Interview zu Kreditkarten in Blick

Interview zu Kreditkarten in Blick

Freitag, 21. April 2017

Mit der Schlagzeile Mastercard startet noch dieses Jahr: Kreditkarte liest Fingerabdruck berichtet die Boulevardzeitung Blick zu den zukünftigen Entwicklungen von Kreditkarten. Dabei wurde Marc Ruef durch den Journalisten Lorenz Keller interviewt. Durch den erweiterten Mechanismus kann sowohl Komfort als auch Sicherheit gewonnen werden. Das ungekürzte Interview lesen Sie hier.

Ist ein Fingerabdruck sicherer als ein PIN-Code?

Nein. Beide Merkmale werden am Schluss in eindeutige digitale Daten umgewandelt. Als Angreifer spielt es dann eine untergeordnete Rolle, ob diese aus einem Fingerabdruck oder einem PIN generiert wurden. Das Abgreifen und Reproduzieren von Fingerabdrucken ist zudem seit Jahren belegt und auch mit einfachsten Haushaltsmitteln möglich. Es erfordert aber halt eine gewisse physische Nähe zum Opfer.

Erschwerend kommt hinzu, dass ein Fingerabdruck in erster Linie eine Identifikation zulässt. Falls ein solcher gestohlen und reproduziert werden kann, wird es aber schwierig, diesen zu ändern. Ganz anders beim Passwort oder PIN, die man ohne Probleme ändern kann. Wir empfehlen biometrische Merkmale deshalb ausschliesslich zur Identifikation zu benutzen und bei Authentisierung andere Mechanismen zuzuziehen.

Wie könnte man sonst Kreditkarten wirklich sicher machen? Eine Kombination aus mehreren Sicherheitselementen?

In der Tat. Der Fingerabdruck lässt eine komfortable Identifikation zu. Durch klassisches Passwort oder PIN wird dann die Authentisierung vorgenommen. Als “Best Practice” gilt das Nutzen eines weiteren Faktors, wie zum Beispiel eines Tokens (Gerät zur automatischen Generierung von zufälligen Zahlenkombinationen) oder den Versand von SMS. Mit der Zunahme von Sicherheitsmechanismen leidet aber irgendwann die Ergonomie, wodurch die Akzeptanz beim Kunden verloren geht.

Was verwundert ist, dass die verschlüsselten Daten auf der Karte hinterlegt werden. Wäre es nicht sicherer, diese zentral in einer Datenbank zu hinterlegen. Knackt man die Karte und dupliziert sie, könnte man den Fingerabdruck ja einfach austauschen.

Welches Verfahren genau eingesetzt wird, ist uns nicht bekannt. Es macht aber den Anschein, als würde mit dem Fingerabdruck ein persönliches Zertifikat erstellt und in erster Linie dieses abgelegt werden. Der Fingerabdruck liefert in diesem Fall die Ausgangslage zur Generierung dieses Zertifikats. Durch kryptografische Mechanismen kann man verhindern, dass dieses dann ohne weiteres reproduziert oder manipuliert werden kann.

Marc Ruef

Links

Tags

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!