Ursprünglich dachte ich daran, das in ein Meme zu verpacken und mich in !ich_iel@feddit.de über meine eigene Dummheit auszukotzen. Dafür wurde die Geschichte aber zu lang, weshalb ich dachte lieber daraus eine Tirade einen “hilfreichen” Guide zu machen, was euch blüht, wenn ihr diese PIN vergessen solltet.

Für die, die die Online Ausweisfunktion nicht kennen: Mit ihr kann man sich über ein NFC fähiges Handy bequem von zuhause aus mit dem Personalausweis identifizieren. Das ist eigentlich gar nicht mal so unpraktisch. So kann man z.B. wenn man wie ich gerade ein neues Konto eröffnen will es sich sparen, mit dem dämlichen Postident Zettel zur nächsten Postfiliale schlurfen zu müssen. Bonus: als introvertierter und eigentlich generell menschenscheuer Geselle muss man dafür noch nicht mal in einen dämlichen Videocall mit einer völlig fremden Person. Klingt gut oder? Die Geschichte hat aber einen Haken: Man muss sich eigentlich bloß alle Millenia mal irgendwo ausweisen und eine PIN die man so gut wie nie braucht, vergisst man leider allzu schnell.

Und so ist es mir heute leider auch ergangen. Ich hatte schon meinen Personalausweis gezückt und startete die Identifikation in der PostIdent App, um dann mit dem netten Satz “Geben Sie ihre selbst gewählte 6 stellige PIN ein” daran erinnert zu werden, dass es sowas überhaupt gab. Mist. Nagut, sag ich mir, ich war doch bestimmt zu faul und werde ja bestimmt nicht für so etwas wichtiges wie meinen Personalausweis die absolut richtige Entscheidung getroffen haben, mir eine eigene Nummer ausgedacht zu haben. Also gebe ich mal die erstbeste 6 stellige Pin ein, die ich bestimmt nicht schon zu oft vergeben habe.

“Sie haben die PIN falsch eingegeben. Sie haben noch zwei Versuche.”

Mist. Da macht man mal etwas richtig und so dankt es einem das Leben. Also schön. Sicher werde ich mir die PIN aufgeschrieben haben. Ich werde doch bestimmt nicht gedacht haben, dass ich mir die aus Sicherheitsgründen nicht aufschreiben darf. Oder? ODER? *insert Anakin-Padme Meme* Mist. Langsam komme ich mir wie ein depressives Brot vor. Okay kurz mal nachgedacht… Die könnte es gewesen sein! An den genauen Wortlaut der Antwort kann ich mich nicht erinnern, aber es war etwas der Art:

“Haha, netter Versuch. Wenn du dich noch einmal vertust, dann SPERRE ich mich, du Opfer!”

Warte was meinst du mit “sperren”? Ich muss doch nicht etwa am Ende einen Termin auf dem Amt machen (Wartedauer mindestens doppelt so lange als bis zum Kältetod des Universums) um das Ding entsperren zu lassen? Panisch durchsuche ich meine Unterlagen und finde eine Puk zum freirubbeln und die Erklärung dass ich mit der die Sperrung bis zu zehn mal wieder aufheben kann und in der “AusweisApp2” (was ist mit der AusweisApp1 passiert?) meine PIN ändern kann. Puls ist wieder unten und naja ich versuche es ein drittes Mal… und gesperrt. Okay App runterladen, Puk eingeben und auf Pin ändern drücken. Ich überlege mir eine neue Pin, schreib sie mir diesesmal gleich auf und

“Sie haben die PIN falsch eingegeben. Sie haben noch zwei Versuche.”

Bitte was? Das Teil fragt mich nicht nach einer neuen Pin SONDERN ICH MUSS DIE ALTE WISSEN UM EINE NEUE ZU SETZEN??? Die Puk ist nur zum entsperren da? Kurz am Desktop gegoogelt und herausgefunden, dass man die PIN nur über einen Rücksetzbrief vom Amt zurücksetzen kann, den man unter https://www.pin-ruecksetzbrief-bestellen.de/ anfordern kann. Mist. Okay, die nutzlose Ausweis2App wieder runterlöschen und ich versuch noch ein paar PINs beim Postident (Lifehack: Wenn man bei der “letzten” Verwarnung die App schließt und neu startet steht man offenbar wieder auf der “noch zwei Versuche” Stufe. Das erspart einem die Puk. Gut programmiert.) Funktioniert nicht. Nagut. Dann bestelle ich mir eben diesen Brief und öffne die Seite über meinen PC.

“Um einen Rücksetzbrief zu bestellen, benutze die AusweisApp2, die du gerade von deinem Handy gelöscht hast. Du kannst sie aber auch vom PC aus benutzen. Es gibt sie für Android, IOS, Windows und nein ich weiß nicht was ein Linux ist. Und jetzt lade die App verdammt nochmal wieder auf dein Handy runter oder verpiss dich!”

Folgsam installiere ich also die App neu und klicke mich durchs Menü bis ich die Rücksetzbrief Schaltfläche finde, darauftippe und natürlich von der App in den Browser geschickt werde, der mich nach einem weiteren Link zurück in die App schickt, wo ich den Ausweis scanne und wieder im Browser lande. Nein, ich bin mittlerweile an dem Punkt angekommen, dass ich das jetzt nicht mehr hinterfrage, warum ich Dinge nicht im Browser tun darf und mir ne App runterladen muss, die mich in den Browser schickt.

“Herzlichen Glückwunsch! Wir schicken Ihnen den Rücksetzbrief zusammen mit einem Passierschein A38 an Ihre Adresse als PostIdent Brief. Wenn Sie zu den üblichen Arbeitszeiten nicht zuhause sind, können Sie sich in der nächsten Postfiliale identifizieren um den Brief zu erhalten. MfG Tanja Gotthelf von Ihrer Bundesbehörde”

Und so schließt sich der Kreis. Ich werde also demnächst zur Post fahren um einen Brief abzuholen, den ich nur bekomme, weil ich nicht zur Post fahren wollte. Immerhin: Bei der Gelegenheit kann ich jetzt auch zur Post fahren und mein PostIdent Verfahren abschließen. Dann muss ich auch nicht mehr zur Post fahren, um nicht zur Post fahren zu müssen. Was ich schreibe, ergibt keinen Sinn mehr? Egal. Muss es nicht. Es reicht wenn ihr euch merkt:

TLDR: Wer’s nicht im Kopf hat, der hat’s in den Beinen. Vergiss deine Ausweis-PIN nicht, du Lappen! Oder bleib gleich analog unterwegs.

  • BlueKey@kbin.social
    link
    fedilink
    arrow-up
    2
    ·
    1 year ago

    Interessante Geschichte, hoffe sie kann andere vor so einem Missgeschick bewahren.

    Ich habe dazu zwei Anmerkungen:

    1. Sollte es wirklich stimmen, dass die Fehlversuche durch Neustart der App bei 2 bleiben, würde es bedeuten, dass die Anzahl der übrigen Versuche nicht auf dem Chip des Ausweises gespeichert werden. Das wäre eine gewaltige Sicherheitslücke, da dann so ein Ausweis durch Bruteforce geknackt werden könnte.
    2. warum du zwischen Browser und App hin und hergeschickt wirst: das liegt an dem Authentifizierungsverfahren. Die Servicedienstleister nutzen Web-Schnittstellen um eine Authentifizierung anzufordern. Die App hat einen eigenen Server laufen, zu dem du im Browser umgeleitet wirst. Diese Umleitung hat die Auth-Anfrage im Schlepptau, die die App somit empfangenen, verifizieren kann und danach den Datenaustausch mit deinem Ausweis startet. Ist der abgeschlossen wirst du wieder in den Browser geschickt (auf die Seite des App-Servers), welcher dann wiederum eine automatische Umleitung auf die Seite des Dienstleisters anstößt. Die daraus resultierende Anfrage an die Seite des Dienstes enthält die von der App generierte Auth-Antwort.
      Somit können Webdienste die Funktion der lokalen App über einen sicheren Kanal nutzen. Der Ablauf ist ähnlich zum Single-Signin Protokoll SAML.
    • neeeeDanke@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      1
      ·
      1 year ago

      zu 1.: das ist tatsächlich relevant, wäre glaube ich schlau, wenn OP das dem BSI, oder Hersteller (welcher in diesem Fall ja sogar vom BSI beauftragt ist) weiterleitet.

    • EunieIsTheBus@feddit.deOP
      link
      fedilink
      Deutsch
      arrow-up
      1
      ·
      1 year ago

      Sollte es wirklich stimmen, dass die Fehlversuche durch Neustart der App bei 2 bleiben, würde es bedeuten, dass die Anzahl der übrigen Versuche nicht auf dem Chip des Ausweises gespeichert werden. Das wäre eine gewaltige Sicherheitslücke, da dann so ein Ausweis durch Bruteforce geknackt werden könnte.

      ja das Verhalten fand ich auch seltsam. Ich könnte mir aber auch vorstellen, dass die App generell buggy ist auf meinem Gerät. Wäre möglich, dass bei den “zusätzlichen” Versuchen gar keine tatsächliche Kontrolle stattfand. Dann hätte der Chip nicht hochgezählt und umgekehrt meldet mir die App einfach nur “falsche PIN”. Womöglich hatte ich ja doch die richtige dabei. :)

      • BlueKey@kbin.social
        link
        fedilink
        arrow-up
        1
        ·
        1 year ago

        das wäre schon echt seltsam.
        Die App muss sich vor jeder Kommunikation mit dem Chip authorisieren, also muss die Pin geprüft werden, und das macht der Chip.
        Wenn die App einfach nach OK-Druck nichts tut, außer so zu tun als ob, wäre das schon fast peinlich.

        Aber hin wie her, ich würde mich @neeeeDanke anschließen, dass du das melden solltest.

  • AlexS@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    1
    ·
    9 months ago

    Ich brauche öfters behördliche Sachen, da ist es eine Erleichterung nicht jedes Mal auf’s Amt zu müssen.

    Die Pin habe ich mir auf einen Blatt notiert, ist ziemlich sicher gegen Hackerangriffe.

    Wurde jetzt umbenannt in AusweisApp und gibt es auch auf F-Droid. Ist quelloffen und funktioniert bei mir immer.

  • Y2K38@lemmy.one
    link
    fedilink
    Deutsch
    arrow-up
    1
    ·
    9 months ago

    Fun fact: Der Rücksetzdienst ist aufgrund des knappen Bundeshaushalts temporär ausgesetzt.

  • neeeeDanke@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    1
    ·
    edit-2
    1 year ago

    (was ist mit der Ausweisapp1 passiert?)

    Bei der AusweisApp handelt es sich nicht um quelloffene Software, welche von unabhängigen Sicherheitsexperten überprüft werden könnte. Dies ist insbesondere vor dem Hintergrund von Sicherheitslücken oder der zunehmenden staatlichen Überwachung (zum Beispiel dem sogenannten „Bundestrojaner“) bedeutsam.

    Am 1. November 2014 wurde die AusweisApp durch die AusweisApp2 abgelöst.

    (Wikipedia)

    und danke für die schöne Tirade, ich habe sie seit Reddit etwas vermisst

  • dauerstaender@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    1
    ·
    edit-2
    1 year ago

    Schön zu sehen das man die PIN eines wichtigen Dokuments einfach unter https://www.pin-ruecksetzbrief-bestellen.de/ zurücksetzen kann. Es gibt bestimmt viele einige Mitbürger die in die gleiche Situation laufen und unter https://www.pin-rucksetzbrief-bestellen.de/ Hilfe finden. Die digitale kompetenz unserer Regierung lässt hoffen dass noch mehr unnötig lange Domains wie https://www.pln-ruecksetzbrief-bestellen.de/ unterhalten werden die sehr einprägsam sind z.B. https://www.pin-ruecksetzbrief.de/ oder https://www.pin-ruecksetzbrief-anfordern.de/. Das weckt die noch jungen Erinnerungen an https://www.einmalzahlung200.de/ (Ist das jetzt die echte? Wer weiß :P).

    PS: Tolle Tirade ich werd dran denken den nächsten Ausweis mit Online Funktion zu bestellen ^^

  • 30p87@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    0
    ·
    1 year ago

    eine PIN die man so gut wie nie braucht, vergisst man leider allzu schnell.

    KeePass, und in diesem Zuge jeder Passwort Manager, kann natürlich auch PINs speichern ü

      • Username@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        0
        ·
        edit-2
        1 year ago

        Komm doch nicht mit KeepassXC, am Ende löscht der seine Datenbank. Er hat in seinem Leben ja noch nicht einmal von Linux gehört.
        Für technisch wirklich unbegabte (tut mir Leid OP, aber den Eindruck erweckst du) Menschen ist z.B. Bitwarden viel komfortabler.

        Und jemand sollte OP darauf hinweisen: Das Passwort für seine Passwortdatenbank ist wichtig. Am besten nicht vergessen (:.

        • EunieIsTheBus@feddit.deOP
          link
          fedilink
          Deutsch
          arrow-up
          1
          ·
          1 year ago

          Für technisch wirklich unbegabte

          hätte mich jetzt eigentlich nicht dazu gezählt, immerhin ist eine sechsstellige Zahl sich merken können nicht wirklich ein technisches Problem

          tut mir Leid OP

          muss es nicht, hast ja vielleicht Recht

          Und jemand sollte OP darauf hinweisen: Das Passwort für seine Passwortdatenbank ist wichtig. Am besten nicht vergessen (:

          Ich weiß schon was ein Passwort Manager ist. Ich benutze sie aber bewusst nicht. Ich sehe nicht wirklich den Mehrwert dahinter alle Zugänge über ein einzelnes Passwort zu verschlüsseln. Da kann ich ja schon fast direkt überall das gleiche Passwort nehmen. Dazu sind die Dinger nicht selten frei von Sicherheitslücken und Features wie auto fill in werden mittlerweile schon von webseiten zum cookie freien tracking ausgenutzt… und naja, was wenn ich das Masterpasswort vergesse oder mir den Finger verbrenne und der sensor nicht mehr mitmacht?

  • RQG@lemmy.world
    link
    fedilink
    Deutsch
    arrow-up
    0
    ·
    1 year ago

    Epischer Post. Habe sehr geschmunzelt.

    Bestätigung für meine Entscheidung analog zu bleiben weil es am Ende eh in derselben oder mehr Arbeit endet gab es gratis dazu.

    • Username@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      1
      ·
      1 year ago

      Ich persönlich finde die AusweisApp2 gerade für behördliche Vorgange sehr praktisch. Auch für Bank, Krankenkasse usw. viel besser als dieses nervige VideoIdent.

      Das einzige, das nervt, ist, dass ich nicht alles mit der offiziellen AusweisApp2 machen kann und wieder eine extra App für PostIdent brauche. Das ist totaler Schwachsinn.

  • Ravi@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    0
    arrow-down
    1
    ·
    1 year ago

    An der Stelle der Tipp das mal an Extra3 zu schicken, die drehen dann vielleicht einen schönen Beitrag daraus (falls du das willst natürlich).

    • Oliver@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      1
      ·
      1 year ago

      Die Frage wäre: was wäre das gewünschte Vorgehen wenn man seine PIN vergessen hat, die dazu da ist die Ausweisfunktion vor unberechtigter Nutzung zu schützen?

      Vermutlich nicht nicht sicherzustellen, dass der Rücksetzbrief in falsche Hände gelangen kann bei der Aushändigung.

      P.S.: PostIdent bei Briefübergabe sollte auch via Postbote an der eigenen Haustüre gehen… wenn die Behörde den Service nutzt. Die Post bietet es jedenfalls an ohne Weg in die Filiale. Zumindest da wo ich wohne. 🤷‍♂️ Ist exakt so passiert, als die Krankenkasse den PIN-Brief zur eGK per Post geschickt hat.