Autorisierung per Selfie

Das Bezahlen im Internet mit einer Kreditkarte ist zwar äußerst beliebt, aber aufgrund seiner Simplizität auch nicht sonderlich sicher: Kartennummer, Ablaufdatum, Sicherheitscode und – möglicherweise nicht immer – Name samt Adresse genügen. Dass hinter einer Bezahlung tatsächlich der Besitzer der Karte steckt, lässt sich nur schwer verifizieren, allein ungewöhnliche Standorte des Einkäufers sind ein mögliches Indiz.

Die Problematik will der Kreditkartenkonzern Mastercard künftig mit einer ungewöhnlichen Methode angehen. Eine neuartige Bezahl-App soll weder ein Zusatzpasswort noch eine per SMS versendete Transaktionsnummer ("mTAN") benötigen, wie sie bei bisherigen Verfahren wie "Verified by Visa" oder "Mastercard SecureCode" verwendet werden, die auf eine Authentifizierung durch einen zweiten Faktor ("Two-Factor-Authentication", 2FA) setzen.

Der Nutzer soll sich vielmehr anhand eines Selfies, also eines Selbstporträts mit der Handy-Kamera legitimieren. Die App könnte noch in diesem Sommer auf Handys, Tablets und Rechner mit eingebauter Webcam kommen und ist auch für Deutschland, die Schweiz, Spanien, Frankreich, Italien, Großbritannien und Skandinavien vorgesehen. Getestet wird das Verfahren bereits seit dem vergangenem Jahr in den Niederlanden und den USA. Kunden würden Passwörter hassen, so Mastercard. Das habe auch eine eigene Marketingstudie ergeben. 92 Prozent der Teilnehmer hätten dabei lieber das Selfie benutzt.

Das Selbstporträt wird allerdings nicht das alleinige Erkennungsmerkmal sein. Bei Zahlungen mit dem neuen Dienst wird man zunächst wie gewohnt seine Kreditkartendaten eingeben. Dann erfolgt die Prüfung: Man muss in die Kamera des Handys blicken, wobei eine "Totmann-Erkennung" eingebaut ist: Der Karteninhaber muss kurz blinzeln, um die App davon zu überzeugen, dass kein Foto vor die Kamera gehalten wird.

Mastercard ist nicht die erste Firma, die Gesichtserkennung zur Autorisierung einsetzt. Auch Microsofts Betriebssystem Windows 10 versteht sich darauf. Einen Selfie-Zwang soll es bei Mastercard-App nicht geben. Fingerabdruckscans werden ebenfalls akzeptiert. Die nutzen Bezahlverfahren wie Apple Pay, Android Pay oder Samsung Pay schon seit längerem. Dazu muss aber ein entsprechender Sensor im Gerät eingebaut sein.

An japanischen Geldautomaten testet man unterdessen noch andere Methoden gegen Missbrauch. So werden in immer mehr Geräten Venenmusterscanner verbaut, die körperliche Merkmale, die über einfache Fingerabdrücke hinausgehen, nutzen.

Wie sicher die Selfie-Erkennung sein wird, lässt sich noch nicht sagen. Schon vor einigen Jahren hatten Forscher der Technischen Universität Berlin demonstriert, dass Gesichtserkennungsverfahren selbst mit "Totmann-Erkennung" ausgehebelt werden können.

Dazu deckten sie ein Foto der Augenpartie kurz mit einem Stift ab, was das Blinzeln simulierte. Ob das heute noch geht, bleibt abzuwarten. (bsc)