this post was submitted on 02 Oct 2023
128 points (98.5% liked)

DACH - jetzt auf feddit.org

8713 readers
1 users here now

Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!

Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos

Auch hier gelten die Serverregeln von https://feddit.de !

Banner: SirSamuelVimes

founded 1 year ago
MODERATORS
 

Ursprünglich dachte ich daran, das in ein Meme zu verpacken und mich in [email protected] über meine eigene Dummheit auszukotzen. Dafür wurde die Geschichte aber zu lang, weshalb ich dachte lieber daraus ~~eine Tirade~~ einen "hilfreichen" Guide zu machen, was euch blüht, wenn ihr diese PIN vergessen solltet.

Für die, die die Online Ausweisfunktion nicht kennen: Mit ihr kann man sich über ein NFC fähiges Handy bequem von zuhause aus mit dem Personalausweis identifizieren. Das ist eigentlich gar nicht mal so unpraktisch. So kann man z.B. wenn man wie ich gerade ein neues Konto eröffnen will es sich sparen, mit dem dämlichen Postident Zettel zur nächsten Postfiliale schlurfen zu müssen. Bonus: als introvertierter und eigentlich generell menschenscheuer Geselle muss man dafür noch nicht mal in einen dämlichen Videocall mit einer völlig fremden Person. Klingt gut oder? Die Geschichte hat aber einen Haken: Man muss sich eigentlich bloß alle Millenia mal irgendwo ausweisen und eine PIN die man so gut wie nie braucht, vergisst man leider allzu schnell.

Und so ist es mir heute leider auch ergangen. Ich hatte schon meinen Personalausweis gezückt und startete die Identifikation in der PostIdent App, um dann mit dem netten Satz "Geben Sie ihre selbst gewählte 6 stellige PIN ein" daran erinnert zu werden, dass es sowas überhaupt gab. Mist. Nagut, sag ich mir, ich war doch bestimmt zu faul und werde ja bestimmt nicht für so etwas wichtiges wie meinen Personalausweis die absolut richtige Entscheidung getroffen haben, mir eine eigene Nummer ausgedacht zu haben. Also gebe ich mal die erstbeste 6 stellige Pin ein, die ich bestimmt nicht schon zu oft vergeben habe.

"Sie haben die PIN falsch eingegeben. Sie haben noch zwei Versuche."

Mist. Da macht man mal etwas richtig und so dankt es einem das Leben. Also schön. Sicher werde ich mir die PIN aufgeschrieben haben. Ich werde doch bestimmt nicht gedacht haben, dass ich mir die aus Sicherheitsgründen nicht aufschreiben darf. Oder? ODER? *insert Anakin-Padme Meme* Mist. Langsam komme ich mir wie ein depressives Brot vor. Okay kurz mal nachgedacht... Die könnte es gewesen sein! An den genauen Wortlaut der Antwort kann ich mich nicht erinnern, aber es war etwas der Art:

"Haha, netter Versuch. Wenn du dich noch einmal vertust, dann SPERRE ich mich, du Opfer!"

Warte was meinst du mit "sperren"? Ich muss doch nicht etwa am Ende einen Termin auf dem Amt machen (Wartedauer mindestens doppelt so lange als bis zum Kältetod des Universums) um das Ding entsperren zu lassen? Panisch durchsuche ich meine Unterlagen und finde eine Puk zum freirubbeln und die Erklärung dass ich mit der die Sperrung bis zu zehn mal wieder aufheben kann und in der "AusweisApp2" (was ist mit der AusweisApp1 passiert?) meine PIN ändern kann. Puls ist wieder unten und naja ich versuche es ein drittes Mal... und gesperrt. Okay App runterladen, Puk eingeben und auf Pin ändern drücken. Ich überlege mir eine neue Pin, schreib sie mir diesesmal gleich auf und

"Sie haben die PIN falsch eingegeben. Sie haben noch zwei Versuche."

Bitte was? Das Teil fragt mich nicht nach einer neuen Pin SONDERN ICH MUSS DIE ALTE WISSEN UM EINE NEUE ZU SETZEN??? Die Puk ist nur zum entsperren da? Kurz am Desktop gegoogelt und herausgefunden, dass man die PIN nur über einen Rücksetzbrief vom Amt zurücksetzen kann, den man unter https://www.pin-ruecksetzbrief-bestellen.de/ anfordern kann. Mist. Okay, die nutzlose Ausweis2App wieder runterlöschen und ich versuch noch ein paar PINs beim Postident (Lifehack: Wenn man bei der "letzten" Verwarnung die App schließt und neu startet steht man offenbar wieder auf der "noch zwei Versuche" Stufe. Das erspart einem die Puk. Gut programmiert.) Funktioniert nicht. Nagut. Dann bestelle ich mir eben diesen Brief und öffne die Seite über meinen PC.

"Um einen Rücksetzbrief zu bestellen, benutze die AusweisApp2, die du gerade von deinem Handy gelöscht hast. Du kannst sie aber auch vom PC aus benutzen. Es gibt sie für Android, IOS, Windows und nein ich weiß nicht was ein Linux ist. Und jetzt lade die App verdammt nochmal wieder auf dein Handy runter oder verpiss dich!"

Folgsam installiere ich also die App neu und klicke mich durchs Menü bis ich die Rücksetzbrief Schaltfläche finde, darauftippe und natürlich von der App in den Browser geschickt werde, der mich nach einem weiteren Link zurück in die App schickt, wo ich den Ausweis scanne und wieder im Browser lande. Nein, ich bin mittlerweile an dem Punkt angekommen, dass ich das jetzt nicht mehr hinterfrage, warum ich Dinge nicht im Browser tun darf und mir ne App runterladen muss, die mich in den Browser schickt.

"Herzlichen Glückwunsch! Wir schicken Ihnen den Rücksetzbrief zusammen mit einem Passierschein A38 an Ihre Adresse als PostIdent Brief. Wenn Sie zu den üblichen Arbeitszeiten nicht zuhause sind, können Sie sich in der nächsten Postfiliale identifizieren um den Brief zu erhalten. MfG Tanja Gotthelf von Ihrer Bundesbehörde"

Und so schließt sich der Kreis. Ich werde also demnächst zur Post fahren um einen Brief abzuholen, den ich nur bekomme, weil ich nicht zur Post fahren wollte. Immerhin: Bei der Gelegenheit kann ich jetzt auch zur Post fahren und mein PostIdent Verfahren abschließen. Dann muss ich auch nicht mehr zur Post fahren, um nicht zur Post fahren zu müssen. Was ich schreibe, ergibt keinen Sinn mehr? Egal. Muss es nicht. Es reicht wenn ihr euch merkt:

TLDR: Wer's nicht im Kopf hat, der hat's in den Beinen. Vergiss deine Ausweis-PIN nicht, du Lappen! Oder bleib gleich analog unterwegs.

top 49 comments
sorted by: hot top controversial new old
[–] [email protected] 56 points 1 year ago (2 children)

eine PIN die man so gut wie nie braucht, vergisst man leider allzu schnell.

KeePass, und in diesem Zuge jeder Passwort Manager, kann natürlich auch PINs speichern ü

[–] [email protected] 23 points 1 year ago (1 children)
[–] [email protected] 2 points 10 months ago

pass reicht mir, soll auch eine GUI dafür geben. 🫣

[–] [email protected] 40 points 1 year ago* (last edited 1 year ago) (1 children)

(was ist mit der Ausweisapp1 passiert?)

Bei der AusweisApp handelt es sich nicht um quelloffene Software, welche von unabhängigen Sicherheitsexperten überprüft werden könnte. Dies ist insbesondere vor dem Hintergrund von Sicherheitslücken oder der zunehmenden staatlichen Überwachung (zum Beispiel dem sogenannten „Bundestrojaner“) bedeutsam.

Am 1. November 2014 wurde die AusweisApp durch die AusweisApp2 abgelöst.

(Wikipedia)

und danke für die schöne Tirade, ich habe sie seit Reddit etwas vermisst

[–] [email protected] 3 points 1 year ago

Ausweisapp2 ist so ein selten dämlicher und unintuitiver Name ey, alles wäre besser gewesen als das. Es klingt so inoffiziell

[–] [email protected] 32 points 1 year ago* (last edited 1 year ago) (1 children)

Schön zu sehen das man die PIN eines wichtigen Dokuments einfach unter https://www.pin-ruecksetzbrief-bestellen.de/ zurücksetzen kann. Es gibt bestimmt viele einige Mitbürger die in die gleiche Situation laufen und unter https://www.pin-rucksetzbrief-bestellen.de/ Hilfe finden. Die digitale kompetenz unserer Regierung lässt hoffen dass noch mehr unnötig lange Domains wie https://www.pln-ruecksetzbrief-bestellen.de/ unterhalten werden die sehr einprägsam sind z.B. https://www.pin-ruecksetzbrief.de/ oder https://www.pin-ruecksetzbrief-anfordern.de/. Das weckt die noch jungen Erinnerungen an https://www.einmalzahlung200.de/ (Ist das jetzt die echte? Wer weiß :P).

PS: Tolle Tirade ich werd dran denken den nächsten Ausweis mit Online Funktion zu bestellen ^^

[–] [email protected] 12 points 1 year ago (1 children)

Die Domains von offiziellen Angeboten der Bundesregierung sind schon echt eine wilde Sammlung, lol

[–] [email protected] 3 points 1 year ago (1 children)

Eine kurze TLD die dann auf die wichtigen Seiten als Subdomain verlinkt wäre nice. Da fallen mir direkt gute Beispiele ein: bund.de oder gov.de, sind aber leider schon vergeben.

[–] [email protected] 2 points 1 year ago

Die Domains gehören doch beide der Bundesministerien / Regierung

[–] [email protected] 12 points 1 year ago (1 children)

Jetzt vermisse ich den Kerl von Reddit, der Tiraden immer so gut vertont. Ist der hier auf Lemmy?

[–] [email protected] 5 points 1 year ago (1 children)

Sofern er sich keinen anderen Nutzernamen rausgesucht hat, ist u/Taiquann wohl nicht hier. Seine Vertonungen waren immer spitze. Ich liebte ja die Geschichte mit der Smart home Deckenlampe

[–] [email protected] 3 points 1 year ago (1 children)

...bitte was? gibt es dafür einen Link, wo man sich das anhören kann (vielleicht mit dem Link zum vertonten Original)? ich stell mir das richtig unterhaltsam vor :D

[–] [email protected] 6 points 1 year ago (1 children)

Die Tirade gab es hier der nutzer hat wohl seinen reddit account gelöscht.

Die audio version gibt es hier unter dem nutzer auch die anderen Vertonungen

[–] [email protected] 1 points 1 year ago

vielen lieben Dank dir, ich hab mich köstlich amüsiert :D

[–] [email protected] 11 points 1 year ago (2 children)

Interessante Geschichte, hoffe sie kann andere vor so einem Missgeschick bewahren.

Ich habe dazu zwei Anmerkungen:

  1. Sollte es wirklich stimmen, dass die Fehlversuche durch Neustart der App bei 2 bleiben, würde es bedeuten, dass die Anzahl der übrigen Versuche nicht auf dem Chip des Ausweises gespeichert werden. Das wäre eine gewaltige Sicherheitslücke, da dann so ein Ausweis durch Bruteforce geknackt werden könnte.
  2. warum du zwischen Browser und App hin und hergeschickt wirst: das liegt an dem Authentifizierungsverfahren. Die Servicedienstleister nutzen Web-Schnittstellen um eine Authentifizierung anzufordern. Die App hat einen eigenen Server laufen, zu dem du im Browser umgeleitet wirst. Diese Umleitung hat die Auth-Anfrage im Schlepptau, die die App somit empfangenen, verifizieren kann und danach den Datenaustausch mit deinem Ausweis startet. Ist der abgeschlossen wirst du wieder in den Browser geschickt (auf die Seite des App-Servers), welcher dann wiederum eine automatische Umleitung auf die Seite des Dienstleisters anstößt. Die daraus resultierende Anfrage an die Seite des Dienstes enthält die von der App generierte Auth-Antwort.
    Somit können Webdienste die Funktion der lokalen App über einen sicheren Kanal nutzen. Der Ablauf ist ähnlich zum Single-Signin Protokoll SAML.
[–] [email protected] 5 points 1 year ago

zu 1.: das ist tatsächlich relevant, wäre glaube ich schlau, wenn OP das dem BSI, oder Hersteller (welcher in diesem Fall ja sogar vom BSI beauftragt ist) weiterleitet.

[–] [email protected] 5 points 1 year ago (1 children)

Sollte es wirklich stimmen, dass die Fehlversuche durch Neustart der App bei 2 bleiben, würde es bedeuten, dass die Anzahl der übrigen Versuche nicht auf dem Chip des Ausweises gespeichert werden. Das wäre eine gewaltige Sicherheitslücke, da dann so ein Ausweis durch Bruteforce geknackt werden könnte.

ja das Verhalten fand ich auch seltsam. Ich könnte mir aber auch vorstellen, dass die App generell buggy ist auf meinem Gerät. Wäre möglich, dass bei den "zusätzlichen" Versuchen gar keine tatsächliche Kontrolle stattfand. Dann hätte der Chip nicht hochgezählt und umgekehrt meldet mir die App einfach nur "falsche PIN". Womöglich hatte ich ja doch die richtige dabei. :)

[–] [email protected] 5 points 1 year ago

das wäre schon echt seltsam.
Die App muss sich vor jeder Kommunikation mit dem Chip authorisieren, also muss die Pin geprüft werden, und das macht der Chip.
Wenn die App einfach nach OK-Druck nichts tut, außer so zu tun als ob, wäre das schon fast peinlich.

Aber hin wie her, ich würde mich @neeeeDanke anschließen, dass du das melden solltest.

[–] [email protected] 7 points 1 year ago (2 children)

An der Stelle der Tipp das mal an Extra3 zu schicken, die drehen dann vielleicht einen schönen Beitrag daraus (falls du das willst natürlich).

[–] [email protected] 6 points 1 year ago (1 children)

Die Frage wäre: was wäre das gewünschte Vorgehen wenn man seine PIN vergessen hat, die dazu da ist die Ausweisfunktion vor unberechtigter Nutzung zu schützen?

Vermutlich nicht nicht sicherzustellen, dass der Rücksetzbrief in falsche Hände gelangen kann bei der Aushändigung.

P.S.: PostIdent bei Briefübergabe sollte auch via Postbote an der eigenen Haustüre gehen… wenn die Behörde den Service nutzt. Die Post bietet es jedenfalls an ohne Weg in die Filiale. Zumindest da wo ich wohne. 🤷‍♂️ Ist exakt so passiert, als die Krankenkasse den PIN-Brief zur eGK per Post geschickt hat.

[–] [email protected] 2 points 1 year ago

PostIdent wird auch an der Haustür gemacht, wenn man den PIN-Brief bekommt (Quelle: Habe auch mal meine PIN für die Ausweisfunktion vergessen). Man muss halt dafür zuhause sein, wenn die Post kommt.

[–] [email protected] 2 points 1 year ago* (last edited 1 year ago) (1 children)

Du, da fiele mir so einiges besseres aus unserer Stadt ein, was ich denen schicken wollte. Allerdings müsste ich da vor ne Kamera und darauf habe ich dann tatsächlich eher keinen Bock. ^^"

[–] [email protected] 2 points 1 year ago

Durchaus nachvollziehbar. Das hat mich nur direkt an die Beiträge erinnert.

[–] [email protected] 5 points 1 year ago

Hab den Rücksetzbrief auch letztens bestellt, relativ unkompliziert. Braucht halt nur ne Woche bis er da ist. Aber die Authentifizierung damit ist sehr bequem.

Auto auf neuen Wohnort innerhalb von 10 Minuten umgemeldet, Fahrzeugschein kann dann irgendwann einfach mit der Post.

[–] [email protected] 4 points 1 year ago* (last edited 1 year ago) (2 children)

Meh. Mein Ausweis hat genau einmal mit meinem Handy funktioniert. Den Ausweis aufm Amt checken lassen: Alles okay. Ansonsten zahle ich auch immer problemlos per NFC mit dem Handy, das würd ich auch ausschließen. Vermutlich ist einfach diese Ausweis2 App wieder mal fragwürdig.

[–] [email protected] 5 points 1 year ago (1 children)

Kann auch am Betriebsystem liegen. Das geht natürlich nur mit dem Original Android ohne Root wie ausgeliefert (je nach Handy schlägt es sonst aber ohne jegliche Fehlermeldung fehl, um auch ja nicht zo verraten, woaran es liegt...). Und wenn du keine Updates mehr bekommst halt gar nicht mehr.

[–] [email protected] 1 points 1 year ago

Hab ein OnePlus 7 Pro. Ich bekomme gelegentlich noch Sicherheitsupdates aber selbst vor Jahren, als ich monatlich mit Updates versorgt wurde ging es schon nur beim ersten mal und danach nie wieder.

[–] [email protected] 5 points 1 year ago (1 children)

Die App erfordert einen extra langen NFC-Schlüssel. Mein Smartphone ist seit dem ich /e/OS benutze damit auch nicht mehr kompartibel.

[–] [email protected] 2 points 1 year ago

Hm, das könnte erklären wieso ich mehrere NFC-Bestätigings-Beeps hintereinander bekomme.

[–] [email protected] 3 points 1 year ago (2 children)

Epischer Post. Habe sehr geschmunzelt.

Bestätigung für meine Entscheidung analog zu bleiben weil es am Ende eh in derselben oder mehr Arbeit endet gab es gratis dazu.

[–] [email protected] 16 points 1 year ago

Wenn du dir die PIN nicht merkst, ist es natürlich mehr Aufwand. Wenn du es nutzt wie es gedacht ist, erspart es viel Arbeit.

[–] [email protected] 13 points 1 year ago

Ich persönlich finde die AusweisApp2 gerade für behördliche Vorgange sehr praktisch. Auch für Bank, Krankenkasse usw. viel besser als dieses nervige VideoIdent.

Das einzige, das nervt, ist, dass ich nicht alles mit der offiziellen AusweisApp2 machen kann und wieder eine extra App für PostIdent brauche. Das ist totaler Schwachsinn.

[–] [email protected] 2 points 1 year ago

Von dem ganzen Aufwand mal abgesehen ist die Vorgabe, eine sechsstellige Pin zu vergeben ziemlich dämlich, weil damit wahrscheinlich mindestens 90% der Leute ihr Geburtsdatum im TTMMJJ-Format nehmen. Steht ja praktischerweise schon auf dem Aufweis, dann muss man sich nicht so viel merken.

[–] [email protected] 2 points 1 year ago
[–] [email protected] 1 points 8 months ago

Ich brauche öfters behördliche Sachen, da ist es eine Erleichterung nicht jedes Mal auf's Amt zu müssen.

Die Pin habe ich mir auf einen Blatt notiert, ist ziemlich sicher gegen Hackerangriffe.

Wurde jetzt umbenannt in AusweisApp und gibt es auch auf F-Droid. Ist quelloffen und funktioniert bei mir immer.

[–] [email protected] 1 points 8 months ago (1 children)

Fun fact: Der Rücksetzdienst ist aufgrund des knappen Bundeshaushalts temporär ausgesetzt.

[–] [email protected] 1 points 8 months ago

Puh da hatte ich ja noch Glück

[–] [email protected] 1 points 10 months ago

Ich hab meine PIN auch falsch eingegeben. Am Ende wusste ich garnicht mehr, welche PIN gemeint war, ganz schlecht bei drei Versuchen. Danke für deinen Link, hab mal Ersatz angefordert.