In letzter Zeit habe ich viele Konten eröffnen müssen, welche eine Verifikation meiner Identität benötigen. So weit, so normal.
Was mir allerdings aufgefallen ist: Keiner nutzt aus meiner Sicht “akzeptable” Identifikationsmethoden. Ich hoffe jedes Mal auf das Verfahren via ePerso (Wofür haben wir denn die Scheiße, wenn sich da kein Unternehmen der Welt dran anbindet), oder postident (Dank der Post-App kann ich das übers Handy machen).
Leider sieht die Realität so aus:
- Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
- Mach ein Foto von deinem Perso, speichern wir bestimmt nur kurz ;)
- Komm, mach nen Videoanruf, dreh den Kopf, mach dich zum Hampel.
- oder -
- Fülle seitenweise Formulare aus, mit Daten, die man über den ePerso abfragen könnte
- Trage deine IBAN ein
- Wir senden dir x Cent mit nem code zur Prüfung
- Gib uns doch bitte deinen Online-Login zur Bank, wir schauen GANZ BESTIMMT nur auf den EINEN Umsatz ;))))) [Du willst einfach selbst den Code eingeben, nachdem du auf dein Konto geschaut hast? Ach was, viel zu umständlich!!]
JA SAG MAL HACKTS ODER WAS?! Was soll der Mist? Warum muss ich denn immer durch diese Scheiß ringe für alles Springen?! Lasst mich doch den Scheiß ePerso an mein Scheiß Handy halten und die Scheiß Datenabfrage (bei der ich übrigens sehen kann, welche Scheiß Daten ihr genau abfragt) durchwinken und gut ist. Ich will euch keinen Zugriff auf mein Konto geben, ich will keinen blöden Videoanruf machen, ich will nicht meinen Perso Fotografieren und auf den 100 Gammelserver hochladen.
Der einzige Laden, der es halbwegs hinbekommen hat, ist PayPal. Dort wird auch Geld auf das Konto zur Verknüpfung überwiesen. Das kann man dann entweder per Weitergabe der Login-Daten prüfen lassen, oder man gibt den blöden Code halt selbst ein. Geht doch.
Ich bin echt am Verzweifeln. Oftmals lasse ichs dann bei den Videoanrufen oder Online-Bankkonto-Logins einfach sein. Mir ist der Aufwand nur selten das Ergebnis Wert. Bin ich hier einfach nur besonders empfindlich, oder haben sich die Leute einfach nur an diese penetranten Verifikationsverfahren gewöhnt?
Naja, eine zentrale Nummer braucht’s halt nicht. ePerso basierend auf PKI ist ja absolut ausreichend zum Identifikationsnachweis. Ist auch etwas sicherer, da es 2FA ist: Etwas das du hast (Perso) und etwas das du weißt (PIN). Es wird halt nur leider fast nirgends unterstützt.
Was mich bei dem ePerso ankotzt: Mein Handy kann das nicht. Ja ich bin da wahrscheinlich in der Minderheit, aber ist so. Warum ist es sos chwierig dafür ein dediziertes Gerät zu kaufen? Würde ich ja auch machen aber man schaue sich mal das hier an:
https://www.ausweisapp.bund.de/usb-kartenleser
und leider wir können keine Garantie für die Funktionalität auf Ihren Systemen übernehmen.
DANN TESTET DIE IHR EUMEL! ANSTATT DA EINE LISTE VON 28, ACHT-UND-ZWANZIG, GERÄTEN UNGEPRÜFT ZU FÜHREN!
Mein Gott. Und dann die Hinweise zu den Treibern. Natürlich keine Erwähnung von freien Betriebssystemen, manchmal auch so ein Schmankerl dabei:
Sorry aber ne. Ich mag die Idee vom E-Perso, aber ich kann ihn so nicht verwenden.
Edit: Und ach du scheisse sind die Leser teuer. PC Welt empfiehlt das hier:
Warum kostet ein RFID Leser so viel Geld? Warum kostet so ein Zertifikat so viel? Warum bietet unsere Scheiss Bundesdruckerei sowas nicht an? Warum ist Ausweisen im Internet schon wieder so privatisiert, dass da irgendwelche Firmen horrende Margen einfahren können? :kotz:
@Killing_Spark @notepass Natürlich können die keine Garantie dafür übernehmen, dass das bei dir zu hause funktioniert. Die machen doch nicht die Qualitätssicherung für die Hersteller und testen mit allen erdenklichen Gerät/OS-Varianten.
Ja, für die Technik die drin ist sind die Lesegeräte unverschämt teuer. Die teureren sind aber auch i.d.R. BSI-zertifiziert, das kostet nun mal extra, bzw. sind für den gewerblichen Einsatz gedacht. Das Basisgerät von Reiner gibt es um 30€.
Ich geb zu ich hab da vielleicht etwas überreagiert. Warum schreiben die das aber überhaupt dahin? Nur weil die diese Liste führen wird niemand annehmen, dass die dafür garantieren, dass das bei mir funktioniert. Extra hinzuschreiben, dass sie für nichts garantieren scheint mir abschreckend gemeint zu sein.
Man braucht aber - zumindest für die von mir ausprobierten Funktionen - kein tso eures Gerät mit Signaturzertifikat. Ich habe eines, dass ich vor über 10 Jahren gratis zum Personalausweis dazu bekam. Funktioniert bis heute problemlos.
Mein Gerät gibt es nicht mehr zu kaufen (ist aber oben in der Liste), aber eine 30-Sekunden-Suche bei Amazon zeigt z.B. dass der REINER SCT cyberJack RFID basis für (dort) 32,30 Euro eine Option ist.
Außerdem musst hast du das “auf ihrem System” überlesen. Die haben schon getestet, dass das Gerät funktioniert. Nur wissen sie natürlich nicht, was alle 84 Millionen Bundesbürger so mit ihren Privat-PCs anstellen.
Ich bin aber absolut der Meinung, dass es eine Frechheit ist, dass du nicht wie ich einfach ein Gerät bekommen hast. Wenn man da eine bundesweite Bestellung macht, wird das eher 3 als 30 Euro pro Person kosten. Vermutlich könnte man auch einige der bereits verfügbaren Geräte für
1020 Euro oder (weniger wenn Aliexpress Deutschland nicht mehr teilboykottiert) nutzen. Eigentlich ist das ganze Dank ISO 14443 gut standardisiert. Nur leider gibt es wohl in der Praxis Probleme.Ich würds ja gar nicht kostenlos wollen (wär am Ende ja eh im Preis für den Perso enthalten und ich will nicht alle dazu zwingen das zu zahlen nur weil ich kein Handy mit NFC habe), aber ich find die Bundesdruckerei sollte zu den Pässen die sie herstellen auch ein kostengünstiges Gerät zum auslesen anbieten.
Ich geb zu ich hab da vielleicht etwas überreagiert. Warum schreiben die das aber überhaupt dahin? Nur weil die diese Liste führen wird niemand annehmen, dass die dafür garantieren, dass das bei mir funktioniert. Extra hinzuschreiben, dass sie für nichts garantieren scheint mir abschreckend gemeint zu sein. Sie schreiben das ja bei der Smartphone Option auch nicht hin, obwohl sie da genauso wenig für irgendwas garantieren können.
Naja, man möchte halt nicht schadensersatzpflichtig werden. Natürlich hätte man das auch besser formulieren können (irgendwas im Sinne von “folgende Geräte haben bei unserem Test mit Sytem xy funktioniert”). Aber es ist nun einmal ziemlich schwer rechtssicher, verständlich und prägnant zu formulieren. Insofern bin da persönlich tolerant.
Willst du, dass das BSI deine Wohnung stürmt und das an deinem System testet? Die aufgelisteten Geräte werden das schon können, nur garantiert dir halt niemand, dass die mit jeder noch so exotischen Betriebssystemkonfiguration funktionieren.
Das Zertifikat brauchste afaik nur wenn du Dokumente digital unterschreiben willst, nicht für den eAusweis und Kartenleser fangen bei ~30€ an.
Ich geb zu ich hab da vielleicht etwas überreagiert. Warum schreiben die das aber überhaupt dahin? Nur weil die diese Liste führen wird niemand annehmen, dass die dafür garantieren, dass das bei mir funktioniert. Extra hinzuschreiben, dass sie für nichts garantieren scheint mir abschreckend gemeint zu sein.
Oh doch das werden die Leute annehmen. Die haben gesagt, das geht. Ich hab hier meinen alten WindowsXP Rechner. Ich ruf da jetzt an und will Support. Oh doch, da wirds Spezialisten geben die das denken.
Und das wär schlimmer als Leute wie mich soweit zu verunsichern, dass sie keine Lust haben sich mit dem Thema zu beschäftigen?
Nun ehrlich gesagt hab ich noch die Möglichkeit in Betracht gezogen das sich jemand verunsichert fühlt wenn man sagt “wir legen die Hand dafür nicht ins Feuer”
Wenn mir jemand so ne Liste vorlegt und sagt “aber ich garantier hier für garnix” bin ich auf jedenfall nochmal ne ganze Ecke vorsichtiger als ohne diesen Hinweis. Dass ich bevor ich irgendwas kaufe nachschauen muss ob das dann auch kompatibel ist, davon gehe ich ja eh aus.
Pro tip: Gebrauchtes 50€ Android handy mit NFC kaufen und als Kartenleser nutzen.