Online bezahlen: durch Bildverifikation?
Nach dem Willen von verschiedenen Unternehmen soll die Bildverifikation in Zukunft das Tan-Verfahren als „sichere Zahlmethode“ ablösen. Sie wurde vor kurzem von Mastercard auf dem Mobile World Congress MWC in Barcelona vorgestellt und wird u.a. auch vom Amazon positiv bewertet. Der Branchenriese arbeitet laut internationaler Presse bereits an einer eigenen Selfi-Software, die in den USA zum Patent angemeldet werden soll.
Selfis als sichere Zahlmethode?
Bei Mastercard und auch Amazon soll die Bildverifikation noch im Jahr 2016 eingeführt werden. Um die Selfis zu aktivieren und die Sicherheitsschranken zu überwinden, müssen sich Mastercard-Kunden einmal zuzwinkern. Das gleiche gilt auch bei Amazon, doch dort wurde die Software bereits erweitert und enthält zusätzliche Sicherheitsmerkmale, die abgefragt werden.
Wie sicher sind die Selfis? Amazon betont, dass Passwörter immer wieder von Hackern geknackt werden können. Bilder hingegen seinen unverwechselbar, fast wie ein Fingerabdruck.
Dem widersprechen internationale Sicherheitsexperten. Mit einem hochauflösenden Foto sei die Software schnell austricksbar. Die Sicherheitsforscher von Red Hat haben die neue Software im Versuch mit nur einem Bleistift ausgehebelt. Durch das Verdecken der Augenpartie konnten die Programme nicht mehr zwischen Foto und Mensch unterscheiden und gaben den Zugang frei.
Ein weiterer Unsicherheitsfaktor ist die Übertragung der Anzahl der Fixpunkte des Selfis. Laut Anbieter sind es nur 10 bis 20 Fixpunkte, was bei weitem nicht für Sicherheit garantiert. Das macht die Bildverifikation zu einer unsicheren Methode, die schon vor dem offiziellen Start versagt hat.
Unternehmen wollen mehr Komfort für User
Also bieten immer mehr Unternehmen die neuen Methoden an, damit die User sich keine Zahlenkombinationen mehr merken oder Tans eintippen müssen? Experten sagen, die Bildverifikation sei ungefähr so sicher, wie die Zahlenkombination 1234 und öffne Cyberkriminellen die Tür zu allen relevanten Daten.
Warum also halten die Unternehmen daran fest? Um die Datensammelwut von Behörden und auch Geheimdiensten zu stoppen, sollten doch die Zahlmethoden und Zugänge sicherer werden und nicht offener. Niemand lässt seine Tür offen stehen, wenn er das Haus verlässt.
Wie soll man z. B. Kindern oder Senioren erklären, wie wichtig der Schutz der eigenen Privatsphäre und Daten ist, wenn die Internetindustrie solche Programme als sicher und sehr komfortabel beschreibt. Nutzer werden damit doch dumm gehalten, denn anscheinend trauen die Unternehmen uns nicht zu, aufwendigere Zahlen- oder Wortkombinationen zu finden und auch anzuwenden, um Konten und Daten zu schützen.