Authentifizierung per Selfie: Bringt Mastercard die Welt zum Lächeln?
MasterCard hat auf dem Mobile World Congress in Barcelona eine neue Authentifizierungslösung angekündigt: das Bezahlen per Selfie. Bereits im letzten Sommer hatte Mastercard verkündet, Passwörter und Zahlencodes überflüssig machen zu wollen (wir berichteten). Jetzt ist es also soweit – Mitte 2016 sollen sich auch deutsche Kunden per Selfie verifizieren können. In Österreich geht das sogenannte „Selfie Pay“ 2017 an den Start. Sascha Breite, Head Future Payments des Payment-Spezialisten SIX Payment Services, macht den Reality Check.
von Sascha Breite, SIX Payment Services
Der Siegeszug des Selfies ist unaufhaltsam. Nun setzt auch Mastercard bei Bezahlvorgängen auf das Selbstportrait. Doch wie sicher ist das Verfahren? Und was machen die Wettbewerber? Schließlich tüfteln immer mehr Unternehmen an neuen Verfahren, um die Identität eines Nutzers beim Bezahlen komfortabel und schnell nachzuweisen.So soll man bald an der Supermarktkasse ein Selfie knipsen, statt ein Passwort einzugeben, um sich als Besitzer der genutzten Kreditkarte auszuweisen? Ajay Bhalla, Chef der Sicherheitsabteilung von Mastercard ist sich sicher, dass die „Generation Selfie“ das neue Feature begrüßt und auch nutzt (hier unser Beitrag). Bleibt die Frage: Welches Potenzial hat der Dienst in Europa wirklich?
Per Augenaufschlag gegen Missbrauch
Damit das Ganze überhaupt funktioniert, müssen Nutzer die Mastercard-App „Selfie Pay“ auf ihrem Smartphone, Tablet oder PC installieren und ein Musterbild von sich hinterlegen. Aus den Bilddaten wird ein einmaliger Code errechnet. Das an der Supermarktkasse gemachte Selfie wird dann verschlüsselt an Mastercard übertragen und mit dem hinterlegten Wert abgeglichen. Alternativ funktioniert die Verifizierung der eigenen Identität laut BBC-Berichterstattung auch mit Fingerabdruck. Nach erfolgreicher Verifizierung muss der Nutzer die Transaktion nur noch bestätigen.
Allerdings darf der Kreditkarteninhaber nicht vergessen, auf dem Selfie zu blinzeln. Durch diese Bewegung stellt die Software sicher, dass ein Dieb nicht bloß ein Foto vor die Kamera hält. Dass diese Sicherheitsvorkehrung alleine nicht ausreicht, dürfte Mastercard wissen, und dennoch hat das Unternehmen bisher nur vage Angaben über weitere Sicherheitsvorkehrungen gemacht. Ein Sprecher sagte, das System würde Betrugsversuche erkennen, weil es noch weitere Daten auswertet. Sicherheitsforscher Jan Krissler von der TU Berlin hatte in einem anderen Zusammenhang einen Stift über die Augenpartie eines Fotos geschwenkt – was ein Scanner als Blinzeln interpretierte und die Zahlung ermöglichte. Weitergehende Ansätze der Gesichtserkennung mittels 3D-Modellen bieten deutlich bessere Betrugsprävention, befinden sich allerdings noch in der Entwicklungsphase.
Wettbewerber in einer Welt ohne Passwörter
Banken, Sparkassen und Zahlungsdienstleister arbeiten an einer Welt, die ohne die Eingabe von Passwörtern funktioniert. Dabei setzen sie auf biometrische Merkmale, die als einmalig gelten, wie etwa der Fingerabdruck, die Stimme oder neuerdings der Blutdruck in der Fingerspitze. „Konsumenten hassen Passwörter”, ist sich Bhalla sicher. Das meist verwendete Passwort sei 123456. Das sei für sich schon sehr unsicher, aber viele Menschen würden Passwörter auch noch mehrfach verwenden. „Werden sie einmal gehackt, hat der Dieb Zugriff auf fast alle Daten”, so Bhalla.
Bereits vor einem Jahr, auf der CeBIT 2015, demonstrierte Alibaba-Chef Jack Ma das Bezahlverfahren „Smile to Pay“, eine App, die Kunden anhand ihrer Gesichtsform erkennt. Google testet gerade die App „Hands Free“ und auch die britische Atom Bank plant die Einführung von Gesichtsscannern. Barclays, ein Finanzunternehmen aus Großbritannien, hat ein Authentifizierungsverfahren entwickelt, das den Blutfluss in einem Finger misst. Auch die Deutsche Bank plant die Einführung biometrischer Verifizierungsprozesse. Etwa ein System, das erkennt, ob der Kontoinhaber oder ein anderer das zur Zahlung benutzte Handy in den Händen hält. Die Überweisung per Fingerabdruck ist bei der Deutschen Bank bereits Wirklichkeit.
Neue EU-Zahlungsdienst-Richtlinie
Mastercard testete „Selfie Pay“ 2015 in einem Pilotprogramm mit 500 Teilnehmern in den USA und den Niederlanden. Dem BBC-Bericht zufolge soll es in diesem Sommer in 14 Ländern eingeführt werden, darunter auch Großbritannien, Frankreich und Deutschland. 2017 ist die Einführung in Österreich geplant. Doch gerade in Ländern wie Deutschland, wo die Menschen vergleichsweise stark auf Datenschutz bedacht sind, dürfte es für Mastercard nicht leicht werden, Kunden davon zu überzeugen, noch mehr Daten zur Verfügung zu stellen. Mastercard wird wohl erst zum Zeitpunkt der Markteinführung Details zur Sicherheit bekanntgeben. Eine Ende 2015 verabschiedete EU-Richtlinie verpflichtet Mobile Payment-Anbieter zu einer starken Kundenauthentifizierung durch das „Heranziehen von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist)“.
Das Fazit von Sascha Breite
Je mehr Daten Unternehmen sammeln, desto mehr Geld können sie dafür verlangen. Wie viele Daten Mastercard, Google & Co. letztendlich sammeln, hängt von der Gewohnheit der Kunden ab – und ob sie bereit sind, diese umzustellen. Die Zeit wird zeigen, ob Nutzer es wirklich bevorzugen, ständig ein Foto von sich zu machen, statt sich ein Passwort zu merken. Manche bezeichnen Mastercards App „Selfie Pay“ daher als „Marketing-Gag“. Andere glauben, die Verifikation via Fingerabdruck sei einfacher in der Praxis umzusetzen als ein Selfie. Im ersten Schritt wird Mastercard versuchen, bestehende und neue Kunden von der Bezahlfunktion zu überzeugen. Dann kann sich die Lösung ausgehend von der Selfie Generation verbreiten.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/28721
Schreiben Sie einen Kommentar