Wenn Sie eine Gruppe von 100 Sicherheitsexperten befragen, fällt es Ihnen schwer, einen einzigen zu finden, der Passwörter als praktikables und sicheres Authentifizierungstool verteidigt. Aus dieser Perspektive ist es nicht verwunderlich, dass Visa offiziell angekündigt hat, keine statischen Passwörter mehr für sein E-Commerce-Programm Verified By Visa zu verwenden.
Überraschend ist das Timing der weltweit größten Kartenmarke. Das Versprechen, Passwörter für nur dieses eine Programm aufzugeben, bestand nicht darin, sie bis zur diesjährigen Weihnachtseinkaufssaison verschwinden zu lassen. Oder für die Weihnachtseinkaufssaison im nächsten Jahr. Nein, Visa hat angekündigt, seine Verified By Visa-Welt von „password1234“ bis April 2018 zu befreien. Schön zu sehen, dass dieses Authentifizierungsrisiko so ernst genommen wird.
Um fair zu sein, eine Authentifizierungstechnik zu ändern erfordert viele Unternehmen Systemänderungen vorzunehmen. Und wenn Sie so groß sind wie Visa — allein im letzten Quartal hat Visa 19 verarbeitet.8 milliarden Transaktionen – diese Dinge brauchen Zeit. Aber trotzdem, April 2018?
„Diese Art von Initiativen sind gut gemeint, aber schlecht ausgeführt“, sagte Jason Tan, CEO von Sift Science. „Das größte Hindernis sind sie selbst, ihre Trägheit.“
Was wird der De-facto-Standard sein?
Die weit entfernte Passwortsperre von Visa gibt der Kartenmarke genügend Zeit, um zu sehen, zu welcher Authentifizierungsmethode sich die Branche hingezogen fühlt. Persönlich hätte ich mir mehr Führung von Visa gewünscht, um darauf hinzuweisen, wohin es sich bewegen wird, und zu argumentieren, warum jeder folgen sollte.
Visa sprach über die Bemühungen, statische Passwörter zu ersetzen, war jedoch weit davon entfernt, die bevorzugte endgültige Form anzugeben.
Visa hat sich mit der Realität des E-Commerce auseinandergesetzt, nämlich dass die Authentifizierung so weit wie möglich invasiv und unterbrechend sein muss. „Der Registrierungsprozess für Verified by Visa-spezifische statische Passwörter kann zu Reibung führen und Karteninhaber von der Website des Händlers ablenken.“ Es fügte hinzu, dass Käufer oft Passwörter vergessen und dass Passwörter „Dieben die Möglichkeit geben können, ein Passwort im Namen eines Karteninhabers zu registrieren.“
Visa setzt jetzt auf die datenintensiven Ansätze, die heute immer beliebter werden und bei denen Websites die riesigen Datenmeere nutzen, die Verbraucher — insbesondere diejenigen, die ein mobiles Gerät verwenden — bei jedem Einkauf mitnehmen. Dies, sagte Visa, wird „auch ein verbessertes Erlebnis für die Verbraucher ermöglichen, indem den Emittenten mehr Daten zur Verfügung gestellt werden – Daten, die im Entscheidungsprozess verwendet werden können, damit legitime Transaktionen nicht abgelehnt werden. außerdem können Händler die Authentifizierung besser in ihre Checkout-Prozesse integrieren, um ein nahtloseres Einkaufserlebnis für Verbraucher zu gewährleisten.“
Das Team von Sift Science stimmt zu, dass ein datenbasierter Ansatz besser ist. Viele der heutigen E-Commerce-Authentifizierungsmethoden führen „zu viel unnötiger Reibung. Das große Versprechen des maschinellen Lernsystems ist, dass wir viele Daten zum Laufen bringen können „, sagte er.
„Fragen Sie nicht im Voraus nach den Anmeldeinformationen. Überprüfen Sie ruhig im Hintergrund „, erklärte Tan und fügte hinzu, dass es eine schreckliche Idee ist, „den Kunden in die Pflicht zu nehmen“, wenn Analysen selbst eine viel genauere Beurteilung vornehmen können. Wenn die Software widersprüchliche Datenpunkte sieht, können Anmeldeinformationen später immer gesucht werden — jedoch nur für die wenigen Fälle, in denen sie benötigt werden.
IoT-Komplexität
Visa berührte auch die Internet-of-Things-Bewegung und verwies auf „neue Gerätetypen wie vernetzte Autos und Kühlschränke.“ Solche Transaktionen werden den Kauf- / Ausschreibungsteil der Transaktionen zunächst auf ein nahe gelegenes Mobilgerät übertragen, wo er wie jede andere mobile Transaktion behandelt wird.
Apples CarPlay beispielsweise integriert bereits eine Vielzahl mobiler Funktionen in das Armaturenbrett eines Autos. Wenn diese Arbeit erledigt ist, wird es viel einfacher, ApplePay die Bezahlung von Transaktionen zu ermöglichen, egal ob es sich um den sofortigen Kauf eines Songs handelt, der gerade über Pandora oder Spotify abgespielt wurde, oder um die Bezahlung von Benzin oder einer Mahlzeit an einer Raststätte.
Irgendwann werden IoT-Geräte jedoch Bildschirme haben, die gerade groß genug sind, um ihre eigenen Transaktionen durchzuführen. Drehen Sie den Thermostat ein paar Mal und eine Anzeige kann für Pullover oder eine Raumheizung Pop-up. Nirgendwo wird Leichtigkeit und Geschwindigkeit der Transaktion wichtiger sein als ein Kauf von einem Kühlschrank, Thermostat oder einer Uhr.
Einkäufe verlagern sich schnell von Geschäften zu Online und schließlich zu IoT – und all das wird überwiegend von Geschwindigkeit und Komfort angetrieben. Warum sollte ein Händler jemals die Kundeninteraktion langsamer und mühsamer machen wollen, als es unbedingt sein muss?