Nr. 35/2019 vom 29.08.2019

Wir sind schlechte Passwörter

Von Susan Boos

In Europa werden jährlich über Kreditkarten fast zwei Milliarden Euro geklaut, sagt die Europäische Zentralbank. Da lohnt es sich, den Geldtransfer möglichst sicher zu machen. Mastercard, Visa und Postfinance haben ein Verfahren im Einsatz, das sich 3-D Secure nennt. Dieses System fragt bislang nach einem Passwort – doch ab Oktober wird das nicht mehr gelten.

Postfinance hat nun den KundInnen einen Flyer zukommen lassen, auf dem in grossen Lettern steht: «Das Passwort sind Sie 👍 😀», und: «Zu Fingerprint und Face ID wechseln und Passwort vergessen.» Wunderbar. Man gibt seinen Fingerabdruck ins Smartphone ein, sichert damit das Gerät und kann auch gleich noch damit bezahlen. Funktioniert auch mit dem Gesicht. Allerdings gibt es auf Youtube schon diverse Anleitungen, wie man einen Fingerabdruck kopiert oder die Gesichtserkennung überlistet. Sicher ist anders.

Fingerprints oder Face ID werden auf den Geräten und nicht bei den Kartenanbietern abgelegt. Nicht bei allen Geräten weiss man, wie und wo der Hersteller die biometrischen Daten speichert. Nur im Gerät? Oder auch in einer Cloud? Verschlüsselt oder einfach so? Jeder Hersteller kann tun, was er für sicher hält. Noch gibt es keine Zertifizierung. Und sind biometrische Daten einmal geklaut, sind sie für immer verloren. Wir haben nur ein Gesicht, zwei Iris, zehn Finger. Die können wir nicht ändern, ein Passwort schon. Deshalb ist es nicht unbedingt klug, mit seinen biometrischen Daten herumzuspielen. Doch die KundInnen wünschten sich diesen einfachen Zugang übers Smartphone, heisst es bei der Postfinance. Mitte Juni wurde das neue System mit Fingerprint und Face ID lanciert, inzwischen würden es schon über zwanzig Prozent der KundInnen nutzen – «Tendenz stark steigend», sagt Mediensprecherin Tatjana Guggisberg.

Für SkeptikerInnen, die nicht zu ihrem eigenen Passwort werden möchten, gibt es immer noch die altmodische Möglichkeit, sich einen SMS-Code zuschicken zu lassen. Im Kleingedruckten steht übrigens noch, dass bei Android-Geräten nicht mit Gesichtserkennung bezahlt werden kann. Da reicht nämlich bei manchen Geräten schon ein Foto der Besitzerin oder des Besitzers, um das System zu überlisten und das Handy zu entsperren. 

Wenn Ihnen der unabhängige und kritische Journalismus der WOZ etwas wert ist, können Sie uns gerne spontan finanziell unterstützen:

Überweisung

PC-Konto 87-39737-0
BIC POFICHBEXXX
IBAN CH04 0900 0000 8703 9737 0
Verwendungszweck Spende woz.ch