In letzter Zeit habe ich viele Konten eröffnen müssen, welche eine Verifikation meiner Identität benötigen. So weit, so normal.
Was mir allerdings aufgefallen ist: Keiner nutzt aus meiner Sicht “akzeptable” Identifikationsmethoden. Ich hoffe jedes Mal auf das Verfahren via ePerso (Wofür haben wir denn die Scheiße, wenn sich da kein Unternehmen der Welt dran anbindet), oder postident (Dank der Post-App kann ich das übers Handy machen).
Leider sieht die Realität so aus:
- Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
- Mach ein Foto von deinem Perso, speichern wir bestimmt nur kurz ;)
- Komm, mach nen Videoanruf, dreh den Kopf, mach dich zum Hampel.
- oder -
- Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
- Trage deine IBAN ein
- Wir senden dir x Cent mit nem code zur Prüfung
- Gib uns doch bitte deinen Online-Login zur Bank, wir schauen GANZ BESTIMMT nur auf den EINEN Umsatz ;))))) [Du willst einfach selbst den Code eingeben, nachdem du auf dein Konto geschaut hast? Ach was, viel zu umständlich!!]
JA SAG MAL HACKTS ODER WAS?! Was soll der Mist? Warum muss ich denn immer durch diese Scheiß ringe für alles Springen?! Lasst mich doch den Scheiß ePerso an mein Scheiß Handy halten und die Scheiß Datenabfrage (bei der ich übrigens sehen kann, welche Scheiß Daten ihr genau abfragt) durchwinken und gut ist. Ich will euch keinen Zugriff auf mein Konto geben, ich will keinen blöden Videoanruf machen, ich will nicht meinen Perso Fotografieren und auf den 100 Gammelserver hochladen.
Der einzige Laden, der es halbwegs hinbekommen hat, ist PayPal. Dort wird auch Geld auf das Konto zur Verknüpfung überwiesen. Das kann man dann entweder per Weitergabe der Login-Daten prüfen lassen, oder man gibt den blöden Code halt selbst ein. Geht doch.
Ich bin echt am Verzweifeln. Oftmals lasse ichs dann bei den Videoanrufen oder Online-Bankkonto-Logins einfach sein. Mir ist der Aufwand nur selten das Ergebnis Wert. Bin ich hier einfach nur besonders empfindlich, oder haben sich die Leute einfach nur an diese penetranten Verifikationsverfahren gewöhnt?
Das Internet ist für uns alle Neuland 😌
Tja. Der ePerso ist Murks. Anscheinend hat und hatte niemand je Interesse da was draus zu machen, abseits von Nutzung durch Behörden selbst.
Den Rest hat man uns nur vorgespielt. Das wäre wirklich auch zu einfach damit sichere und einfache Authentifizierung zu machen. Oder mal 'nen funktionierenden Jugendschutz im Internet oder was auch immer.
Edit: Also technisch möglich ist es allemal. Und wirklich kompliziert auch nicht. Also bleibt nur der fehlende Wille das umzusetzen.
Die Frage ist halt, ob das Ding wirklich murks ist, oder ob die Anbieter zu Faul sind die ePerso-Systeme verschiedener Länder anzubinden. Ist halt etwas mehr Arbeit als den Standard-Bankzugang der EU-Weit genormt ist einzubinden und das UI dazu ein wenig zu Übersetzten.
Nee, so meinte ich das nicht. Der ePerso ist ganz vernünftig ausgedacht. Wenn man das per AusweisApp2 und Telefon macht, braucht man auch noch nicht mal ein Lesegerät oder sowas kaufen. Und theoretisch taugt das auch für eine Menge privatwirtschaftliche Einsatzgebiete. Da hat sich mal jemand Gedanken gemacht…
Teschnisch ist das alles völlig iO. Die Politik ist Murks.
Ich glaub einige Unternehmen hätten da auch Interesse dran da einmal für ein paar Länder die Schnittstellen zu programmieren. Ich kann mir vorstellen, dass das günstiger ist als Leute irgendwo zu bezahlen plus Videokonferenzinfrastruktur um da 5 Minuten lang pro Kunde den Ausweis in die Webcam zu halten und zu wackeln und die ganzen Spielchen.
Finde ihn eigentlich gar nicht so Murks. Habe mich neulich mit der ePerso Funktion für die elektronische Patientenakte (gibt es tatsächlich seit drei Jahren, niemand nutzt es?!) meiner Krankenkasse registriert. Das ganze Ding hat drei Minuten gedauert und ich habe mich gefühlt als wäre ich in die Zukunft gereist. Es ist wirklich so absurd, die Technik scheint in D vorhanden aber niemand nutzt sie. Es wird laufend nur nach Möglichkeiten gesucht sich weiter abzocken zu lassen, als die bestehenden Möglichkeiten mal substantiell auszubauen.
Lange konnte man bei bei der elektrischen Patientenakte nur alles oder nichts für Ärzte freigeben. Aber das geht inzwischen, oder? Dann wollte ich das auch mal probieren…
Bei der geplanten “Opt out” EPA geht das dann wohl nicht mehr. Da wird das dann auch gleich für die Pharmaindustrie freigegeben. “Anonymisiert” natürlich. Und nur für Forschungszwecke. Mit Geschlecht, Alter, Vorerkrankungen… kann man dann natürlich überhaupt keiner Person zuordnen, und Missbrauch ist sowieso und überhaupt ausgeschlossen. (/s)
Count me out.
Naja, Jugendschutz verringert nur die Zielgruppe, ist also von den Firmen im Normalfall nicht gewollt. Und alles andere scheint halt die Umsetzung zu kompliziert zu sein. Wenn es einfach wäre gäbe es wohl kein videoident etc. Das würde ich nicht auf fehlenden Willen schieben sondern lediglich die Marktentscheidung dagegen, weil andere Sachen billiger umzusetzen sind.
oder haben sich die Leute einfach nur an diese penetranten Verifikationsverfahren gewöhnt?
Dies. Dazu kommt noch das die meisten Leute Komfort jederzeit über Datensicherheit und Datenschutz stellen. Dazu kommt dass du schlicht User verlierst wenn Leute an einem ungewohnten Prozess scheitern, sodass viele absichtlich bekannte Abläufe mitverwenden, wie eben Videoanruf, Foto machen oder Konto auslesen. Das ist dann oft der Sargnagel für vernünftige Verifikationsverfahren.
Bei KeepassXC unter “unsichere Passwörter” sind fast alle meine wichtigen Sachen, Banken, Krankenkasse, Paypal, weil die Deppen weder NORMALES 2FA erlauben, noch lange Passwörter oder sogar SONDERZEICHEN
Wie dumm kann man sein, ich hoffe Paypal ist nicht anfällig für SQL injections…
Also mein Passwort bei PayPal hat 20 Zeichen mit Sonderzeichen und normales 2FA über Timebased codes
Das geht? Dachte nur sms! Paypal erlaubt nicht alle sonderzeichen in meiner Erfahrung
Nee, authentifizierung über time based codes und gemischte passwörter funktionieren
Ich mag ja, wenn bei der Registrierung lange Passwörter erlaubt sind, der Login aber nur mit kürzeren geht.
Naja, bei den Banken geht es ja immerhin nicht um Passwörter sondern um PINs, bei denen der Login nach drei Fehlversuchen gesperrt wird.
Und einen zweiten Faktor benutzen die ja auch, halt erst bei der Überweisung.
Deren Sicherheitsverwahrung unterliegen EU Regulierungen, die beständig verschärft werden. Summa summarum hat das schon Hand und Fuß.
Paypal erlaubt normal TOTP und sogar Sicherheitsschlüssel (aber nur einen). Sonderzeichen im Passwort sind auch erlaubt.
Ha, tatsächlich, wohl… wenn es mir glauben würde, dass ich ich bin. Alter… da sagt man denen seinen Spitznamen une SteuerID und trotzdem glauben sie einem nicht? Man meldet sich mit SMS an aber es geht nicht?
Glaube es liegt am VPN, naja geht erstmal ohne. Sms braucht man ja trotzdem, netter Mensch am Telefon meinte “das ist aus Sicherheitsvorschriften bei allen Bankapps in der EU so”
Also ich habe letztens versucht mich bei meiner Krankenkasse per ePerso zu identifizieren. Das hat hinten und vorne nicht funktioniert. Ich brauchte dafür natürlich eine externe App, statt dass das in der von der Krankenkasse direkt ging. War total lahm und buggy. Mag an dem NFC Leser in meinem Telefon gelegen haben. Aber ich habe irgendwann aufgegeben und mir einfach per Post einen Code schicken lassen.
Mein Bruder war auch mal bei einer Firma die Wert auf echte Logins gelegt hatte. Auf meine Frage warum sie das nicht über ePerso machen meinte er auch, dass das zu aufwändig sei. Code per Post funktioniert viel besser.
Meinst du mit der AusweisApp2? Das ist die einzige vorgesehene Methode für die Nutzung von ePerso mit Handy als Lesegerät.
Es gibt noch 248 weitere offizielle Anwendungen für den ePerso https://www.personalausweisportal.de/SiteGlobals/Forms/Webs/PA/suche/anwendungensuche-formular.html?nn=14626780