Ein Bemerknis zu Wero, dieser angeblichen Alternative zu Paypal.
-
@LyrischerPoet Ey, DU hast behauptet, dass in dem Thread was zum Thema Hashes stehen würde.
Zu deinem Link: da geht es um die IBAN. Hier ist gemeint, dass einige Apps (im Speziellen die ING) dein ganzes Telefonbuch an Wero sendet, um herauszufinden, welche deiner Kontakte den Dienst nutzt, und behauptet dass das kein Problem sei, da ja nur Hashes der Nummern gesendet werden.
Aber auch die Hashes zu allen möglichen IBANs rechnet dir ein Laptop zum Frühstück.
@cybso
Dann ist das wohl eben so - trotzdem nutze ich Wero weiterhin und kein PP.
Über Verschlüsselung, Datenschutz und "Vertrauen" zum Anbieter der benutzten lokalen SW oder SAS brauchen wir nicht wirklich zu diskutieren.
Es ist ebensowenig verständlich, einen "anonymen" Messenger zu nutzen, der allerdings nur mit einer Registrierung per Mail oder Telefonnummer funktioniert
-
@LyrischerPoet Ey, DU hast behauptet, dass in dem Thread was zum Thema Hashes stehen würde.
Zu deinem Link: da geht es um die IBAN. Hier ist gemeint, dass einige Apps (im Speziellen die ING) dein ganzes Telefonbuch an Wero sendet, um herauszufinden, welche deiner Kontakte den Dienst nutzt, und behauptet dass das kein Problem sei, da ja nur Hashes der Nummern gesendet werden.
Aber auch die Hashes zu allen möglichen IBANs rechnet dir ein Laptop zum Frühstück.
@LyrischerPoet Zum Verständnis: Eine deutsche IBAN hat 22 Zeichen. Zwei davon stehen aber schon mal fest, die heißen DE. Zwei weitere Zahlen sind eine Prüfziffer, die sich aus den restlichen 18 Ziffern ergeben. Davon entsprechen 8 der früheren deutschen Bankleitzahl, deren Anzahl ist begrenzt (13877 laut Bundesbank, also praktisch nichts). Bleiben 10 Ziffern, die tatsächlich mehr oder weniger zufällig sind. Und das ist wirklich nicht viel, um daraus nicht eine Rainbow-Table zu berechnen.
-
Aufgrund der zahlreichen Nachfragen hab ich gerade noch mal die überweisende Person gefragt:
Ausgangskonto war die Sparda-Bank, Zielkonto bei der ING (vormals Ing-Diba).
Handynummer der Person mit Ziel-Konto war vorher *nicht* im Adressbuch gespeichert.Nach Eingabe der Handynummer in der BankingApp kam dann direkt: Du möchtest also Geld auf diese Bankverbindung überweisen: [Angabe IBAN, Angabe voller Name beider Kontoinhaber*innen]?
@catrinity Wero ist im Prinzip nur ein Vermittlungsdienst, aber: *Vor* einer Zahlung sollte das nicht angezeigt werden. Wenn das so war, sollte man sich bei Bank und Wero beschweren. *Während* einer Zahlung (es ist eine normale SEPA Inst. Zahlung) muss der Empfängername abgeglichen werden, und dazu muss es einen Namen geben, der abgeglichen werden kann. Da man nur die Handynummer hat, kann der nur von Wero kommen. *Nach* der Zahlung sieht man IBAN und Name im Kontoauszug.
Das sind aber auch Gründe, warum ich den Vorteil nicht sehe. Ich kann mir auch einen QR Code erstellen mit meiner Kontoverbindung, der dann von einer Banking App eingelesen werden und für eine Echtzeitüberweising genutzt werden. Insbesondere Online-Händler könnten das sehr einfach tun.
-
@cybso
Dann ist das wohl eben so - trotzdem nutze ich Wero weiterhin und kein PP.
Über Verschlüsselung, Datenschutz und "Vertrauen" zum Anbieter der benutzten lokalen SW oder SAS brauchen wir nicht wirklich zu diskutieren.
Es ist ebensowenig verständlich, einen "anonymen" Messenger zu nutzen, der allerdings nur mit einer Registrierung per Mail oder Telefonnummer funktioniert@LyrischerPoet "Über Verschlüsselung, Datenschutz und "Vertrauen" zum Anbieter der benutzten lokalen SW oder SAS brauchen wir nicht wirklich zu diskutieren."
Doch, genau DAS müssen wir diskutieren, denn Wero wird oder wurde mit dem versprechen angekündigt, eine datenschutzfreundliche Alternative zu sein. Und das stimmt eben höchstens in Bezug auf den Anbieter, dem Nutzer gibt sie sogar mehr Preis als Paypal. Spätestens auf dem Kontoauszug steht dann die IBAN im Klartext.
-
@LyrischerPoet "Über Verschlüsselung, Datenschutz und "Vertrauen" zum Anbieter der benutzten lokalen SW oder SAS brauchen wir nicht wirklich zu diskutieren."
Doch, genau DAS müssen wir diskutieren, denn Wero wird oder wurde mit dem versprechen angekündigt, eine datenschutzfreundliche Alternative zu sein. Und das stimmt eben höchstens in Bezug auf den Anbieter, dem Nutzer gibt sie sogar mehr Preis als Paypal. Spätestens auf dem Kontoauszug steht dann die IBAN im Klartext.
@LyrischerPoet Paypal hat übrigens noch nie um Zugriff auf mein Adressbuch gefordert, im Gegenteil, ich brauche dafür noch nicht einmal eine App
-
@catrinity Die meisten Shops die ich kenne nehmen auch IBAN/Lastschrift. Das besondere an PayPal ist ja auch der Käuferschutz. Den gibt es nicht bei WERO. Also alles in allem wieder ein riesen Ding aufgezogen ohne zu wissen was man eigentlich ersetzt.
@chris @catrinity Man hätte einfach bei Giropay bleiben sollen. Hat doch bestens funktioniert.
-
@LyrischerPoet Zum Verständnis: Eine deutsche IBAN hat 22 Zeichen. Zwei davon stehen aber schon mal fest, die heißen DE. Zwei weitere Zahlen sind eine Prüfziffer, die sich aus den restlichen 18 Ziffern ergeben. Davon entsprechen 8 der früheren deutschen Bankleitzahl, deren Anzahl ist begrenzt (13877 laut Bundesbank, also praktisch nichts). Bleiben 10 Ziffern, die tatsächlich mehr oder weniger zufällig sind. Und das ist wirklich nicht viel, um daraus nicht eine Rainbow-Table zu berechnen.
Gut, dann wäre das auch geklärt.
Dann sollte aber auch jede Bank (insbesondere die ING) darauf hingewiesen werden, dass es hier wohl potentielle Sicherheitslücken in ihrer Software (Banking App) gibt.
️ -
@LyrischerPoet Paypal hat übrigens noch nie um Zugriff auf mein Adressbuch gefordert, im Gegenteil, ich brauche dafür noch nicht einmal eine App
@cybso
Dann habe ich tatsächlich etwas falsches verbreitet, was ich so gehört habe - also tatsächlich Fake News 🫣Dass auf dem Kontoauszug die IBAN steht, steht auch nicht zur Debatte.
-
Gut, dann wäre das auch geklärt.
Dann sollte aber auch jede Bank (insbesondere die ING) darauf hingewiesen werden, dass es hier wohl potentielle Sicherheitslücken in ihrer Software (Banking App) gibt.
️@LyrischerPoet das wurde schon von vielen Seiten bemängelt, aber wird zum einen von den Banken nicht ernstgenommen und liegt zum anderen am Design von Wero, da es im Hintergrund nur eine Schnittstelle für ganz normale Echtzeitüberweisungen auf IBAN-Basis ist.
-
Gestern hier Spieleabend, Essen bestellt, einer hat alles bezahlt und der Rest wollte den eigenen Anteil bezahlen, also die typische Situation, für die man so was Paypal-ähnliches brauchen kann.
Person A und Person B haben beide Wero aktiviert. Person A gibt Handynummer von Person B in der Banking-App ein - und sieht dann sofort: IBAN, vollen Namen von Person B und noch vollen Namen von Person C als weiterer Kontoinhaber*in.
Ohne was bezahlt zu haben, nur mit Eingabe der Handynummer. 2/
@catrinity Bei mir läuft Wero in der VR-Banking-App. Ich habe es ein paar Mal für Spenden benutzt: QR-Code scannen, Betrag eingeben, bestätigen, fertig - einfach nutzbar, hat mir gefallen.
Datenschutzmäßig ist mir dabei nichts negatives aufgefallen. Vermutlich implementieren aber unterschiedliche Banken das auch unterschiedlich.
Ob es wirklich besser ist, Paypal die ganzen Daten zu überlassen, ist dann wieder eine andere Frage
-
@LyrischerPoet das wurde schon von vielen Seiten bemängelt, aber wird zum einen von den Banken nicht ernstgenommen und liegt zum anderen am Design von Wero, da es im Hintergrund nur eine Schnittstelle für ganz normale Echtzeitüberweisungen auf IBAN-Basis ist.
@cybso
Wahrscheinlich gehöre ich zu den wenigen, die eine Kombination von IOS und VR-App haben, die gut konfigurierbar und funktionell sind.
Mir ist es sowieso schleierhaft, warum jede Bank ihre eigene App braucht, jede irgendwoanders zusammengeschustert oder gefrickelt wird, statt sich gemeinsam auf bereits bewährtes zu einigen und Ressourcen zu bündeln, statt sie zu verschwenden.
Aber warum soll etwas im kleinen funktionieren, wenn die Politik jeden Tag etwas anderes vorlebt -
@cybso
Dann habe ich tatsächlich etwas falsches verbreitet, was ich so gehört habe - also tatsächlich Fake News 🫣Dass auf dem Kontoauszug die IBAN steht, steht auch nicht zur Debatte.
@LyrischerPoet Ich erinnere mich an eine Diskussion, die ich mit @SheDrivesMobility zu Beginn hatte, als sie Wero als Spendenalternative zu Überweisungen betrachtet hat um ihre IBAN eben gerade nicht veröffentlichen zu müssen. Und diesen Eindruck haben die Macher von Wero auch gemacht, aber effektiv sind Personen, die darauf vertraut haben, damit voll in die Falle gelaufen.
-
Gut, dann wäre das auch geklärt.
Dann sollte aber auch jede Bank (insbesondere die ING) darauf hingewiesen werden, dass es hier wohl potentielle Sicherheitslücken in ihrer Software (Banking App) gibt.
️@LyrischerPoet @cybso Die ING wurde bereits mehrfach auf "Schwierigkeiten", insbesondere mit ihrer Wero-Implementierung, aufmerksam gemacht. Leider reagieren die auf so was erfahrungsgemäß eher wenig souverän.
-
@cybso
Wahrscheinlich gehöre ich zu den wenigen, die eine Kombination von IOS und VR-App haben, die gut konfigurierbar und funktionell sind.
Mir ist es sowieso schleierhaft, warum jede Bank ihre eigene App braucht, jede irgendwoanders zusammengeschustert oder gefrickelt wird, statt sich gemeinsam auf bereits bewährtes zu einigen und Ressourcen zu bündeln, statt sie zu verschwenden.
Aber warum soll etwas im kleinen funktionieren, wenn die Politik jeden Tag etwas anderes vorlebt@LyrischerPoet das ist ein weiterer Designfehler von Wero. Sie hätten den Banken niemals erlauben dürfen, die offizielle Wero-App für ihre Kunden auszuschließen.
-
@LyrischerPoet Ich erinnere mich an eine Diskussion, die ich mit @SheDrivesMobility zu Beginn hatte, als sie Wero als Spendenalternative zu Überweisungen betrachtet hat um ihre IBAN eben gerade nicht veröffentlichen zu müssen. Und diesen Eindruck haben die Macher von Wero auch gemacht, aber effektiv sind Personen, die darauf vertraut haben, damit voll in die Falle gelaufen.
Es sollte doch zu umgehen sein, wenn ein QR-Code oder ein Link verwendet wird - habe ich persönlich noch nicht ausprobiert - werde es aber nächste Woche nachholen um Geld für's Bowling zu kassieren. (Die Teilnehmenden besitzen übrigens alle Wero)
-
Es sollte doch zu umgehen sein, wenn ein QR-Code oder ein Link verwendet wird - habe ich persönlich noch nicht ausprobiert - werde es aber nächste Woche nachholen um Geld für's Bowling zu kassieren. (Die Teilnehmenden besitzen übrigens alle Wero)
@LyrischerPoet Nein, auf dem Kontoauszug steht hinterher die IBAN. Selbst wenn deine Bank nicht so nett wie die vom OP ist, dir die IBAN direkt im Klartext anzuzeigen, kennst du sie spätestens nachdem du eine Spende getätigt hast.
-
@forthy42 @Life_is @catrinity @doppelgrau Es gibt nur 13000 BLZ laut der Bundesbank. Also haben wir irgendwie 2^47 Kombinationen. Ja, nicht an einem Abend, aber doch machbar.
@waldi @Life_is @catrinity @doppelgrau Wenn du nur die großen Banken machst, bist du schnell fertig, und das würde bei den meisten Leuten schon funktionieren.
-
@LyrischerPoet das ist ein weiterer Designfehler von Wero. Sie hätten den Banken niemals erlauben dürfen, die offizielle Wero-App für ihre Kunden auszuschließen.
Ich bin davon ausgegangen, dass Banken wählen konnten - aber wie bereits erwähnt, hatten zumindest einige VR-Banken ja schon Kwitt integriert - da wieder auszusteigen wäre wahrscheinlich kostspielig gewesen - zudem haben die ja Atruvia mit involviert, was ich von anderen Banken allerdings nicht weiß
-
Ich bin davon ausgegangen, dass Banken wählen konnten - aber wie bereits erwähnt, hatten zumindest einige VR-Banken ja schon Kwitt integriert - da wieder auszusteigen wäre wahrscheinlich kostspielig gewesen - zudem haben die ja Atruvia mit involviert, was ich von anderen Banken allerdings nicht weiß
@LyrischerPoet Ich finde es ja OK, wenn die Banken die Möglichkeit haben, den Dienst in ihre eigene App zu integrieren (wobei Wero hier strengere Designvorschriften machen sollte). Aber zumindest bei der ING ist es so, dass du die Wero-App als ING-Kunde auch gar nicht benutzten kannst, du wirst immer auf die ING-App verwiesen. Und das ist komplett unnötig.
-
@catrinity Bei mir läuft Wero in der VR-Banking-App. Ich habe es ein paar Mal für Spenden benutzt: QR-Code scannen, Betrag eingeben, bestätigen, fertig - einfach nutzbar, hat mir gefallen.
Datenschutzmäßig ist mir dabei nichts negatives aufgefallen. Vermutlich implementieren aber unterschiedliche Banken das auch unterschiedlich.
Ob es wirklich besser ist, Paypal die ganzen Daten zu überlassen, ist dann wieder eine andere Frage
Da hast du recht, mit dem Unterschied, dass ich Paypal halt schon habe, Kind, Brunnen, diesdas. ^^ Und es hat halt noch Käuferschutz, der auch ein Vorteil sein kann. Ob ich mir da heute noch mal einen Account anlegen würde, weiß ich auch nicht.
Aber Wero ist derzeit für mich keine Alternative leider.
