EBA: Die verhaltensbasierte Biometrie wird ein zulässiger Faktor im Sinne der Inhärenz – und damit der PSD2
Die EBA hat zur weiteren Erklärung der Umsetzung der PSD2-Richtlinie die Anforderungen bezüglich verhaltensbiometrischer Daten (Biometrie) veröffentlicht. Sie zeigt die Notwendigkeit einer starken Kundenauthentifizierung (Strong Customer Authentication, SCA), in der nun auch die Verhaltensbiometrie als zulässiger Faktor im Sinne der Inhärenz anerkannt wird.
von Sebastian Mayer, Country Manager CEE bei BehavioSec
Die PSD2 ist eine EU-Richtlinie der EBA und Europäischen Kommission (Generaldirektion Binnenmarkt). Sie trat erstmals im Dezember 2007 in Kraft und wurde 2015 mit der PSD2 durch sicherere und innovativere Vorschriften aktualisiert, die darauf abzielen, die Verbraucher bei der Nutzung digitaler Kanäle besser zu schützen.Payment Service Provider (PSPs) und Finanzinstitute müssen eine Authentifizierungsmethode entwickeln, die mehrere Elemente verwendet, die mindestens zwei der drei Bereiche Wissen (z.B. ein Passwort), Besitz (z.B. physische Tokens) und Inhärenz (z.B. Verhaltensbiometrie) abdecken.”
Wenn die PSPs keine starke Kundenauthentifizierung bieten, entstehen dem Kunden keine finanziellen Verluste, es sei denn, der Kunde hat vorsätzlich betrügerisch gehandelt.
Was ist verhaltensbasierte Biometrie?
Das menschliche Verhalten, beispielsweise bei der Texteingabe eines Nutzers, ist durch komplexe Faktoren bedingt. Selbst wenn das bloße Auge die Eingaben von zwei Benutzern nicht voneinander unterscheiden kann, bestehen große Unterschiede, die ein Algorithmus erkennen und zuverlässig voneinander unterscheiden kann. Merkmale wie die Art und Weise, wie Menschen ein Smartphone halten, eine Tastatur verwenden, auf Bildschirmen streichen oder tippen, variiert von Person zu Person stark. Besonders deutlich werden die Unterschiede, wenn sie die einzelnen Faktoren analysieren, die ein Streichen oder Tastendruck ausmachen.
Verhaltensbasierte Biometrie authentifiziert wahre Identitäten kontinuierlich, indem es direkt einzigartige menschliche Signale aus Interaktionen mit mobilen und Webanwendungen extrahiert. Im Gegensatz dazu bieten Legacy-Authentifizierungssysteme eine einmalige Überprüfung, die sich in erster Linie auf die Überprüfung von Dingen konzentriert, von denen indirekt auf die legitime Benutzeridentität schließen lässt.
Wie kann die Verhaltensbiometrie bei der PDS2 helfen?
Mit der Kontrolle des Tippverhaltens, um sicherzustellen, dass alle ablaufenden Interaktionen legitim sind, können Benutzerkonten sicherer als je zuvor gemacht werden. Alle Interaktionen also Gesten werden während der gesamten Sitzung kontrolliert, sodass die Sicherheit ein fortlaufender Prozess ist und nicht nur ein Step-up oder eine einmalige Anmeldung. Mit verhaltensbasierter Biometrie kann der menschliche Faktor, traditionell das schwächste Glied der Sicherheit, zum stärksten Glied gemacht werden.
Mit verhaltensbasierten Biometrie-Plattformen werden die digitalen Identitäten vor Betrügereien wie Account-Übernahmebetrug, Remote Access Tools (RATs), Malware oder Betrug im technischen Support geschützt.”
Gleichzeitig erfüllt sie die Anforderungen während der gesamten Nutzungsdauer und nicht nur temporär. Dadurch würde auch eine Man-in-the-Middle- bzw. Man-in-the-Browser-Attacke ins Leere laufen, da die getätigten Transaktionen bei Banken oder die Bestellungen bei E-Commerce-Shops von den Anbietern selbst dann als Betrugsversuch erkannt werden können, wenn die ursprüngliche Anmeldung durch einen legitimen Kunden erfolgt ist.
Alternative zur Authentifizierung für Finanzdienstleister
Technologien, die auf verhaltensbasierter Biometrie beruhen, gewährleisten eine Verhaltensgenauigkeit während der gesamten Nutzungsdauer, sowohl auf mobilen als auch stationären Geräten. Sie können zum Schutz digitaler Identitäten und zur Abwicklung von Milliarden von Transaktionen pro Jahr auf der ganzen Welt genutzt werden und sind auch bereits bei zahlreichen Banken in Verwendung. Der Benutzer selbst merkt davon nichts und wird in seiner Customer-Journey nicht beeinflusst. Er gibt dabei auch keine biometrischen Daten von sich preis, da sein Tippverhalten oder seine Gesten nur als Prüfsumme gespeichert und miteinander verglichen werden, um ihn zweifelsfrei zu authentifizieren, die keine Rückschlüsse auf persönliche Merkmale zulassen. Mit dieser Methodik kann die verhaltensbasierte Biometrie eine spannende Alternative zur Authentifizierung für Finanzdienstleister aller Art werden.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/80046
Schreiben Sie einen Kommentar