen bzw. positiven Authentifizierung an den Benutzer gesendet wird, kann anstatt per SMS auf folgende Arten dem Benutzer mitgeteilt werden:
    • - per E-Mail.
    • - per GSM-USSD-Code (Unstructured Supplementary Service Data) an das Mobiltelefongerät 20 des Benutzers. Auf Daten, die per USSD übermittelt werden, lässt sich durch Software, insbesondere Schadsoftware, nicht bzw. nur sehr schwer zugreifen. Dies erhöht die Sicherneit weiter. Der GSM-USSD-Code bzw. die GSM-USSD-Codes können per USSSD-Push an den Benutzer gesandt werden und/oder USSD-Menü umfassen.
    • - per IVR-System (Interactive Voice Response) bzw. Sprachdialogsystem. Da beim Anrufen des IVR-Systems die A-Teilnehmernummer bzw. Telefonnummer übertragen wird, kann unter Zuhilfenahme eines entsprechenden Voice-Carriers die Telefonnummer des Anrufenden mit der authentifizierten Telefonnummer verglichen werden. Nur bei erfolgreichem Vergleich wird.die Transaktionsinformation bzw. die Transaktionsnummerzum Liefern der Ware und/oder Dienstleistung übermittelt. Durch DTMF (engl, dual-tone multi-frequency, Doppelton-Mehrfrequenz) im Rahmen des Sprachdialogsystems können dynamische Menüs erzeugt bzw. genutzt werden, die einen Missbrauchsangriff bzw. Betrugsversuch weiter erschweren bzw. unmöglich machen.
    • - Per In-APP-Messaging. Beispielsweise kann eine Mobile-App, d.h. ein Programm für ein Mobiltelefongerät 20, eine eigene Kommunikationsmöglichkeit mit einem Server aufweisen. Beispielsweise ist hierbei eine sogenannte Push Notifikation möglich. Eine Kommunikation innerhalb der Mobile-App kann, insbesondere beim Betriebssystem iOS®, nur schwer durch Dritte bzw. Schadsoftware ausgelesen werden. Diese erhöht die Sicherheit gegenüber Missbrauchsversuchen bzw. Betrugsversuchen.
  • Darüber hinaus ist es möglich, dass vor dem Starten des Authentifizierungsverfahrens, eine weitere Authentifizierung notwendig ist. So kann verlangt werden, dass sich der Benutzer mittels Benutzernamens (login) und Kennwort (password) einloggt, bevor eine Authentifizierungsanfrage ausgelöst wird bzw. werden kann. Dies erhöht die Sicherheit des Authentifizierungsverfahrens noch weiter.
  • Der Authentifizierungsserver 30 kann zwei oder mehr miteinander verbundene bzw. miteinander kommunizierende Computer bzw. Server umfassen. Die verschiedenen Computer bzw. Server des Authentifizierungsservers 30 können jeweils einen oder mehrere der Schritte des Authentifizierungsverfahrens ausführen. DerAuthentifizierungsserver 30 kann auch zwei oder mehr Computer bzw. Server unterschiedlicher Unternehmen umfassen, die miteinander kommunizieren bzw. Informationen austauschen.
  • Vorstellbar ist auch, dass durch das positive Authentifizierungssignal selbst die Bezahlung auslöst bzw. autorisiert wird, z.B. über die Mobilfunkrechnung zu der authentifizierten Mobilfunknummer bzw. Mobiltelefonnummer.
  • Bezugszeichenliste
    • 10
    Authentifizierungssystem
    20
    Mobiltelefongerät
    30
    Authentifizierungsserver
    32
    erste Empfangsvorrichtung
    34
    zweite Empfangsvorrichtung
    36
    Sendevorrichtung
    38
    Vergleichsvorrichtung
    40
    Erzeugungsvorrichtung
    42
    Überprüfungsvorrichtung
    50
    Mobilfunknetz
    55
    IP-basiertes Netzwerk
    60
    Schritt des Sendens einer Authentifizierungsanfrage an einen Authentifizierungsserver
    62
    Schritt des Erzeugens einer ersten Nachricht mit einer ersten Authentifizierungsinformation durch den Authentifizierungsserver
    64
    Schritt des Sendens der ersten Nachricht an den Benutzer
    66
    Schritt des Empfangens einer zweiten Authentifizierungsinformation von der Mobiltelefonnummer durch den Authentifizierungsserver mittels einer zweiten Nachricht in Form einer short-message-service-Nachricht
    68
    Schritt des Vergleichens der zweiten Authentifizierungsinformation mit der ersten Authentifizierungsinformation
    70
    Schritt des Erzeugens eines positiven Authentifizierungssignals, wenn die zweite Authentifizierungsinformation mit der ersten Authentifizierungsinformation übereinstimmt
    72
    Schritt des Erzeugens eines negativen Authentifizierungssignals, wenn die zweite Authentifizierungsinformation nicht mit der ersten Authentifizierungsinformation übereinstimmt

Claims (10)

  1. Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers, wobei das Verfahren durch einen Authentifizierungsserver (30) durchgeführt wird und folgende Schritte umfasst: Empfangen einer Authentifizierungsanfrage zum Authentifizieren einer Mobiltelefonnummer eines Benutzers (60), wobei die Authentifizierungsanfrage von einem Server zum Durchführen eines Transaktionsvorgangs empfangen wird; Erzeugen einer ersten Nachricht mit einer ersten Authentifizierungsinformation (62); Senden der ersten Nachricht an den Benutzer (64) zur Anzeige der ersten Nachricht auf einem Bildschirm eines Computer oder eines Mobiltelefons des Benutzers (20); Empfangen einer zweiten Authentifizierungsinformation mittels einer zweiten Nachricht in Form einer short-message-service-Nachricht von der Mobiltelefonnummer (66), sowie Vergleichen der empfangenen zweiten Authentifizierungsinformation mit der ersten Authentifizierungsinformation (68); Erzeugen eines positiven Authentifizierungssignals welches anzeigt, dass die Mobiltelefonnummer erfolgreich authentifiziert wurde, wenn die zweite Authentifizierungsinformation mit der ersten Authentifizierungsinformation übereinstimmt (70), und Erzeugen eines negativen Authentifizierungssignals welches anzeigt, dass die Mobiltelefonnummer nicht erfolgreich authentifiziert wurde, wenn die zweite Authentifizierungsinformation nicht mit der ersten Authentifizierungsinformation übereinstimmt (72); und Erzeugen eines negativen Authentifizierungssignals welches anzeigt, dass die Mobiltelefonnummer nicht erfolgreich authentifiziert wurde, wenn die zweite Authentifizierungsinformation nicht innerhalb eines vorgegeben Zeitlimits empfangen wird; und Senden des positiven oder negativen Authentifizierungssignals an den Server zum Durchführen des Transaktionsvorgangs durch den Benutzer.
  2. Verfahren nach Anspruch 1, wobei die erste Authentifizierungsinformation eine dynamisch erzeugte erste Transaktionsinformation, insbesondere eine dynamisch erzeugte erste Transaktionsnummer, TAN, umfasst.
  3. Verfahren nach Anspruch 1 oder 2, wobei die erste Nachricht ein Captcha umfasst, wobei die erste Authentifizierungsinformation Teil des Captchas ist.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei die zweite Nachricht über eine Kurzwahlnummer, insbesondere eine Kurzwahlnummer im Mobilfunknetz (50), empfangen wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Verfahren ferner folgende Schritte umfasst, die vor dem Schritt des Erzeugens der ersten Nachricht mit der ersten Authentifizierungsinformation durch den Authentifizierungsserver (30) ausgeführt werden: Empfangen der Mobiltelefonnummer des Benutzers durch den Authentifizierungsserver (30) über ein IP-basiertes Netzwerk; Überprüfen, ob die Mobiltelefonnummer in einer Liste von gespeicherten Mobiltelefonnummern enthalten ist; wenn die Mobiltelefonnummer nicht in der Liste von gespeicherten Mobiltelefonnummern enthalten ist, Ausführen des Schritts des Erzeugens der ersten Nachricht mit der ersten Authentifizierungsinformation durch den Authentifizierungsserver (30); wenn die Mobiltelefonnummer in der Liste von gespeicherten Mobiltelefonnummern enthalten ist, Ausführen folgender Schritte: - Bestimmen einer Betrugswahrscheinlichkeit auf Grundlage einer IP-Adresse, von der die Mobiltelefonnummer gesendet wurde, und/oder eines fingerprints eines Betriebssystem und/oder eines Browsers, von dem aus die Authentifizierungsanfrage gestartet wurde, und/oder einer home location register, HLR, Abfrage der Mobiltelefonnummer, - wenn die bestimmte Betrugswahrscheinlichkeit oberhalb eines vorgegebenen Mindestwerts liegt, Ausführen des Schritts des Erzeugens der ersten Nachricht mit der ersten Authentifizierungsinformation durch den Authentifizierungsserver (30) (60), sowie - wenn die bestimmte Betrugswahrscheinlichkeit kleiner gleich dem vorgegebenen Mindestwert ist, Erzeugen des positiven Authentifizierungssignals (70).
  6. Verfahren nach einem der vorhergehenden Ansprüche, ferner folgenden Schritt umfassend: wenn ein positives Authentifizierungssignal erzeugt wurde, Senden einer zweiten Transaktionsinformation, insbesondere einer zweiten Transaktionsnummer, mTAN, an den Benutzer, wobei die zweite Transaktionsinformation den Benutzer beim Ausführen des Transaktionsvorgangs, insbesondere über ein IP-basiertes Netzwerk, autorisiert.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Verfahren ferner folgenden Schritt umfasst, der vor dem Schritt des Erzeugens der ersten Nachricht mit der ersten Authentifizierungsinformation durch den Authentifizierungsserver (30) ausgeführt wird: Authentifizieren des Benutzers durch Eingabe eines Benutzernamens und eines dem Benutzernamen zugeordneten Passworts, wobei bei nicht-erfolgreicher Authentifizierung des Benutzers das Verfahren abgebrochen wird.
  8. Authentifizierungssystem (10) zur Authentifizierung einer Mobiltelefonnummer eines Benutzers, wobei das Authentifizierungssystem (10) umfasst: - eine erste Empfangsvorrichtung (32) zum Empfangen einer Authentifizierungsanfrage an einen Authentifizierungsserver (30), wobei der Authentifizierungsserver (30) zum Erzeugen einer ersten Nachricht mit einer ersten Authentifizierungsinformation ausgebildet ist, wobei die Authentifizierungsanfrage von einem Server zum Durchführen eines Transaktionsvorgangs empfangen wird, - eine Sendevorrichtung (36) zum Senden der ersten Nachricht an den Benutzer zur Anzeige der ersten Nachricht auf einem Bildschirm eines Computer oder eines Mobiltelefons des Benutzers (20), - eine zweite Empfangsvorrichtung (34) zum Empfangen einer zweiten Authentifizierungsinformation mittels einer zweiten Nachricht in Form einer short-message-service-Nachricht von der Mobiltelefonnummer des Benutzers, - eine Vergleichsvorrichtung (38) zum Vergleichen der ersten Authentifizierungsinformation mit der zweiten Authentifizierungsinformation, und - eine Erzeugungsvorrichtung (40) zum Erzeugen eines positiven Authentifizierungssignals welches anzeigt, dass die Mobiltelefonnummer erfolgreich authentifiziert wurde, und zum Erzeugen eines negativen Authentifizierungssignals welches anzeigt, dass die Mobiltelefonnummer nicht erfolgreich authentifiziert wurde, wobei die Erzeugungsvorrichtung (40) derart ausgebildet ist, dass die Erzeugungsvorrichtung (40) dann das positive Authentifizierungssignal erzeugt, wenn die Vergleichsvorrichtung (38) feststellt, dass die von der Mobiltelefonnummer des Benutzers empfangene zweite Authentifizierungsinformation mit der ersten Authentifizierungsinformation übereinstimmt, und die Erzeugungsvorrichtung (40) dann das negative Authentifizierungssignal erzeugt, wenn die Vergleichsvorrichtung (38) feststellt, dass die von der Mobiltelefonnummer des Benutzers empfangene zweite Authentifizierungsinformation nicht mit der ersten Authentifizierungsinformation übereinstimmt, und dann, wenn die Vergleichsvorrichtung feststellt, dass die zweite Authentifizierungsinformation nicht innerhalb eines vorgegeben Zeitlimits empfangen wurde, und das positive oder negative Authentifizierungssignal an den Server zum Durchführen des Transaktionsvorgangs durch den Benutzer gesendet wird.
  9. Authentifizierungssystem (10) nach Anspruch 8, wobei die erste Nachricht ein Captcha umfasst, wobei die erste Authentifizierungsinformation Teil des Captchas ist.
  10. Authentifizierungssystem (10) nach Anspruch 8 oder 9, ferner umfassend eine Überprüfungsvorrichtung (42), wobei die Überprüfungsvorrichtung (42) zum Empfangen einer über ein IP-basiertes Netzwerk gesendeten Mobilfunknummer und zum Überprüfen, ob die Mobiltelefonnummer in einer Liste von gespeicherten Mobiltelefonnummern enthalten, und derart ausgebildet ist, dass - wenn die Mobiltelefonnummer nicht in der Liste von gespeicherten Mobiltelefonnummern enthalten ist, die Überprüfungsvorrichtung (42) veranlasst, dass der Authentifizierungsserver (30) die erste Nachricht mit der ersten Authentifizierungsinformation erzeugt, und - wenn die Mobiltelefonnummer in der Liste von gespeicherten Mobiltelefonnummern enthalten ist, die Überprüfungsvorrichtung (42) auf Grundlage einer IP-Adresse, von der die Mobiltelefonnummer gesendet wurde, und/oder eines fingerprints eines Betriebssystem und/oder eines Browsers, von dem aus die Authentifizierungsanfrage gestartet wurde, und/oder einer home location register, HLR, Abfrage der Mobiltelefonnummer eine Betrugswahrscheinlichkeit bestimmt und, wenn die bestimmte Betrugswahrscheinlichkeit oberhalb eines vorgegebenen Mindestwerts liegt, das Verfahren abbricht, sowie wenn die bestimmte Betrugswahrscheinlichkeit kleiner gleich dem vorgegebenen Mindestwerts ist, veranlasst, dass der Authentifizierungsserver (30) die erste Nachricht mit der ersten Authentifizierungsinformation erzeugt.
DE102017118488.0A 2017-08-14 2017-08-14 Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers und Authentifizierungssystem zur Authentifizierung einer Mobiltelefonnummer eines Benutzers Expired - Fee Related DE102017118488B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017118488.0A DE102017118488B4 (de) 2017-08-14 2017-08-14 Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers und Authentifizierungssystem zur Authentifizierung einer Mobiltelefonnummer eines Benutzers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017118488.0A DE102017118488B4 (de) 2017-08-14 2017-08-14 Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers und Authentifizierungssystem zur Authentifizierung einer Mobiltelefonnummer eines Benutzers

Publications (2)

Publication Number Publication Date
DE102017118488A1 DE102017118488A1 (de) 2019-02-14
DE102017118488B4 true DE102017118488B4 (de) 2020-08-06

Family

ID=65084307

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017118488.0A Expired - Fee Related DE102017118488B4 (de) 2017-08-14 2017-08-14 Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers und Authentifizierungssystem zur Authentifizierung einer Mobiltelefonnummer eines Benutzers

Country Status (1)

Country Link
DE (1) DE102017118488B4 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021103996A1 (de) 2021-02-19 2022-08-25 Bundesdruckerei Gmbh Auslesen lokal gespeicherter verschlüsselter Identitätsattribute
CN116319046B (zh) * 2023-04-04 2023-09-01 广州市单元信息科技有限公司 一种账户身份核验方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050239447A1 (en) 2004-04-27 2005-10-27 Microsoft Corporation Account creation via a mobile device
US20090111424A1 (en) 2007-10-26 2009-04-30 Sony Ericsson Mobile Communications Ab System and method for establishing authenticated network ...
US20160224970A1 (en) 2013-10-09 2016-08-04 Thandisizwe Ezwenilethu Pama Electronic transaction fraud prevention system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050239447A1 (en) 2004-04-27 2005-10-27 Microsoft Corporation Account creation via a mobile device
US20090111424A1 (en) 2007-10-26 2009-04-30 Sony Ericsson Mobile Communications Ab System and method for establishing authenticated network ...
US20160224970A1 (en) 2013-10-09 2016-08-04 Thandisizwe Ezwenilethu Pama Electronic transaction fraud prevention system

Also Published As

Publication number Publication date
DE102017118488A1 (de) 2019-02-14

Similar Documents

Publication Publication Date Title
US8781975B2 (en) System and method of fraud reduction
DE102008035391A1 (de) Verfahren zur Authentifizierung
DE60129951T2 (de) Verfahren zur transaktionensermächtigung
EP2174281A2 (de) Virtuelle prepaid- oder kreditkarte und verfahren und system zur bereitstellung einer solchen und zum elektronischen zahlungsverkehr
EP1203357A1 (de) Sms-e-commerce
EP1264490B1 (de) Verfahren zum festellen der authentizität der identität eines dienste-nutzers und vorrichtung zum durchführen des verfahrens
WO2013135898A1 (en) Mobile phone takeover protection system and method
DE202009019188U1 (de) Authentifizierung von sicheren Transaktionen
EP2263216A1 (de) Verfahren und diensterechner sowie system zur transaktion eines geldbetrages
DE112014003159T5 (de) Netzwerkidentitätsauthentifizierung unter Verwendung eines Kommunikationsvorrichtungsidentifizierungscodes
CN108605037A (zh) 发送数字信息的方法
DE102011075257B4 (de) Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers
DE102017118488B4 (de) Verfahren zum Authentifizieren einer Mobiltelefonnummer eines Benutzers und Authentifizierungssystem zur Authentifizierung einer Mobiltelefonnummer eines Benutzers
CN107241362B (zh) 识别验证码输入用户身份的方法和装置
Awale et al. Awareness of sim swap attack
WO2014195332A2 (de) Verfahren zur adressierung, authentifizierung und sicheren datenspeicherung in rechnersystemen
US20170206530A1 (en) Method and system for call authentication and providing reliability
EP1915729B1 (de) Vorrichtung, verfahren und anlagensystem zur interaktion mit einem benutzer sowie verfahren zur aufnahme eines benutzers in eine geschlossene benutzergruppe
EP1437668B1 (de) Verfahren zur bargeldlosen Zahlung von Waren oder Dienstleistungen unter Verwendung eines Mobilfunkendgerätes
DE102005045887A1 (de) Entsperren von Mobilfunkkarten
GB2419791A (en) Validation of on-line identities
DE10218729B4 (de) Verfahren zum Authentifizieren und/oder Autorisieren von Personen
EP1419638A2 (de) Computersystem und verfahren zur datenzugriffskontrolle
CN107301598A (zh) 一种交易账号的注册方法和系统
WO2005081489A1 (en) Improved secure web site access method and system

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R082 Change of representative

Representative=s name: GRUENECKER PATENT- UND RECHTSANWAELTE PARTG MB, DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R130 Divisional application to

Ref document number: 102017012333

Country of ref document: DE

R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee