• Auch in Deutschland? - „Providerseitiges“ Einloggen auf WWW-Seiten

    Hallo,
    ich lebe in Island und hier kann man sich zentral über das Mobiltelefon auf vielen Seiten wie zB. Shops, Behörden, Lotto, Banken, Versicherungen uvm. in den persönlichen Bereich einloggen.
    D.h. ich gebe, egal ob am Computer oder Telefon, auf der LogIn-Seite z.B. meiner Bank meine Telefonnummer an (anstelle Nutzername/Passwort oder Angaben mit Hilfe eines Passwort Managers) und bestätige anschliessend mit einem Passwort (8 Ziffern, immer die gleichen) auf meinem Mobiltelefon den Zugang zum persönlichen Bereich.
    Das ist keine normale App aus dem App Store, sondern eine „SIM-Anwendung“ (Einstellungen -> Mobilfunk -> SIM Anwendungen) und läuft somit über den Provider (alle Provider hier in Island bieten das m.W. an).
    Ich finde dies sehr praktisch, da dieses System für alle wichtigen (und unwichtigen) Seiten zur Verfügung gestellt wird und man nicht mehr sich um unzählige Passwörter (und sei es in einem Passwort Manager) kümmern muss. Und sicher ist es auch, weil nur ich diese Telefonnummer besitze. Sollte ich mein Telefon verlieren oder eine Nummer erhalten, ist die Änderung der neuen, mir zugeordneten Nummer recht schnell umgesetzt (und unkompliziert).
    Vielleicht ist das vergleichbar mit Passkeys, aber bis das sich richtig durchgesetzt hat vergeht noch einiges an Zeit.
    Wird sowas auch in Deutschland angeboten/eingesetzt?
    LG aus Reykjavík,
    Claus
    Schau in etwa so aus (unter dem Passwortfeld ist eigentlich die Zifferntastatur sichtbar):

        • Es gibt nur einen Zugang zum Konto und der führt nur über mein Mobil-Telefon bzw die Nummer.

          Es gibt nur einen Zugang zum Konto und der führt nur über mein Mobil-Telefon bzw die Nummer.
          Ich habe ein Passwort (8 Ziffern), gebe dieses am Telefon ein es wird ein OK an die "Seite" geschickt. Ich bin drinnen.

          Wo sollte ein Hacker etwas abgreifen? Wenn jemand meine Telefonnummer zB auf der Seite der Bank eingibt, dann bringt ihm das nichts, weil er nicht im Besitz meines Telefons ist. Ich ignoriere einfach die Anfrage weil ich ja weiss, dass ich kürzlich die Seite nicht aufgerufen habe.

          • Ja, wenn Du auf einer Fake-Website zwecks "Sicherheitsüberprüfung" all die Daten Deines Handy eingibts...

            ...ermöglicht es den Betrügern, mittels einer Fake-ID-Kaste (die nötigen Daten zum Erstellen der ID-Karte hast Du getippt) im Shop Deines Telco-Anbieters ein Handy-Duplikat zu erschleichen.
            Stichwort: Multi-SIM
            Loggt sich in den Account Deines Telco-Anbieters ein (die dazu nötigen Daten hat er von jener Fake-Website) und lässt dann all die SMS auf das andere Telefon leiten...

            Gruss Markus

            • Ich gebe nur die Telefonnummer meines Telefons ein, sonst nichts.

              Und ich erhalte keine SMS, sondern es läuft über eine "SIM-Anwendung" (keine App aus dem App Store).

              Ich mag es ja verstehen und wenn es da ein (offensichtliches) Einfallstor gibt, dann umso besser es zu kennen.

              1. Ich gebe "nur" meine Telefonnummer auf Seite X (zB aufgerufen am Mac) an um zu meinem persönlichen Bereich zu kommen. Kein Name, keine Mailadresse o. Ä.
              2. Ich bekomme über eine SIM-Anwendung (keine SMS, keine App aus dem App Store) den Hinweis, dass sich jemand auf Seite X mit meiner Telefonnummer angemeldet hat. Sofern ich es war, dann Schritt 3. Sofern ich es nicht war: Ignorieren.
              3. Ich bestätige den Zugriff und ...
              4. ... gebe meine 8-stellige Ziffernkombination an (keine SMS, nicht in einer gewöhnlichen App, sondern einer SIM-Anwendung), um die Zugriff auf meinen persönlichen Bereich zu erlauben. Am Mac wird der persönliche Bereich automatisch geöffnet (ohne zusätzliche Angabe eines Bestätigungscodes o.Ä).

              Natürlich ist es wichtig, die URL der Seite immer zu prüfen vor der Eingabe (jeglicher) Daten, egal ob Nutzername, Passwort oder Telefonnummer. Sollte ich mich in der Tat auf einer Fake-Seite eingeloggt haben, dann kennt der Inhaber der Fake-Seite "nur" meine Telefonnummer. Ich bezweifle, dass die Kenntnis einer Telefonnummer ausreicht um eine Kopie der SIM-Karte zu erwerben, selbst wenn noch mein Name bekannt wäre.

              Ich weiss nicht, wie die SIM-Anwendung geschützt ist bzw was diese technisch gesehen genau ist. Aber ich vermute, dass hier viele weitere Daten geprüft werden, wie SEID, EID, SIM-Kartennummer, (persönliche?) Zertifikate usw. Sollte es hier zu Unstimmigkeiten kommen, zB durch neues Telefon oder Anbieterwechsel (bei Rufnummermitnahme), dann wird die Abfrage automatisch ignoriert/abgelehnt.

              Die SIM-Anwendung ist abrufbar über Einstellungen > Mobilfunk -> SIM-Anwendungen -> Auðkenni

              Auf jeden Fall werde ich die kommenden Tage mal bei meinem Provider nachfragen, welche Sicherheitsvorkehrungen vorgenommen werden um zB das Erstellen einer MultiSIM mit gleicher Nummer zu vermeiden.