In letzter Zeit habe ich viele Konten eröffnen müssen, welche eine Verifikation meiner Identität benötigen. So weit, so normal.

Was mir allerdings aufgefallen ist: Keiner nutzt aus meiner Sicht “akzeptable” Identifikationsmethoden. Ich hoffe jedes Mal auf das Verfahren via ePerso (Wofür haben wir denn die Scheiße, wenn sich da kein Unternehmen der Welt dran anbindet), oder postident (Dank der Post-App kann ich das übers Handy machen).

Leider sieht die Realität so aus:

  1. Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
  2. Mach ein Foto von deinem Perso, speichern wir bestimmt nur kurz ;)
  3. Komm, mach nen Videoanruf, dreh den Kopf, mach dich zum Hampel.

- oder -

  1. Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
  2. Trage deine IBAN ein
  3. Wir senden dir x Cent mit nem code zur Prüfung
  4. Gib uns doch bitte deinen Online-Login zur Bank, wir schauen GANZ BESTIMMT nur auf den EINEN Umsatz ;))))) [Du willst einfach selbst den Code eingeben, nachdem du auf dein Konto geschaut hast? Ach was, viel zu umständlich!!]

JA SAG MAL HACKTS ODER WAS?! Was soll der Mist? Warum muss ich denn immer durch diese Scheiß ringe für alles Springen?! Lasst mich doch den Scheiß ePerso an mein Scheiß Handy halten und die Scheiß Datenabfrage (bei der ich übrigens sehen kann, welche Scheiß Daten ihr genau abfragt) durchwinken und gut ist. Ich will euch keinen Zugriff auf mein Konto geben, ich will keinen blöden Videoanruf machen, ich will nicht meinen Perso Fotografieren und auf den 100 Gammelserver hochladen.

Der einzige Laden, der es halbwegs hinbekommen hat, ist PayPal. Dort wird auch Geld auf das Konto zur Verknüpfung überwiesen. Das kann man dann entweder per Weitergabe der Login-Daten prüfen lassen, oder man gibt den blöden Code halt selbst ein. Geht doch.

Ich bin echt am Verzweifeln. Oftmals lasse ichs dann bei den Videoanrufen oder Online-Bankkonto-Logins einfach sein. Mir ist der Aufwand nur selten das Ergebnis Wert. Bin ich hier einfach nur besonders empfindlich, oder haben sich die Leute einfach nur an diese penetranten Verifikationsverfahren gewöhnt?

  • BoJack@feddit.deDeutsch
    1·
    10 months ago

    Also wenn ein Anbieter meine Login-Daten der Bank will zweifle ich nicht nur an der Identifikationsmethode sondern auch an der Seriosität des Anbieters. Das schreit doch Scam auf allen Frequenzen. Nicht mal Phishing-Mails sind so frech.

  • Pantherina@feddit.deDeutsch
    1·
    10 months ago

    Bei KeepassXC unter “unsichere Passwörter” sind fast alle meine wichtigen Sachen, Banken, Krankenkasse, Paypal, weil die Deppen weder NORMALES 2FA erlauben, noch lange Passwörter oder sogar SONDERZEICHEN

    Wie dumm kann man sein, ich hoffe Paypal ist nicht anfällig für SQL injections…

    • hh93@lemm.eeDeutsch
      0·
      10 months ago

      Also mein Passwort bei PayPal hat 20 Zeichen mit Sonderzeichen und normales 2FA über Timebased codes

      • Pantherina@feddit.deDeutsch
        0·
        10 months ago

        Das geht? Dachte nur sms! Paypal erlaubt nicht alle sonderzeichen in meiner Erfahrung

          • Pantherina@feddit.deDeutsch
            1·
            10 months ago

            Nicht wirklich. Sms wird erzwungen, was scheiße vom Datenschutz her ist. Theoretisch kann kan 2FA hinzufügen, aber entweder blocken die VPNs oder machen sonstwas, dass das selbst auf Vanilla Firefox oder Vanadium nicht geht. (“Wir können nicht sicherstellen, dass sie es sind”) ja LOL doch

  • Lemmchen@feddit.deDeutsch
    0·
    10 months ago

    Wo wir gerade dabei sind: SOFORTÜberweisung gehört abgeschafft. Was ist das für ein lächerliches System, bei dem ich meinen Banklogin auf einer Drittanbieterseite eingeben soll? Geht’s noch!?

    • aksdb@feddit.deDeutsch
      1·
      10 months ago

      Banken: Gib NIE deine Login-Daten weiter.

      Jedes zweite Unternehmen: hier, nutze diesen Bezahldienstleister, dem du deine Login-Daten zum Bankkonto geben musst.

      Gesetzgeber: 🤷‍♂️ Implementiert doch alle mal dieses hübsche Protokoll, über das das noch viel einfacher geht. 🤷‍♂️

  • Takios@feddit.deDeutsch
    0·
    10 months ago

    Gib uns doch bitte deinen Online-Login zur Bank, wir schauen GANZ BESTIMMT nur auf den EINEN Umsatz

    Da würde ich den Registrierungsprozess direkt abbrechen. Weil wenn dann was passiert sagt die Bank “Tja, sei halt nicht so ein Idiot” und das Geld ist weg.

    • UESPA_Sputnik@feddit.deDeutsch
      0·
      10 months ago

      Ich habe sowas noch nie irgendwo gesehen. Hat jemand ein Beispiel, wo man seine Login-Daten angeben muss?

      • notepass@feddit.deOPDeutsch
        0·
        10 months ago

        Sofortüberweisung, Klarna, PayPal, Coinbase usw.

        Alles was sich mit dem Bankkonto verknüpfen will macht sowas gerne. Ist natürlich ein Murkssystem, da man den Code des überwiesenen Geldes auch selbst angeben kann.

        • abertausend@feddit.deDeutsch
          0·
          10 months ago

          PayPal nutzt bei mir Lastschrift. Hast du das anders eingestellt? Ich würde dem nie meine Konto-Zugangsdaten geben.

          Sofortüberweisung und Klarna nutze ich deshalb nicht, Coinbase kenne ich nicht.

          • ebikefolder@feddit.deDeutsch
            1·
            10 months ago

            Ich nutze Klarna, aber die haben keine Kontozugangsdaten von mir. Ich bekomme von denen eine ganz normale Rechnung die ich ganz normal per Überweisung bezahle.

  • Mad_Punda.de@feddit.deDeutsch
    0·
    10 months ago

    Komm nach Schweden :)
    Wir haben eine „Personnummer“ und BankID. Zack, läuft wie am Schnürchen.

    (Nur wenn man als Ausländer in das Land kommt und diese Dinge noch nicht hat, existiert man quasi nicht.)

    Aber bei sowas wehren sich die Deutschen dann oft. Nur eine Nummer, die einen identifiziert? Die Sozialversicherungsnummer immer ganz geheim halten!!! 2FA übers Handy? Ich will ne TAN Liste! Oder vielleicht sind das nur meine Eltern die sich so haben.

    Was ich sagen will, es gibt Vorbilder im Ausland, wo es sehr bequem ist und gut funktioniert, wenn man im System steckt. Ich glaube da kann man dich in D eine Scheibe von abschneiden, ohne es komplett nutzlos zu machen durch Komplikationen. Es musste nur der Wille da sein. Und die Deutschen etwas mehr Transparenz akzeptieren. (Bitte nicht zu den Level in Schweden, das ist gruselig, wenn man zu lange drüber nachdenkt. Bin aber der Meinung das ist nicht notwendig.)

    • klingelstreich@feddit.deDeutsch
      0·
      10 months ago

      Schweden? Ist das nicht das Land wo alle Steuerdaten inklusive Einkünfte etc mit Namen und Adresse der Person in einer öffentlichen Datenbank einsehbar sind?

      • Mad_Punda.de@feddit.deDeutsch
        3·
        10 months ago

        Das mit den Gehaltsdaten ist doch eher positiv, wie die schon geantwortet wurde.

        Was viel grusliger ist, ist dass ich den Namen meines Kollegen googeln kann und dann sehe wo er wohnt, mit wem zusammen, wie viel ist das Haus ungefähr wert, was verdienen die Nachbarn im Schnitt, wann hat er Geburtstag, klicke hier um Blumen zu schicken.

        Und wenn ich da selber nicht auftauchen will, wenn man mich googlet, muss ich auf der Webseite widersprechen. Aber davon gibts nicht nur eine, ich muss das auf jeder einzeln machen.

        Aber ich glaube nicht, dass man sich daran ein Beispiel nehmen muss. Das denke ich ist nicht notwendig für einfachere Identifikation, also eher nebensächlich für die Diskussion hier.

      • letmesleep@feddit.deDeutsch
        1·
        10 months ago

        Adressen sind auch in Deutschland öffentlich einsehbar. Nennt sich Melderegisterauskunft. Ist nur (da wir immer noch in Deutschland sind) ein wenig nervig und kostet Geld.

        Das mit den Gehaltsdaten wirkt auf den ersten Blick erstmal fragwürdig, aber man sollte die Vorteile nicht vergessen. Lohntransparenz ist gut für Angestellte. Vor allem für CEOs (deren Gehälter werden z.T. schon länger offen gelegt) hat sich das als sehr lohnend erwiesen.

    • notepass@feddit.deOPDeutsch
      0·
      10 months ago

      Naja, eine zentrale Nummer braucht’s halt nicht. ePerso basierend auf PKI ist ja absolut ausreichend zum Identifikationsnachweis. Ist auch etwas sicherer, da es 2FA ist: Etwas das du hast (Perso) und etwas das du weißt (PIN). Es wird halt nur leider fast nirgends unterstützt.

      • Killing_Spark@feddit.deDeutsch
        1·
        10 months ago

        Was mich bei dem ePerso ankotzt: Mein Handy kann das nicht. Ja ich bin da wahrscheinlich in der Minderheit, aber ist so. Warum ist es sos chwierig dafür ein dediziertes Gerät zu kaufen? Würde ich ja auch machen aber man schaue sich mal das hier an:

        https://www.ausweisapp.bund.de/usb-kartenleser

        Die folgende Liste gibt Ihnen eine Übersicht über für die Online-Ausweisfunktion geeignete USB-Kartenleser sowie Informationen zu verfügbaren Treibern.

        Hinweis: Es handelt sich bei dieser Liste kompatibler USB-Kartenleser ausdrücklich nicht um eine Kaufempfehlung und leider wir können keine Garantie für die Funktionalität auf Ihren Systemen übernehmen.

        und leider wir können keine Garantie für die Funktionalität auf Ihren Systemen übernehmen.

        DANN TESTET DIE IHR EUMEL! ANSTATT DA EINE LISTE VON 28, ACHT-UND-ZWANZIG, GERÄTEN UNGEPRÜFT ZU FÜHREN!

        Mein Gott. Und dann die Hinweise zu den Treibern. Natürlich keine Erwähnung von freien Betriebssystemen, manchmal auch so ein Schmankerl dabei:

        Der Kartenleser funktioniert mit dem systemseitig installierten Treiber. Falls Sie jedoch den Treiber von der Webseite des Herstellers installieren möchten, ist anschließend ein Neustart erforderlich.

        Sorry aber ne. Ich mag die Idee vom E-Perso, aber ich kann ihn so nicht verwenden.

        Edit: Und ach du scheisse sind die Leser teuer. PC Welt empfiehlt das hier:

        Cyberjack RFID Komfort inklusive Signaturzertifkat mit einem Jahr Laufzeit für rund 130 Euro. Das Signaturzertifkat alleine kostet im Jahr 9,98

        Warum kostet ein RFID Leser so viel Geld? Warum kostet so ein Zertifikat so viel? Warum bietet unsere Scheiss Bundesdruckerei sowas nicht an? Warum ist Ausweisen im Internet schon wieder so privatisiert, dass da irgendwelche Firmen horrende Margen einfahren können? :kotz:

        • letmesleep@feddit.deDeutsch
          0·
          10 months ago

          Edit: Und ach du scheisse sind die Leser teuer. PC Welt empfiehlt das hier:

          Man braucht aber - zumindest für die von mir ausprobierten Funktionen - kein tso eures Gerät mit Signaturzertifikat. Ich habe eines, dass ich vor über 10 Jahren gratis zum Personalausweis dazu bekam. Funktioniert bis heute problemlos.

          Mein Gerät gibt es nicht mehr zu kaufen (ist aber oben in der Liste), aber eine 30-Sekunden-Suche bei Amazon zeigt z.B. dass der REINER SCT cyberJack RFID basis für (dort) 32,30 Euro eine Option ist.

          Außerdem musst hast du das “auf ihrem System” überlesen. Die haben schon getestet, dass das Gerät funktioniert. Nur wissen sie natürlich nicht, was alle 84 Millionen Bundesbürger so mit ihren Privat-PCs anstellen.

          Ich bin aber absolut der Meinung, dass es eine Frechheit ist, dass du nicht wie ich einfach ein Gerät bekommen hast. Wenn man da eine bundesweite Bestellung macht, wird das eher 3 als 30 Euro pro Person kosten. Vermutlich könnte man auch einige der bereits verfügbaren Geräte für 10 20 Euro oder (weniger wenn Aliexpress Deutschland nicht mehr teilboykottiert) nutzen. Eigentlich ist das ganze Dank ISO 14443 gut standardisiert. Nur leider gibt es wohl in der Praxis Probleme.

          • Killing_Spark@feddit.deDeutsch
            0·
            10 months ago

            Ich würds ja gar nicht kostenlos wollen (wär am Ende ja eh im Preis für den Perso enthalten und ich will nicht alle dazu zwingen das zu zahlen nur weil ich kein Handy mit NFC habe), aber ich find die Bundesdruckerei sollte zu den Pässen die sie herstellen auch ein kostengünstiges Gerät zum auslesen anbieten.

            Außerdem musst hast du das “auf ihrem System” überlesen. Die haben schon getestet, dass das Gerät funktioniert. Nur wissen sie natürlich nicht, was alle 84 Millionen Bundesbürger so mit ihren Privat-PCs anstellen.

            Ich geb zu ich hab da vielleicht etwas überreagiert. Warum schreiben die das aber überhaupt dahin? Nur weil die diese Liste führen wird niemand annehmen, dass die dafür garantieren, dass das bei mir funktioniert. Extra hinzuschreiben, dass sie für nichts garantieren scheint mir abschreckend gemeint zu sein. Sie schreiben das ja bei der Smartphone Option auch nicht hin, obwohl sie da genauso wenig für irgendwas garantieren können.

            • letmesleep@feddit.deDeutsch
              1·
              10 months ago

              Warum schreiben die das aber überhaupt dahin? Nur weil die diese Liste führen wird niemand annehmen, dass die dafür garantieren, dass das bei mir funktioniert. Extra hinzuschreiben, dass sie für nichts garantieren scheint mir abschreckend gemeint zu sein.

              Naja, man möchte halt nicht schadensersatzpflichtig werden. Natürlich hätte man das auch besser formulieren können (irgendwas im Sinne von “folgende Geräte haben bei unserem Test mit Sytem xy funktioniert”). Aber es ist nun einmal ziemlich schwer rechtssicher, verständlich und prägnant zu formulieren. Insofern bin da persönlich tolerant.

  • rufus@discuss.tchncs.deDeutsch
    0·
    10 months ago

    Tja. Der ePerso ist Murks. Anscheinend hat und hatte niemand je Interesse da was draus zu machen, abseits von Nutzung durch Behörden selbst.

    Den Rest hat man uns nur vorgespielt. Das wäre wirklich auch zu einfach damit sichere und einfache Authentifizierung zu machen. Oder mal 'nen funktionierenden Jugendschutz im Internet oder was auch immer.

    Edit: Also technisch möglich ist es allemal. Und wirklich kompliziert auch nicht. Also bleibt nur der fehlende Wille das umzusetzen.