Wolla

Mal abgesehen davon hat mir noch niemand erklärt, wieso ich mit dem neuen Perso unbedingt im Web aktiv werden soll.
Das SMS-Verfahren meiner Bank ist an Sicherheit nicht zu toppen, und Einkäufe bei Ebay oder anderen Shops sind bisher nicht daran gescheitert, weil der Verkäufer unsicher war, ob ich ein Fake bin.

__________________
Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?

Mister Ad

Flor1an

Vor allem, wenn der Angreifer neben der PIN eben den Ausweis noch "in echt" braucht, dann hat er sowieso schon Anschrift, Bild und Geburtsdatum ... dafür muss er dann nicht extra den ePa auslesen. Und an Fingerabdruck und die für später geplanten Informationen die möglicherweise kommen, kann man über die normalen Lesegeräte eh nicht ran kommen soweit ich weiß.

__________________
▇█▓▒░◕‿‿◕░▒▓█▇

Manko10

Aber genau das will dir die Politik weismachen. Dass die Zahlungsmöglichkeiten im Web sicher sind, ist erwiesen und ich sehe auch keinen Grund darin, eine über die aktuell bestehenden Authentifizierungsmechanismen hinausgehende Technologie anzubieten, für schriftliche Dokumente gibt es immer noch den analogen Weg und die Authetizität von Nachrichten lässt sich auch heute bereits durch digitale Signaturen belegen, dafür braucht es keinen ePerso. Ich sehe hier eher die Gefahr, dass dadurch Begehrlichkeiten entstehen und ich mich künftig bei Onlineeinkäufen authentifizieren muss, auch wenn dies für die sichere Abhandlung der Transaktion gar nicht notwendig wäre. Die Anonymität und somit den Schutz, den das Internet bietet, wäre damit unterwandert. Dass Regierungen Angst vor Anonymität haben, ist ja mittlerweile keine unbestätigte Vermutung mehr.

Es wird andere Methoden geben. Einfachstes Beispiel: Verkauf gefälschter Lesegeräte oder eine Sicherheitslücke, durch die sich die Sandboxlinie durchbrechen lässt.

Beitrag editiert:
[…] Um es noch einmal klar auszudrücken: wenn ich meinen ePerso benutzte, um im Internet sicher einzukaufen, dann wäre das so, als wenn ich der Kassiererin im Laden immer erst einmal meinen Personalausweis vorlegen würde, damit diese dessen Nummer im Computer einspeichern kann, bevor sie den Zahlungsvorgang abwickelt. Würde dies eingeführt, wäre sofort Protest da, übertragen auf das Internet bleibt die Masse aber stumm.

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

Flor1an

Naja im Laden lässt du dir die Ware aber auch nicht nach Hause liefern sondern nimmst sie gleich mit. Im Internet ist die Anschrift einfach nötig. Wenn du dir irgendwo nen Auto oder ne Küche oder sonst was kaufst musst du auch deine kompletten Daten da lassen damit geliefert werden kann etc. ich sehe da keinen Unterschied!

Und natürlich gibt es bereits Techniken für verschiedene Probleme, der ePa soll diese nur für den normalen User vereinfachen damit es eben jeder machen kann und eine digitale Signatur nicht nur den Cracks vorbehalten bleibt.

__________________
▇█▓▒░◕‿‿◕░▒▓█▇

nikosch

Naja, der eigentliche Anwendungszweck dürfte der Kauf von immateriellen Gütern sein. Denn im realen Leben kann ich mir auch was auf einen fremden Namen bei Otto bestellen. Nur muss das ja auch irgendwohin geliefert werden. Und das bietet Anhaltspunkte in Betrugsfällen.

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--

robo47

Auch wenn es nicht um unseren eperso geht, will ich das mal einwerfen:

YouTube - RFID Passport Shield Failure Demo - Flexilis

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

Manko10

Es ist aber etwas anderes, ob ich eine Adresse dort lasse oder eine digitale Identität. Wer im Internet bestellen will ohne seine Wohnadresse bekanntzugeben, der kann auch eine Packstation angeben oder eine alternative Lieferadresse. Auch die Rechnungsadresse kann über eine Firma laufen oder weiß der Geier was.
Die Lieferung von Waren sowie das Ausstellen einer Rechnung bedürfen keiner Authetifizierung, jedoch wird durch den ePa genau dieses vermischt, denn der ePa ist weitaus mehr als bloß die Bekanntgabe einer Adresse. Du konntest bisher ja auch im Internet einkaufen. Erzwungene Authetifizierung im Internet ist, als wenn du dir, bevor du auf die Straße gehst, immer ein gut sichtbares Namensschild mit behördlicher Identifizierungsnummer auf die Stirn kleben müsstest.

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

Flor1an

Naja du kannst ganz genau einstellen WAS wirklich übertragen wird!

__________________
▇█▓▒░◕‿‿◕░▒▓█▇

Manko10

Es geht nicht darum, dass der Perso nicht dazu da sei, die Adresse bekanntzugeben, das kann man auch ohne das Ding. Es geht darum, dass der Perso zur eindeutigen Identifizierung einer Person benutzt wird und genau hier besteht die Gefahr für Begehrlichkeiten. Besteht die Möglichkeit, der Kundenidentifizierung, wird das zunächst einmal als tolles Feature beworben, um exaktere Empfehlungsprofile erstellen zu können und nach und nach könnte es passieren, dass eine Identifizierung zur Zwangsmaßnahme wird, um überhaupt einen Einkauf tätigen zu können. Das wäre dann, als wenn du deinen Supermarkt nur betreten könntest, wenn du zuvor an der Tür einem Mitarbeiter deinen Perso vorzeigst und somit jeder Besuch protokolliert wird.

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

Wolla

Ob aus drei/vier Interneteinkäufen pro Jahr ein brauchbares Bewegungsprofil zusammengestellt werden kann, das ist allerdings noch die Frage.

__________________
Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?