E-Banking
17.06.2019, 14:10 Uhr
PostFinance: Wie sicher ist das neue Biometrie-Login?
Neu erfolgt der Zugang zu E-Finance der PostFinance via Finger-ID oder Gesichtserkennung. Doch wie sicher sind eigentlich die beiden Login-Verfahren bei Banklösungen?
E-Finance der Post-Finance
(Quelle: Screenshot / ze)
Seit dem 11. Juni bietet die PostFinance nebst dem altgedienten gelben Kartenleser neue Möglichkeiten fürs E-Finance an – das neue Login via Post-Finance-App (Online PC berichtete). Kollege Zellweger hat hier beschrieben, wie man vom Kästchen darauf umsteigt.
Doch wie sicher ist das neue Verfahren? Dies ist ein grundsätzliches Sicherheitsthema, das wir am Beispiel der PostFinance anschauen. Deshalb hat der PCtipp bei der PostFinance nachgehakt und mit einem Sicherheits-Spezialisten von Eset gesprochen.
Hinweis: An dieser Stelle sei betont: Wer dieses Login-Verfahren nicht nutzen kann oder will, kann weiterhin das gelbe Kästchen oder die Mobile-ID der PostFinance nutzen.
Wie funktioniert das neue PostFinance-Login?
Für das softwarebasierte Login-, Signierungs- und Authentifizierungsverfahren via PostFinance-App ist lediglich ein Smartphone notwendig. PostFinance-Kunden können sich via Fingerprint oder Face-ID ins E-Finance einloggen. Dies ist sowohl auf dem Desktop als auch in der App möglich.
Gemäss PostFinance erfülle das neue Login durch Verschlüsselung und Zweifaktorauthentifizierung (2FA) «die höchsten Sicherheitsansprüche». Das App-Login greift auf die vom jeweiligen Smartphone-Betriebssystem unterstützten Verfahren – Fingerprint oder Face ID – zu. PostFinance versichert, man speichere keine biometrischen Kundendaten.
Gemäss PostFinance erfülle das neue Login durch Verschlüsselung und Zweifaktorauthentifizierung (2FA) «die höchsten Sicherheitsansprüche». Das App-Login greift auf die vom jeweiligen Smartphone-Betriebssystem unterstützten Verfahren – Fingerprint oder Face ID – zu. PostFinance versichert, man speichere keine biometrischen Kundendaten.
Die Bank schützt die Kommunikation und Interaktion mit E-Finance mit Transportverschlüsselung – «mindestens» mit 256-Bit-Schlüssel, sagt die PostFinance. Das erforderliche Zertifikat wird als digitale Identitätskarte von der schweizerischen Zertifizierungsstelle SwissSign AG bezogen. Die zugrundeliegende Technologie heisst Transport Layer Security (TLS).
Hinweis: Diese Verschlüsselungstechnologie (TLS) ist heute ein Mindeststandard, ebenso die Verschlüsselung mit 256-Bit. Die Sicherheit der Übertragung hilft nicht dabei, wenn an Enden des Datenwegs Daten – beispielsweise der Fingerabdruck – gestohlen werden.
Was ist von Face-ID und Fingerprint bei Banklösungen zu halten?
Update 17.06.19: Eset hat die Aussage zur Face-ID präzisiert.
Als «längst überfällig und zu begrüssen» bezeichnet Thomas Uhlemann, Security- Specialist bei Eset Deutschland, dass Lösungen wie die klassische TAN und der fehleranfällige Kartenleser mit weiteren Möglichkeiten ergänzt werden. Doch er findet auch, die Banken müssen ihre Hausaufgaben machen. Hier sollten die Banken zu sicheren Varianten greifen, wie beispielsweise Face-ID. Aktuell sind dem Experten keine Fälle bekannt, dass diese Technologie überlistet wurde. «Allerdings ist es schade, dass die Banken offensichtlich zu spät an entsprechende Ersatzmassnahmen gedacht zu haben scheinen», so Uhlemann. Gerade in einem so sensiblen Bereich ist es wichtig auf sichere Technologien zu setzen. Es gibt Beispiele andere Methoden der biometrischen Gesichtserkennung. «Diese wurde bereits mehrfach auf einfachste Art und Weise, wie etwa durch Fotos, ‹überlistet›».
Als «längst überfällig und zu begrüssen» bezeichnet Thomas Uhlemann, Security- Specialist bei Eset Deutschland, dass Lösungen wie die klassische TAN und der fehleranfällige Kartenleser mit weiteren Möglichkeiten ergänzt werden. Doch er findet auch, die Banken müssen ihre Hausaufgaben machen. Hier sollten die Banken zu sicheren Varianten greifen, wie beispielsweise Face-ID. Aktuell sind dem Experten keine Fälle bekannt, dass diese Technologie überlistet wurde. «Allerdings ist es schade, dass die Banken offensichtlich zu spät an entsprechende Ersatzmassnahmen gedacht zu haben scheinen», so Uhlemann. Gerade in einem so sensiblen Bereich ist es wichtig auf sichere Technologien zu setzen. Es gibt Beispiele andere Methoden der biometrischen Gesichtserkennung. «Diese wurde bereits mehrfach auf einfachste Art und Weise, wie etwa durch Fotos, ‹überlistet›».
