Onlineshopping Mastercard will Passwörter durch Selfies ersetzen

In die Kamera lächeln und die Fingerkuppe scannen: Der Kreditkartenkonzern Mastercard tüftelt an Passwortalternativen. Sicherheitsexperten halten die Pläne für riskant.
Arnold Schwarzenegger mit Smartphone (Symbolbild): Zahlen per Selfie

Arnold Schwarzenegger mit Smartphone (Symbolbild): Zahlen per Selfie

Foto: FRANCOIS GUILLOT/ AFP

Der Kreditkartenkonzern Mastercard will Passwörter und Zahlencodes offenbar durch Selfies ersetzen. Einem Bericht des Fernsehsenders CNN zufolge  entwickelt das Unternehmen derzeit eine Smartphone-App, die Kunden anhand ihres Fingerabdrucks und ihrer Gesichtsform erkennt. Damit sollen die Kreditkarten-Kunden beim Onlineshopping eindeutig identifiziert werden und mit ihren biometrischen Daten bestätigen, dass die Karte belastet wird.

Mastercard-Sicherheitschef Ajay Bhalla sagte im Gespräch mit CNN: "Die neue Generation, die so gerne Selfies macht ... Ich glaube, sie finden es cool. Sie werden es mögen." Mastercard will die Authentifizierung mit Gesichtserkennung und Fingerabdruck zunächst mit 500 Kunden testen. Falls die Anwendung funktioniert, soll die App auch für alle anderen Kunden freigeschaltet werden.

Bisher arbeitet Mastercard mit dem sogenannten Securecode-Verfahren, einem Pop-up-Fenster der kartenausgebenden Bank, das sich öffnet, sobald ein Kunde etwas im Netz mit der Karte bezahlen will. Eine persönliche Begrüßung soll garantieren, dass es sich nicht um eine gefälschte Abfrage handelt.

Wenn es nach Mastercard geht, dann sollen die Kunden ihren Einkauf künftig damit bestätigen, dass sie ihre Fingerkuppe auf den Abdrucksensor legen, der beispielsweise beim iPhone und dem Samsung Galaxy in die Home-Taste integriert ist. Im Selfie-Modus muss der Kunde sein Gesicht filmen und dabei einmal blinzeln, damit Betrüger nicht auf die Idee kommen, ein Foto vor die Kamera des Smartphones zu halten.

Fingerabdrücke sind keineswegs sicher

Der Fingerabdruck und der Gesichts-Scan werden laut Mastercard nicht direkt an die Server des Konzerns übertragen. Aus den biometrischen Daten soll auf dem Smartphone ein Code erstellt werden, der schließlich ins Netz übertragen wird. Dennoch sehen Experten ein großes Problem in der Methode. Gegenüber CNN sagt ein Mitarbeiter des Sicherheitsunternehmens Dragos Security, die Idee sei in Sachen Privatsphäre "furchtbar" und aus Sicht des Unternehmens ein Risiko.

Der Chaos Computer Club hat immer wieder gezeigt, wie leicht sich ein Log-in mithilfe biometrischer Daten überlisten lässt. Kurz nach dem Verkaufsstart des iPhone 5S veröffentlichten die Hacker ein Video, das zeigt, wie sie den TouchID-Scanner mit einem Folien-Fingerabdruck austricksen konnten. Spezialisten bildeten sogar den Fingerabdruck der Ministerin Ursula von der Leyen nach anhand eines hochauflösenden Fotos ihrer Hand.

Trotz aller Kritik bastelt Mastercard demnach aber auch schon an weiteren Ideen zur Identifizierung der Nutzer. Offenbar soll es Pläne geben, die Kunden anhand ihrer Stimme und ihres Herzschlags zu erkennen.

jbr
Die Wiedergabe wurde unterbrochen.