this post was submitted on 29 Aug 2023
95 points (100.0% liked)

Deutschland

6710 readers
1 users here now

Sammelbecken für deutsche Kartoffeln und ihre Geschichten über Deutschland.

Nicht zu verwechseln mit !dach und !chad.

Regeln

Bundesländer:

founded 3 years ago
MODERATORS
 

In letzter Zeit habe ich viele Konten eröffnen müssen, welche eine Verifikation meiner Identität benötigen. So weit, so normal.

Was mir allerdings aufgefallen ist: Keiner nutzt aus meiner Sicht "akzeptable" Identifikationsmethoden. Ich hoffe jedes Mal auf das Verfahren via ePerso (Wofür haben wir denn die Scheiße, wenn sich da kein Unternehmen der Welt dran anbindet), oder postident (Dank der Post-App kann ich das übers Handy machen).

Leider sieht die Realität so aus:

  1. Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
  2. Mach ein Foto von deinem Perso, speichern wir bestimmt nur kurz ;)
  3. Komm, mach nen Videoanruf, dreh den Kopf, mach dich zum Hampel.

- oder -

  1. Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
  2. Trage deine IBAN ein
  3. Wir senden dir x Cent mit nem code zur Prüfung
  4. Gib uns doch bitte deinen Online-Login zur Bank, wir schauen GANZ BESTIMMT nur auf den EINEN Umsatz ;))))) [Du willst einfach selbst den Code eingeben, nachdem du auf dein Konto geschaut hast? Ach was, viel zu umständlich!!]

JA SAG MAL HACKTS ODER WAS?! Was soll der Mist? Warum muss ich denn immer durch diese Scheiß ringe für alles Springen?! Lasst mich doch den Scheiß ePerso an mein Scheiß Handy halten und die Scheiß Datenabfrage (bei der ich übrigens sehen kann, welche Scheiß Daten ihr genau abfragt) durchwinken und gut ist. Ich will euch keinen Zugriff auf mein Konto geben, ich will keinen blöden Videoanruf machen, ich will nicht meinen Perso Fotografieren und auf den 100 Gammelserver hochladen.

Der einzige Laden, der es halbwegs hinbekommen hat, ist PayPal. Dort wird auch Geld auf das Konto zur Verknüpfung überwiesen. Das kann man dann entweder per Weitergabe der Login-Daten prüfen lassen, oder man gibt den blöden Code halt selbst ein. Geht doch.

Ich bin echt am Verzweifeln. Oftmals lasse ichs dann bei den Videoanrufen oder Online-Bankkonto-Logins einfach sein. Mir ist der Aufwand nur selten das Ergebnis Wert. Bin ich hier einfach nur besonders empfindlich, oder haben sich die Leute einfach nur an diese penetranten Verifikationsverfahren gewöhnt?

top 50 comments
sorted by: hot top controversial new old
[–] BoJack@feddit.de 37 points 1 year ago* (last edited 1 year ago) (2 children)

Also wenn ein Anbieter meine Login-Daten der Bank will zweifle ich nicht nur an der Identifikationsmethode sondern auch an der Seriosität des Anbieters. Das schreit doch Scam auf allen Frequenzen. Nicht mal Phishing-Mails sind so frech.

[–] PlexSheep@feddit.de 7 points 1 year ago (1 children)

Geht mir genau so. Hab davon zum Glück noch nie gehört. Wer macht sowas? Mein Heimnetzwerk ist seriöser.

[–] notepass@feddit.de 3 points 1 year ago (1 children)

Viele anbieter, die dich über das Konto identifizieren wollen. Füg mal bei PayPal ein neues Bankkonto hinzu. Dort gibts dann auch die Option ;)

[–] PlexSheep@feddit.de 3 points 1 year ago

Hab kein PayPal. Dem bin ich immer aus dem Weg gegangen.

load more comments (1 replies)
[–] Pantherina@feddit.de 27 points 1 year ago (5 children)

Bei KeepassXC unter "unsichere Passwörter" sind fast alle meine wichtigen Sachen, Banken, Krankenkasse, Paypal, weil die Deppen weder NORMALES 2FA erlauben, noch lange Passwörter oder sogar SONDERZEICHEN

Wie dumm kann man sein, ich hoffe Paypal ist nicht anfällig für SQL injections...

[–] Hupf@feddit.de 22 points 1 year ago (1 children)

Ich mag ja, wenn bei der Registrierung lange Passwörter erlaubt sind, der Login aber nur mit kürzeren geht.

[–] amki@feddit.de 3 points 1 year ago

Beste Weg nicht mich dazu zu bringen darüber nachzudenken ob ich den Account wirklich brauche.

[–] hh93@lemm.ee 19 points 1 year ago (3 children)

Also mein Passwort bei PayPal hat 20 Zeichen mit Sonderzeichen und normales 2FA über Timebased codes

[–] redballooon@lemm.ee 4 points 1 year ago* (last edited 1 year ago) (2 children)

Naja, bei den Banken geht es ja immerhin nicht um Passwörter sondern um PINs, bei denen der Login nach drei Fehlversuchen gesperrt wird.

Und einen zweiten Faktor benutzen die ja auch, halt erst bei der Überweisung.

Deren Sicherheitsverwahrung unterliegen EU Regulierungen, die beständig verschärft werden. Summa summarum hat das schon Hand und Fuß.

load more comments (2 replies)
[–] PlexSheep@feddit.de 4 points 1 year ago

Ich hätte gerne einfach Email, Passwort (mindestens 40 Zeichen erlaubt), TOTP oder besser webauthn (Hardware Tokens).

Von mir aus sollen se noch ihr Photo Tan und Ben Fingerabdruck dazu packen, Zack bombensichere Authentifizierung.

load more comments (1 replies)
[–] Takios@feddit.de 22 points 1 year ago (1 children)

Gib uns doch bitte deinen Online-Login zur Bank, wir schauen GANZ BESTIMMT nur auf den EINEN Umsatz

Da würde ich den Registrierungsprozess direkt abbrechen. Weil wenn dann was passiert sagt die Bank "Tja, sei halt nicht so ein Idiot" und das Geld ist weg.

[–] UESPA_Sputnik@feddit.de 2 points 1 year ago (1 children)

Ich habe sowas noch nie irgendwo gesehen. Hat jemand ein Beispiel, wo man seine Login-Daten angeben muss?

[–] notepass@feddit.de 4 points 1 year ago (1 children)

Sofortüberweisung, Klarna, PayPal, Coinbase usw.

Alles was sich mit dem Bankkonto verknüpfen will macht sowas gerne. Ist natürlich ein Murkssystem, da man den Code des überwiesenen Geldes auch selbst angeben kann.

[–] halsbandsittich@feddit.de 3 points 1 year ago

Sofortüberweisung war schon immer unseriös wie Sau und die schlechte Variante von giropay. Über Coinbase reden wir mal nicht und PayPal hat auch andere Möglichkeiten.

[–] Lemmchen@feddit.de 21 points 1 year ago (1 children)

Wo wir gerade dabei sind: SOFORTÜberweisung gehört abgeschafft. Was ist das für ein lächerliches System, bei dem ich meinen Banklogin auf einer Drittanbieterseite eingeben soll? Geht's noch!?

[–] aksdb@feddit.de 16 points 1 year ago

Banken: Gib NIE deine Login-Daten weiter.

Jedes zweite Unternehmen: hier, nutze diesen Bezahldienstleister, dem du deine Login-Daten zum Bankkonto geben musst.

Gesetzgeber: 🤷‍♂️ Implementiert doch alle mal dieses hübsche Protokoll, über das das noch viel einfacher geht. 🤷‍♂️

[–] bad_alloc@feddit.de 20 points 1 year ago

oder haben sich die Leute einfach nur an diese penetranten Verifikationsverfahren gewöhnt?

Dies. Dazu kommt noch das die meisten Leute Komfort jederzeit über Datensicherheit und Datenschutz stellen. Dazu kommt dass du schlicht User verlierst wenn Leute an einem ungewohnten Prozess scheitern, sodass viele absichtlich bekannte Abläufe mitverwenden, wie eben Videoanruf, Foto machen oder Konto auslesen. Das ist dann oft der Sargnagel für vernünftige Verifikationsverfahren.

[–] Evilschnuff@feddit.de 17 points 1 year ago

Das Internet ist für uns alle Neuland 😌

[–] Mad_Punda@feddit.de 12 points 1 year ago (4 children)

Komm nach Schweden :)
Wir haben eine „Personnummer“ und BankID. Zack, läuft wie am Schnürchen.

(Nur wenn man als Ausländer in das Land kommt und diese Dinge noch nicht hat, existiert man quasi nicht.)

Aber bei sowas wehren sich die Deutschen dann oft. Nur eine Nummer, die einen identifiziert? Die Sozialversicherungsnummer immer ganz geheim halten!!! 2FA übers Handy? Ich will ne TAN Liste! Oder vielleicht sind das nur meine Eltern die sich so haben.

Was ich sagen will, es gibt Vorbilder im Ausland, wo es sehr bequem ist und gut funktioniert, wenn man im System steckt. Ich glaube da kann man dich in D eine Scheibe von abschneiden, ohne es komplett nutzlos zu machen durch Komplikationen. Es musste nur der Wille da sein. Und die Deutschen etwas mehr Transparenz akzeptieren. (Bitte nicht zu den Level in Schweden, das ist gruselig, wenn man zu lange drüber nachdenkt. Bin aber der Meinung das ist nicht notwendig.)

[–] notepass@feddit.de 7 points 1 year ago (1 children)

Naja, eine zentrale Nummer braucht's halt nicht. ePerso basierend auf PKI ist ja absolut ausreichend zum Identifikationsnachweis. Ist auch etwas sicherer, da es 2FA ist: Etwas das du hast (Perso) und etwas das du weißt (PIN). Es wird halt nur leider fast nirgends unterstützt.

[–] Killing_Spark@feddit.de 7 points 1 year ago* (last edited 1 year ago) (3 children)

Was mich bei dem ePerso ankotzt: Mein Handy kann das nicht. Ja ich bin da wahrscheinlich in der Minderheit, aber ist so. Warum ist es sos chwierig dafür ein dediziertes Gerät zu kaufen? Würde ich ja auch machen aber man schaue sich mal das hier an:

https://www.ausweisapp.bund.de/usb-kartenleser

Die folgende Liste gibt Ihnen eine Übersicht über für die Online-Ausweisfunktion geeignete USB-Kartenleser sowie Informationen zu verfügbaren Treibern.

Hinweis: Es handelt sich bei dieser Liste kompatibler USB-Kartenleser ausdrücklich nicht um eine Kaufempfehlung und leider wir können keine Garantie für die Funktionalität auf Ihren Systemen übernehmen.

und leider wir können keine Garantie für die Funktionalität auf Ihren Systemen übernehmen.

DANN TESTET DIE IHR EUMEL! ANSTATT DA EINE LISTE VON 28, ACHT-UND-ZWANZIG, GERÄTEN UNGEPRÜFT ZU FÜHREN!

Mein Gott. Und dann die Hinweise zu den Treibern. Natürlich keine Erwähnung von freien Betriebssystemen, manchmal auch so ein Schmankerl dabei:

Der Kartenleser funktioniert mit dem systemseitig installierten Treiber. Falls Sie jedoch den Treiber von der Webseite des Herstellers installieren möchten, ist anschließend ein Neustart erforderlich.

Sorry aber ne. Ich mag die Idee vom E-Perso, aber ich kann ihn so nicht verwenden.

Edit: Und ach du scheisse sind die Leser teuer. PC Welt empfiehlt das hier:

Cyberjack RFID Komfort inklusive Signaturzertifkat mit einem Jahr Laufzeit für rund 130 Euro. Das Signaturzertifkat alleine kostet im Jahr 9,98

Warum kostet ein RFID Leser so viel Geld? Warum kostet so ein Zertifikat so viel? Warum bietet unsere Scheiss Bundesdruckerei sowas nicht an? Warum ist Ausweisen im Internet schon wieder so privatisiert, dass da irgendwelche Firmen horrende Margen einfahren können? :kotz:

load more comments (3 replies)
[–] lichtmetzger@feddit.de 4 points 1 year ago* (last edited 1 year ago) (2 children)

Nur eine Nummer, die einen identifiziert? Die Sozialversicherungsnummer immer ganz geheim halten!!!

Das ist in den USA ja vor allem ein riesiges Problem, da irgendwann diverse Creditscore-Anbieter und andere Dienstleister angefangen haben, diese Nummer für ihre Zwecke zu missbrauchen. Wofür sie niemals gedacht war. Wenn das streng reglementiert ist, kann es funktionieren.

Aber im Hinblick auf die USA habe ich durchaus Bauchschmerzen bei einer zentralen Nummer die meiner Person zugeordnet ist. Weil man da eben schon das Realwelt-Beispiel dafür hat, was damit schieflaufen kann.

[–] Killing_Spark@feddit.de 3 points 1 year ago

Und es gibt gelegentlich mal Datenleaks, in denen die SSN enthalten ist. Die Betroffenen müssen dann ihr ganzes Leben damit rechnen, dass jemand auf ihren Namen ein Konto und eine Kreditkarte eröffnet, und sie dann massiv Probleme bekommen.

[–] Spzi@lemm.ee 3 points 1 year ago (1 children)

da irgendwann diverse Creditscore-Anbieter und andere Dienstleister angefangen haben, diese Nummer für ihre Zwecke zu missbrauchen. Wofür sie niemals gedacht war. Wenn das streng reglementiert ist, kann es funktionieren.

Dieses Hintergrundwissen fehlt mir - was genau machen die da, wofür die Nummer niemals gedacht wurde? Und wie ließe sich das reglementieren?

Bin auch dankbar für Antworten in Form von unkommentierten Links.

[–] lichtmetzger@feddit.de 3 points 1 year ago (1 children)

Wikipedia fasst das ganz gut zusammen, finde ich:

"The original purpose of this number was to track individuals' accounts within the Social Security program. It has since come to be used as an identifier for individuals within the United States."

"The SSN is frequently used by those involved in identity theft. This is because it is interconnected with many other forms of identification and people asking for it treat it as an authenticator. Financial institutions generally require an SSN to set up bank accounts, credit cards, and loans—partly because they assume that no one except the person it was issued to knows it."

https://en.wikipedia.org/wiki/Social_Security_number#Identity_theft

[–] Gibdos@feddit.de 2 points 1 year ago

Ja wobei in den USA ja das Problem ist, dass da sowas wie der Perso nicht wirklich existiert. Und damit ist die SSN als alleinige Identifikationsmaßnahme natürlich ein Witz.

In Schweden ist es relativ egal ob jemand anderes meine Personummer weiß. Die Authentifizierung findet nach Eingabe / Angabe der Personummer immer in der BankID statt. Wenn also irgendjemand versucht mit meiner Personummer was zu bestellen / einen Vetrag abzuschließen o.Ä. bekomme ich auf meinem Handy in der App die Info darüber mit Bitte das zu bestätigen.

[–] klingelstreich@feddit.de 2 points 1 year ago

Schweden? Ist das nicht das Land wo alle Steuerdaten inklusive Einkünfte etc mit Namen und Adresse der Person in einer öffentlichen Datenbank einsehbar sind?

load more comments (1 replies)
[–] rufus@discuss.tchncs.de 6 points 1 year ago* (last edited 1 year ago) (4 children)

Tja. Der ePerso ist Murks. Anscheinend hat und hatte niemand je Interesse da was draus zu machen, abseits von Nutzung durch Behörden selbst.

Den Rest hat man uns nur vorgespielt. Das wäre wirklich auch zu einfach damit sichere und einfache Authentifizierung zu machen. Oder mal 'nen funktionierenden Jugendschutz im Internet oder was auch immer.

Edit: Also technisch möglich ist es allemal. Und wirklich kompliziert auch nicht. Also bleibt nur der fehlende Wille das umzusetzen.

[–] notepass@feddit.de 11 points 1 year ago (1 children)

Die Frage ist halt, ob das Ding wirklich murks ist, oder ob die Anbieter zu Faul sind die ePerso-Systeme verschiedener Länder anzubinden. Ist halt etwas mehr Arbeit als den Standard-Bankzugang der EU-Weit genormt ist einzubinden und das UI dazu ein wenig zu Übersetzten.

[–] rufus@discuss.tchncs.de 9 points 1 year ago* (last edited 1 year ago) (2 children)

Nee, so meinte ich das nicht. Der ePerso ist ganz vernünftig ausgedacht. Wenn man das per AusweisApp2 und Telefon macht, braucht man auch noch nicht mal ein Lesegerät oder sowas kaufen. Und theoretisch taugt das auch für eine Menge privatwirtschaftliche Einsatzgebiete. Da hat sich mal jemand Gedanken gemacht...

Teschnisch ist das alles völlig iO. Die Politik ist Murks.

Ich glaub einige Unternehmen hätten da auch Interesse dran da einmal für ein paar Länder die Schnittstellen zu programmieren. Ich kann mir vorstellen, dass das günstiger ist als Leute irgendwo zu bezahlen plus Videokonferenzinfrastruktur um da 5 Minuten lang pro Kunde den Ausweis in die Webcam zu halten und zu wackeln und die ganzen Spielchen.

[–] notepass@feddit.de 2 points 1 year ago

Ferb, ich weiß welches Unternehmen wir Gründen :>

[–] FulicAltra@feddit.de 2 points 1 year ago (1 children)

Technisch ist das leider unnötig kompliziert realisiert. Warum sie nicht den OIDC Standard benutzen (wie bei "Signin with Google / Microsoft / Twitter"), verstehe ich bis heute nicht. Stattdessen braucht man einen eigenen eId-Server, der von der AusweisApp aufgerufen wird

load more comments (1 replies)
[–] klisklas@feddit.de 5 points 1 year ago (1 children)

Finde ihn eigentlich gar nicht so Murks. Habe mich neulich mit der ePerso Funktion für die elektronische Patientenakte (gibt es tatsächlich seit drei Jahren, niemand nutzt es?!) meiner Krankenkasse registriert. Das ganze Ding hat drei Minuten gedauert und ich habe mich gefühlt als wäre ich in die Zukunft gereist. Es ist wirklich so absurd, die Technik scheint in D vorhanden aber niemand nutzt sie. Es wird laufend nur nach Möglichkeiten gesucht sich weiter abzocken zu lassen, als die bestehenden Möglichkeiten mal substantiell auszubauen.

[–] oushoyd@feddit.de 2 points 1 year ago (5 children)

Lange konnte man bei bei der elektrischen Patientenakte nur alles oder nichts für Ärzte freigeben. Aber das geht inzwischen, oder? Dann wollte ich das auch mal probieren...

[–] klisklas@feddit.de 4 points 1 year ago

Also bei der TK kann man einzelne Ärzte legitimieren darauf zuzugreifen. Nutzt halt fast niemand. Ich wollte es mal für das Bonusheft beim Zahnarzt nutzen, da geht es wohl.

load more comments (4 replies)
[–] nif@feddit.de 3 points 1 year ago (1 children)

Naja, Jugendschutz verringert nur die Zielgruppe, ist also von den Firmen im Normalfall nicht gewollt. Und alles andere scheint halt die Umsetzung zu kompliziert zu sein. Wenn es einfach wäre gäbe es wohl kein videoident etc. Das würde ich nicht auf fehlenden Willen schieben sondern lediglich die Marktentscheidung dagegen, weil andere Sachen billiger umzusetzen sind.

load more comments (1 replies)
[–] bjoern_tantau@swg-empire.de 5 points 1 year ago (1 children)

Also ich habe letztens versucht mich bei meiner Krankenkasse per ePerso zu identifizieren. Das hat hinten und vorne nicht funktioniert. Ich brauchte dafür natürlich eine externe App, statt dass das in der von der Krankenkasse direkt ging. War total lahm und buggy. Mag an dem NFC Leser in meinem Telefon gelegen haben. Aber ich habe irgendwann aufgegeben und mir einfach per Post einen Code schicken lassen.

Mein Bruder war auch mal bei einer Firma die Wert auf echte Logins gelegt hatte. Auf meine Frage warum sie das nicht über ePerso machen meinte er auch, dass das zu aufwändig sei. Code per Post funktioniert viel besser.

[–] redballooon@lemm.ee 8 points 1 year ago* (last edited 1 year ago) (3 children)

Meinst du mit der AusweisApp2? Das ist die einzige vorgesehene Methode für die Nutzung von ePerso mit Handy als Lesegerät.

[–] amki@feddit.de 2 points 1 year ago

Also die Deutsche Post AG hat mir versichert mit ihrer App ist das auch kein Problem

load more comments (1 replies)
[–] Hupf@feddit.de 3 points 1 year ago

Immoscout? ^^

[–] indigoamber@social.tchncs.de 3 points 1 year ago

@notepass Name&Shame bitte, will wissen von welchen Unternehmen ich mich fernhalten sollte.
Ansonsten nicht nur hier Ärger Luft machen, sondern auch bei den entsprechenden Unternehmen meckern. Sonst ändert sich nie was.

load more comments
view more: next ›