Security

Der letzte Welt-Passwort-Tag?

Mark Nelsen über Einmalpasswörter und Biometrie als Nachfolger des Passworts

By Mark Nelsen, SVP Risk Products, Visa

© terovesalainen

Der heutige Welt-Passwort-Tag gehört wahrscheinlich nicht zu den beliebtesten Aktionstagen – und dieses Jahr könnte seine letzte Stunde geschlagen haben. Zumindest in Europa, denn hier wird die PSD2 mit den Anforderungen der Strong Customer Authentication (SCA) dazu beitragen, dass Passwörter für immer der Vergangenheit angehören werden, wenn es um die Authentifizierung von Zahlungen geht.

Eigentlich ist es überraschend, dass es so lange gedauert hat. Das Computer-Passwort wurde in den 1960ern von Fernando Corbato erfunden und ist damit bereits über ein halbes Jahrhundert alt. Seither ist selbst dem geduldigsten Menschen das Eintippen von Passwörtern – den Geburtsnamen der Mutter oder des ersten Haustieres – auf die Nerven gegangen. Um sich ihre Passwörter besser merken zu können, schreiben viele sie eben auf. Manche benutzen dasselbe Passwort für verschiedene Accounts oder wählen einfach eines, das sich leicht erraten lässt. Laut der Security-Firma SplashData sind die beiden meistverwendeten Passwörter „123456” und „password” – ein Traum für Hacker und Betrüger. 

Zeit für etwas Neues

Das Zahlungsökosystem hat sich gewandelt – und daher muss sich auch die Art und Weise verändern, wie wir es sicher gestalten. Authentifizierung und Betrugserkennung sind mittlerweile so weit entwickelt, dass manche Banken und Händler heute schon Unterschriften und PINs als optional ansehen. Seit Oktober 2018 können Händler im Visa Payment-Netzwerk auf Unterschriften verzichten, wenn sie die sicheren EMV-Chips nutzen. 3-D Secure 2.0 kann heute zehn Mal mehr Daten auswerten und prüfen als je zuvor. So können Online-Transaktionen im Hintergrund analysiert werden, ohne dass der Verbraucher aktiv werden muss. Darüber hinaus sorgt die Weiterentwicklung von Künstlicher Intelligenz für eine schnellere und genauere Betrugserkennung.

Vor dem Hintergrund dieser verbesserten Sicherheit, passt das Konzept des Passworts nicht mehr. Dank der neuesten Technologien und der SCA-Ausnahmen gibt es auch nach dem 14. September eigentlich nur zwei Gründe, Verbrauchern zusätzliche Sicherheitsschritte aufzuerlegen: Entweder um die Identität des Karteninhabers sicherzustellen oder weil wir Auffälligkeiten bei der Zahlung entdecken, die auf einen Betrugsversuch hindeuten könnten. Im ersten Fall sollte die zusätzliche Sicherheitsmethode Verbrauchern vermitteln, dass ihre Identität geschützt wird; im zweiten Fall sollte die Sicherheitsmethode Betrüger zuverlässig abwehren. Ein Passwort kann weder das eine noch das andere erreichen.

SCA ermöglicht uns einen neuen, moderneren Ansatz für den Verbraucher von heute. Die Frage ist also nicht, ob wir Kunden neue Authentifizierungsmöglichkeiten bieten sollten, sondern welche.

Flexible Authentifizierung

Es gibt viele Formen der Authentifizierung und dank eines offenen und innovationsfreundlichen Systems werden weitere hinzukommen. Die zwei prominentesten Nachfolger für das Passwort sind dabei One-Time-Passcodes (OTPs) und Biometrie.

OTPs sind dabei für viele die naheliegende Option. Die Sicherheit eines einzigartigen Codes übersteigt die eines Passworts – hinzu kommt die einfache Nutzung, denn der Code wird direkt an ein Mobilgerät geschickt, das auf einen spezifischen Karteninhaber zugelassen und mit großer Wahrscheinlichkeit in seiner Nähe ist. Nicht das Gerät ist in diesem Fall der Schlüssel, sondern der Code selbst. Somit kann der Code auch per E-Mail oder sogar per Festnetztelefon weitergegeben werden und damit verschiedenen Nutzerbedürfnissen gerecht werden. Das System ist vielen Nutzern bereits bekannt – wer sich in sein E-Mail-Konto oder sein Online-Banking einloggt, nutzt in vielen Fällen bereits heute OTPs. Ein Großteil der benötigten Infrastruktur steht also bereits zur Verfügung.

Die spannendere Option ist natürlich die biometrische Authentifizierung. War diese in der Vergangenheit nur ein Merkmal von Hollywood-Filmen, ist Biometrie heute längst alltäglich. Seit Fingerabdrucksensoren vor sechs Jahren zum ersten Mal serienmäßig in Smartphones verbaut wurden, haben sich Nutzer an sie gewöhnt und bringen der Technologie wachsendes Vertrauen entgegen. Eine US-amerikanische Visa Studie zeigt, dass Verbraucher biometrische Authentifizierung für schneller, einfacher und sicherer als Passwörter halten. 83 Prozent der Verbraucher haben generell Interesse daran, durch Biometrie ihre Identität zu bestätigen oder Zahlungen zu verifizieren; 59 Prozent sind bereits mit Biometrie vertraut. Die biometrische Authentifizierung liefert die hohe Sicherheit der SCA ohne die Komplikationen, die von vielen befürchtet wurden. 

Vielleicht liegt die Antwort darin, dem Kunden die Wahl zu lassen. SCA gibt uns nicht nur die Möglichkeit, Passwörter abzuschaffen, sondern erspart uns auch Authentifizierung auf nur eine Methode zu beschränken. Ein und derselbe Verbraucher kann schließlich seine mobile Zahlung per Fingerabdruck authentifizieren, beim Kauf von Flugtickets am PC jedoch lieber ein Einmalpasswort/OTP per E-Mail nutzen. Unsere Infrastruktur bietet genau diese Flexibilität und Verbraucher verlangen nach einer breiten Auswahl.

Was die einfachste und komfortabelste Lösung ist, liegt im Auge des Betrachters. Wenn wir diese Lösung anbieten wollen, liegt die Antwort vielleicht darin, den Kunden selbst entscheiden zu lassen. 

Tag: Payment Security Tag: Biometrics