Grundsätzlich stehe ich Fingerabdruckscannern skeptisch gegenüber, denn wenn einmal der eigene Fingerabdruck geklaut wird, kann dieser „Sicherheitsschlüssel“ (Fingerkuppe) nicht mehr verändert werden. Das heißt, Systeme, die nur auf einem Fingerabdruckscanner basieren, sind dann quasi immer unsicher. Das ist so, wie wenn man für alle Schlösser (Haus, Auto, ..) immer die gleichen Schlüssel verwenden würde und wüsste, er ist irgendwo im Umlauf. In meinem Artikel „Fingerabdruck oder Passwort – was ist sicherer?“ bin ich auf die Problematik bereits näher eingegangen.
Kreditkarte
Und nun möchte Mastercard einem Fingerabdruckscanner in der Kreditkarte integrieren. Eine ordentliche Herausforderung bei der geringen Dicke einer Karte. Der Karte selbst soll keine integrierte Stromversorgung besitzen, sondern per Induktion von einem Lesegerät mit Strom versorgt werden.
Mit heutigen Kreditkarten kann man auf zwei Arten bezahlen. Zum einen können die Daten der Karte mit einem Lesegerät ausgelesen werden oder altmodischer, es wird ein Abdruck gemacht und so ein Bezahlvorgang durchgeführt. Zur Sicherheit wird der Vorgang mit einer Unterschrift bestätigt, die zum Beispiel von einem Kassierer kontrolliert wird, also mit der Unterschrift auf der Rückseite verglichen wird. Und hier stolpert man schon über das erste Problem: das Sicherheitsmerkmal (Unterschrift) befindet sich auf dem gleichen Objekt (Kreditkarte) mit der eindeutigen Identifikation (Kreditkartennummer). Hat ein Angreifer eine Kreditkarte geklaut, kann er einfach die Unterschrift auf der Rückseite so lange üben, bis sie halbwegs übereinstimmt. Jeder wird es ja selber schon erlebt haben, dass die Kassierer nur einen flüchtigen Blick darauf werfen oder die Karte schon zurückgeben, bevor man unterschrieben hat. Es gibt zwar den Schutz per Pin-Code, der ist aber nur beim Abheben am Bargeldautomat zwingend erforderlich. Bei Bezahlung in einem Geschäft kommt er so gut wie nie zum Einsatz. Bei manchen Kreditkartenanbietern muss er sogar extra angefordert werden. Die andere Bezahlung erfolgt online per Eingabe der Kreditkartennummer, des Ablaufdatums und der Kartenprüfnummer. Also sind auch hier alle notwendigen Daten sichtbar für alle vorhanden. Wird die Karte entwendet, kann sofort eine Bezahlung durch den Angreifer vorgenommen werden. Oder bei einer Bezahlung in einem Restaurant kann ein Kellner die Daten zum Beispiel schnell abschreiben oder abfotografieren.
Sicherheit
Das Faszinierende ist, dass diese Methoden schon so lange funktionieren und nie ein großer Schritt in Sache Sicherheit unternommen wurde. Es wurde primär nur eine Methode gegen die Fälschung von ganzen Karten eingeführt. Ich habe jetzt leider keine Zahlen gefunden, wie viele Vorfälle es seit der Einführung der Kreditkarte gab, aber sicherlich werden es sehr viel sein. In Deutschland ist das Ganze nicht so relevant, da sich hier die Bezahlung per EC-Karte durchgesetzt hat. Hier ist das Objekt (EC-Karte) immer vom Geheimnis (Pin-Code) getrennt, so dass ein Angreifer mit dem Objekt oder mit dem Geheimnis jeweils alleine nichts anfangen kann. Übrigens ist dies eine schon sehr alte Zwei-Faktor-Authentifizierung.
Und nun wird also der Fingerabdruckscanner für die Kreditkarte kommen. Aber es würde auch einfacher gehen. Wieso kann nicht die Kartenprüfnummer etwas komplizierter sein und nicht auf der Karte aufgedruckt werden. Dann könnte man beim Online-Bezahlen die Kartenprüfnummer als Passwort verwenden, die nicht einfach bei jedem Bezahlvorgang für alle sichtbar ist. Für die normale Bezahlung könnte einfach ein Pin-Code immer verwendet werden. Wenn ein schnelles Bezahlen von kleinen Beträgen notwendig sein sollte, dann könnte man einfach ein Foto des Besitzers auf die Karte drucken. Eine Person und ein Foto zu vergleichen, ist die einfachste und schnellste Überprüfung von biometrischen Daten.
Sicherheit muss nicht immer auf komplexen technischen Lösungen basieren, sondern sollte mehrere getrennte Geheimnisse verwenden.
Klingt interessant aber ich steht den ganzen Verfahren, die auf den Fingerabdruck setzen auch skeptisch gegenüber.
Ich glaube aber auch, dass es noch einige Zeit dauern wird, bis man solche Karten wirklich, bekommen bzw. nutzen kann