Cyber Security Center

Kompetenzzentrum für Informationssicherheit

Kreditkarte mit Fingerabdruckscanner?

Mastercard hat angekündigt, eine Kreditkarte mit einem integrierten Fingerabdruckscanner auf den Markt zu bringen. Auf der Karte selbst sollen dann die biometrischen Merkmale gespeichert werden, welche dann bei Benutzung mit den Daten des Fingerabdruckscanners verglichen werden. Eine ziemlich komplexe Lösung für ein seit Jahren unsicheres System.

Sonntag, 25. Januar 2015

Tobias Scheible

5 Kommentare

Sicherheit

Fingerabdruck, Passwort, Scanner, Sicherheit

Grundsätzlich stehe ich Fingerabdruckscannern skeptisch gegenüber, denn wenn einmal der eigene Fingerabdruck geklaut wird, kann dieser „Sicherheitsschlüssel“ (Fingerkuppe) nicht mehr verändert werden. Das heißt, Systeme, die nur auf einem Fingerabdruckscanner basieren, sind dann quasi immer unsicher. Das ist so, wie wenn man für alle Schlösser (Haus, Auto, ..) immer die gleichen Schlüssel verwenden würde und wüsste, er ist irgendwo im Umlauf. In meinem Artikel „Fingerabdruck oder Passwort – was ist sicherer?“ bin ich auf die Problematik bereits näher eingegangen.

Kreditkarte

Und nun möchte Mastercard einem Fingerabdruckscanner in der Kreditkarte integrieren. Eine ordentliche Herausforderung bei der geringen Dicke einer Karte. Der Karte selbst soll keine integrierte Stromversorgung besitzen, sondern per Induktion von einem Lesegerät mit Strom versorgt werden.

Mit heutigen Kreditkarten kann man auf zwei Arten bezahlen. Zum einen können die Daten der Karte mit einem Lesegerät ausgelesen werden oder altmodischer, es wird ein Abdruck gemacht und so ein Bezahlvorgang durchgeführt. Zur Sicherheit wird der Vorgang mit einer Unterschrift bestätigt, die zum Beispiel von einem Kassierer kontrolliert wird, also mit der Unterschrift auf der Rückseite verglichen wird. Und hier stolpert man schon über das erste Problem: das Sicherheitsmerkmal (Unterschrift) befindet sich auf dem gleichen Objekt (Kreditkarte) mit der eindeutigen Identifikation (Kreditkartennummer). Hat ein Angreifer eine Kreditkarte geklaut, kann er einfach die Unterschrift auf der Rückseite so lange üben, bis sie halbwegs übereinstimmt. Jeder wird es ja selber schon erlebt haben, dass die Kassierer nur einen flüchtigen Blick darauf werfen oder die Karte schon zurückgeben, bevor man unterschrieben hat. Es gibt zwar den Schutz per Pin-Code, der ist aber nur beim Abheben am Bargeldautomat zwingend erforderlich. Bei Bezahlung in einem Geschäft kommt er so gut wie nie zum Einsatz. Bei manchen Kreditkartenanbietern muss er sogar extra angefordert werden. Die andere Bezahlung erfolgt online per Eingabe der Kreditkartennummer, des Ablaufdatums und der Kartenprüfnummer. Also sind auch hier alle notwendigen Daten sichtbar für alle vorhanden. Wird die Karte entwendet, kann sofort eine Bezahlung durch den Angreifer vorgenommen werden. Oder bei einer Bezahlung in einem Restaurant kann ein Kellner die Daten zum Beispiel schnell abschreiben oder abfotografieren.

Sicherheit

Das Faszinierende ist, dass diese Methoden schon so lange funktionieren und nie ein großer Schritt in Sache Sicherheit unternommen wurde. Es wurde primär nur eine Methode gegen die Fälschung von ganzen Karten eingeführt. Ich habe jetzt leider keine Zahlen gefunden, wie viele Vorfälle es seit der Einführung der Kreditkarte gab, aber sicherlich werden es sehr viel sein. In Deutschland ist das Ganze nicht so relevant, da sich hier die Bezahlung per EC-Karte durchgesetzt hat. Hier ist das Objekt (EC-Karte) immer vom Geheimnis (Pin-Code) getrennt, so dass ein Angreifer mit dem Objekt oder mit dem Geheimnis jeweils alleine nichts anfangen kann. Übrigens ist dies eine schon sehr alte Zwei-Faktor-Authentifizierung.

Und nun wird also der Fingerabdruckscanner für die Kreditkarte kommen. Aber es würde auch einfacher gehen. Wieso kann nicht die Kartenprüfnummer etwas komplizierter sein und nicht auf der Karte aufgedruckt werden. Dann könnte man beim Online-Bezahlen die Kartenprüfnummer als Passwort verwenden, die nicht einfach bei jedem Bezahlvorgang für alle sichtbar ist. Für die normale Bezahlung könnte einfach ein Pin-Code immer verwendet werden. Wenn ein schnelles Bezahlen von kleinen Beträgen notwendig sein sollte, dann könnte man einfach ein Foto des Besitzers auf die Karte drucken. Eine Person und ein Foto zu vergleichen, ist die einfachste und schnellste Überprüfung von biometrischen Daten.

Sicherheit muss nicht immer auf komplexen technischen Lösungen basieren, sondern sollte mehrere getrennte Geheimnisse verwenden.

Über den Autor

Autor Tobias Scheible

M.ENG. Tobias Scheible ist als wissenschaftlicher Mitarbeiter an der Hochschule Albstadt-Sigmaringen am Institut für Wissenschaftliche Weiterbildung tätig. Er arbeitet dort als Modulentwickler im Masterstudiengang Digitale Forensik und entwickelt Materialien zu den Bereichen Betriebssystemforensik und Internettechnologien. Im Studiengang IT Security leitet er Praktika rund um das Thema Informationssicherheit. Darüber hinaus ist er Mitinitiator des Kompetenzzentrums Cyber Security Lab, welches Forschungsprojekte auf dem Gebiet der IT-Sicherheit koordiniert. Außerdem organisiert er im Rahmen des VDI Programms Workshops zu aktuellen Themen und Trends der IT-Sicherheit.

Cyber Security Lab Newsletter

Sicheren Sie sich Ihren Wissensvorsprung! Bleibe Sie immer up-to-date - Aktivitäten, Veranstaltungen, ...

Kommentare

Alex

Klingt interessant aber ich steht den ganzen Verfahren, die auf den Fingerabdruck setzen auch skeptisch gegenüber.
Ich glaube aber auch, dass es noch einige Zeit dauern wird, bis man solche Karten wirklich, bekommen bzw. nutzen kann

Stefan

Ich denke mal das es noch dauern wird bis diese Art von Bezahlung eingesetzt werden kann. Allerdings weiß ich auch jetzt schon, dass ich es nicht nutzen werde.

Lina

Wenn man bedenkt, dass NSA oder andere Überwachungen eh schon alles von uns wissen, wirkt es beinahe banal sich um seine Kreditkarteninformationen zu sorgen. Auf der anderen Seite gibt es nach wie vor „Kleinkriminelle“. Für diese Leute denke ich, wäre eine Fingerabruckerkennung schwieriger zu knacken als Pin oder einefach nur der Klau der Kreditkarten/ des Portmonäs.
ich bin gespannt, wann es an dieser Front wieder neu Infos gibt über Fortschritt und Entwicklung dieser Karte…

Andy

Ich denke, dass sich dieses System so schnell – zumindest – nicht durchsetzen wird. Letztendlich dürfte der Aufwand, die Systeme umzurüsten doch mit einem recht grossen Aufwand und zusätzlichen Kosten für die Umrüstung der Akzeptanzstellen verbunden sein. Dieses System kann eigentlich nur dann (einwandfrei) funktionieren, wenn jede Akzeptanzstelle entsprechend nach-, bzw. umgerüstet wird. Ansonsten denke ich ist das schon ein guter Ansatz zu mehr Sicherheit beim Zahlungsverkehr.

Dirk

Glaube kaum das sich das durchsetzten wird ….dann schneiden sie dir halt den finger ab 🙂

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>


Fatal error: Call to undefined function show_subscription_checkbox() in /kunden/463182_72488/webseiten/cyber-security-center.de/wp-content/themes/csl/comments.php on line 71