MWC: Mastercard akzeptiert Selfies als Passwortersatz

Mastercard hat auf dem Mobile World Congress (MWC) in Barcelona bestätigt, dass es Selbstaufnahmen (Selfies) und Fingerabdrücke als Passwortersatz für Onlinetransaktionen verwenden wird. Das schreibt die BBC. Ein Test in den USA und den Niederlanden sei erfolgreich verlaufen. 92 Prozent der Nutzer hätten das biometrische System gegenüber Passwörtern vorgezogen.

Die Einführung erfolgt demnach im Sommer 2016 in den ersten Ländern, darunter Deutschland und die Schweiz. Auch Anwender in Belgien, Dänemark, Finnland, Frankreich, Großbritannien, Italien, Kanada, den Niederlanden, Norwegen, Schweden, Spanien und den USA werden die neue Authentifizierungsmethode in einigen Monaten nutzen können.

Für den Einsatz ist eine App erforderlich, die die Überprüfung vornimmt. Die Authentifizierung erfolgt über eine ins jeweilige System eingebaute Kamera oder einen Fingerabdruckscanner. Seine Kreditkartennummer muss der Kunde zusätzlich in gewohnter Weise angeben.

Authentifiziert sich der Anwender per Foto, muss er zudem auf Anweisung blinzeln, um sicherzustellen, dass nicht eine Aufnahme eines Fremden vor die Kamera gehalten wird. Bisher hatte Mastercard ein Verfahren im Einsatz, bei dem der Nutzer Teile eines Passworts eingeben musste, um sich zu authentifizieren. Die weitaus meisten Onlinezahlungen mit Kreditkarten beinhalten aber über Name und Kartendaten hinaus keine Form der Authentifizierung.

Authentifizierung per Gesichtserkennung ermöglichen schon die Betriebssysteme Windows 10 mit Hello und Android seit Version 4.0 Ice Cream Sandwich von 2011. Die BBC verweist auch auf ein vom chinesischen E-Commerce-Konzern Alibaba demonstriertes Bezahlsystem, das eine Gesichtserkennung nutzt. Und Worldpay hatte ein Experiment mit Gesichtserkennung im Herbst 2015 öffentlich gemacht, sagte aber bei der Gelegenheit, die Einführung könne noch fünf Jahre dauern.

In der Vergangenheit haben sich sowohl Fingerabdruckscanner in Apple- und Samsung-Geräten als auch Gesichtserkennungsverfahren als leicht zu täuschen erwiesen. Sicherer als ein schlechtes Passwort oder gar keine über die Kreditkarte selbst hinausgehende Authentifizierung dürften sie aber allemal sein.

Bedenklich ist an biometrischer Authentifizierung allerdings, dass ihre Anbieter zum Abgleich eine Clouddatenbank mit Mustern ihrer Kunden anlegen müssen – ein interessantes Angriffsziel für Kriminelle und staatliche Stellen gleichermaßen. Und anders als ein Tracking-Cookie oder eine Kreditkartennummer ermöglicht ein biometrisches Merkmal eine Identifikation über Einzeldienste und sogar über die Grenzen des Internets hinweg.

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.