Deutsche Telekom, Telefónica und Vodafone führen Nutzer-Identifikation per Mobilfunknummer ein
Die Deutsche Telekom, Telefónica Deutschland und Vodafone Deutschland haben heute vereinbart, ihren Kunden eine einheitliche Lösung für die simple und geschützte Anmeldung bei Internet-Diensten anzubieten – und zwar ohne Eingabe von Nutzername und Passwort.Die Mobilfunknetzbetreiber werden hierfür den weltweit etablierten GSMA-Dienst Mobile Connect noch in diesem Jahr einführen.
Als erster großer Partner in Deutschland wird die Identitäts- und Datenplattform verimi künftig ebenfalls das Mobile Connect Verfahren anbieten. Damit kann laut der Mobilfunkunternehmen auch die persönliche Mobilfunknummer zur eindeutigen digitalen Identität beim Einkauf in Online-Shops, bei der Anmeldung in Internet-Portalen und zukünftig bei digitalen Behördengängen werden.
Bisher erfolgt der Zugang zu Online-Angeboten in der Regel per Benutzername und Passwort . Hier sehen die Unternehmen Schwachstellen: Wegen der Vielzahl an genutzten Plattformen machen es sich die Nutzer oftmals einfach und verwenden Passwörter wie qwertz oder 123456, ändern die Daten selten und setzen sie oft für mehrere Portale ein. Das macht diese Zugangsdaten zum beliebten Ziel für Angreifer.
Mit Mobile Connect benötigen die Kunden der drei Netzbetreiber demnächst nur noch ihre Mobilfunknummer und ihr Handy, um sich im Internet bei digitalen Diensten oder Websites anzumelden. Der Netzbetreiber übernimmt gegenüber dem Anbieter die Identifizierung des Kunden, denn er kann die Mobilfunknummer jederzeit eindeutig zuordnen. Ein Log-In per Passwort entfällt.
Und so funktioniert es:
Noch in diesem Jahr werden sich Mobilfunkkunden in Deutschland nicht nur mit ihren Google- oder Facebook-Passwörtern auf vielen Online-Portalen anmelden können. Mit Angabe der Mobilfunknummer, zum Beispiel beim Verimi Login, wird eine SMS an das Handy des Kunden geschickt. Über den in der Textnachricht integrierten Link bestätigt er auf seinem Smartphone den Erhalt und erlaubt dem Netzbetreiber gleichzeitig die verschlüsselte Übermittlung einer pseudonymisierten Kundenreferenznummer an den Portalbetreiber. Damit kann der Betreiber den Kunden immer wieder zuordnen und gewährt auch ohne Passwort Zugang.
Nutzer sollen später auch so Bankinformationen leichter übertragen können. Wer in Online-Shops etwas bestellen will, braucht Daten wie Lieferadresse und Bankverbindung dann nicht mehr manuell einzugeben. Die Informationen liegen dem Netzbetreiber vor und können auf Wunsch auch gleich in die Bestellmaske des Internet-Shops übertragen werden.
Soll heißen, mit einem (warum auch immer) entsperrtem Handy oder im schlimmsten Fall dem abgetippten Link von der im Sperrbildschirm angezeigten Benachrichtigung kann jeder sich für mich ausgeben und beherzt einkaufen?
Nicht schlecht. Zum Glück habe ich beides nicht.
Warum auch immer entsperrtes Handy? Min. 80-90% der Leute die ich kenne haben kein Sperrcode drauf! Zu lästig! Sogar viele die ein Gerät mit Fingerabdrucksensor nutzen… Bei den restlichen 10-20% kann man die Nachrichten im Sperrbildschirm lesen, ist ja bequemer und zu verbergen haben sie ja eh nichts! Also, kann man nur hoffen, dass das nicht automatisch für alle freigeschaltet wird…
Dabei ist es doch so einfach mit smartlock, Haken an „wenn man in Bewegung ist“ es also quasi in der Tasche hat, Haken rein bei der eigenen Adresse, eigene Bluetooth Geräte wie ein mi Band 2 als vertrauenswürdiges Gerät eintragen, usw, und schon muss man sein Handy nur noch selten entsperren, aber draußen wenn es verloren gehet, oder man es aus Versehen irgendwo liegen lässt ist es dann gesperrt^^
Das ist doch komplett unsicher. Für den einfachen Dieb ja, aber auch der kann ja einfach zu deinem Haus laufen und es dort entsperren, oder MI-Band auch klauen.
Du wirst weder dazu gezwungen das zu nutzen, noch gibt es irgend eine Sicherung die vor Fehlbedienung sicher ist. Siehe die Girocard-PIN auf dem Zettel im Geldbeutel oder gleich auf die Karte gekritzelt, siehe die Liste der häufigsten Passwörter…
für den Ottonormalo („DAU“ ist der falsche Begriff, da es sich ja um den Normalfall handelt, nicht um die negative Ausnahme) ist es offenbar im Zweifel wichtiger, dass Dinge bequem sind. Also muss man es ihm eben möglichst einfach machen. Mit dem Handy hat er einen Token, den er nur einmal gescheit absichern muss, mit einer PIN oder seinem Fingerabdruck. Und damit gibt es dann weitere Zugänge. Wie ja auch jetzt schon – die Apps auf deinem Gerät, in denen du bereits angemeldet bist, stehen ebenso jedem zur Verfügung, dem dein entsperrtes Gerät in die Hände fällt. So oder so ist also auf eine sichere Handhabung zu achten, so oder so Schaden bei Unachtsamkeit möglich. Und so oder so lassen die meisten Leute ihre Webpasswörter eh gleich im Browser gespeichert – das kann durch einen Exploit u. U. von bösartigen Websites aus dem Browser abgefischt werden. Da ist das im Artikel beschriebene Verfahren letztlich sogar sicherer.
Vielleicht nicht für dich, geoldoc, den Sicherheitspurist, der bestimmt auch WhatsApp boykottiert und allen Bekannten in den Ohren liegt doch zu Threema zu wechseln und alle Emails mit PGP verschlüsselt, aber für Lieschen Müller.
Sicherheitspurist? Bin ich ja gar nicht. Nur wenn ich sehe, wie Leute alles auf dem Handy machen (Onlinebanking etc.) ohne sinnvollen Passwortschutz des Gerätes. Dann scheint mir das Handy als Hauptschlüssel für alle Konten nicht die sinnvollste Idee zu sein. Insbesondere wenn es dann noch bequem ist…
Wenn sie das sicher hinbekommen (ist z.B. die Aktualisierung nach dem Rufnummernwechsel schnell genug?) und es auch bei den Resellern kommt ist das doch eine vernünftige Sache.
In erster Linie ist es eine Schweinerei im Bezug auf den Datenschutz.
Man vertraut dem Netzbetreiber schon fast alles an. Alle Daten inkl Ausweis, IBAN und ggfs. sogar Video Identifikation.
Und das soll nun für jeden Shop einsehbar sein wo ich bestelle? Ne Danke.
Welche Daten von mir an welchen Shop gehen bestimme immer noch ich!
Und wer nicht in der Lage ist online zu bestellen (weil zu kompliziert), der soll es bitte einfach lassen und in den nächsten Laden gehen.
Du weißt doch gar nicht ob du das nicht selbst steuern kannst? Oder kennst du das System schon?
Sofern man es denn selbst steuern könnte bez. müsste, würde jeglicher Komfort entfallen und man kann auch bei Benutzername und Passwort bleiben.
Als ob ich mir in deren Kundencenter nun für jeden noch so kleinen Shop ne Liste anlege welcher Shop welche Daten bekommen darf.
Viel sinnvoller wäre eine Pflicht in Online Shops als Gast bestellen zu können anstatt sich für jeden Furz registrieren zu müssen.
Wenn ich z.B. online bei einem Shop was brauche, aber höchstwahrscheinlich in absehbarer Zeit nichts anderes mehr dort brauche, muss ich mir doch kein Kundenkonto erstellen und im Endeffekt nur die Daten merken die auch genutzt werden.
So einfach wäre es, aber neeeee, lieber haben wir 1000 Kundenkontos die nun alle mit unserer Rufnummer verknüpft sind.
Ich stelle mir das eher so vor, dass es beim Provider eine Liste mit Checkboxen gibt, und nur die angekreuzten Daten werden übertragen und zumindest dein Name, deine Adresse ändern sich ja nun nicht so häufig und die werden bei jeder Bestellung benötigt.
Das Ganze ist ja auch als zusätzliche Methode entwickelt, den Gasteinkauf (gibt es bei mir bei fast jedem Shop bei dem ich bestelle) gibt es ja auch weiterhin.
Ich habe bei meinem Mailprovider einen Generator für Wegwerfadressen, den nutze ich alternativ bei einmaligen Anmeldungen, ist auch nicht in der Blacklist.
Es wäre rechtswidrig, ohne eine entsprechende Anmeldung solch eine Datenübermittlung vorzunehmen. Payal ist auch kinderleicht im Umgang, manchen dadurch schon wieder zu unsicher, trotzdem muss man sich erst einmal für Paypal angemeldet haben. So wird – muss – es auch hier laufen. Wer an diesem Service grundsätzlich nicht teilnehmen will, der muss es ja nicht nutzen. Hätte man mit etwas Überlegung auch selbst drauf kommen können, statt sich gleich erstmal aufzuregen.
Weil Nachrichten auf dem Smartphone-Sperrbildschirm und das SMS/GSM-System ja so unglaublich sicher sind.
Ganz zu schweigen von den Geschichten mit durch den Kundendienst übertragene Rufnummern, die bei Cryptowährungs-Plattformen zum Klau von Millionen eingesetzt wurden… Demnächst auch für Omas Logins möglich.
Prinzipiell mag dies keine schlechte Sache sein, Voraussetzung dafür ist jedoch ein sicherer Unterbau, das heißt, die Mobilfunker müssen qualifiziert sicherstellen, dass sich hinter der Mobilfunknummer auch die Person verbirgt, welche sie vorgibt zu sein.
Es müsste Schluss sein mit den windigen Anmeldungen von Neu- oder Prepaidverträgen, all den SIM-Karten, die über Flohmärkte tingeln und so weiter. Selbst der Postdienstleister müsste eine anständige Verifizierung bei der Zustellung von Verträgen oder SIM-Karten vornehmen….
Mir bleibt allein der Glaube daran, doch dieser trägt mich nicht sonderlich weit.
Ich halte davon überhaupt nix. Denn wenn ich sehe das ja Android Oreo schon eine gut funktioniernde Autofilloption hat.. Und zum Kaufabschluss ist ein Fingerscan dann nötig. würde ich besser finden. Weil mein Finger lass ich ja nicht liegen und klauen wird auch schwierig
Puh. Das halte ich für ’ne brandgefährliche Sache. Ich sag nur SIM Cloning, Rufnummernspoofing, IMSI catcher… Nicht zu schweigen von noch viel leichteren Methoden wie SMS auslesen via Apps – was dann millionenfach gerooteter Smartphones überhaupt kein Problem darstellen dürfte…
Nope, in meinen Augen gar keine gute Idee.
Ich bin mir ziemlich sicher, dass diese bekannten Angriffsvektoren bedacht worden sind, wir werden sehen..außerdem werden die Daten ja dann vielleicht nur an den Shop übersandt, nicht für dich auf der Webseite ersichtlich gezeigt, also was sollte da passieren? Jemand bestellt etwas auf deinen Namen? Paket einfach nicht annehmen, Geld kommt zurück aufs Konto.
Für viele, die öfter im Ausland sind, aus privaten oder beruflichen Gründen, kann das eine Katastrophe sein, da viele ausländische Provider deutsche SMS gar nicht oder oft nur stark verzögert weiter leiten.
Eine Katastrophe? Wenn man im Ausland ist und weiß, dass es da Probleme gibt, gibt man halt seine Daten selber ein, wo ist die Katastrophe?
Sehe das auch sehr kritisch. Inzwischen ist schon alles mögliche über das Smartphone zugänglich.
Bei Diebstahl oder anderweitig Zugriff aufs Gerät kann somit künftig der versierte Dieb alles damit anstellen.
Hab mir selbst eine Liste angelegt mit Online-Zugängen, bei der meine Telefonnummer hinterlegt ist, z.B. zur SMS-TAN oder ähnlichem. Im Falle des Falles muss ich dann schnell reagieren und alles sperren lassen.
„Damit kann der Betreiber den Kunden immer wieder zuordnen und gewährt auch ohne Passwort Zugang.“
Ohne Passwort, also ohne Zwei-Faktor-Authentifizierung.
Also kann jeder, der mein Handy in die Finger kriegt, machen was er will. Ich bin doch nicht blöd.
Leute, alles halb so wild.
Das ist ganz normales SSO, OAuth und openIDconnect – was ihr eh schon die ganze Zeit im Netz benutzt. Die bekanntesten Identity Provider Facebook und Google kennt Ihr. Daneben betreibt mittlerweile jede mittelgroße Seite im Netz ihren eigenen ID Provider.
Stichwort: Identity and Accessmanagement, Federation