ibims6d ago
Wieso hypen eigentlich alle #Wero, wenn die App zwingend Zugriff auf alle Kontakte verlangt? Das habe ich hier jetzt schon öfters gelesen. Das ist doch ein Nogo...
Show threadClaudius4d ago
@ibims beschwer' dich bei deiner Bank, denn #Wero selbst braucht das nicht. Das ist eine Eigenheit zB der ING, dass deren App das fordert.
Show threadJürgen 𐐘4d ago
@claudius @ibims Nur so am Rande: Falls eure Banking App Zugriff auf eure Kontakte möchte. Der Abgleich, ob einer eurer Kontakte Wero hat geschieht identisch zu dem Verfahren vom Signal Messenger. Es werden nur Hashes (also eine Art Checksum) der Email Adressen und Telefonnumern übertragen. Falls ihr also im Allgemeinen bereit wart Signal den Zugriff zu geben, um zu sehen, mit wem ihr kommunizieren könnt, dann könnt ihr das auch bei Wero machen.
Show threadClaudius4d ago
@juergen @ibims die Empfehlung finde ich unangemessen. Signal ist Open Source, und man kann verifizieren, was sie mit dem Adressbuch machen. Signal hat weitere Mechanismen, die deutlich über Industriestandard sind ("Zero Knowledge Contact Discovery") - ich Wette, dass Banken *nicht* auf diesem Level arbeiten.
Show threadJürgen 𐐘
@claudius @ibims Die Wette kann keiner von uns beiden gewinnen weil wir es nicht wissen. In so fern hast du recht.
Ich will aber trotzdem darauf hinweisen, dass eben lt. Wero die notwendigen Kontaktdaten eben nicht im Klartext transferiert oder gespeichert werden. Bei vielen Banken kann man ja auch darauf verzichten das Adressbuch freizugeben. Ist ja eh nur eine Komfortfunktion.
Apr 10 at 6:50amWeb
Show threadClaudius4d ago
@juergen @ibims in die Richtung, finde ich, sollten wir halt auch Druck machen. Es ist Komfort (den ich niemandem nehmen will), es muss optional sein.
Show threadJürgen 𐐘4d ago
@claudius @ibims Ja was soll ich sagen, ich bin halt bei Banken die das nur optional wollen. Da kann ich schlecht Druck machen.
Was hier passiert ist, dass Wero konsequent schlecht geredet wird. Resultat wird dann sein, dass die Menschen lieber bei PayPal bleiben.
Show threadFrederik4d ago
@juergen @claudius @ibims und deshalb: Bei der (eigenen) Bank anmeckern, dass einem die Umsetzung von wero missfällt.
Ich bin in der vierten Runde 💪 mit dem Support der Bank. Wer bietet mehr 😉?
#ING #wero
Show threadbijram4d ago

@juergen @claudius @ibims

Die Dinger nicht im Klartext zu übertragen ist halt absolutes Minimum.

Hashes von Telefonnummern mittels Rainbow Tables wieder aufzulösen ist nicht gerade kompliziert, speziell weil du ja einen Großteil des Zahlenraumes kennst: Fängt mit +43 (AT) oder +49 (DE) an, dann kommen 3 Zahlen, die durch die limitierte Anzahl von Anbietern sehr eingeschränkt sind (664, 699, 676,...) und der Rest ist eben auch keine "Zufallszahl"

Show threadJürgen 𐐘4d ago
@bijram @claudius @ibims Ja, wenn man kein Salting verwendet schon.
Show threadClaudius4d ago

@juergen @bijram @ibims Salt hilft bei Passwörtern, hier leider aber nicht. Damit Du die Nummern woanders zusammen puzzlen kannst, muss das Salt ja auch das Gleiche sein, und damit hast Du dann trotzdem nur die erwähnten wenigen Stellen (sagen wir mal 1 Billionen Kombinationen für eine naive 12-stellige Telefonnummer).

Eine GTX5090 macht 5-10 Milliarden Hashes pro Sekunde (SHA512), du kannst den gesamten Nummernraum also in vier Minuten durchnudeln und einen Rainbow-Table aufbauen.

Show threadJürgen 𐐘4d ago
@bijram @claudius @ibims Hier noch ein Link zum Thema. Kuketz hat ja schon ein gewisses Ansehen: https://www.kuketz-blog.de/wero-europaeisches-bezahlen-mit-datenschutz-fokus-nun-auch-auf-dem-kuketz-blog/
Wero: Europäisches Bezahlen mit Datenschutz-Fokus – nun auch auf dem Kuketz-Blog

Mit Wero entsteht ein europäischer Bezahldienst, der sich bewusst an datensparsamen Prinzipien orientiert. Die Zahlungen laufen als SEPA-Echtzeitüberweisungen direkt zwischen…