Veröffentlicht: 25.01.2024
Passwortlos: die Zukunft der Authentifizierung
Mit der Digitalisierung des Bank- und Zahlungsverkehrs steigt auch die Bedeutung von Sicherheitslösungen. Passwörter und herkömmliche Multi-Faktor-Authentifizierungsverfahren sind daher nicht mehr zeitgemäß. Auf der Suche nach sichereren Methoden zur Kundenauthentifizierung müssen Banken die Balance zwischen erstklassiger Sicherheit und einem komfortablen Benutzererlebnis finden.
Vor der Digitalisierung waren die Sicherheitsstandards weitaus weniger anspruchsvoll als heute. Früher, als es noch keine Bankkarten und PIN-Codes gab, genügte meist eine Unterschrift oder ein Sparbuch, um als Kundin oder Kunde Geld abzuheben oder eine Überweisung zu tätigen. Die Vorlage eines Ausweises zur Bestätigung einer Transaktion war in der Regel nicht erforderlich. Diese Verfahren bargen jedoch ein hohes Fälschungs- und Betrugsrisiko.
Im digitalen Zeitalter werden Bankgeschäfte völlig anders abgewickelt. Um auf ihr Bankkonto zuzugreifen oder Zahlungen zu tätigen, müssen die Verbraucherinnen und Verbraucher lediglich ihre Banking-App auf ihrem Smartphone oder Computer öffnen und sich einloggen. Das ist zwar bequemer als der Gang zur Bank, aber auch nicht ohne Risiko, da Betrügerinnen und Betrüger immer neue Wege finden, den digitalen Prozess zu manipulieren.
Warum Passwörter nicht mehr zeitgemäß sind
Wollte man sich früher auf einer Website oder in einer App anmelden, benötigte man eine ID/einen Benutzernamen und ein Passwort. Heute ist diese Authentifizierungsmethode jedoch veraltet – vor allem im Bankwesen. Laut einer Verizon-Studie aus dem Jahr 2023 sind 86 Prozent der Sicherheitsverstöße bei Webanwendungen auf gestohlene Passwörter zurückzuführen.1 „Viele Authentifizierungsvorschriften konzentrieren sich auf die Lösung eines Problems, das sich seit 60 Jahren um den Hauptfaktor der Authentifizierung dreht: das Passwort”, sagt Andrew Shikiar von der FIDO Alliance. „Das Problem sind die Passwörter.”
Passwörter sind häufig das Ziel von Phishing-Versuchen, denn es wird für Verbraucherinnen und Verbraucher immer schwieriger, sie sich zu merken, da sie zunehmend komplexer werden. Das führt dazu, dass viele Menschen immer wieder dasselbe Passwort verwenden, sodass im Falle eines Datenlecks alle ihre Konten gefährdet sind.
Um die mit Passwörtern verbundenen Risiken zu reduzieren, wurden Multi-Faktor-Authentifizierungsmethoden (MFA) wie One-Time Passwords (OTP) und SMS-OTP eingeführt. Allerdings gibt es dabei sowohl für Kundinnen und Kunden als auch für Banken einige Einschränkungen:
- Umständliche Nutzererfahrung: Bei OTP-Lösungen, sei es per SMS oder über eine spezielle Authentifizierungs-App, muss die Nutzerin oder der Nutzer zwischen mehreren Apps wechseln, um eine Transaktion zu verifizieren. Hinzu kommt, dass OTPs oft mit Verzögerung übermittelt werden, wenn Netzwerkprobleme auftreten oder mehrere OTPs gleichzeitig eintreffen.
- Sicherheitsbedenken: Die Zwei-Faktor-Authentifizierung ist keine Garantie für mehr Sicherheit. Tatsächlich sind OTPs nach wie vor betrugsanfällig. Phishing-Versuche, beispielsweise die Täuschung von Nutzerinnen und Nutzern durch gefälschte Websites, Textnachrichten und Anrufe, sowie SIM-Wechsel sind gängige Methoden, um einige der MFA-Maßnahmen zu umgehen und Zugriff auf die Anmeldedaten zu erhalten.
- Versteckte Kosten: Die Abwehr und die Folgen betrügerischer Aktivitäten kosten Banken viel Zeit, Geld und Ressourcen. Außerdem schaden sie der Reputation des Unternehmens.
- Mangelnde Kontrolle: Die Nutzung von Drittanwendungen oder SMS-Anbietern zur Generierung von OTPs gibt die Kontrolle über den Authentifizierungskanal aus der Hand und beeinträchtigt das Kundenerlebnis.
Kundinnen und Kunden erwarten ein Höchstmaß an Sicherheit. Wird dies nicht erfüllt, wechseln sie zur Konkurrenz. In einer Paysafe-Umfrage gaben 64 Prozent der Verbraucherinnen und Verbraucher an, dass Sicherheit der wichtigste Faktor bei der Wahl des Online-Bezahlverfahrens ist. Gleichzeitig erwarten 69 Prozent eine reibungslose Kaufabwicklung2. Damit nimmt der Druck auf die Banken zu.
Was können Banken also tun, um diese beiden Anforderungen unter einen Hut zu bringen? Ein erster Schritt ist der vollständige Verzicht auf Passwörter bei der Authentifizierung.
0%
der Angriffe auf Webanwendungen werden durch gestohlene Passwörter verursacht.
0%
der Verbraucherinnen und Verbraucher geben an, dass Sicherheit der wichtigste Faktor für die Wahl der Zahlungsmethode im Internet ist.
0%
der Verbraucherinnen und Verbraucher wünschen sich eine reibungslosere Kaufabwicklung.
Passkeys statt Passwörter
Die passwortlose Authentifizierung mittels biometrischer Technologie ist nicht neu. Die meisten modernen Geräte, vom Smartphone bis zum Laptop, verfügen seit mehr als einem Jahrzehnt über Funktionen zur Fingerabdruck- oder Gesichtserkennung. Auch im Bankwesen wird die Biometrie als Alternative zu herkömmlichen Authentifizierungsmethoden immer beliebter – 60 Prozent der Verbraucherinnen und Verbraucher sind der Meinung, dass Online-Transaktionen durch biometrische Verfahren sicherer werden.3
Passkeys statt Passwörter
Grund für die zunehmende Akzeptanz der passwortlosen Authentifizierung ist eine breit angelegte Initiative führender Industrie- und Technologieunternehmen aus aller Welt – die “the FIDO-Allianz”. Zu den bekanntesten Mitgliedern der Allianz gehören die Tech-Giganten Apple, Google und Microsoft, die gemeinsam daran arbeiten, die Abhängigkeit von Passwörtern zu reduzieren. Die FIDO vereinfacht den Authentifizierungsprozess, indem sie die Entwicklung branchenweiter Standards und Lösungen fördert und für mehr Akzeptanz bei Verbraucherinnen und Verbrauchern, Banken und Einzelhändlerinnen und -händlern wirbt.
In den letzten zwölf Monaten haben sich Passkeys als sicherere und bequemere Alternative zu Passwörtern erwiesen. Passkeys ersetzen Passwörter durch kryptografische Schlüsselpaare. Durch die Verwendung von Phishing-resistenten FIDO-Anmeldeinformationen bieten sie erhöhte Sicherheit und Benutzerfreundlichkeit. Darüber hinaus können sie geräteübergreifend synchronisiert werden und eignen sich für die Verwendung sowohl auf einem Gerät als auch auf mehreren Geräten.3
Die Vorteile synchronisierter Passkeys sind sowohl für Verbraucherinnen und Verbraucher als auch für Unternehmen beträchtlich:
- Komfort: Statt ein Kennwort einzugeben und dann die 2FA zur Authentifizierung einer Zahlung abzuschließen, funktioniert ein biometrischer Passkey so einfach wie das Entsperren eines Geräts per Gesichtserkennung oder Fingerabdruckscan.
- Sicherheit: Der Passkey ist im Gegensatz zu herkömmlichen Multi-Faktor-Authentifizierungsmethoden, bei denen ein Benutzer „etwas, das er weiß“ (Passwort/OTP) und „etwas, das er hat“ (Gerät) benötigt, um eine Zahlung zu authentifizieren, absolut Phishing-sicher. Ein Passwort lässt sich hacken oder man kann einen Benutzer oder eine Benutzerin dazu bringen, auf sein oder ihr OTP zuzugreifen, doch seine oder ihre biometrischen Daten lassen sich nicht replizieren.
- Geschwindigkeit: Durch die integrierte FIDO-Technologie bieten Passkeys eine Multi-Faktor-Authentifizierung in einem Schritt. Dies gewährleistet die Einhaltung der Zahlungsdiensterichtlinie (PSD2) und bietet gleichzeitig ein optimales Benutzererlebnis.
Bei der Implementierung von Passkeys müssen Finanzinstitute zwischen synchronisierten und gerätegebundenen Passkeys unterscheiden. Mit synchronisierten Passkeys können Benutzerinnen und Benutzer nahtlos zwischen verschiedenen Geräten wie Smartphones, Tablets und Laptops oder sogar einem brandneuen Gerät wechseln, ohne jedes Gerät für jedes Benutzerkonto neu registrieren zu müssen.
Authentifizierung für Banken – die Königsklasse
Im Banken- und Finanzsektor entsprechen synchronisierte Passkeys jedoch nicht der strengen Kundenauthentifizierung (Strong Customer Authentication, SCA) – einer regulatorischen Anforderung der PSD2. Aus diesem Grund gelten gerätegebundene Passkeys, die nicht geteilt oder vom Gerät exportiert werden können, als sogenannter Goldstandard für die Authentifizierung. Diese gerätegebundenen Passkeys fügen eine zusätzliche Sicherheitsebene hinzu, da Banken immer überprüfen können, ob eine Transaktion von einem vertrauenswürdigen Gerät aus authentifiziert wurde.
„Für Banken reicht es nicht aus zu wissen, dass sich ein Kunde oder eine Kundin erfolgreich authentifiziert hat“, sagt Quintin Stephen, Global Business Lead, Authentication, G+D. „Das gerätegebundene Element sorgt für eine gesetzeskonforme Zwei-Faktor-Authentifizierung in einem Schritt. Es ist zwar großartig, synchronisierte Passkeys zu implementieren, die zur Authentifizierung ,etwas, das ich bin‘ verwenden, aber eine echte passwortlose Authentifizierung geht darüber hinaus – sie ist gerätegebunden.“
Gerätegebundene Authentifizierungslösungen sind für Banken der nächste Schritt in eine Zukunft der Authentifizierung – eine, in der „etwas, das Sie haben“ (Ihr Gerät) und „etwas, das Sie sind“ (Ihre biometrischen Daten) nahtlos ineinander übergehen. Alles, was die Bankkundinnen und -kunden tun müssen, ist ein Druck mit dem Daumen oder ein Blick in die Kamera, denn dank der zugrunde liegenden FIDO-Technologie bleibt der zweite Faktor für den Benutzer oder die Benutzerin unsichtbar. Auf diese Weise können Banken eine Zwei-Faktor-Authentifizierung anbieten, die sich wie eine einzige anfühlt.
Die Balance zwischen Komfort und Sicherheit
Die Weichen für die passwortlose Authentifizierung sind gestellt, aber es wird noch einige Zeit dauern, bis sie sich durchsetzt. Das Interesse an biometrischer Authentifizierung ist groß, aber der Mensch ist ein Gewohnheitstier und die Verwendung von Passwörtern ist ihm seit Langem vertraut. Um ihnen den Umstieg auf neue Authentifizierungsmethoden zu erleichtern, müssen Banken ihre Kundinnen und Kunden an die Hand nehmen und ihnen die nötige Unterstützung bieten. Dabei muss die Balance zwischen Komfort und Sicherheit gewahrt bleiben. Während ein nahtloser Authentifizierungsprozess eher für Transaktionen mit geringem Wert geeignet erscheint, könnten sichtbarere Authentifizierungsmaßnahmen die Sicherheit bei Transaktionen mit hohem Wert erhöhen.
Für Banken bedeutet dies Folgendes: Während gerätegebundene Passkeys deutlich sicherer und komfortabler sind als herkömmliche MFA (ohne den Aufwand einer Zwei-Faktor-Authentifizierung), könnte bei Transaktionen mit höherem Wert dennoch eine zweite Ebene bevorzugt werden. Das Beste daran ist, dass sich dafür die Sicherheit der vorhandenen Bankkarte in Kombination mit einem Smartphone nutzen lässt, um eine integrierte und nahtlose “hardwarebasierte stufenweise Authentifizierung zu schaffen.”
Der Nutzen ist hier sowohl ein psychologischer als auch ein sicherheitsrelevanter, da das Vertrauen der Verbraucherinnen und Verbraucher in passwortlose Authentifizierungsmethoden gestärkt wird. Das ist insbesondere für traditionelle Banken wichtig, um die Kundenzufriedenheit und -bindung in einem zunehmend wettbewerbsintensiven Privatkundenmarkt zu erhalten. Vor allem aber, um Betrügerinnen und Betrügern immer einen Schritt voraus zu sein.
Die Umstellung auf passwortlose Authentifizierung wird die Finanzbranche revolutionieren. Sie wird aber auch den elektronischen Handel tiefgreifend beeinflussen, da sie Hindernisse bei der Online-Kaufabwicklung beseitigt und gleichzeitig ein hohes Maß an Sicherheit gewährleistet.
Letztlich ist es das, was die passwortlose Authentifizierung zum naheliegenden Nachfolger von Passwörtern und OTPs macht: Sie ist sicherer, einfacher zu verwenden und besser an die heutige digitale Welt angepasst. Für Banken stellt sich nicht die Frage, ob sie zum Standard wird, sondern, wann.
Key Takeaways
- Viele Banken verlassen sich immer noch auf OTPs/SMS als zweite Authentifizierungsmethode, aber diese sind wie Passwörter anfällig für Phishing-Angriffe.
- FIDO-basierte biometrische Passkeys stellen eine sicherere und benutzerfreundlichere Alternative dar, die eine Zukunft der passwortlosen Authentifizierung ermöglicht.
- Wenn Kundinnen und Kunden sich von ihren Passwörtern verabschieden, müssen Banken die richtige Balance zwischen robuster Sicherheit und einem nahtlosen Benutzererlebnis finden.
-
2023 Data Breach Investigations Report, Verizon, 2023
-
The bright future of biometric authentication in payments, Paysafe, 2023
-
Lost in transaction: Consumer payment trends 2023, Paysafe, 2023
-
Passkeys, FIDO Alliance, accessed October 2023