Fingerabdruck-Scanner auf MasterCard-Bankkarten - Was ist das Problem?
Am 20. April hat MasterCard die Veröffentlichung seiner neuen biometrischen Debitkarten in Südafrika angekündigt. Der Kartenaussteller möchte das Land als Testfeld nutzen, um Anpassungen vorzunehmen und die Technologie zu reifen, bevor sie auf andere Länder ausgeweitet wird.
Trotz der allgemein positiven Resonanz von Menschen, die vermutlich die Aussicht haben, ihre Zahlungen schneller als je zuvor leisten zu können, muss man sich fragen, ob Fingerabdrücke unbedingt sicherer sind als altmodische PIN-Nummern. Es ist schließlich keine Tatsache, dass Authentifizierungsmethoden, die bequemer und futuristischer sind, eine effektivere Sicherheit bieten.
Biometrische Authentifizierung ist ein starker Trend
Die Methode, ein Passwort zu verwenden, um Zugang zu privilegierten Informationen zu erhalten, gibt es schon seit Urzeiten, als uralte Posten die Eindringlinge dazu herausfordern würden, einen Satz zu wiederholen, um zu entscheiden, ob sie durchgelassen werden sollen oder nicht. Im digitalen Zeitalter waren sie ein billiger und einfacher Weg, um die Sicherheit von Benutzerkonten zu gewährleisten. Die Authentifizierung per Fingerabdruck war meist nur für Großunternehmen und staatliche Institutionen von Interesse.
All dies wurde auf den Kopf gestellt, nachdem Apple und Samsung begannen sich gegenseitig mit Fingerabdruck-Scannern auf ihren Handys zu überholen. Seitdem ist es ein Trend, biometrische Authentifizierung in verschiedene High-End-Produkte zu integrieren. Samsungs neuestes Galaxy S8 enthält sogar einen Iris-Scanner.
Menschen neigen dazu, dieser Form der Authentifizierung zu vertrauen, da sie einzigartig ist . Es kann davon ausgegangen werden, dass ein Möchtegern-Hacker nicht den gleichen Fingerabdruck oder das gleiche Irismuster aufweist wie Sie. Es gibt ein gewisses Gefühl der Gewissheit, dass Sie mit Ihren Geräten und Konten "biologisch verbunden" sind. Dies ist wahrscheinlich einer der Gründe, warum MasterCard sich entschieden hat, dieses Vertrauen zu nutzen und einen Fingerabdruck-Scanner direkt auf seinen Karten zu implementieren. weniger Zahlungen möglich.
Warum gibt es Grund zur Sorge?
Der letzte Schritt von MasterCard wirft auch ein paar Fragen auf, ob etwas, das so intim ist wie Ihr Bankkonto, an einen Fingerabdruck und nicht an eine PIN-Nummer gebunden sein sollte. Zunächst scheint es eine solide Strategie zu sein. Was könnte möglicherweise sicherer als Ihr Fingerabdruck sein? Die traditionelle vierstellige PIN-Nummer hat 10.000 mögliche Variationen (0000 - 9999), während ein Fingerabdruck mehrere Milliarden mögliche Permutationen hat. Sie würden es schwerer haben, Letzteres zu erraten.
Es gibt ein kleines Problem mit dieser Logik: Diebe und Hacker versuchen selten, die Authentifizierungsdetails einer gestohlenen Karte zu erraten. Es braucht zu viel Energie und viele Karten werden nach einer bestimmten Anzahl von erfolglosen Versuchen gesperrt. Diebstahl der Anmeldeinformationen beseitigt das Rätselraten. Es stellt sich heraus, dass Sie die PIN-Nummer einer Person durch eine Vielzahl von cleveren Methoden erhalten können, z. B. indem Sie eine falsche Tastatur an einem Geldautomaten installieren oder einfach nur beobachten, wie das Opfer sie über die Schulter tippt.
Von Anfang an scheinen die PIN-Nummern deutlich weniger sicher zu sein als die Biometrie. Fingerabdrücke können nicht gestohlen werden, oder?
Falsch.
In der Tat ist das Stehlen eines Fingerabdrucks tatsächlich ziemlich einfach. Ein bekannter Hacker namens Jan Kissler konnte Fingerabdruckdaten aus hochauflösenden Fotos von Verteidigungsministerin Ursula von der Leyen extrahieren und gut genug reproduzieren, um Zugang zu ihren biometrisch gesperrten Daten zu erhalten.
Versuche, Fingerabdruckscanner durch das Abbilden von Venenmustern in den Fingern robuster zu machen, wurden ebenfalls zunichte gemacht, nachdem Schweizer Forscher spezielle bildgebende Verfahren eingesetzt hatten, um diese Methode zu umgehen. Und natürlich dürfen wir den Bruch des US Office of Personnel Management im Juli 2015 nicht vergessen, als Hacker 21, 5 Millionen Sozialversicherungsnummern stahlen. Zusammen mit diesen Daten haben sie auch die Fingerabdrücke von 5, 6 Millionen Menschen gestohlen.
Und hier ist, warum es wichtig ist
Wenn eine massive Datenbank wie die, die ich gerade erwähnt habe, verletzt wird und Hacker es schaffen, Passwörter zu stehlen, sind die Auswirkungen ziemlich gravierend, aber Sie können verhindern, dass sich der Schaden ausbreitet, indem Sie Ihr Passwort schnell ändern. Aber was, wenn dein Fingerabdruck gestohlen wird? Wie änderst du das?
Hier ist der Kern des Problems: Ihr Fingerabdruck ist ein unwiderrufliches Stück Daten. Du bist damit geboren und das hast du für den Rest deines Lebens. Das gleiche gilt für Ihre Iris oder eine andere biometrische Kennung. Das Beste, was Sie tun können, ist die Finger wechseln, aber Sie haben nur zehn von ihnen. Wenn Sie ein hochkarätiges Ziel sind oder viele hochauflösende Fotos im Internet veröffentlicht haben, können Sie der Realität, die diese präsentiert, nicht entkommen.
Wie sich herausstellt, ist die biometrische Authentifizierung am effektivsten, wenn sie in einer hochsensiblen und sicheren Umgebung von Personen verwendet wird, die kein sehr öffentliches Leben haben (z. B. Regierungsagenten). Als ein Teil der Verbrauchertechnologie ist es ein Komfort, der möglicherweise die Sicherheit opfert. Ironischerweise wird Ihr Fingerabdruck weniger sicher, wenn Sie eine öffentlichere Person werden.
So wie es heute aussieht, könnte sich der Glaube an die Biometrie als eine tickende Zeitbombe erweisen, die in ein paar Jahren einen Zustand der Entropie erreichen wird, in dem Hacker Zugang zu großen Fingerabdruck- / Iris-Datenbanken suchen.
Gibt es Ihrer Meinung nach Möglichkeiten, die biometrische Authentifizierung für die Verwendung in der Verbrauchertechnologie sicherer zu machen? Erzähl uns alles in einem Kommentar!