Dass das Passwort alleine kein wirklich ausreichender Schutz ist, dass haben Sie unter anderem bei unseren Artikeln rund um die Zwei-Faktor-Authentifizierung festgestellt. Viele Unternehmen sprechen jetzt sogar von der SCA, der “Strong Customer Authentication” oder übersetzt: Der “Starken Kundenauthentifizierung”. PayPal beispielsweise fordert seine Kunden gerade reihenweise dazu auf, diese zu aktiveren. Doch was ist der Grund?

Die zweite Zahlungsdiensterichtlinie (PSD2) sieht vor, dass bei Zahlungsdienstleistern – zu denen PayPal gehört – weitere Sicherheitsmechanismen greifen müssen. Damit wird für bestimmte Transaktionen zwingend vorgeschrieben, dass neben dem ersten Faktor Passwort noch mindestens ein weiterer abgefragt werden muss. Die Faktoren teilen sich in drei Klassen:

Das Wissen: Das klassische Passwort ist etwas, das der Benutzer wissen muss, um sich einloggen zu können. Hat jemand anderes es erraten, dann ist dieses Wissen natürlich auch bei demjenigen vorhanden und der Schutz ist erloschen. Darum ergänzt man das Wissen um den Besitz.

Der Besitz: Wenn Sie zusätzlich zum korrekten Passwort noch einen immer wechselnden Code eingeben müssen, der per SMS auf Ihr Smartphone kommt oder auf einem Token angezeigt wird, dann bedeutet dies zusätzlichen Schutz. Ein Angreifer muss nicht nur das Passwort bekopmmen, sondern auch noch in den Besitz des Gerätes kommen: Sonst kann er den Zahlencode nicht kennen und eingeben.

Einen Schritt weiter noch geht die Inhärenz: Auch ein Smartphone oder Token kann verloren gehen oder gestohlen und damit kompromittiert werden. Biometrische Merkmale können das nicht: Ihr Fingerabdruck, ihre Stimme, die Iris, das sind Eigenschaften, die fest mit Ihnen verbunden sind. Wenn diese als zusätzlicher Faktor verwendet werden, ist ein Kontenzugriff für einen Fremden kaum möglich!