In letzter Zeit habe ich viele Konten eröffnen müssen, welche eine Verifikation meiner Identität benötigen. So weit, so normal.

Was mir allerdings aufgefallen ist: Keiner nutzt aus meiner Sicht “akzeptable” Identifikationsmethoden. Ich hoffe jedes Mal auf das Verfahren via ePerso (Wofür haben wir denn die Scheiße, wenn sich da kein Unternehmen der Welt dran anbindet), oder postident (Dank der Post-App kann ich das übers Handy machen).

Leider sieht die Realität so aus:

  1. Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
  2. Mach ein Foto von deinem Perso, speichern wir bestimmt nur kurz ;)
  3. Komm, mach nen Videoanruf, dreh den Kopf, mach dich zum Hampel.

- oder -

  1. Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
  2. Trage deine IBAN ein
  3. Wir senden dir x Cent mit nem code zur Prüfung
  4. Gib uns doch bitte deinen Online-Login zur Bank, wir schauen GANZ BESTIMMT nur auf den EINEN Umsatz ;))))) [Du willst einfach selbst den Code eingeben, nachdem du auf dein Konto geschaut hast? Ach was, viel zu umständlich!!]

JA SAG MAL HACKTS ODER WAS?! Was soll der Mist? Warum muss ich denn immer durch diese Scheiß ringe für alles Springen?! Lasst mich doch den Scheiß ePerso an mein Scheiß Handy halten und die Scheiß Datenabfrage (bei der ich übrigens sehen kann, welche Scheiß Daten ihr genau abfragt) durchwinken und gut ist. Ich will euch keinen Zugriff auf mein Konto geben, ich will keinen blöden Videoanruf machen, ich will nicht meinen Perso Fotografieren und auf den 100 Gammelserver hochladen.

Der einzige Laden, der es halbwegs hinbekommen hat, ist PayPal. Dort wird auch Geld auf das Konto zur Verknüpfung überwiesen. Das kann man dann entweder per Weitergabe der Login-Daten prüfen lassen, oder man gibt den blöden Code halt selbst ein. Geht doch.

Ich bin echt am Verzweifeln. Oftmals lasse ichs dann bei den Videoanrufen oder Online-Bankkonto-Logins einfach sein. Mir ist der Aufwand nur selten das Ergebnis Wert. Bin ich hier einfach nur besonders empfindlich, oder haben sich die Leute einfach nur an diese penetranten Verifikationsverfahren gewöhnt?

  • BoJack@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    42
    ·
    edit-2
    1 year ago

    Also wenn ein Anbieter meine Login-Daten der Bank will zweifle ich nicht nur an der Identifikationsmethode sondern auch an der Seriosität des Anbieters. Das schreit doch Scam auf allen Frequenzen. Nicht mal Phishing-Mails sind so frech.

    • PlexSheep@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      9
      ·
      1 year ago

      Geht mir genau so. Hab davon zum Glück noch nie gehört. Wer macht sowas? Mein Heimnetzwerk ist seriöser.

      • notepass@feddit.deOP
        link
        fedilink
        Deutsch
        arrow-up
        4
        ·
        1 year ago

        Viele anbieter, die dich über das Konto identifizieren wollen. Füg mal bei PayPal ein neues Bankkonto hinzu. Dort gibts dann auch die Option ;)

    • barsoap@lemm.ee
      link
      fedilink
      Deutsch
      arrow-up
      1
      ·
      1 year ago

      Giropay bietet Altersverifikation an was absolut nicht verkehrt ist, die Bank weiß halt ob du über 16/18 bist und wer gibt den Sprösslingen sein Onlinebanking-Passwort, aber dann solltest du weitergeleitet werden und loggst dich direkt bei der Bank an. Dass die Gerichte damals sofortueberweisung.de als legal erklärt haben war ein grober Fehler.

      Und an SB-Kassen geht Altersverifikation über Chipkarte und PIN. Das hat jeder, mein Perso ist zwar mein Perso aber da ist nichts konfiguriert da musst du dann ne Kamera installieren und das Bild mit meiner Fresse vergleichen und das ist ein extrem langer Rattenschwanz was die Technik angeht.

      Bei meiner Bank kommt man übrigens mit einem neuen Gerät und Passwort noch nicht mal auf die Umsätze, muss erst mit TAN freigeschaltet werden.

  • Pantherina@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    33
    ·
    1 year ago

    Bei KeepassXC unter “unsichere Passwörter” sind fast alle meine wichtigen Sachen, Banken, Krankenkasse, Paypal, weil die Deppen weder NORMALES 2FA erlauben, noch lange Passwörter oder sogar SONDERZEICHEN

    Wie dumm kann man sein, ich hoffe Paypal ist nicht anfällig für SQL injections…

    • Hupf@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      23
      ·
      1 year ago

      Ich mag ja, wenn bei der Registrierung lange Passwörter erlaubt sind, der Login aber nur mit kürzeren geht.

      • amki@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        3
        ·
        1 year ago

        Beste Weg nicht mich dazu zu bringen darüber nachzudenken ob ich den Account wirklich brauche.

    • hh93@lemm.ee
      link
      fedilink
      Deutsch
      arrow-up
      19
      ·
      1 year ago

      Also mein Passwort bei PayPal hat 20 Zeichen mit Sonderzeichen und normales 2FA über Timebased codes

        • hh93@lemm.ee
          link
          fedilink
          Deutsch
          arrow-up
          1
          ·
          1 year ago

          Ah nicht alle weiß ich nicht - habe nur im PW-Manager nachgeguckt und da hat es Sonderzeichen

          • Pantherina@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            1
            ·
            1 year ago

            Nicht wirklich. Sms wird erzwungen, was scheiße vom Datenschutz her ist. Theoretisch kann kan 2FA hinzufügen, aber entweder blocken die VPNs oder machen sonstwas, dass das selbst auf Vanilla Firefox oder Vanadium nicht geht. (“Wir können nicht sicherstellen, dass sie es sind”) ja LOL doch

    • redballooon@lemm.ee
      link
      fedilink
      Deutsch
      arrow-up
      6
      arrow-down
      1
      ·
      edit-2
      1 year ago

      Naja, bei den Banken geht es ja immerhin nicht um Passwörter sondern um PINs, bei denen der Login nach drei Fehlversuchen gesperrt wird.

      Und einen zweiten Faktor benutzen die ja auch, halt erst bei der Überweisung.

      Die unterliegen übrigens EU Regulierungen die beständig verschärft werden. Summa summarum hat das schon Hand und Fuß.

    • PlexSheep@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      4
      ·
      1 year ago

      Ich hätte gerne einfach Email, Passwort (mindestens 40 Zeichen erlaubt), TOTP oder besser webauthn (Hardware Tokens).

      Von mir aus sollen se noch ihr Photo Tan und Ben Fingerabdruck dazu packen, Zack bombensichere Authentifizierung.

    • Version@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      1
      ·
      1 year ago

      Paypal erlaubt normal TOTP und sogar Sicherheitsschlüssel (aber nur einen). Sonderzeichen im Passwort sind auch erlaubt.

      • Pantherina@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        1
        ·
        1 year ago

        Ha, tatsächlich, wohl… wenn es mir glauben würde, dass ich ich bin. Alter… da sagt man denen seinen Spitznamen une SteuerID und trotzdem glauben sie einem nicht? Man meldet sich mit SMS an aber es geht nicht?

        Glaube es liegt am VPN, naja geht erstmal ohne. Sms braucht man ja trotzdem, netter Mensch am Telefon meinte “das ist aus Sicherheitsvorschriften bei allen Bankapps in der EU so”

  • Lemmchen@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    24
    arrow-down
    1
    ·
    1 year ago

    Wo wir gerade dabei sind: SOFORTÜberweisung gehört abgeschafft. Was ist das für ein lächerliches System, bei dem ich meinen Banklogin auf einer Drittanbieterseite eingeben soll? Geht’s noch!?

    • aksdb@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      17
      ·
      1 year ago

      Banken: Gib NIE deine Login-Daten weiter.

      Jedes zweite Unternehmen: hier, nutze diesen Bezahldienstleister, dem du deine Login-Daten zum Bankkonto geben musst.

      Gesetzgeber: 🤷‍♂️ Implementiert doch alle mal dieses hübsche Protokoll, über das das noch viel einfacher geht. 🤷‍♂️

  • Takios@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    22
    ·
    1 year ago

    Gib uns doch bitte deinen Online-Login zur Bank, wir schauen GANZ BESTIMMT nur auf den EINEN Umsatz

    Da würde ich den Registrierungsprozess direkt abbrechen. Weil wenn dann was passiert sagt die Bank “Tja, sei halt nicht so ein Idiot” und das Geld ist weg.

    • UESPA_Sputnik@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      2
      ·
      1 year ago

      Ich habe sowas noch nie irgendwo gesehen. Hat jemand ein Beispiel, wo man seine Login-Daten angeben muss?

      • notepass@feddit.deOP
        link
        fedilink
        Deutsch
        arrow-up
        4
        ·
        1 year ago

        Sofortüberweisung, Klarna, PayPal, Coinbase usw.

        Alles was sich mit dem Bankkonto verknüpfen will macht sowas gerne. Ist natürlich ein Murkssystem, da man den Code des überwiesenen Geldes auch selbst angeben kann.

        • halsbandsittich@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          4
          ·
          1 year ago

          Sofortüberweisung war schon immer unseriös wie Sau und die schlechte Variante von giropay. Über Coinbase reden wir mal nicht und PayPal hat auch andere Möglichkeiten.

        • abertausend@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          1
          ·
          1 year ago

          PayPal nutzt bei mir Lastschrift. Hast du das anders eingestellt? Ich würde dem nie meine Konto-Zugangsdaten geben.

          Sofortüberweisung und Klarna nutze ich deshalb nicht, Coinbase kenne ich nicht.

          • ebikefolder@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            1
            ·
            1 year ago

            Ich nutze Klarna, aber die haben keine Kontozugangsdaten von mir. Ich bekomme von denen eine ganz normale Rechnung die ich ganz normal per Überweisung bezahle.

  • bad_alloc@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    19
    ·
    1 year ago

    oder haben sich die Leute einfach nur an diese penetranten Verifikationsverfahren gewöhnt?

    Dies. Dazu kommt noch das die meisten Leute Komfort jederzeit über Datensicherheit und Datenschutz stellen. Dazu kommt dass du schlicht User verlierst wenn Leute an einem ungewohnten Prozess scheitern, sodass viele absichtlich bekannte Abläufe mitverwenden, wie eben Videoanruf, Foto machen oder Konto auslesen. Das ist dann oft der Sargnagel für vernünftige Verifikationsverfahren.

  • Mad_Punda.de@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    16
    ·
    1 year ago

    Komm nach Schweden :)
    Wir haben eine „Personnummer“ und BankID. Zack, läuft wie am Schnürchen.

    (Nur wenn man als Ausländer in das Land kommt und diese Dinge noch nicht hat, existiert man quasi nicht.)

    Aber bei sowas wehren sich die Deutschen dann oft. Nur eine Nummer, die einen identifiziert? Die Sozialversicherungsnummer immer ganz geheim halten!!! 2FA übers Handy? Ich will ne TAN Liste! Oder vielleicht sind das nur meine Eltern die sich so haben.

    Was ich sagen will, es gibt Vorbilder im Ausland, wo es sehr bequem ist und gut funktioniert, wenn man im System steckt. Ich glaube da kann man dich in D eine Scheibe von abschneiden, ohne es komplett nutzlos zu machen durch Komplikationen. Es musste nur der Wille da sein. Und die Deutschen etwas mehr Transparenz akzeptieren. (Bitte nicht zu den Level in Schweden, das ist gruselig, wenn man zu lange drüber nachdenkt. Bin aber der Meinung das ist nicht notwendig.)

    • notepass@feddit.deOP
      link
      fedilink
      Deutsch
      arrow-up
      9
      ·
      1 year ago

      Naja, eine zentrale Nummer braucht’s halt nicht. ePerso basierend auf PKI ist ja absolut ausreichend zum Identifikationsnachweis. Ist auch etwas sicherer, da es 2FA ist: Etwas das du hast (Perso) und etwas das du weißt (PIN). Es wird halt nur leider fast nirgends unterstützt.

      • Killing_Spark@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        10
        arrow-down
        1
        ·
        edit-2
        1 year ago

        Was mich bei dem ePerso ankotzt: Mein Handy kann das nicht. Ja ich bin da wahrscheinlich in der Minderheit, aber ist so. Warum ist es sos chwierig dafür ein dediziertes Gerät zu kaufen? Würde ich ja auch machen aber man schaue sich mal das hier an:

        https://www.ausweisapp.bund.de/usb-kartenleser

        Die folgende Liste gibt Ihnen eine Übersicht über für die Online-Ausweisfunktion geeignete USB-Kartenleser sowie Informationen zu verfügbaren Treibern.

        Hinweis: Es handelt sich bei dieser Liste kompatibler USB-Kartenleser ausdrücklich nicht um eine Kaufempfehlung und leider wir können keine Garantie für die Funktionalität auf Ihren Systemen übernehmen.

        und leider wir können keine Garantie für die Funktionalität auf Ihren Systemen übernehmen.

        DANN TESTET DIE IHR EUMEL! ANSTATT DA EINE LISTE VON 28, ACHT-UND-ZWANZIG, GERÄTEN UNGEPRÜFT ZU FÜHREN!

        Mein Gott. Und dann die Hinweise zu den Treibern. Natürlich keine Erwähnung von freien Betriebssystemen, manchmal auch so ein Schmankerl dabei:

        Der Kartenleser funktioniert mit dem systemseitig installierten Treiber. Falls Sie jedoch den Treiber von der Webseite des Herstellers installieren möchten, ist anschließend ein Neustart erforderlich.

        Sorry aber ne. Ich mag die Idee vom E-Perso, aber ich kann ihn so nicht verwenden.

        Edit: Und ach du scheisse sind die Leser teuer. PC Welt empfiehlt das hier:

        Cyberjack RFID Komfort inklusive Signaturzertifkat mit einem Jahr Laufzeit für rund 130 Euro. Das Signaturzertifkat alleine kostet im Jahr 9,98

        Warum kostet ein RFID Leser so viel Geld? Warum kostet so ein Zertifikat so viel? Warum bietet unsere Scheiss Bundesdruckerei sowas nicht an? Warum ist Ausweisen im Internet schon wieder so privatisiert, dass da irgendwelche Firmen horrende Margen einfahren können? :kotz:

        • IndigoAmber@social.tchncs.de
          link
          fedilink
          arrow-up
          2
          ·
          1 year ago

          @Killing_Spark @notepass Natürlich können die keine Garantie dafür übernehmen, dass das bei dir zu hause funktioniert. Die machen doch nicht die Qualitätssicherung für die Hersteller und testen mit allen erdenklichen Gerät/OS-Varianten.
          Ja, für die Technik die drin ist sind die Lesegeräte unverschämt teuer. Die teureren sind aber auch i.d.R. BSI-zertifiziert, das kostet nun mal extra, bzw. sind für den gewerblichen Einsatz gedacht. Das Basisgerät von Reiner gibt es um 30€.

          • Killing_Spark@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            1
            ·
            1 year ago

            Ich geb zu ich hab da vielleicht etwas überreagiert. Warum schreiben die das aber überhaupt dahin? Nur weil die diese Liste führen wird niemand annehmen, dass die dafür garantieren, dass das bei mir funktioniert. Extra hinzuschreiben, dass sie für nichts garantieren scheint mir abschreckend gemeint zu sein.

        • letmesleep@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          2
          ·
          edit-2
          1 year ago

          Edit: Und ach du scheisse sind die Leser teuer. PC Welt empfiehlt das hier:

          Man braucht aber - zumindest für die von mir ausprobierten Funktionen - kein tso eures Gerät mit Signaturzertifikat. Ich habe eines, dass ich vor über 10 Jahren gratis zum Personalausweis dazu bekam. Funktioniert bis heute problemlos.

          Mein Gerät gibt es nicht mehr zu kaufen (ist aber oben in der Liste), aber eine 30-Sekunden-Suche bei Amazon zeigt z.B. dass der REINER SCT cyberJack RFID basis für (dort) 32,30 Euro eine Option ist.

          Außerdem musst hast du das “auf ihrem System” überlesen. Die haben schon getestet, dass das Gerät funktioniert. Nur wissen sie natürlich nicht, was alle 84 Millionen Bundesbürger so mit ihren Privat-PCs anstellen.

          Ich bin aber absolut der Meinung, dass es eine Frechheit ist, dass du nicht wie ich einfach ein Gerät bekommen hast. Wenn man da eine bundesweite Bestellung macht, wird das eher 3 als 30 Euro pro Person kosten. Vermutlich könnte man auch einige der bereits verfügbaren Geräte für 10 20 Euro oder (weniger wenn Aliexpress Deutschland nicht mehr teilboykottiert) nutzen. Eigentlich ist das ganze Dank ISO 14443 gut standardisiert. Nur leider gibt es wohl in der Praxis Probleme.

          • Killing_Spark@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            2
            ·
            edit-2
            1 year ago

            Ich würds ja gar nicht kostenlos wollen (wär am Ende ja eh im Preis für den Perso enthalten und ich will nicht alle dazu zwingen das zu zahlen nur weil ich kein Handy mit NFC habe), aber ich find die Bundesdruckerei sollte zu den Pässen die sie herstellen auch ein kostengünstiges Gerät zum auslesen anbieten.

            Außerdem musst hast du das “auf ihrem System” überlesen. Die haben schon getestet, dass das Gerät funktioniert. Nur wissen sie natürlich nicht, was alle 84 Millionen Bundesbürger so mit ihren Privat-PCs anstellen.

            Ich geb zu ich hab da vielleicht etwas überreagiert. Warum schreiben die das aber überhaupt dahin? Nur weil die diese Liste führen wird niemand annehmen, dass die dafür garantieren, dass das bei mir funktioniert. Extra hinzuschreiben, dass sie für nichts garantieren scheint mir abschreckend gemeint zu sein. Sie schreiben das ja bei der Smartphone Option auch nicht hin, obwohl sie da genauso wenig für irgendwas garantieren können.

            • letmesleep@feddit.de
              link
              fedilink
              Deutsch
              arrow-up
              1
              ·
              1 year ago

              Warum schreiben die das aber überhaupt dahin? Nur weil die diese Liste führen wird niemand annehmen, dass die dafür garantieren, dass das bei mir funktioniert. Extra hinzuschreiben, dass sie für nichts garantieren scheint mir abschreckend gemeint zu sein.

              Naja, man möchte halt nicht schadensersatzpflichtig werden. Natürlich hätte man das auch besser formulieren können (irgendwas im Sinne von “folgende Geräte haben bei unserem Test mit Sytem xy funktioniert”). Aber es ist nun einmal ziemlich schwer rechtssicher, verständlich und prägnant zu formulieren. Insofern bin da persönlich tolerant.

        • Eopia@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          2
          ·
          1 year ago

          und leider wir können keine Garantie für die Funktionalität auf IHREN SYSTEMEN übernehmen.

          Willst du, dass das BSI deine Wohnung stürmt und das an deinem System testet? Die aufgelisteten Geräte werden das schon können, nur garantiert dir halt niemand, dass die mit jeder noch so exotischen Betriebssystemkonfiguration funktionieren.

          Warum kostet ein RFID Leser so viel Geld? Warum kostet so ein Zertifikat so viel?

          Das Zertifikat brauchste afaik nur wenn du Dokumente digital unterschreiben willst, nicht für den eAusweis und Kartenleser fangen bei ~30€ an.

          • Killing_Spark@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            1
            ·
            1 year ago

            Ich geb zu ich hab da vielleicht etwas überreagiert. Warum schreiben die das aber überhaupt dahin? Nur weil die diese Liste führen wird niemand annehmen, dass die dafür garantieren, dass das bei mir funktioniert. Extra hinzuschreiben, dass sie für nichts garantieren scheint mir abschreckend gemeint zu sein.

            • shrippen@feddit.de
              link
              fedilink
              Deutsch
              arrow-up
              2
              ·
              1 year ago

              Oh doch das werden die Leute annehmen. Die haben gesagt, das geht. Ich hab hier meinen alten WindowsXP Rechner. Ich ruf da jetzt an und will Support. Oh doch, da wirds Spezialisten geben die das denken.

              • Killing_Spark@feddit.de
                link
                fedilink
                Deutsch
                arrow-up
                1
                ·
                1 year ago

                Und das wär schlimmer als Leute wie mich soweit zu verunsichern, dass sie keine Lust haben sich mit dem Thema zu beschäftigen?

                • shrippen@feddit.de
                  link
                  fedilink
                  Deutsch
                  arrow-up
                  1
                  ·
                  1 year ago

                  Nun ehrlich gesagt hab ich noch die Möglichkeit in Betracht gezogen das sich jemand verunsichert fühlt wenn man sagt “wir legen die Hand dafür nicht ins Feuer”

        • Tschuuuls@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          1
          ·
          1 year ago

          Pro tip: Gebrauchtes 50€ Android handy mit NFC kaufen und als Kartenleser nutzen.

    • lichtmetzger@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      6
      ·
      edit-2
      1 year ago

      Nur eine Nummer, die einen identifiziert? Die Sozialversicherungsnummer immer ganz geheim halten!!!

      Das ist in den USA ja vor allem ein riesiges Problem, da irgendwann diverse Creditscore-Anbieter und andere Dienstleister angefangen haben, diese Nummer für ihre Zwecke zu missbrauchen. Wofür sie niemals gedacht war. Wenn das streng reglementiert ist, kann es funktionieren.

      Aber im Hinblick auf die USA habe ich durchaus Bauchschmerzen bei einer zentralen Nummer die meiner Person zugeordnet ist. Weil man da eben schon das Realwelt-Beispiel dafür hat, was damit schieflaufen kann.

      • Spzi@lemm.ee
        link
        fedilink
        Deutsch
        arrow-up
        3
        ·
        1 year ago

        da irgendwann diverse Creditscore-Anbieter und andere Dienstleister angefangen haben, diese Nummer für ihre Zwecke zu missbrauchen. Wofür sie niemals gedacht war. Wenn das streng reglementiert ist, kann es funktionieren.

        Dieses Hintergrundwissen fehlt mir - was genau machen die da, wofür die Nummer niemals gedacht wurde? Und wie ließe sich das reglementieren?

        Bin auch dankbar für Antworten in Form von unkommentierten Links.

        • lichtmetzger@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          3
          ·
          1 year ago

          Wikipedia fasst das ganz gut zusammen, finde ich:

          “The original purpose of this number was to track individuals’ accounts within the Social Security program. It has since come to be used as an identifier for individuals within the United States.”

          “The SSN is frequently used by those involved in identity theft. This is because it is interconnected with many other forms of identification and people asking for it treat it as an authenticator. Financial institutions generally require an SSN to set up bank accounts, credit cards, and loans—partly because they assume that no one except the person it was issued to knows it.”

          https://en.wikipedia.org/wiki/Social_Security_number#Identity_theft

          • Gibdos@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            2
            ·
            1 year ago

            Ja wobei in den USA ja das Problem ist, dass da sowas wie der Perso nicht wirklich existiert. Und damit ist die SSN als alleinige Identifikationsmaßnahme natürlich ein Witz.

            In Schweden ist es relativ egal ob jemand anderes meine Personummer weiß. Die Authentifizierung findet nach Eingabe / Angabe der Personummer immer in der BankID statt. Wenn also irgendjemand versucht mit meiner Personummer was zu bestellen / einen Vetrag abzuschließen o.Ä. bekomme ich auf meinem Handy in der App die Info darüber mit Bitte das zu bestätigen.

      • Killing_Spark@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        3
        ·
        1 year ago

        Und es gibt gelegentlich mal Datenleaks, in denen die SSN enthalten ist. Die Betroffenen müssen dann ihr ganzes Leben damit rechnen, dass jemand auf ihren Namen ein Konto und eine Kreditkarte eröffnet, und sie dann massiv Probleme bekommen.

    • klingelstreich@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      3
      ·
      1 year ago

      Schweden? Ist das nicht das Land wo alle Steuerdaten inklusive Einkünfte etc mit Namen und Adresse der Person in einer öffentlichen Datenbank einsehbar sind?

      • letmesleep@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        6
        ·
        edit-2
        1 year ago

        Adressen sind auch in Deutschland öffentlich einsehbar. Nennt sich Melderegisterauskunft. Ist nur (da wir immer noch in Deutschland sind) ein wenig nervig und kostet Geld.

        Das mit den Gehaltsdaten wirkt auf den ersten Blick erstmal fragwürdig, aber man sollte die Vorteile nicht vergessen. Lohntransparenz ist gut für Angestellte. Vor allem für CEOs (deren Gehälter werden z.T. schon länger offen gelegt) hat sich das als sehr lohnend erwiesen.

      • Mad_Punda.de@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        3
        ·
        1 year ago

        Das mit den Gehaltsdaten ist doch eher positiv, wie die schon geantwortet wurde.

        Was viel grusliger ist, ist dass ich den Namen meines Kollegen googeln kann und dann sehe wo er wohnt, mit wem zusammen, wie viel ist das Haus ungefähr wert, was verdienen die Nachbarn im Schnitt, wann hat er Geburtstag, klicke hier um Blumen zu schicken.

        Und wenn ich da selber nicht auftauchen will, wenn man mich googlet, muss ich auf der Webseite widersprechen. Aber davon gibts nicht nur eine, ich muss das auf jeder einzeln machen.

        Aber ich glaube nicht, dass man sich daran ein Beispiel nehmen muss. Das denke ich ist nicht notwendig für einfachere Identifikation, also eher nebensächlich für die Diskussion hier.

  • rufus@discuss.tchncs.de
    link
    fedilink
    Deutsch
    arrow-up
    10
    arrow-down
    2
    ·
    edit-2
    1 year ago

    Tja. Der ePerso ist Murks. Anscheinend hat und hatte niemand je Interesse da was draus zu machen, abseits von Nutzung durch Behörden selbst.

    Den Rest hat man uns nur vorgespielt. Das wäre wirklich auch zu einfach damit sichere und einfache Authentifizierung zu machen. Oder mal 'nen funktionierenden Jugendschutz im Internet oder was auch immer.

    Edit: Also technisch möglich ist es allemal. Und wirklich kompliziert auch nicht. Also bleibt nur der fehlende Wille das umzusetzen.

    • notepass@feddit.deOP
      link
      fedilink
      Deutsch
      arrow-up
      12
      ·
      1 year ago

      Die Frage ist halt, ob das Ding wirklich murks ist, oder ob die Anbieter zu Faul sind die ePerso-Systeme verschiedener Länder anzubinden. Ist halt etwas mehr Arbeit als den Standard-Bankzugang der EU-Weit genormt ist einzubinden und das UI dazu ein wenig zu Übersetzten.

      • rufus@discuss.tchncs.de
        link
        fedilink
        Deutsch
        arrow-up
        10
        ·
        edit-2
        1 year ago

        Nee, so meinte ich das nicht. Der ePerso ist ganz vernünftig ausgedacht. Wenn man das per AusweisApp2 und Telefon macht, braucht man auch noch nicht mal ein Lesegerät oder sowas kaufen. Und theoretisch taugt das auch für eine Menge privatwirtschaftliche Einsatzgebiete. Da hat sich mal jemand Gedanken gemacht…

        Teschnisch ist das alles völlig iO. Die Politik ist Murks.

        Ich glaub einige Unternehmen hätten da auch Interesse dran da einmal für ein paar Länder die Schnittstellen zu programmieren. Ich kann mir vorstellen, dass das günstiger ist als Leute irgendwo zu bezahlen plus Videokonferenzinfrastruktur um da 5 Minuten lang pro Kunde den Ausweis in die Webcam zu halten und zu wackeln und die ganzen Spielchen.

        • FulicAltra@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          2
          ·
          1 year ago

          Technisch ist das leider unnötig kompliziert realisiert. Warum sie nicht den OIDC Standard benutzen (wie bei “Signin with Google / Microsoft / Twitter”), verstehe ich bis heute nicht. Stattdessen braucht man einen eigenen eId-Server, der von der AusweisApp aufgerufen wird

          • rufus@discuss.tchncs.de
            link
            fedilink
            Deutsch
            arrow-up
            1
            ·
            1 year ago

            Ich glaube die Spezifikationen vom nPA sind ein wenig älter als OIDC. Also wenn, dann wäre es ein anderer Standard gewesen. Aber das ist schon richtig. diese eId-Server mit zugehörigem brhördlichen Papierkram machen es wohl nicht einfacher das zu Benutzen.

    • klisklas@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      5
      ·
      1 year ago

      Finde ihn eigentlich gar nicht so Murks. Habe mich neulich mit der ePerso Funktion für die elektronische Patientenakte (gibt es tatsächlich seit drei Jahren, niemand nutzt es?!) meiner Krankenkasse registriert. Das ganze Ding hat drei Minuten gedauert und ich habe mich gefühlt als wäre ich in die Zukunft gereist. Es ist wirklich so absurd, die Technik scheint in D vorhanden aber niemand nutzt sie. Es wird laufend nur nach Möglichkeiten gesucht sich weiter abzocken zu lassen, als die bestehenden Möglichkeiten mal substantiell auszubauen.

      • oushoyd@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        3
        ·
        1 year ago

        Lange konnte man bei bei der elektrischen Patientenakte nur alles oder nichts für Ärzte freigeben. Aber das geht inzwischen, oder? Dann wollte ich das auch mal probieren…

        • klisklas@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          4
          ·
          1 year ago

          Also bei der TK kann man einzelne Ärzte legitimieren darauf zuzugreifen. Nutzt halt fast niemand. Ich wollte es mal für das Bonusheft beim Zahnarzt nutzen, da geht es wohl.

        • ebikefolder@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          1
          ·
          1 year ago

          Bei der geplanten “Opt out” EPA geht das dann wohl nicht mehr. Da wird das dann auch gleich für die Pharmaindustrie freigegeben. “Anonymisiert” natürlich. Und nur für Forschungszwecke. Mit Geschlecht, Alter, Vorerkrankungen… kann man dann natürlich überhaupt keiner Person zuordnen, und Missbrauch ist sowieso und überhaupt ausgeschlossen. (/s)

          Count me out.

          • oushoyd@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            1
            ·
            edit-2
            1 year ago

            Heißt das, dass die EPA opt out wird, oder die Datenweitergabe? Kann man die Freigabe verhindern?

            • ebikefolder@feddit.de
              link
              fedilink
              Deutsch
              arrow-up
              2
              ·
              1 year ago

              So wie ich Herrn Lauterbach verstehe, wird die EPA opt out. Ob man der Weitergabe getrennt widersprechen kann? Keine Ahnung. Ich fürchte: eher nicht, so industriehörig wie die derzeitige Regierung sich aufführt.

              • klisklas@feddit.de
                link
                fedilink
                Deutsch
                arrow-up
                1
                ·
                edit-2
                1 year ago

                Sollte die ePA opt out werden (und entsprechend viele widersprechen), ist das der Sargnagel für unser Gesundheitssystem. Es ist mittlerweile so ineffizient und generiert wahnsinnig viel Arbeit, die einfach nicht mehr zu leisten ist. Außerdem ist der Informationsmangel teilweise lebensgefährlich für die Patienten. Das die Daten anonymisiert geteilt werden, scheint auf den ersten Blick nicht ok, ist aber denke ich alternativlos und meines Wissens nach Standard in Ländern wie z. B. Dänemark. Eine Möglichkeit wäre natürlich die Daten von einer öffentlichen Stelle ähnlich dem RKI oder PEI auswerten zu lassen und die dann an die Firmen bei Bedarf (und vielleicht gegen Lizenzgebühr?!) weiter zu geben.

    • nif@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      3
      ·
      1 year ago

      Naja, Jugendschutz verringert nur die Zielgruppe, ist also von den Firmen im Normalfall nicht gewollt. Und alles andere scheint halt die Umsetzung zu kompliziert zu sein. Wenn es einfach wäre gäbe es wohl kein videoident etc. Das würde ich nicht auf fehlenden Willen schieben sondern lediglich die Marktentscheidung dagegen, weil andere Sachen billiger umzusetzen sind.

      • rufus@discuss.tchncs.de
        link
        fedilink
        Deutsch
        arrow-up
        1
        ·
        1 year ago

        Ich meinte beim Jugendschutz auch eher die Politik. Die erzählen uns ja schon seit Jahren wieso wir deswegen ja unbedingt DNS-Sperren und wasnichtalles brauchen. xhamster war ja bereits mal gesperrt. Würden sie wirklich einen wirksamen Jugendschutz wollen, könnten sie ja mal die technischen Voraussetzungen jedem zugänglich machen.

        Das das für die Anbieter eher ein Wettbewerbsnachteil ist, ist mir klar. Also ich persönlich finde Jugendschutz schon ein legitimes Anliegen. Müsste man sich halt mal in der EU zusammensetzen und da was wirksames zusammen unternehmen. Ich denke wenn man das größer als nur Deutschland anpackt, könnte man da schon etwas tun, muss ja nicht unbedingt lückenlos perfekt sein. Praktisch alles ist ja besser als der Status quo. Aber bitte nicht widersprüchliche Anforderungen erlassen und die Kontrolle von Ausweisen mutwillig so komplex und teuer machen.

        Die wollen doch sowieso einen Ausweis per Smartphone-App erfinden. Sowas stelle ich mir vor mit europaweiter einheitlicher Schnittstelle. Und bitte so einfach zu programmieren wie das - Login with Google / Facebook account - was man überall sieht. Dann kann man seinen Perso einmal an sein Telefon halten und sich mit einem Tipp aufs Telefon schön seine Wackelbildchen freischalten. Dann hat man schonmal die Grundlagen geschaffen und könnte als nächsten Schritt mal schauen ob man die Pornoplattformen nicht doch dazu zwingen kann das einzubauen. Die Gesetze zu den Cookie-Bannern hatten ja auch jenseits der EU konsequenzen. Und ich glaube wenn das wirklich so einfach zu benutzen ist, dass jeder mit Telefon das ohne nachzudenken hinkriegt, wird der Widerstand seitens der Anbieter da auch sehr viel weniger.

  • IndigoAmber@social.tchncs.de
    link
    fedilink
    arrow-up
    7
    ·
    1 year ago

    @notepass Name&Shame bitte, will wissen von welchen Unternehmen ich mich fernhalten sollte.
    Ansonsten nicht nur hier Ärger Luft machen, sondern auch bei den entsprechenden Unternehmen meckern. Sonst ändert sich nie was.

    • notepass@feddit.deOP
      link
      fedilink
      Deutsch
      arrow-up
      1
      ·
      1 year ago

      Ganz ehrlich: Alle Unternehmen für die man sich verifizieren muss - Banken, Finanzdienstleister, 18+ prüfungen bei google, usw.

      Die einzige AUsnahme war bisher der 300€ Ausgleich für Studenten - da gings. War aber ja auch vom Staat und daher zu erwarten. Aber ja, die ein oder andere Mail könnte man ja mal schreiben.

  • Björn Tantau@swg-empire.de
    link
    fedilink
    Deutsch
    arrow-up
    5
    ·
    1 year ago

    Also ich habe letztens versucht mich bei meiner Krankenkasse per ePerso zu identifizieren. Das hat hinten und vorne nicht funktioniert. Ich brauchte dafür natürlich eine externe App, statt dass das in der von der Krankenkasse direkt ging. War total lahm und buggy. Mag an dem NFC Leser in meinem Telefon gelegen haben. Aber ich habe irgendwann aufgegeben und mir einfach per Post einen Code schicken lassen.

    Mein Bruder war auch mal bei einer Firma die Wert auf echte Logins gelegt hatte. Auf meine Frage warum sie das nicht über ePerso machen meinte er auch, dass das zu aufwändig sei. Code per Post funktioniert viel besser.

    • notepass@feddit.deOP
      link
      fedilink
      Deutsch
      arrow-up
      5
      ·
      1 year ago

      Die Seite lädt leider nicht, aber ich würde mal raten, dass es die Allgemeine warnung gegen weitergabe von Kopien des Ausweises ist.

      Der bin ich mir Bewusst, weswegen ich das noch weniger mag :)

      • scorpionix@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        1
        ·
        1 year ago

        Ja und zusätzlich noch die Tipps, welche Informationen du schwärzen solltest, wenn du es trotzdem tun musst:

        Ausweisdaten, die nicht zur Identifizierung benötigt werden, können und sollen auf der Kopie von der Ausweisinhaberin oder von dem Ausweisinhaber geschwärzt werden. Das gilt insbesondere für die auf dem Ausweis aufgedruckte Zugangsnummer sowie für die Dokumentennummer, sofern nicht gesetzliche Regelungen diese Angaben erfordern, zum Beispiel das Geldwäschegesetz.

    • Aiyub@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      7
      ·
      1 year ago

      Das erste x.com war von musk und ist mit PayPal fusioniert. Musk würd ich da wirklich nicht als Ursprung definieren