Firmenlink

ESET

 

PostFinance: Wie sicher ist das neue Biometrie-Login?

Neu erfolgt der Zugang zu E-Finance der PostFinance via Finger-ID oder Gesichtserkennung. Doch wie sicher sind eigentlich die beiden Login-Verfahren bei Banklösungen?

von Claudia Maag 14.06.2019 (Letztes Update: 17.06.2019)
E-Finance der Post-Finance E-Finance der Post-Finance Zoom© Screenshot / ze

Seit dem 11. Juni bietet die PostFinance nebst dem altgedienten gelben Kartenleser neue Möglichkeiten fürs E-Finance an – das neue Login via Post-Finance-App (PCtipp berichtete). Kollege Zellweger hat hier beschrieben, wie man vom Kästchen darauf umsteigt.

Doch wie sicher ist das neue Verfahren? Dies ist ein grundsätzliches Sicherheitsthema, das wir am Beispiel der PostFinance anschauen. Deshalb hat der PCtipp bei der PostFinance nachgehakt und mit einem Sicherheits-Spezialisten von Eset gesprochen.

Hinweis: An dieser Stelle sei betont: Wer dieses Login-Verfahren nicht nutzen kann oder will, kann weiterhin das gelbe Kästchen oder die Mobile-ID der PostFinance nutzen.

Wie funktioniert das neue PostFinance-Login?

Für das softwarebasierte Login-, Signierungs- und Authentifizierungsverfahren via PostFinance-App ist lediglich ein Smartphone notwendig. PostFinance-Kunden können sich via Fingerprint oder Face-ID ins E-Finance einloggen. Dies ist sowohl auf dem Desktop als auch in der App möglich.

Gemäss PostFinance erfülle das neue Login durch Verschlüsselung und Zweifaktorauthentifizierung (2FA) «die höchsten Sicherheitsansprüche». Das App-Login greift auf die vom jeweiligen Smartphone-Betriebssystem unterstützten Verfahren – Fingerprint oder Face ID – zu. PostFinance versichert, man speichere keine biometrischen Kundendaten.
 
Die Bank schützt die Kommunikation und Interaktion mit E-Finance mit Transportverschlüsselung – «mindestens» mit 256-Bit-Schlüssel, sagt die PostFinance. Das erforderliche Zertifikat wird als digitale Identitätskarte von der schweizerischen Zertifizierungsstelle SwissSign AG bezogen. Die zugrundeliegende Technologie heisst Transport Layer Security (TLS).

Hinweis: Diese Verschlüsselungstechnologie (TLS) ist heute ein Mindeststandard, ebenso die Verschlüsselung mit 256-Bit. Die Sicherheit der Übertragung hilft nicht dabei, wenn an Enden des Datenwegs Daten – beispielsweise der Fingerabdruck – gestohlen werden.

Was ist von Face-ID und Fingerprint bei Banklösungen zu halten?

Update 17.06.19: Eset hat die Aussage zur Face-ID präzisiert.

Als «längst überfällig und zu begrüssen» bezeichnet Thomas Uhlemann, Security- Specialist bei Eset Deutschland, dass Lösungen wie die klassische TAN und der fehleranfällige Kartenleser mit weiteren Möglichkeiten ergänzt werden. Doch er findet auch, die Banken müssen ihre Hausaufgaben machen. Hier sollten die Banken zu sicheren Varianten greifen, wie beispielsweise Face-ID. Aktuell sind dem Experten keine Fälle bekannt, dass diese Technologie überlistet wurde. «Allerdings ist es schade, dass die Banken offensichtlich zu spät an entsprechende Ersatzmassnahmen gedacht zu haben scheinen», so Uhlemann. Gerade in einem so sensiblen Bereich ist es wichtig auf sichere Technologien zu setzen. Es gibt Beispiele andere Methoden der biometrischen Gesichtserkennung. «Diese wurde bereits mehrfach auf einfachste Art und Weise, wie etwa durch Fotos, ‹überlistet›».

Nächste Seite: Wie hoch ist die Gefahr, dass Kriminelle Fingerabdrücke auf dem Handy verwenden, Sind PostFinance-Kunden bei Diebstahl versichert und das sagt der Sicherheits-Experte zum PoFi-Verfahren

Seite 1 von 2
       
       

    Kommentare

    • Amazonas 14.06.2019, 15.31 Uhr

      Vom Security-Experten 2 ... Grundsätzlich: Vereinfachter Zugang durch die jetzigen biometrischen Verfahren => weniger Sicherheit. Fingerabdruck und Gesichtserkennung sind heute keine zuverlässigen Methoden, um die eindeutige Identität eines Menschen festzustellen. Sie sind relativ leicht zu kopieren/fälschen und sollten nur als ergänzendes Element genutzt werden. Darum ein Tipp für die Postfinance-App Nutzung: Deaktivieren Sie beim E-Finance Benutzer-Login die Option "Passwort nicht mehr abfr[...]

    • karnickel 15.06.2019, 09.38 Uhr

      Damit man nicht den gelben "Taschenrechner" umhertragen muss, kann man sich natürlich auch einfach per MobileID ins Yellownet einloggen.

    • stebra 15.06.2019, 12.05 Uhr

      Die Szenarien sind absolut nicht spezifisch auf Fingerabdruck bzw. Gesichtserkennung bezogen. Wenn der Räuber mit vorgehaltener Waffe mein Passwort verlangt, so hat er auch alle Zugriffsmöglichkeiten, zusätzlich auch noch, wenn ich nicht dabei bin. Ich hätte gerne eine Zusammenstellung von noch weiteren Szenarien (Smartphone / Postcard verloren bzw. gestohlen und ich dies erst einige Stunden / Tage später feststelle usw.) Und wie schneidet die Variante mit MobileID ab? Am Schluss gibt es die [...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.