Passwordless Banking: Ein genauerer Blick auf die biometrische Authentifizierung und die Erkennung von Lebendigkeit

Samuel Bakken, 28. Januar 2020
Passwordless Banking: A Deeper Look at Biometric Authentication and Liveness Detection

Ich verachte Passwörter. Ich möchte auf mehr Online- oder mobile Dienste zugreifen, ohne mit Kombinationen aus mehreren Buchstaben, Zeichen und Zahlen herumfummeln zu müssen. Passwörter sind unpraktisch und riskanter als andere heute verfügbare Authentifizierungsoptionen, da sie erraten, gestohlen oder geknackt werden können. Aus diesem Grund habe ich die Fortschritte bei der biometrischen Authentifizierung als stärkeren und sichereren Authentifizierungsfaktor im Auge behalten.

In einem Gartner-Bericht vom Oktober 2019, „Technology Insight for Biometric Authentication“, wird behauptet, dass die biometrische Authentifizierung in der Regel angewendet wird, um „… eine kennwortlose Authentifizierung zu erreichen, wodurch UX / CX [Benutzererfahrung / Kundenerfahrung] verbessert und möglicherweise das Vertrauen und die Rechenschaftspflicht erhöht werden.“ Klingt für mich nach einem Gewinner und einem großen Gewinn für Finanzdienstleistungsunternehmen, die um Kunden konkurrieren.

Der Gartner-Bericht nennt Mobile Banking die „Killer-App“ (dh in Anwendungsfällen für Mobile Banking bald unverzichtbar) für die biometrische Authentifizierung. Wir glauben, dass es jetzt an der Zeit ist, dass Finanzinstitute die biometrische Authentifizierung für Mobile-Banking-Anwendungsfälle einführen, um das Vertrauen und die Rechenschaftspflicht zu erhöhen und das Kundenerlebnis zu verbessern - Schlüsselkomponenten zur Steigerung des Umsatzes für Finanzinstitute.

Sind Verbraucher bereit für Biometrie für Handel und Bankwesen?

EIN aktuelle Visa-Umfrage von 1.000 US Verbraucher sagen zum Beispiel ja. Die Mehrheit der Befragten bevorzugte die biometrische Authentifizierung gegenüber der passwortbasierten Authentifizierung:

  • Die Befragten gaben an, dass Biometrie einfacher (70%) und schneller (61%) ist als Passwörter
  • 52% gaben an, dass sie die Bank wechseln würden, wenn ihre Bank in Zukunft keine biometrische Authentifizierung mehr anbieten würde
  • Die am häufigsten genannten Vorteile der biometrischen Authentifizierung bei den Befragten waren
    • Sie müssen sich nicht mehrere Passwörter / PINs merken (50%)
    • Bessere Sicherheit als Passwörter / PINs (46%)
    • Nicht zu vergessen / eine Authentifizierungsmethode zu verlieren (33%)

Bei der Messung der Qualität des Kundenerlebnisses sind die Abbruchquoten von Transaktionen eine wichtige Messgröße. Fast 50% der Befragten der Visa-Umfrage gaben an, einen Online-Kauf abgebrochen zu haben, weil sie sich nicht an ihr Passwort erinnern konnten. 

"Die CX-Vorteile der biometrischen Authentifizierung haben in den letzten Jahren zu einem Anstieg der Mobile-Banking-Anwendungen geführt", heißt es in dem Gartner-Bericht. Bei der Bewertung biometrischer Authentifizierungslösungen müssen Finanzinstitute die Unterschiede zwischen biometrischen Authentifizierungsmethoden von Geräten und Drittanbietern berücksichtigen. Ein Vorteil biometrischer Methoden von Drittanbietern, die darin bestehen, ein SDK in eine mobile App (wie die von OneSpan) zu integrieren, besteht darin, dass Banken einen größeren Teil ihres Kundenstamms bedienen können. Nicht alle mobilen Benutzer besitzen Geräte, die geräteeigene Hardware und Software für die Biometrie enthalten. Fast jedes mobile Gerät verfügt jedoch über eine Kamera, mit der das Gesicht eines Benutzers für die biometrische Authentifizierung erfasst werden kann.

Ist die biometrische Authentifizierung vertrauenswürdiger als andere Authentifizierungsmethoden?

Ich behaupte ja, die biometrische Authentifizierung ist in der Tat sicherer als andere Authentifizierungsmethoden. Der Schlüssel zu einem zuverlässigen biometrischen Authentifizierungssystem ist die Fähigkeit, den Identitätswechsel des biometrischen Merkmals einer lebenden Person zu erkennen oder zu verhindern. Ein Fingerabdruck, ein „Gesichtsabdruck“ oder eine von Ihnen gewählte biometrische Modalität ist nicht einfach eine andere Form von Passwort oder Token.

Ohne zusätzliche Analyse kann man wirklich nicht sagen, wer ein Passwort bereitstellt. Sie wissen nur, dass das Passwort eingegeben wurde und mit dem Passwort im Backend übereinstimmt. Auf der anderen Seite bietet ein zuverlässiges biometrisches Authentifizierungssystem mit effektiver Lebendigkeitserkennung und Anti-Spoof-Minderung einen zusätzlichen Vertrauensindikator, indem es das Subjekt / die Person validiert, die / die die biometrische Probe zur Verifizierung anbietet. Weil der Fingerabdruck, das Gesicht oder [fügen Sie hier Ihre bevorzugte biometrische Modalität ein] live präsentiert und mit dem Benutzer verbunden werden.

Beseitigung eines Missverständnisses bei der biometrischen Authentifizierung

Laut Gartner kann und hängt die biometrische Authentifizierung nicht von der Geheimhaltung biometrischer Merkmale ab, sondern von der Schwierigkeit, sich als lebende Person auszugeben, die das Merkmal einem Erfassungsgerät („Sensor“) präsentiert. Dieser letztere Punkt ist nicht allgemein bekannt, was zu einigen häufigen Missverständnissen führt , Verstärkt durch eingeschränkte Erkennung von Präsentationsangriffen (PAD) auf Consumer-Geräten und Werbung für erfolgreiche Angriffe auf Apple Touch ID, Samsung-Wischsensoren, Android-Gesichtserkennung usw. “

Sie haben wahrscheinlich die Kritik gehört, dass "Sie Ihren Fingerabdruck oder Ihr Gesicht nicht ändern können, wenn es jemals kompromittiert wird". Richtig - Sie können Ihre biometrischen Merkmale nicht wie ein Passwort ändern. Die Vorstellung, dass ein Cyberkrimineller, der Ihre biometrischen Daten stiehlt, die entsprechende Authentifizierungsaufforderung zum Zeitpunkt der biometrischen Erfassung erfolgreich bestehen wird, ist jedoch falsch.

1. Sie können nicht buchstäblich jemandes lebendes Gesicht / Fingerabdruck / etc. Stehlen. 1 - Abgesehen von Horrorfilmen versuchen Cyberkriminelle in Wirklichkeit normalerweise nicht, das Gesicht oder den Fingerabdruck einer Person von ihrem Körper zu entfernen (dh zu „stehlen“). Gut konzipierte biometrische Systeme speichern das Gesicht oder den Fingerabdruck eines Benutzers nicht buchstäblich. Stattdessen speichern sie eine mathematische Darstellung der im System registrierten biometrischen Probe (als Vorlage bezeichnet). Die mathematische Darstellung allein ist zum Zeitpunkt der Erfassung wertlos (siehe den hervorgehobenen Punkt Nummer eins im Bild unten).

Aus ISO / IEC 30107-1: 2016 (E)
Aus ISO / IEC 30107-1: 2016 (E)
 

2. Die Live-Präsentation des biometrischen Merkmals ist der Dreh- und Angelpunkt - In dem Gartner-Bericht heißt es: „Bei einer robusten Fingerabdruckmethode sollte es keine Rolle spielen, dass ein Angreifer ein Faksimile des Fingerabdrucks einer Person vorlegen kann. Alles andere als der eigentliche Finger der Person (der immer noch an ihrem lebenden Körper befestigt ist) sollte nicht funktionieren. “ Ein Präsentationsangriff besteht aus einem Gegner, der eine Reproduktion eines biometrischen Merkmals (eine „Parodie“) präsentiert, die einer gespeicherten Referenz für einen legitimen Benutzer ähnelt (z. B. 3D-gedruckte Modelle, Masken, Bilder, Videos usw.). Die Lebendigkeitserkennung identifiziert, ob das dargestellte biometrische Merkmal von einem lebenden Menschen stammt oder eine digitale oder hergestellte Darstellung (oder wiederum eine Parodie) ist. Presentation Attack Detection (PAD) ist eine Kombination aus Anti-Parodie- und Liveness-Erkennungsmechanismen. In einigen Fällen kann PAD in geräteeigenen biometrischen Systemen für Verbraucher im Vergleich zur biometrischen Authentifizierungstechnologie von Drittanbietern fehlen. Das Die Norm ISO / IEC 30107 beschreibt eine Methodik an dem die PAD-Wirksamkeit einer biometrischen Lösung gemessen werden kann.

Natürlich hört die End-to-End-Sicherheit eines biometrischen Authentifizierungssystems nicht bei Präsentationsangriffen auf den Sensor auf, bei dem biometrische Daten erfasst werden. Wiederholungsangriffe sind ein Beispiel für ein anderes Risiko. In vielen Fällen hilft jedoch eine Technologie, die die Integrität der Anwendung gewährleistet, wie z. B. In-App-Schutz und App Shielding / RASP, diese Risiken zu mindern. Finanzinstitute müssen sich jedoch um das Design, die Implementierung, die Bereitstellung und die Konfiguration der biometrischen Authentifizierungslösung kümmern.

Laden Sie Gartners „Technology Insight for Biometric Authentication“ herunter

Finanzinstitute, die eine qualitativ hochwertigere Benutzererfahrung bieten und das Vertrauen der Verbraucher in ihre Authentifizierungsprozesse stärken möchten, müssen in die Zukunft schauen und die Implementierung einer biometrischen Authentifizierung in Betracht ziehen. Wir glauben, dass der Insight-Bericht einen hervorragenden Rahmen bietet, um FIs auf die Bewertung und Auswahl der besten Lösung für ihre Bedürfnisse vorzubereiten, indem Schlüsselthemen wie:

  • Anwendungsfälle für die biometrische Authentifizierung, die den meisten Wert zurückgeben (z. Mobile Banking und Identitätsprüfung )
  • Datenschutzfragen und Verbrauchervertrauen
  • Minderung von Sicherheitsrisiken im Zusammenhang mit der Sicherheit der gesamten biometrischen Authentifizierungsplattform - einschließlich Präsentationsangriffen und darüber hinaus
  • Auswahl zwischen geräteeigenen Methoden und Methoden von Drittanbietern
  • Repräsentative Anbieter, einschließlich OneSpan, die eine Reihe von biometrischen Modi und Anwendungsfällen unterstützen

Laden Sie Gartner's herunter Technology Insight für die biometrische Authentifizierung Jetzt helfen wir Ihnen bei der Bewertung der biometrischen Authentifizierungstechnologie.

Gartner-Bericht: Technologieeinblick für die biometrische Authentifizierung
2019 Gartner-Analystenbericht

Technologieeinblick für die biometrische Authentifizierung

Herunterladen Technologieeinblick für die biometrische Authentifizierung Hier erfahren Sie, wo diese Technologie am besten eingesetzt wird und wie sie eingesetzt werden kann, um die Benutzererfahrung zu verbessern und das Vertrauen zu stärken.

Jetzt herunterladen

Gartner unterstützt keine Anbieter, Produkte oder Dienstleistungen, die in seinen Forschungspublikationen aufgeführt sind, und rät Technologiebenutzern nicht, nur die Anbieter mit den höchsten Bewertungen oder anderen Bezeichnungen auszuwählen. Gartner-Forschungspublikationen bestehen aus den Meinungen der Gartner-Forschungsorganisation und sollten nicht als Tatsachenaussagen ausgelegt werden. Gartner lehnt alle ausdrücklichen oder stillschweigenden Garantien in Bezug auf diese Forschung ab, einschließlich aller Garantien für die Marktgängigkeit oder Eignung für einen bestimmten Zweck.

Quellen:
Gartner, Technology Insight für die biometrische Authentifizierung, Ant Allan, 16. Oktober 2019

1. Zugegeben, es gibt Fälle von Zwang, bei denen eine Person gezwungen wird, ein Telefon mit vorgehaltener Waffe zu entsperren, aber für Passwörter oder PINs gibt es denselben Vektor. Oder es gibt Beispiele dafür, wie jemand das Telefon seines schlafenden Ehepartners mit einem Fingerabdruck entsperrt - eine Gesichtserkennungstechnologie, die eine effektive Lebendigkeitserkennung und eine Anti-Spoofing-Technologie umfasst, verringert dieses Risiko.

Sam ist Senior Product Marketing Manager und verantwortlich für das OneSpan Mobile Security-Portfolio. Er verfügt über fast 10 Jahre Erfahrung in der Informationssicherheit.