STRATEGIE12. April 2024

Authentifizierung: Biometrie als Alternative zum Passwort-Dilemma

Schwerpunkt: Biometrie / Authentifizierung
Quintin Stephen ist Experte für Authentifizierung. Quintin Stephen, Global Business Lead for Authentication bei Giesecke+Devrient <q>Giesecke+Devrient</q>
Quintin Stephen, Global Business Lead for Authentication bei Giesecke+Devrient Giesecke+Devrient

Authentifizierung: Sicherheit und Komfort sind beim Zugang zu Online-Banking-Services oberstes Gebot. Doch selbst Multifaktor-Authentifizierung wird diesem Anspruch nicht mehr gerecht. Biometrische Authentifizierung kann zukünftig eine Schlüsselrolle spielen.

von Quintin Stephen, Global Business Lead for Authentication bei Giesecke+Devrient

Online-Portale haben den Bankschalter als primäre Kontaktstelle zwischen Kunde und Finanzinstitut abgelöst. Heute müssen Kunden für die Nutzung von Bankdienstleistungen zunächst einen Zugang freischalten, der sicherstellt, dass sich nur berechtigte Personen einloggen. Die dafür eingesetzten Authentifizierungsverfahren haben allerdings ein mehrfaches Problem zu lösen: Sie müssen höchste Zugangssicherheit für alle Beteiligten gewährleisten, gleichzeitig einfach und komfortabel zu bedienen sein und dabei die Vorgaben der EU-Zahlungsdiensterichtlinien erfüllen.

Authentifizierung: Immer Ärger mit dem Passwort

Die seit langem übliche manuelle Eingabe einer Kombination aus Nutzer-ID und Passwort erfüllt jedoch keines der beiden Kriterien. Aus Kundensicht ist sie zudem ein immer wiederkehrendes Ärgernis. Wer will sich schon für die vielen privaten und beruflichen Online-Zugänge unterschiedliche Zugangsdaten merken? Zettel im Geldbeutel oder mehrfach verwendete Passwörter sind leider oftmals die Folge – und gleichzeitig ein Sicherheitsrisiko.

Passwörter sind die Hauptursache für über 80% der Datenpannen, und unzureichendes Passwortmanagement ist mit 44% in jedem zweiten Unternehmen die größte Herausforderung im Bereich der Identitätskontrolle.”

Die derzeit geläufige Multi-Faktor-Authentifizierung (MFA) mit einem Einmalpasswort per SMS-Nachricht ist da kein echter Fortschritt. Sie ist umständlich in der Anwendung, da zwischen verschiedenen Applikationen gewechselt werden muss. Zudem ist sie teuer und anfällig für Ausspähung, etwa durch Phishing oder SIM-Swapping. Hinzu kommt der Kontrollverlust, wenn SMS-Provider oder externe Applikationen in den Authentifizierungsprozess eingebunden sind. Das erhöht die Sicherheitsrisiken zusätzlich. Wirklich sichere und gleichzeitig komfortabel nutzbare Verfahren sind daher nur möglich, wenn sie von vornherein auf das chronisch problematische Passwort verzichten.

Banken sind daher gut beraten, neue Lösungen für die Authentifizierung zu finden, die die richtige Balance zwischen Sicherheit und Komfort finden – im Interesse ihrer Kunden und im wohlverstandenen Eigeninteresse. Passwörter sind da nicht mehr zeitgemäß. Als primärer Authentifizierungsfaktor für passwortlose Anmeldeverfahren bieten sich biometrische Merkmale wie Fingerabdruck-, Iris- oder Gesichtserkennung an, wie sie aus dem Umgang mit mobilen Geräten wie Smartphones, Tablets oder Notebooks bestens bekannt und akzeptiert sind. So verwundert es nicht, dass laut einer Paysafe-Studie 60 Prozent der Verbraucher davon überzeugt sind, dass biometrische Verfahren Online-Transaktionen sicherer machen.

Hintergrund: Biometrie statt Passwort

Quintin Stephen, G+D
Quintin Stephen ist Global Business Lead for Authentication Giesecke+Devrient. Er ist ein erfahrener Zahlungsexperte mit globaler Erfahrung von über 28 Jahren im Zahlungsbereich. Sein aktueller Fokus liegt auf der Authentifizierung und deren Kombination mit der Entwicklung/Revolution des digitalen Zahlungsverkehrs, einschließlich Open Banking, digitalen Vermögenswerten, CBDC, Instant Payments, APIs, Digital First, virtuellen Karten und „Banking as a Service“.

Bei der passwortlosen Identifikation durch biometrische Merkmale werden kryptographische Zugangsschlüssel, sogenannte Passkeys, erzeugt. Die biometrischen Informationen verlassen dabei nicht das Smartphone.

Für Banken und Finanzdienstleister ist es wichtig, zwischen synchronisierten (synced) und gerätegebundenen (device-bound) Passkeys zu unterscheiden.”

Letztere sind an ein bestimmtes Endgerät gebunden und nicht übertragbar. Synchronisierte Passkeys hingegen können geräteunabhängig verwendet werden, sind also theoretisch besonders komfortabel. Allerdings erfüllen sie nicht die Vorgaben der Strong Customer Authentication (SCA), einer Anforderung der EU-Zahlungsdiensterichtlinie PSD2, die eine Zwei-Faktor-Authentifizierung voraussetzt.

Goldstandard für die Authentifizierung

Gerätegebundene Passkeys gelten als sogenannter Goldstandard für die Authentifizierung, da eine Bank jederzeit überprüfen kann, ob eine Transaktion von einem authentifizierten Gerät aus erfolgt ist oder nicht. Dabei wird das Gerät als Besitzfaktor (etwas, das ich habe) und das biometrische Merkmal als Existenzfaktor (etwas, das ich bin) betrachtet. Beides zusammen ergibt eine sichere Zwei-Faktor-Authentifizierung, die sich für den Kunden wie ein einziger, einfacher und schneller Vorgang per Finger-, Iris- oder Gesichtsscan anfühlt – denn der Besitzfaktor wird nicht abgefragt, sondern ausgelesen.

Die dafür notwendigen Standards liefert die FIDO-Allianz, zu der auch große Technologieunternehmen wie Apple, Google oder Microsoft angehören. FIDO-basierte biometrische Verfahren gewähren neben Nutzerkomfort und Sicherheit auch Schnelligkeit beim Authentifizierungsverfahren, weil dieses in einem einzigen Schritt erfolgt – auch das eine Vorgabe von PSD2. Sie sind eine ebenso sichere wie benutzerfreundliche und damit zukunftsweisende Lösung des Passworts-Dilemmas.Quintin Stephen,G+D/dk

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/208476

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert