Slashdot führt mich zu diesem Artikel von Kashmir Hill in der Online Ausgabe Forbes Magazin über den PhoneID Score.Eine einfache REST API über die man zu einer beliebigen Telefonnummer einen Datensatz mit einem Risiko-Score abfragen kann.

"risk": {
"recommendation": "allow",
"score": 10,
"level": "low"
},

Der Artikel ist schon ziemlich lesenswert und dem ist nicht viel hinzuzufügen. Es geht um Telesign, eine Firma die bisher darauf spezialisiert war Zwei-Wege-Authentifizierungsverfahren anzubieten. Das wird benutzt, um  wichtige Accounts, z.B. Googlemail, zu dadurch zu schützen, dass zum Anmelden nicht nur Mailadresse und Passwort, sondern auch ein per SMS versandter Code eingeben muss. Im Prinzip funktioniert auch das mTAN-Verfahren so.

Diese Firma bietet nun als weitere Service  an für bestimmte Handynummern, die schon mal bei einem der Verfahren benutzt wurden, Risiko Einschätzungen zu liefern. So ist eine Handynummer die sowohl bei Facebook als auch bei Google zur Registrierung für den – bestenfalls gleichen – Nutzer_innennamen benutzt wurde, mit höherer Wahrscheinlichkeit ‚echt‘ als eine, die noch nicht im Datenbestand von Telesign ist. Das Risko, dessen Berechnungsweise nicht so richtig offen liegt, bezieht sich nach dem Bericht aber zudem auch auf das Alter der Nummer. Wobei ein_e Kollege_in der Autorin scheinbar auch mit einer nur ein Jahr alten Nummer einen ‚guten‘ Score erlangt. Neben Geo-Locating (also wo eine Nummer registriert wurde) und dem_r Netzanbieter_in (was auch immer die da für Aussage von ableiten) ist vor allem die Verknüpfung einer Nummer mit einem Account relevant, also ob die Nummer bei der Registrierung mit Facebook oder Google (wer genau die Kund_innen sind ist nicht klar), genutzt wurde. Im Prinzip verlässt sich Telesign bei seiner Risikobewertung also auf seine Kund_innen. Hat Google meine Nummer für einen Account akzeptiert, erhöht das den Score, den Facebook dann benutzt um meine Nummer zu bewerten. Ein hohes Risiko stellen also vor allen Dingen die Nummern da, die noch nicht im System erfasst sind. Die nicht vorhandene Information ist also die risikoreichste.

Telesign - PhoneID Score - Stufen

(Screenshot Quelle: Kashmir Hall/Forbes.com)

Ja und was passiert mit einem Score der viele Informationen aufwendig auf eine riesigen Skala von 0-1000 (gut bis schlecht) mappt? Damit kann natürlich niemand was anfangen! Deswegen wird der Wert nochmal reduziert. Erst auf Risiko Stufen (also von 1001 auf 6 Stufen) und dann auf Empfehlungen (von 6 auf 3 Stufen).

Interessant ist auch, dass sich Anbieter wie Telesign, die im Kerngeschäft eher als Zwischendienstleister (eben bei der Zwei-Faktoren Authentifizierung) tätig sind  dazu übergehen die „Meta-Daten“ für weitere Produkte zu benutzen. Telesign gesellt sich da etwa zu Easycash (siehe Abschnitt über den NDR Bericht) oder Telefonica.

[Update 15.11.: Doch noch ein paar Sätze zur Erklärung oben eingefügt, damit man nicht den ganzen Artikel auf Forbes.com lesen muss.]