Biometrische Merkmale werden auch bei der Multi-Faktor-Authentifizierung (MFA) künftig eine wachsende Rolle spielen, ist Tola Dalton überzeugt. Über den Vortrag des ehemaligen Leiters des Identitäts-Engineerings bei eBay auf der Konferenz Authenticate 2024 berichtet Biometric Update.
MFA kann bei der Zugangskontrolle die Faktoren Wissen (etwas, das nur der Nutzer weiß; Passwort), Besitz (etwas, das nur der Nutzer besitzt; SMS-Code) und Inhärenz (etwas, das der Nutzer ist; biometrische Daten) kombinieren. Statistisch gesehen, so Dalton, sei MFA «ein erwiesener Gewinn für die Sicherheit». Allerdings verlasse sich derzeitige MFA in hohem Maße auf SMS und andere «nicht ideale» Faktoren.
Die Regierungen hätten jedoch den «Sicherheitsgewinn» zur Kenntnis genommen und damit begonnen, die MFA in verschiedenen Bereichen anzuordnen. Er verweist auf die EU, die mit der Einführung der überarbeiteten Zahlungsdiensterichtlinie (PSD2), die MFA beim Zugriff auf ein Zahlungskonto oder bei der Durchführung von Zahlungstransaktionen vorschreibt, führend in Sachen MFA sei.
Biometrische Verfahren innerhalb der MFA könnten laut Dalton Verbesserungen bringen. Die Vorteile der Biometrie für die Authentifizierung lägen in einer höheren Sicherheit, geringen laufenden Kosten und einer hohen Erfolgsquote. Die Risiken hingen weitgehend mit der technischen und rechtlichen Komplexität zusammen.
Damit die PSD2 einen biometrischen Faktor als gültig ansehe, müsse das Verfahren «unter der Kontrolle des Ausstellers» stehen, so Biometric Update. Daher würden biometrische Daten auf einem mobilen Gerät nicht als Inhärenzfaktor gelten. Die sogenannte FIDO-Authentifizierung mit ihren «Passkeys», die eine biometrische Identitätsprüfung beinhalten (wir berichteten), gelte jedoch als Besitzfaktor und könne somit verwendet werden.
Die Welt neige dazu, der EU bei technischen Vorschriften zu folgen, sagt Dalton, und ergänzt, dass eine PSD3 im Entwurfsstadium ist. Die regulatorische MFA werde sich ausweiten. Man müsse sich weiterhin für die Anerkennung passwortloser biometrischer Faktoren, einschließlich Passkeys, einsetzen. Dalton prognostiziert:
«Mit der zunehmenden Verbreitung von FIDO und Passkeys können wir darauf wetten, dass die Regulierungsbehörden genau prüfen, wie sie Biometrie, FIDO und Passkeys in ihren künftigen Vorschriften behandeln werden.»