TU-Berlin untersucht neues Authentifizierungsverfahren - Studie

  • Hallo alle,


    Ich hoffe, ich verstoße dabei gegen keine Forumregeln, möchte aber alle hier einladen, an unserer Online-Umfrage teilzunehmen. Wir sind ein Projektteam der TU Berlin und suchen immer noch Versuchspersonen zu einem 8-15 minütigen Online-Fragebogen.
    Dazu wird ein neues Authentifizierungsverfahren auf die prospektive Nutzung und Akzeptanz der Nutzer untersucht.
    Wenn ihr bei dieser Studie mitmachen würdet, würde uns das sehr helfen!

    Vielen Dank!
    https://survey.mms.tu-berlin.d…/index.php/978947?lang=de


    Liebe Grüße,


    Anastasiya

    • Offizieller Beitrag

    Ich hoffe, ich verstoße dabei gegen keine Forumregeln, möchte aber alle hier einladen, an unserer Online-Umfrage teilzunehmen.

    Das ist prinzipiell o.k. Allerdings sollte der Link erst mal zu einer Website gehen, die auch für den Laien als eine der TU Berlin eindeutig erkennbar ist ("survey.mms" als Subdomain der tu-berlin.de wirkt nicht vertrauenserweckend), auf der über das Projekt informiert wird (inkl. konkrete Ansprechpartner der TUB) und von der dann zum Fragebogen verlinkt wird. Also nicht so mit der Tür ins Haus fallen.

  • Hallo,


    ich habe mir die Mühe gemacht, und die Umfrage beantwortet - abgesehen davon, dass hier wohl mit OnlineBanking nur über Webbanking gefragt wird (die möglichen eingesetzten Verfahren deuten mir schwer darauf hin, ebenfalls der Vorschlag des neuen Verfahrens - er basiert auf der Annahme, dass man sich über das Internet einloggt und dann mit dem neuen Verfahren arbeitet).

  • Ob nPA oder Chipkartenleser mit Signatur/HBCI-Karte ist im Grunde genommen fast egal da ähnliches Verfahren. Man würde eine Karte einsparen. Dafür kosten die QeS-Zertifikate derzeit rund 10 EUR für 1Jahr Laufzeit. HBCI-Karte kostet mich ggf. nur einmalig (aber dafür jede Bank einzeln).


    Falk

  • Hallo,


    ich habe mir die Mühe gemacht, und die Umfrage beantwortet - abgesehen davon, dass hier wohl mit OnlineBanking nur über Webbanking gefragt wird (die möglichen eingesetzten Verfahren deuten mir schwer darauf hin, ebenfalls der Vorschlag des neuen Verfahrens - er basiert auf der Annahme, dass man sich über das Internet einloggt und dann mit dem neuen Verfahren arbeitet).

    Danke sehr! Ich denke, es geht Schritt für Schritt, erst eine Art von OnlineBanking, dann kann man auch die anderen überlegen...

  • Das ist prinzipiell o.k. Allerdings sollte der Link erst mal zu einer Website gehen, die auch für den Laien als eine der TU Berlin eindeutig erkennbar ist ("survey.mms" als Subdomain der tu-berlin.de wirkt nicht vertrauenserweckend), auf der über das Projekt informiert wird (inkl. konkrete Ansprechpartner der TUB) und von der dann zum Fragebogen verlinkt wird. Also nicht so mit der Tür ins Haus fallen.

    Das werden wir uns fürs nächste Mal definitiv merken! MMS ist halt unseres Fachgebiet an der TUB und da sind auch die Survey-Server, zu denen wir Zugang haben.

  • Ob nPA oder Chipkartenleser mit Signatur/HBCI-Karte ist im Grunde genommen fast egal da ähnliches Verfahren. Man würde eine Karte einsparen. Dafür kosten die QeS-Zertifikate derzeit rund 10 EUR für 1Jahr Laufzeit. HBCI-Karte kostet mich ggf. nur einmalig (aber dafür jede Bank einzeln).


    Falk

    Danke für Ihre Meinung! Ich hoffe, Sie haben sie auch bei der Umfrage geäußert, sondern gelingt sie leider nicht in unseren Projektbericht!

  • ...
    Danke für Ihre Meinung! Ich hoffe, Sie haben sie auch bei der Umfrage geäußert, sondern gelingt sie leider nicht in unseren Projektbericht!

    Leider ist die Art des Bankings, nämlich unabhängig vom Webbrowser, als auch die Art des Genehmigungsverfahrens, nämlich HBCI-Signatur gar nicht Gegenstand Ihrer Umfrage. Waren sie Ihnen nicht bekannt? Und wenn, warum nicht?
    Die entsprechenden Kommentare und Hinweise sind in der Umfrage vorhanden.


    Falk

  • Im Grunde habe ich nichts gegen eine zusätzliche PIN einzuwenden.


    So wie ich das verstanden habe geht es vorweigend um ein Authentifizierunsverfahren über den elektronischen Personalausweis.


    Eine gute Idee auf die ich schon gewartet habe, denn sonderlich viel kann man heute mit dem elektronischen Personalausweis nicht anfangen.


    Aber ist das ganz ohne PIN auch sicher?


    Auch ich hätte mir eine Startseite mit Informationen zu dem Projekt (z.B. zu dem eLearning Baustein) gewünscht. Dann kann man nach der Umfrage das eine oder andere nachlesen, oder sich über weitere Aktivitäten informieren.

  • Wieso ohne PIN? Man benötigt, nach dem in der Umfrage gezeigten Verfahren zum einen die CAN (Card Access Number) und zum anderen die PIN für die QeS zum signieren. Wer heute schon den nPA mit der eID und evtl. sogar der QeS nutzt, kennt diese beiden Identifikationsnummern.


    Falk

  • Eine TAN ist dann nicht notwendig. Es wird kein Transaktionsnummer benötigt, da die Genehmigung für die Transaktion durch die Qualifizierte elektronische Signatur (QeS => https://live.esign-service.de/esign/Home) erstellt wird für die Du auch eine PIN benötigst. Ein ähnliches Verfahren gibt es eben heute schon mit der HBCI-Chipkarte und dem Kartenleser, den Du ja auch in der passenden Ausführung (zugelassen für QeS mit dem nPA) bei dem vorgestellten Verfahren benötigst.


    Falk

  • Ok Danke.


    Das kostet dann aber einen Betrag x pro Jahr. Da ist die derzeitige Variante mit HBCI, TAN, ... aber günstiger.


    Bin mal gespannt wie sich das dann durchsetzt.


    Der Personalausweis kostet 28,80 wenn man gerade ohnehin keinen braucht oder 6,00 für die Aktivierung wenn man schon einen neuen hat und die Funktion nicht aktiviert ist. Dann kommen noch ca. 35,00 für das Lesegerät dazu. Und zu guter letzt jährlich 9,95 für das Zertifikat.

  • Nenn mir mal bitte dass für QeS mit nPA vom BSI zugelassene Lesegerät zu diesem Preis.


    Wenn man die Verfahren vergleicht, ist das Verfahren mit Signatur immer noch das sicherste genüber allen anderen. Mir ist derzeit kein Kriminal/Betrugsfall bekannt, in dem dieses Verfahren überwunden bzw. Missbraucht wurde. Die Sicherheit ist also derzeit immer noch die höchste.
    Die HBCI Signaturkarte bekome ich von jeder Bank einzeln mit ggf. Kosten. Die QeS habe ich einmal auf dem nPa (aber derzeit jährliche Kosten) und kann sie bei allen Banken, die dieses Verfahrten verwenden würden, einsetzen. Zum anderen ist sie gemäß §126a BGB als gesetzliche Unterschrift annerkannt und daher auch anderweitig einsetzbar.


    Falk

  • cyberJack® RFID basis http://www.reiner-sct.com/produkte/...


    Stimmt die HBCI Signaturkarte bekomme ich immer für eine Bank, ist bei mir kostenlos.



    Ich finde es nur ein wenig frech von unserer Regierung, da will man modern sein verlangt Geld für einen Perso der viel können soll aber wieder extra Geld kostet. Da muss man für das Lesegerät schon einige Euros hin blättern und dann noch für das Zertifikat. Ich hätte mir hier gewünscht dieses gleich mit dem Perso mit zu bekommen. Der muss ohnehin alle 10 Jahre erneuert werden und dann kostet es wieder um 30 Eur. Und wer spart dann Geld - natürlich die Regierung indem wir Bürger alles am eigenen PC erfassen und die Datensätze dann zur Behörde schicken. Typisches Beispiel ist die Steuer, das Finanzamt prüft nur noch Daten erfassen tun die maximal den Code um meine Daten abzurufen (ok ein wenig überspitzt).

  • Bist Du Dir sicher , das alle im Link genannten Geräte diese Funktionalität erfüllen? Schau mal hier: http://www.personalausweisport…7102CDEF3DDEAA87.2_cid334
    Da sieht es doch noch etwas anders aus. Unterschied von eID und kontaktloser QeS beachten.


    Über die "Preisgestaltung" und das Henne-Ei Problem sowie die "zur Verfügung stehende Bandbreite" der einzelnen Internetanbindungen der User bei intensiver Verbreitung und Nutzung von elektronisch gestützen Verwaltungsakten müssen wir nicht diskutieren. Da ist noch etliches Pontenzial!


    Falk


  • Bist Du Dir sicher , das alle im Link genannten Geräte diese Funktionalität erfüllen? Schau mal hier: personalausweisportal.de/DE/Bu…7102CDEF3DDEAA87.2_cid334
    Da sieht es doch noch etwas anders aus. Unterschied von eID und kontaktloser QeS beachten.


    Stimmt das Problem ist ein kontaktlose eSign-Funktion (QES) mit dem nPA. Das kann wiederrum nur der cyberJack® RFID komfort für grob 160 Eur. Die cyberJack® RFID standard kann QES nur mit kontaktbehafteten Karten.



    Über die "Preisgestaltung" und das Henne-Ei Problem sowie die "zur Verfügung stehende Bandbreite" der einzelnen Internetanbindungen der User bei intensiver Verbreitung und Nutzung von elektronisch gestützen Verwaltungsakten müssen wir nicht diskutieren. Da ist noch etliches Pontenzial!


    Das macht die Sache ganz schön teuer. Ich gebe Dir recht da ist noch einiges an Kosten-Potenzial drin. Wenn das für die breite Masse interessant werden soll, muss sich einiges tun.


    Vor allem sehe ich heute den Kosten / Nutzen - Faktor noch nicht erfüllt.