Eigentlich eine pfiffige Idee: Eingabe der PIN am Geldautomat durch Eye-Tracking (Paper befindet sich hier) statt durch Tastatureingabe. Das verhindert den Blick über die Schulter, verräterische Fingerabdrücke auf dem mit Haarspray präparierten Tastenfeld, etc. - aber leider nicht den PIN-Diebstahl.
Das Verfahren wehrt zwar aktuelle Angriffe ab, läßt aber außer Acht, daß auch Angreifer bei neuen Techniken nachziehen werden. Und das ist in diesem Fall ganz einfach: Schon in der Vergangenheit wurden an Geldautomaten versteckte Kameras angebracht, um so die Eingabe der PIN abzufilmen. Nun müssen die Angreifer lediglich die Kameraposition ändern und das Gesicht des Kunden filmen - anschließend können sie (genau wie der Automat) mittels Eye-Tracking die PIN ablesen.
Sollten die Bankbetreiber auf die Idee kommen, die Zahlen für die Augen-Eingabe jedesmal anders anzuordnen: Auch das hilft nichts mehr, sobald der Angreifer mit einer zweiten Kamera zeitgleich das Eingabefeld filmt.
Zusammen mit der Randomisierung der virtuellen Tasten muß man dem Ansatz zu Gute halten, daß es den Angriff zumindest deutlich erschwert - er benötigt zwei versteckt angebrachte Kameras sowie die Eye-Tracking-Software. Dies ist schon deutlich mehr als ein Blick über die Schulter und ein anschließender Handtaschendiebstahl. Harte Sicherheit bringt das Verfahren aber leider nicht.