News 17.06.2019, 13:27 Uhr

PostFinance: Wie sicher ist das neue Biometrie-Login?

Neu erfolgt der Zugang zu E-Finance der PostFinance via Finger-ID oder Gesichtserkennung. Doch wie sicher sind eigentlich die beiden Login-Verfahren bei Banklösungen?
E-Finance der Post-Finance
Quelle: Screenshot / ze
Seit dem 11. Juni bietet die PostFinance nebst dem altgedienten gelben Kartenleser neue Möglichkeiten fürs E-Finance an – das neue Login via Post-Finance-App (PCtipp berichtete). Kollege Zellweger hat hier beschrieben, wie man vom Kästchen darauf umsteigt.
Doch wie sicher ist das neue Verfahren? Dies ist ein grundsätzliches Sicherheitsthema, das wir am Beispiel der PostFinance anschauen. Deshalb hat der PCtipp bei der PostFinance nachgehakt und mit einem Sicherheits-Spezialisten von Eset gesprochen.
Hinweis: An dieser Stelle sei betont: Wer dieses Login-Verfahren nicht nutzen kann oder will, kann weiterhin das gelbe Kästchen oder die Mobile-ID der PostFinance nutzen.

Wie funktioniert das neue PostFinance-Login?

Für das softwarebasierte Login-, Signierungs- und Authentifizierungsverfahren via PostFinance-App ist lediglich ein Smartphone notwendig. PostFinance-Kunden können sich via Fingerprint oder Face-ID ins E-Finance einloggen. Dies ist sowohl auf dem Desktop als auch in der App möglich.
Gemäss PostFinance erfülle das neue Login durch Verschlüsselung und Zweifaktorauthentifizierung (2FA) «die höchsten Sicherheitsansprüche». Das App-Login greift auf die vom jeweiligen Smartphone-Betriebssystem unterstützten Verfahren – Fingerprint oder Face ID – zu. PostFinance versichert, man speichere keine biometrischen Kundendaten.
 
Die Bank schützt die Kommunikation und Interaktion mit E-Finance mit Transportverschlüsselung – «mindestens» mit 256-Bit-Schlüssel, sagt die PostFinance. Das erforderliche Zertifikat wird als digitale Identitätskarte von der schweizerischen Zertifizierungsstelle SwissSign AG bezogen. Die zugrundeliegende Technologie heisst Transport Layer Security (TLS).
Hinweis: Diese Verschlüsselungstechnologie (TLS) ist heute ein Mindeststandard, ebenso die Verschlüsselung mit 256-Bit. Die Sicherheit der Übertragung hilft nicht dabei, wenn an Enden des Datenwegs Daten – beispielsweise der Fingerabdruck – gestohlen werden.

Was ist von Face-ID und Fingerprint bei Banklösungen zu halten?

Update 17.06.19: Eset hat die Aussage zur Face-ID präzisiert.
Als «längst überfällig und zu begrüssen» bezeichnet Thomas Uhlemann, Security- Specialist bei Eset Deutschland, dass Lösungen wie die klassische TAN und der fehleranfällige Kartenleser mit weiteren Möglichkeiten ergänzt werden. Doch er findet auch, die Banken müssen ihre Hausaufgaben machen. Hier sollten die Banken zu sicheren Varianten greifen, wie beispielsweise Face-ID. Aktuell sind dem Experten keine Fälle bekannt, dass diese Technologie überlistet wurde. «Allerdings ist es schade, dass die Banken offensichtlich zu spät an entsprechende Ersatzmassnahmen gedacht zu haben scheinen», so Uhlemann. Gerade in einem so sensiblen Bereich ist es wichtig auf sichere Technologien zu setzen. Es gibt Beispiele andere Methoden der biometrischen Gesichtserkennung. «Diese wurde bereits mehrfach auf einfachste Art und Weise, wie etwa durch Fotos, ‹überlistet›».
Nächste Seite: Wie hoch ist die Gefahr, dass Kriminelle Fingerabdrücke auf dem Handy verwenden, Sind PostFinance-Kunden bei Diebstahl versichert und das sagt der Sicherheits-Experte zum PoFi-Verfahren



Kommentare
Avatar
karnickel
15.06.2019
Damit man nicht den gelben "Taschenrechner" umhertragen muss, kann man sich natürlich auch einfach per MobileID ins Yellownet einloggen.

Avatar
stebra
15.06.2019
Gedankenspiel unvollständig Die Szenarien sind absolut nicht spezifisch auf Fingerabdruck bzw. Gesichtserkennung bezogen. Wenn der Räuber mit vorgehaltener Waffe mein Passwort verlangt, so hat er auch alle Zugriffsmöglichkeiten, zusätzlich auch noch, wenn ich nicht dabei bin. Ich hätte gerne eine Zusammenstellung von noch weiteren Szenarien (Smartphone / Postcard verloren bzw. gestohlen und ich dies erst einige Stunden / Tage später feststelle usw.) Und wie schneidet die Variante mit MobileID ab? Am Schluss gibt es die absolute Sicherheit nicht und es ist immer ein Kompromiss zwischen sicher und bequem.

Avatar
aspengler55
15.06.2019
das neue Login via Post-Finance-App Ich habe mit dem Kundenservice der Postfinance , die Software geladen,ohne Finger-Id und ohne Gesichtserkennung , klappt. Bin sehr zufrieden.Passe mich mit 58 Jahren an die Technik an . Alles TOP????

Avatar
Oldsailor
16.06.2019
Nur zuhause Es gibt für mich nur eine vernünftige Handhabung für Zahlungen an Bankinstitute: Zuhause am heimischen PC. Auch wenn der einmal gestohlen werden sollte (in meiner Abwesenheit logischerweise), Zugangsdaten sind da keine drauf.

Avatar
aspengler55
16.06.2019
For zuhause Für zuhause brauchen Sie auch das Natel , um den Code zu bestätigen , bevor Sie mit dem neuem System arbeiten können.

Avatar
gucky62
16.06.2019
Für zuhause brauchen Sie auch das Natel , um den Code zu bestätigen , bevor Sie mit dem neuem System arbeiten können. Beim bisherigen System eben nicht. Und auch wenn das viele nicht verstehen können, es gibt noch genug Leute die kein Mobil-Telefon haben, geschweige dann ein Smartphone. Derselbe Unsinn will Postfinance nun auch bei deren Kreditkarten mit 3D Secure einführen. Anstelle des bisherigen Passwort-Schutzes (2. Stufe), soll nun eine SMS oder Smartphone App zum Einsatz kommen. Es gilt oben gesagtes. Nicht alle haben und wollen ein Mobile-Phone. Beim Smartphone - da werden natürlich mal wieder nur iOS & Android unterstützt - natürlich dann mit Fingerprint oder Face ID. Will oder kann Postfinance nicht begreifen, das solche Identifikationssysteme ein Rückschritt in Sachen Sicherheit sind? An sich sollte der Kunde, da er vom Anbieter dazu gezwungen wird, schriftlich den Zusatz zu den AGBs verlangen, dass die dadurch schlechtere Sicherheit das vollständige Risiko des Anbieters (PF) sind und dies auch vollumfänglich haften. Aber die anderen Anbieter werden genau denselben Weg gehen, bzw. sind ihn schon gegangen. Mich nervt dieser Zwang zu Smartphone-Apps zunehmend. Auch deswegen, weil damit eine Unmenge an weiteren Daten erfasst werden, die keinen irgendwas angehen! Man siehe die diversen Tracker, welche bei den meisten Zahlungen bei Online-Shops aktiv sind. Spitzenreiter bisher 30 und das bei der Zahlungsseite des Anbieters. Gruss Daniel

Avatar
Ernesto13
20.06.2019
Ich erledige meine Geschäfte zu Hause, daher ziehe ich das Lesegerät vor, das kann mir nicht so einfach gestohlen werden und ist sogar sicherer, nach meinem Empfinden. Wie sicher ist chipTAN (und TAN2go) vs diesen Systemen?

Avatar
Claudia Maag
25.06.2019
Ich erledige meine Geschäfte zu Hause, daher ziehe ich das Lesegerät vor, das kann mir nicht so einfach gestohlen werden und ist sogar sicherer, nach meinem Empfinden. Wie sicher ist chipTAN (und TAN2go) vs diesen Systemen? Hallo Ernesto13, ich habe mit Eset kurz Rücksprache gehalten. ChipTAN und TAN2go sind laut der Sicherheit-Experten aus heutiger Sicht ebenfalls sichere Verfahren. Beide Verfahren erstellen die TAN-Nummern auftragsbezogen und sie sind nur für kurze Zeit gültig. liebe Grüsse, Claudia Maag