this post was submitted on 29 Aug 2023
113 points (99.1% liked)

Deutschland

6711 readers
1 users here now

Sammelbecken für deutsche Kartoffeln und ihre Geschichten über Deutschland.

Nicht zu verwechseln mit !dach und !chad.

Regeln

Bundesländer:

founded 2 years ago
MODERATORS
[email protected]
[email protected]
113
Warum bekommt es eigentlich keiner gebacken, anständige Verifikationsmethoden zu Implementieren? (feddit.de)
submitted 1 year ago by [email protected] to c/[email protected]
90 comments fedilink hide all child comments
 

In letzter Zeit habe ich viele Konten eröffnen müssen, welche eine Verifikation meiner Identität benötigen. So weit, so normal.

Was mir allerdings aufgefallen ist: Keiner nutzt aus meiner Sicht "akzeptable" Identifikationsmethoden. Ich hoffe jedes Mal auf das Verfahren via ePerso (Wofür haben wir denn die Scheiße, wenn sich da kein Unternehmen der Welt dran anbindet), oder postident (Dank der Post-App kann ich das übers Handy machen).

Leider sieht die Realität so aus:

  1. Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
  2. Mach ein Foto von deinem Perso, speichern wir bestimmt nur kurz ;)
  3. Komm, mach nen Videoanruf, dreh den Kopf, mach dich zum Hampel.

- oder -

  1. Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
  2. Trage deine IBAN ein
  3. Wir senden dir x Cent mit nem code zur Prüfung
  4. Gib uns doch bitte deinen Online-Login zur Bank, wir schauen GANZ BESTIMMT nur auf den EINEN Umsatz ;))))) [Du willst einfach selbst den Code eingeben, nachdem du auf dein Konto geschaut hast? Ach was, viel zu umständlich!!]

JA SAG MAL HACKTS ODER WAS?! Was soll der Mist? Warum muss ich denn immer durch diese Scheiß ringe für alles Springen?! Lasst mich doch den Scheiß ePerso an mein Scheiß Handy halten und die Scheiß Datenabfrage (bei der ich übrigens sehen kann, welche Scheiß Daten ihr genau abfragt) durchwinken und gut ist. Ich will euch keinen Zugriff auf mein Konto geben, ich will keinen blöden Videoanruf machen, ich will nicht meinen Perso Fotografieren und auf den 100 Gammelserver hochladen.

Der einzige Laden, der es halbwegs hinbekommen hat, ist PayPal. Dort wird auch Geld auf das Konto zur Verknüpfung überwiesen. Das kann man dann entweder per Weitergabe der Login-Daten prüfen lassen, oder man gibt den blöden Code halt selbst ein. Geht doch.

Ich bin echt am Verzweifeln. Oftmals lasse ichs dann bei den Videoanrufen oder Online-Bankkonto-Logins einfach sein. Mir ist der Aufwand nur selten das Ergebnis Wert. Bin ich hier einfach nur besonders empfindlich, oder haben sich die Leute einfach nur an diese penetranten Verifikationsverfahren gewöhnt?

top 50 comments
sorted by: hot top controversial new old
[–] [email protected] 43 points 1 year ago* (last edited 1 year ago) (2 children)

Also wenn ein Anbieter meine Login-Daten der Bank will zweifle ich nicht nur an der Identifikationsmethode sondern auch an der Seriosität des Anbieters. Das schreit doch Scam auf allen Frequenzen. Nicht mal Phishing-Mails sind so frech.

[–] [email protected] 9 points 1 year ago (1 children)

Geht mir genau so. Hab davon zum Glück noch nie gehört. Wer macht sowas? Mein Heimnetzwerk ist seriöser.

[–] [email protected] 4 points 1 year ago (1 children)

Viele anbieter, die dich über das Konto identifizieren wollen. Füg mal bei PayPal ein neues Bankkonto hinzu. Dort gibts dann auch die Option ;)

[–] [email protected] 4 points 1 year ago

Hab kein PayPal. Dem bin ich immer aus dem Weg gegangen.

load more comments (1 replies)
[–] [email protected] 33 points 1 year ago (6 children)

Bei KeepassXC unter "unsichere Passwörter" sind fast alle meine wichtigen Sachen, Banken, Krankenkasse, Paypal, weil die Deppen weder NORMALES 2FA erlauben, noch lange Passwörter oder sogar SONDERZEICHEN

Wie dumm kann man sein, ich hoffe Paypal ist nicht anfällig für SQL injections...

[–] [email protected] 23 points 1 year ago (1 children)

Ich mag ja, wenn bei der Registrierung lange Passwörter erlaubt sind, der Login aber nur mit kürzeren geht.

[–] [email protected] 3 points 1 year ago

Beste Weg nicht mich dazu zu bringen darüber nachzudenken ob ich den Account wirklich brauche.

[–] [email protected] 20 points 1 year ago (5 children)

Also mein Passwort bei PayPal hat 20 Zeichen mit Sonderzeichen und normales 2FA über Timebased codes

[–] [email protected] 3 points 1 year ago

Dito

load more comments (4 replies)
[–] [email protected] 5 points 1 year ago* (last edited 1 year ago) (3 children)

Naja, bei den Banken geht es ja immerhin nicht um Passwörter sondern um PINs, bei denen der Login nach drei Fehlversuchen gesperrt wird.

Und einen zweiten Faktor benutzen die ja auch, halt erst bei der Überweisung.

Deren Sicherheitsverwahrung unterliegen EU Regulierungen, die beständig verschärft werden. Summa summarum hat das schon Hand und Fuß.

load more comments (3 replies)
[–] [email protected] 4 points 1 year ago

Ich hätte gerne einfach Email, Passwort (mindestens 40 Zeichen erlaubt), TOTP oder besser webauthn (Hardware Tokens).

Von mir aus sollen se noch ihr Photo Tan und Ben Fingerabdruck dazu packen, Zack bombensichere Authentifizierung.

load more comments (2 replies)
[–] [email protected] 23 points 1 year ago (1 children)

Wo wir gerade dabei sind: SOFORTÜberweisung gehört abgeschafft. Was ist das für ein lächerliches System, bei dem ich meinen Banklogin auf einer Drittanbieterseite eingeben soll? Geht's noch!?

[–] [email protected] 17 points 1 year ago

Banken: Gib NIE deine Login-Daten weiter.

Jedes zweite Unternehmen: hier, nutze diesen Bezahldienstleister, dem du deine Login-Daten zum Bankkonto geben musst.

Gesetzgeber: 🤷‍♂️ Implementiert doch alle mal dieses hübsche Protokoll, über das das noch viel einfacher geht. 🤷‍♂️

[–] [email protected] 22 points 1 year ago (5 children)

Gib uns doch bitte deinen Online-Login zur Bank, wir schauen GANZ BESTIMMT nur auf den EINEN Umsatz

Da würde ich den Registrierungsprozess direkt abbrechen. Weil wenn dann was passiert sagt die Bank "Tja, sei halt nicht so ein Idiot" und das Geld ist weg.

load more comments (5 replies)
[–] [email protected] 20 points 1 year ago

oder haben sich die Leute einfach nur an diese penetranten Verifikationsverfahren gewöhnt?

Dies. Dazu kommt noch das die meisten Leute Komfort jederzeit über Datensicherheit und Datenschutz stellen. Dazu kommt dass du schlicht User verlierst wenn Leute an einem ungewohnten Prozess scheitern, sodass viele absichtlich bekannte Abläufe mitverwenden, wie eben Videoanruf, Foto machen oder Konto auslesen. Das ist dann oft der Sargnagel für vernünftige Verifikationsverfahren.

[–] [email protected] 17 points 1 year ago

Das Internet ist für uns alle Neuland 😌

[–] [email protected] 16 points 1 year ago (4 children)

Komm nach Schweden :)
Wir haben eine „Personnummer“ und BankID. Zack, läuft wie am Schnürchen.

(Nur wenn man als Ausländer in das Land kommt und diese Dinge noch nicht hat, existiert man quasi nicht.)

Aber bei sowas wehren sich die Deutschen dann oft. Nur eine Nummer, die einen identifiziert? Die Sozialversicherungsnummer immer ganz geheim halten!!! 2FA übers Handy? Ich will ne TAN Liste! Oder vielleicht sind das nur meine Eltern die sich so haben.

Was ich sagen will, es gibt Vorbilder im Ausland, wo es sehr bequem ist und gut funktioniert, wenn man im System steckt. Ich glaube da kann man dich in D eine Scheibe von abschneiden, ohne es komplett nutzlos zu machen durch Komplikationen. Es musste nur der Wille da sein. Und die Deutschen etwas mehr Transparenz akzeptieren. (Bitte nicht zu den Level in Schweden, das ist gruselig, wenn man zu lange drüber nachdenkt. Bin aber der Meinung das ist nicht notwendig.)

[–] [email protected] 9 points 1 year ago (1 children)

Naja, eine zentrale Nummer braucht's halt nicht. ePerso basierend auf PKI ist ja absolut ausreichend zum Identifikationsnachweis. Ist auch etwas sicherer, da es 2FA ist: Etwas das du hast (Perso) und etwas das du weißt (PIN). Es wird halt nur leider fast nirgends unterstützt.

[–] [email protected] 9 points 1 year ago* (last edited 1 year ago) (7 children)

Was mich bei dem ePerso ankotzt: Mein Handy kann das nicht. Ja ich bin da wahrscheinlich in der Minderheit, aber ist so. Warum ist es sos chwierig dafür ein dediziertes Gerät zu kaufen? Würde ich ja auch machen aber man schaue sich mal das hier an:

https://www.ausweisapp.bund.de/usb-kartenleser

Die folgende Liste gibt Ihnen eine Übersicht über für die Online-Ausweisfunktion geeignete USB-Kartenleser sowie Informationen zu verfügbaren Treibern.

Hinweis: Es handelt sich bei dieser Liste kompatibler USB-Kartenleser ausdrücklich nicht um eine Kaufempfehlung und leider wir können keine Garantie für die Funktionalität auf Ihren Systemen übernehmen.

und leider wir können keine Garantie für die Funktionalität auf Ihren Systemen übernehmen.

DANN TESTET DIE IHR EUMEL! ANSTATT DA EINE LISTE VON 28, ACHT-UND-ZWANZIG, GERÄTEN UNGEPRÜFT ZU FÜHREN!

Mein Gott. Und dann die Hinweise zu den Treibern. Natürlich keine Erwähnung von freien Betriebssystemen, manchmal auch so ein Schmankerl dabei:

Der Kartenleser funktioniert mit dem systemseitig installierten Treiber. Falls Sie jedoch den Treiber von der Webseite des Herstellers installieren möchten, ist anschließend ein Neustart erforderlich.

Sorry aber ne. Ich mag die Idee vom E-Perso, aber ich kann ihn so nicht verwenden.

Edit: Und ach du scheisse sind die Leser teuer. PC Welt empfiehlt das hier:

Cyberjack RFID Komfort inklusive Signaturzertifkat mit einem Jahr Laufzeit für rund 130 Euro. Das Signaturzertifkat alleine kostet im Jahr 9,98

Warum kostet ein RFID Leser so viel Geld? Warum kostet so ein Zertifikat so viel? Warum bietet unsere Scheiss Bundesdruckerei sowas nicht an? Warum ist Ausweisen im Internet schon wieder so privatisiert, dass da irgendwelche Firmen horrende Margen einfahren können? :kotz:

[–] [email protected] 2 points 11 months ago (5 children)

und leider wir können keine Garantie für die Funktionalität auf IHREN SYSTEMEN übernehmen.

Willst du, dass das BSI deine Wohnung stürmt und das an deinem System testet? Die aufgelisteten Geräte werden das schon können, nur garantiert dir halt niemand, dass die mit jeder noch so exotischen Betriebssystemkonfiguration funktionieren.

Warum kostet ein RFID Leser so viel Geld? Warum kostet so ein Zertifikat so viel?

Das Zertifikat brauchste afaik nur wenn du Dokumente digital unterschreiben willst, nicht für den eAusweis und Kartenleser fangen bei ~30€ an.

load more comments (5 replies)
load more comments (6 replies)
[–] [email protected] 6 points 1 year ago* (last edited 1 year ago) (2 children)

Nur eine Nummer, die einen identifiziert? Die Sozialversicherungsnummer immer ganz geheim halten!!!

Das ist in den USA ja vor allem ein riesiges Problem, da irgendwann diverse Creditscore-Anbieter und andere Dienstleister angefangen haben, diese Nummer für ihre Zwecke zu missbrauchen. Wofür sie niemals gedacht war. Wenn das streng reglementiert ist, kann es funktionieren.

Aber im Hinblick auf die USA habe ich durchaus Bauchschmerzen bei einer zentralen Nummer die meiner Person zugeordnet ist. Weil man da eben schon das Realwelt-Beispiel dafür hat, was damit schieflaufen kann.

[–] [email protected] 3 points 1 year ago (1 children)

da irgendwann diverse Creditscore-Anbieter und andere Dienstleister angefangen haben, diese Nummer für ihre Zwecke zu missbrauchen. Wofür sie niemals gedacht war. Wenn das streng reglementiert ist, kann es funktionieren.

Dieses Hintergrundwissen fehlt mir - was genau machen die da, wofür die Nummer niemals gedacht wurde? Und wie ließe sich das reglementieren?

Bin auch dankbar für Antworten in Form von unkommentierten Links.

[–] [email protected] 3 points 1 year ago (1 children)

Wikipedia fasst das ganz gut zusammen, finde ich:

"The original purpose of this number was to track individuals' accounts within the Social Security program. It has since come to be used as an identifier for individuals within the United States."

"The SSN is frequently used by those involved in identity theft. This is because it is interconnected with many other forms of identification and people asking for it treat it as an authenticator. Financial institutions generally require an SSN to set up bank accounts, credit cards, and loans—partly because they assume that no one except the person it was issued to knows it."

https://en.wikipedia.org/wiki/Social_Security_number#Identity_theft

load more comments (1 replies)
[–] [email protected] 3 points 1 year ago

Und es gibt gelegentlich mal Datenleaks, in denen die SSN enthalten ist. Die Betroffenen müssen dann ihr ganzes Leben damit rechnen, dass jemand auf ihren Namen ein Konto und eine Kreditkarte eröffnet, und sie dann massiv Probleme bekommen.

[–] [email protected] 3 points 11 months ago (2 children)

Schweden? Ist das nicht das Land wo alle Steuerdaten inklusive Einkünfte etc mit Namen und Adresse der Person in einer öffentlichen Datenbank einsehbar sind?

[–] [email protected] 6 points 11 months ago* (last edited 11 months ago)

Adressen sind auch in Deutschland öffentlich einsehbar. Nennt sich Melderegisterauskunft. Ist nur (da wir immer noch in Deutschland sind) ein wenig nervig und kostet Geld.

Das mit den Gehaltsdaten wirkt auf den ersten Blick erstmal fragwürdig, aber man sollte die Vorteile nicht vergessen. Lohntransparenz ist gut für Angestellte. Vor allem für CEOs (deren Gehälter werden z.T. schon länger offen gelegt) hat sich das als sehr lohnend erwiesen.

[–] [email protected] 3 points 11 months ago

Das mit den Gehaltsdaten ist doch eher positiv, wie die schon geantwortet wurde.

Was viel grusliger ist, ist dass ich den Namen meines Kollegen googeln kann und dann sehe wo er wohnt, mit wem zusammen, wie viel ist das Haus ungefähr wert, was verdienen die Nachbarn im Schnitt, wann hat er Geburtstag, klicke hier um Blumen zu schicken.

Und wenn ich da selber nicht auftauchen will, wenn man mich googlet, muss ich auf der Webseite widersprechen. Aber davon gibts nicht nur eine, ich muss das auf jeder einzeln machen.

Aber ich glaube nicht, dass man sich daran ein Beispiel nehmen muss. Das denke ich ist nicht notwendig für einfachere Identifikation, also eher nebensächlich für die Diskussion hier.

[–] LetterboxPancake 2 points 1 year ago (1 children)

Ok, Deal. Ich hab eh Bock auf Schweden. Hoffe ihr braucht Software Engineers :-)

[–] [email protected] 2 points 11 months ago (2 children)

Immer. Sag Bescheid wenn du in die Gaming Branche willst.

load more comments (2 replies)
[–] [email protected] 8 points 1 year ago* (last edited 1 year ago) (4 children)

Tja. Der ePerso ist Murks. Anscheinend hat und hatte niemand je Interesse da was draus zu machen, abseits von Nutzung durch Behörden selbst.

Den Rest hat man uns nur vorgespielt. Das wäre wirklich auch zu einfach damit sichere und einfache Authentifizierung zu machen. Oder mal 'nen funktionierenden Jugendschutz im Internet oder was auch immer.

Edit: Also technisch möglich ist es allemal. Und wirklich kompliziert auch nicht. Also bleibt nur der fehlende Wille das umzusetzen.

[–] [email protected] 12 points 1 year ago (1 children)

Die Frage ist halt, ob das Ding wirklich murks ist, oder ob die Anbieter zu Faul sind die ePerso-Systeme verschiedener Länder anzubinden. Ist halt etwas mehr Arbeit als den Standard-Bankzugang der EU-Weit genormt ist einzubinden und das UI dazu ein wenig zu Übersetzten.

[–] [email protected] 10 points 1 year ago* (last edited 1 year ago) (2 children)

Nee, so meinte ich das nicht. Der ePerso ist ganz vernünftig ausgedacht. Wenn man das per AusweisApp2 und Telefon macht, braucht man auch noch nicht mal ein Lesegerät oder sowas kaufen. Und theoretisch taugt das auch für eine Menge privatwirtschaftliche Einsatzgebiete. Da hat sich mal jemand Gedanken gemacht...

Teschnisch ist das alles völlig iO. Die Politik ist Murks.

Ich glaub einige Unternehmen hätten da auch Interesse dran da einmal für ein paar Länder die Schnittstellen zu programmieren. Ich kann mir vorstellen, dass das günstiger ist als Leute irgendwo zu bezahlen plus Videokonferenzinfrastruktur um da 5 Minuten lang pro Kunde den Ausweis in die Webcam zu halten und zu wackeln und die ganzen Spielchen.

[–] [email protected] 2 points 1 year ago (1 children)

Technisch ist das leider unnötig kompliziert realisiert. Warum sie nicht den OIDC Standard benutzen (wie bei "Signin with Google / Microsoft / Twitter"), verstehe ich bis heute nicht. Stattdessen braucht man einen eigenen eId-Server, der von der AusweisApp aufgerufen wird

load more comments (1 replies)
load more comments (1 replies)
[–] [email protected] 5 points 1 year ago (1 children)

Finde ihn eigentlich gar nicht so Murks. Habe mich neulich mit der ePerso Funktion für die elektronische Patientenakte (gibt es tatsächlich seit drei Jahren, niemand nutzt es?!) meiner Krankenkasse registriert. Das ganze Ding hat drei Minuten gedauert und ich habe mich gefühlt als wäre ich in die Zukunft gereist. Es ist wirklich so absurd, die Technik scheint in D vorhanden aber niemand nutzt sie. Es wird laufend nur nach Möglichkeiten gesucht sich weiter abzocken zu lassen, als die bestehenden Möglichkeiten mal substantiell auszubauen.

[–] [email protected] 3 points 1 year ago (5 children)

Lange konnte man bei bei der elektrischen Patientenakte nur alles oder nichts für Ärzte freigeben. Aber das geht inzwischen, oder? Dann wollte ich das auch mal probieren...

[–] [email protected] 4 points 1 year ago

Also bei der TK kann man einzelne Ärzte legitimieren darauf zuzugreifen. Nutzt halt fast niemand. Ich wollte es mal für das Bonusheft beim Zahnarzt nutzen, da geht es wohl.

load more comments (4 replies)
[–] [email protected] 3 points 1 year ago (1 children)

Naja, Jugendschutz verringert nur die Zielgruppe, ist also von den Firmen im Normalfall nicht gewollt. Und alles andere scheint halt die Umsetzung zu kompliziert zu sein. Wenn es einfach wäre gäbe es wohl kein videoident etc. Das würde ich nicht auf fehlenden Willen schieben sondern lediglich die Marktentscheidung dagegen, weil andere Sachen billiger umzusetzen sind.

load more comments (1 replies)
[–] [email protected] 7 points 11 months ago (1 children)

@notepass Name&Shame bitte, will wissen von welchen Unternehmen ich mich fernhalten sollte.
Ansonsten nicht nur hier Ärger Luft machen, sondern auch bei den entsprechenden Unternehmen meckern. Sonst ändert sich nie was.

load more comments (1 replies)
[–] [email protected] 5 points 1 year ago (1 children)

Also ich habe letztens versucht mich bei meiner Krankenkasse per ePerso zu identifizieren. Das hat hinten und vorne nicht funktioniert. Ich brauchte dafür natürlich eine externe App, statt dass das in der von der Krankenkasse direkt ging. War total lahm und buggy. Mag an dem NFC Leser in meinem Telefon gelegen haben. Aber ich habe irgendwann aufgegeben und mir einfach per Post einen Code schicken lassen.

Mein Bruder war auch mal bei einer Firma die Wert auf echte Logins gelegt hatte. Auf meine Frage warum sie das nicht über ePerso machen meinte er auch, dass das zu aufwändig sei. Code per Post funktioniert viel besser.

[–] [email protected] 9 points 1 year ago* (last edited 1 year ago) (3 children)

Meinst du mit der AusweisApp2? Das ist die einzige vorgesehene Methode für die Nutzung von ePerso mit Handy als Lesegerät.

load more comments (2 replies)
[–] [email protected] 4 points 11 months ago (1 children)

Mach ein Foto von deinem Perso, speichern wir bestimmt nur kurz ;)

https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/der-personalausweis/ausweiskopien/ausweiskopien-node.html

[–] [email protected] 5 points 11 months ago (1 children)

Die Seite lädt leider nicht, aber ich würde mal raten, dass es die Allgemeine warnung gegen weitergabe von Kopien des Ausweises ist.

Der bin ich mir Bewusst, weswegen ich das noch weniger mag :)

load more comments (1 replies)
[–] [email protected] 3 points 1 year ago

Immoscout? ^^

load more comments
view more: next ›