MasterCard: Authentifizierung via Selfie oder Fingerabdruck

fingerabdruck 01
News

MasterCard macht mit der Entwicklung einer neuen App auf sich aufmerksam: in Zukunft soll es möglich sein, sich mit Hilfe eines Selfies oder des Fingerabdrucks bei Online-Einkäufen mit Kredtikartenzahlung zu identifizieren. So müsse man sich kein Passwort für den Kredtikartendienst mehr merken.

Einführung der App

Zunächst soll diese Art der Authentifizierung mit 500 Kunden getestet werden. Wer Proband sein möchte, muss sich selbstverständlich dafür die App auf dem Smartphone installieren. Falls die Anwendung eine gute Resonanz erfährt, soll sie auch für alle anderen Kunden freigeschaltet werden.

Bei MasterCard ist man davon überzeugt, dass die junge Generation diese Authentifizierungsmöglichkeit begeistert annehmen wird. Anstatt sich ein weiteres ungeliebtes Passwort zu merken, könne man einer seiner Lieblingsbeschäftigungen nachgehen – Selfies aufnehmen. “The new generation, which is into selfies… I think they will find it cool,”

Wahlweise auch per Fingerabdruck

Der Nutzer soll wählen können, ob er sich über seinen Fingerabdruck oder lieber anhand seiner Gesichtszüge identifizieren lassen möchte.

Funktionsweise

Um die App nutzen zu können, müsse man zuvor ein Foto bei der eigenen Bank hinterlegt haben. Für die Authentifizierung nehme die App das Gesicht des Nutzers auf und mache in dem Moment ein Foto, in dem er blinzelt. Das Blinzeln sei eine besondere Sicherheitsanforderung, damit man nicht einfach ein Foto vor die Kamera halten könne. Die Aufnahme werde dann die Server von MasterCard übermittelt, wo es mit dem vorher hinterlegten Foto des Nutzers verglichen werde.  Dabei würden Merkmale wie Bärte, Gesichtsausdruck oder Frisur nicht beachtet. Die Messungen fänden eher im Bereich um Nase und Augen statt. Das Bild wird dann genutzt um einen einzigartigen Algorithmus zu schaffen, der die Identität des Nutzers feststellen soll. Direkt im Anschluss würde das Bild gelöscht.

Kritik

Fraglos ist es mühselig, sich immer mehr und immer komplexere Passwörter zu merken. Diese Mühe führt oft dazu, dass Nutzer für verschiedene Dienste das gleiche Passwort verwenden und dieses auch noch möglichst kurz und einfach gestalten. Das wiederum hat gravierend nachteilige Auswirkungen auf die Sicherheit. Ob die Gesichtserkennung und der Fingerabdruck aber tatsächlich so viel sicherere Authentifizierungsmöglichkeiten sind, muss bezweifelt werden.

Schon auf dem letzten Jahreskongress des CCC, dem 31C3 (wir berichteten), wurde eindrücklich dargelegt und detailliert erklärt, wie sowohl Fingerabdrücke als auch das Abbild der Iris einfach gefälscht werden können. Zwar soll das zwingend erforderliche Blinzeln für mehr Sicherheit sorgen. Allerdings kann auch diese Hürde leicht durch das Auf- und Abbewegen eines Stifts vor dem Foto überwunden werden.

Ganz abgesehen von diesen Sicherheitsbedenken wäre natürlich noch der technische Hintergrund zur Übermittlung und Löschung der Daten sowie die Integration der biometrischen Funktionen in der App zu hinterfragen…

 

4 Kommentare zu diesem Beitrag

  1. Biometrie ist eine ganz schlechte Idee.

    1. Wie beim Chaos Communication Congress 2014 gezeigt wurde, lassen sich alle heutigen biometrischen Verfahren mit mehr oder weniger Aufwand austricksen.

    2. Biometrische Merkmale kann man nicht ändern, wenn sie kompromittiert wurden. Kompromittierung von Daten ist heutzutage nicht mehr auszuschließen. Keine Daten sind heute mehr sicher. Das ist das entscheidende Negativargument. Der eigene Fingerabdruck, Iris, Gesicht, Stimme, Venenmuster etc. kann man nicht ändern wie ein Passwort oder einen Hardware-Token. Einmal im Umlauf, begleitet es einen das ganze Leben, dass die eigenen biometrischen Merkmale in irgendwelchen dunklen Kanälen zirkulieren.

  2. Interessant, aber das will ich erstmal in der Praxis sehen. Heutige Handy-Kameras sind derart träge, ich sehe schon frustrierte User an der Kasse bei Aldi, die vergeblich versuchen ein Selfie aufzunehmen – sehr zur Freude ihres unmittelbaren Umfeldes. Einen Weg ein Fotot zum Blinzeln zu bringen wird es sicher auch schnell geben. Zum Beispiel kann man einfach ein zweites Handy davor halten, dass ein zuvor erstelltes Video (Animiertes GIF) abspielt. Oder so einen elektronischen Bilderrahmen, die gibt es ja inzwischen in kleinsten Ausführungen. Wenn also das Handy wegkommt, dürfte es kein Problem sein mit den Bildern darauf ein animiertes Bild zu gestalten, dass die Authorisierung knackt. Aber Hauptsache es ist cool…darauf kommt es schließlich an.

  3. Ich dachte, das wäre schon wieder ein Aprilscherz dieser Seite. Kaum zu glauben, was man sich alles einfallen lassen kann, nur damit man seinen Kopf nicht mehr anstrengen muss.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.