1. Apple Pay in Deutschland mit boon. (Juli 2017)

    Apple Pay in Deutschland, mit boon. aus Frankreich

    Premise

    Meine Frustration, dass Apple Pay nicht in Deutschland verfügbar ist, ist über die letzten Jahre gestiegen. Ich bin jemand, der ungerne Münzgeld mit sich herumträgt und ich mag diese Geldbeutel nicht, die nach riesigen, aufgeblähten Fröschen aussehen. Nachdem ich zur WWDC 2017 wieder nichts von einem Deutschlandstart gehört habe (long shot, ich weiß), dachte ich, ich hör mich nochmal um, wie hoch derzeit die Hürden sind, in Deutschland Apple Pay zum Laufen zu bekommen. Es stellt sich heraus, seit dem Start in Frankreich (Anfang 2017) und Support der boon-Prepaid-Karte: gar nicht mehr so hoch! Und es gibt recht viele Anleitungen online, allerdings mit zum Teil variierenden Instruktionen. Ich will hier kurz meine Erfahrungen niederschreiben, dass andere nicht die gleichen Fehler machen.

    Ich habe viel gelesen, aber hauptsächlich die Anleitungen von Markus Jasinski und chip.de genutzt. Der Ablauf ist ungefähr so:

    • Französische Apple-ID erstellen (Am besten versuchen, eine kostenlose App zu laden, sonst gibt es keine Möglichkeit, ohne Bezahldaten anzulegen. Einfach ausloggen, im App Store das Land auf Frankreich stellen, boon suchen)
    • Die boon. App aus dem französischen App Store laden
    • iPhone-Region (Sprache kann bleiben) auf Frankreich/France stellen
    • In der boon. App einen Account anlegen, mit der eigenen Telefonnummer und realen Daten
    • Die boon. Karte über den Button in der App zu Apple Wallet hinzufügen
    • Am besten direkt per Überweisung etwas Geld auf die Karte laden (Ich habe 20 Euro überwiesen. Das ist gebührenfrei, aber dauert 1-2 Tage)
    • Das boon. Konto zweimal hochstufen, zuerst auf Basic, dann auf Plus (Nur mit Plus kann man in Deutschland bezahlen! Basic funktioniert nur in eurem “Heimatland”, Frankreich). Dafür die echten, eigenen Adressdaten verwenden und eine Emailadresse, von der man versenden kann. Das ist wichtig, denn beim Hochstufen auf Plus muss man ein paar Fotos machen und die übertragen oft nicht richtig, das heisst, man muss sie per Email nachreichen, wenn man aufgefordert wird und der Support kooperiert nur, wenn man von der angegebenen Emailadresse schreibt. Leider dauerte die Korrespondenz mit dem Support bei mir oft viele Stunden bis mehrere Tage.
    • Wenn das soweit geklappt hat, kann man die Region im iPhone zurückstellen und sich im App Store wieder mit seiner eigenen Apple ID einloggen.
    • Abwarten, bis sowohl das Geld auf der Karte angekommen ist, als auch das Konto auf Plus hochgestuft wurde.
    • Wenn Geld da ist und der Account auf Plus steht, kann man einkaufen. Ich teste nach und nach die Unterstützung bei Läden in Mannheim. Apfel.cash hat da eine ganz schöne Liste, zu der ich beitragen werde.

    Fallstricke

    Ich habe bei der Registrierung einige dumme Fehler gemacht, die ihr vermeiden könnt.

    • Die App hat bei mir am Anfang gemeckert, es gebe in meinem Land nur Support auf Android Handys und ich konnte keinen Account erstellen (“Sign up”). Ich dachte, ich kann das austricksen, indem ich für die Registrierung das Handy einer Freundin benutze, was auch geklappt hat, ich hatte einen Account und konnte mich danach am iPhone damit einloggen. Allerdings liess sich aus diesem Account nie die Karte zu Apple Wallet hinzufügen, was die ganze Arbeit sinnlos gemacht hat. Nachdem ich mit dem boon.-Support telefoniert und geemailt hatte, war klar, dass sie meinen Account würden löschen müssen. Die Freundin hatte die App aus dem deutschen Google Play Store geladen und damit die Registrierung gemacht. Das hat meinen Account als “deutsch” markiert oder sowas. Wenn der Account als deutsch gilt, gibt es keinen Support für Apple Pay (siehe Bild am Ende des Artikels) und das lässt sich auch nicht umstellen von deren Seite aus. Man MUSS vom iPhone mit Region “Frankreich” aus registrieren, damit der Account als französisch gilt und Apple Pay freigeschaltet ist. (Ende der Geschichte, der Support hat mein Konto gelöscht, hat 2 Tage gedauert. Dann bekam ich Bescheid und konnte von vorne anfangen; diesmal erfolgreich.)
    • Das Hochstufen auf Plus ist mega verbuggt in der App. Ich habe Reisepass und Personalausweis verwendet und beide Male, die ich das machen musste, kam die Perso-Rückseite nicht an. Jeweils meldete sich der Support am nächsten Tag mit der Bitte, die Rückseite nachzureichen. Nicht so toll über Email. Ich wünschte, es gäbe dafür einen Weg in der App, fehlende Dokumente zu ergänzen.
    • Aufladen per Kreditkarte (am Anfang war ich sehr ungeduldig) kostet Gebühren und erfordert 3d-Secure aka. Verified by VISA. Das musste ich bei meinem Kreditkartenunternehmen erst aktivieren lassen und das hat wieder 2 Tage gedauert. Beantragt das rechtzeitig vorher, oder macht per Überweisung!
    • Der boon.-Support kommuniziert nur über die Emailadresse mit euch, die in der App registriert ist. Aliasadressen wie hans.wurst+boon@gmail.com wirken wie eine schlaue Idee, aber man muss hier leider darauf verzichten.
    • Der boon.-Support war trotz all des Ärgers sehr kooperativ und hat mir geholfen. Manchmal ging die Korrespondenz innerhalb von 20 Minuten hin und her, aber in der Regel muss man auf eine Antwort jeweils einen Tag warten. Das ist blöd, denn das Hochstufen auf Plus dauert eh schon 1-2 Tage, dann bekommt man die Email, dass die Perso-Rückseite fehlt. Wenn man die schnell hinschickt, dauert es trotzdem nochmal 1-2 Tage zusätzlich. Von der “Stunde”, die in den Anleitungen erwähnt ist, konnte ich nur träumen.
    • Ich habe ein paar dumme Fehler gemacht, aber jetzt geht alles. Ich bin sehr glücklich. Wenn Apple Pay demnächst normal in Deutschland startet (Daumen drücken!) kann man sich die Aufladerei der Karte sparen und das boon.-Konto löschen, um die 12 Euro Gebühr zu sparen. Aber das erstaunte Gesicht der Kassierer ist es für den Moment auf jeden Fall wert.

    Apple Pay in Deutschland, mit boon. aus Frankreich, Probleme

  2. Passworthandling in Unternehmen X (Rant)

    Im Nachfolgenden ein geschwärzter Auszug einer Email, die ich kürzlich als Anregung an einen Auftraggeber gesendet habe. Ich wollte gerne meine Gedanken zum Passworthandling für die Nachwelt festhalten.

    Zum [Zeitpunkt X] trage ich [Daten X] in die [Website von Firma X] ein. Seit beinahe 10 Jahren klappt das, indem ich meinen Benutzernamen und das Passwort auf der Seite in die dafür vorgesehenen Felder eintrage. Letzte Woche war das anders und die Seite verweigerte mir die Anmeldung mit der Behauptung, ich hätte ein falsches Passwort eingegeben.

    Ich war zunächst erstaunt, da ich ein Passwort-Manager-Programm verwende, und ich solche Anmeldeformulare quasi über Kopieren-Einfügen ausfülle. Tippfehler passieren da nicht. Daher dachte ich, das Passwort wurde vielleicht anderweitig zurückgesetzt. Auf der Login-Seite begab ich mich auf die Suche nach einem “Passwort zurücksetzen”-Link: Fehlanzeige. Dieser durchaus übliche Mechanismus hätte mir eventuell erlaubt, über eine Emailadresse, die mit meinem Benutzernamen im [Backend-System von Firma X] hinterlegt ist/wäre, ein neues Passwort generieren zu können. Nach einiger vergeblicher Suche auf den Seiten der [Firma X] wurde mir klar, dass ich in der [IT von Firma X] würde vorstellig werden müssen.

    Als ich in der [IT von Firma X] meinen Fall schildere, wird mir der Vorschlag unterbreitet, ein neues Passwort für meinen Benutzernamen festzulegen. Ich nehme an, dass man damit typischerweise 90% der Fälle “Ich kann mich nicht anmelden” lösen kann, weil Leute wirklich ihr Passwort vergessen haben. In meinem Fall glaubte ich nicht daran, weil mein Passwort wie gesagt schriftlich festgehalten ist.

    Die Person in [IT von Firma X] lässt mich also über eine Eingabemaske an ihrem Rechner ein neues Passwort für meinen Account eintragen. Ich werde über die Anforderungen unterrichtet: Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben – alle erforderlich. Wer denkt sich denn on-the-spot ein solches Passwort aus und merkt es sich? Und dann kommt es: Mindestlänge 5 Zeichen. Wie bitte? Wie geht das denn zusammen? Auf der einen Seite bemüht man sich, vermeintlich “sichere” Passwörter erstellen zu lassen, auf der anderen Seite beginnt man schon mit viel zu kurzen Strings! Ein Passwort von 5 Zeichen zu knacken dauert 2017 gerade mal anderthalb Minuten, wenn man der Website glauben darf: https://www.betterbuys.com/estimating-password-cracking-times/
    Möchte man, dass Leute sichere Passwörter herstellen, könnte man also die Mindestlänge erhöhen.

    Für den Versuch, meinen Account zu reparieren, war das alles nicht so wichtig. Ich liess mein Programm ein zufälliges Passwort mit 5 Stellen generieren und die Person in [IT von Firma X] liess mich einen neuen Versuch machen, mich auf der Website einzuloggen. Wieder Fehlanzeige. Sichtlich verblüfft, verliess sie den Raum, um mit den Leuten zu sprechen, die anscheinend für den technischen Unterbau verantwortlich sind. Es gebe wirklich ein Problem mit meinem Benutzerkonto, hiess es wenige Minuten später. In der Zwischenzeit war im Zimmer eine zweite Person eingetroffen, die offenkundig das selbe Problem hatte wie ich. Es lag nahe, dass der Fehler bei [IT von Firma X] lag.

    In der Tat kam wiederum ein paar Minuten später der Hinweis, wir sollten es noch einmal versuchen. Die Vermutung war, dass es ein Problem in der Access-Datenbank gegeben habe und unter Umständen die Tabellenspalte der Passwörter per Autkorrektur verändert wurde (Erster Buchstabe Großschreibung?), was natürlich Logins unmöglich machte. Aber darüber weiss ich nicht viel. Warum das genau jetzt passiert ist, bleibt für mich wohl immer ein Rätsel.

    Wir versuchen also erneut, ein neues Passwort anzulegen und mich damit einzuloggen – ich kenne ja mittlerweile den Drill. Resultat: Erfolg! Der Fehler ist also behoben. Allerdings möchte ich nicht “Ab12.” als mein permanentes Passwort behalten und bitte darum, ob ich mein Passwort nochmals ändern dürfe.

    Weil ich mir in meiner Freizeit und beruflich (zu?) viele Gedanken über Passwortsicherheit mache, möchte ich diesmal ein gutes wählen. https://xkcd.com/936/ kommt mir sofort in den Sinn: es kommt beinahe nur auf die Länge des Passworts an. Kurze Passwörter, die trotzdem die Anforderungen von [IT von Firma X] erfüllen, sind nahezu umöglich zu merken aber trotzdem leicht zu knacken (niedrige Entropie). Ich lasse also mein Programm ein langes Passwort aus 4 einfachen Begriffen erzeugen, etwa 35 Zeichen lang – sicher für die mittlere Zukunft. Das letzte Wort ersetze ich durch Grossbuchstaben und Zahlen, die ich mir merken kann, um die Anforderungen zu erfüllen. Tippen liess es sich schnell und leicht. Der Mitarbeiter von [IT von Firma X] bedeutet mir, den Speichern-Knopf zu drücken. Aber was ist das? Fehler! Das Passwort darf maximal 20 Zeichen lang sein!

    Warum das denn bitte?! Die 5 Zeichen Mindestlänge (und die Access-Datenbank) hätten mich schon stutzig werden lassen sollen. Hier waren Scharlatane am Werk, die darauf aus sind, es nahezu unmöglich zu machen, irgend-geartete sinnvolle Passwörter anzulegen. Warum die Zeichenlänge begrenzen? Was ist der potentielle Schaden? Das einzige, was mir einfiel, war, dass es vielleicht um Speicherplatz ging. Aber dann wurde mir sehr schnell angst und bange: So denkt nur jemand, der Passwörter im Klartext in einer Datenbank ablegt! Der Super-GAU. (Wenn man mal kurz überschlägt, wie viel Platz eine 256 Zeichen lange Passwortspalte benötigen würde, kommt man selbst bei 50000 Accounts auf gerade etwa 13MB, wenn jeder Account die vollen 256 Zeichen nutzen würde. Das wirkt recht vertretbar in meinen Augen. Mit Datentypen wie VARCHAR liesse sich sicher noch Platz einsparen. Nicht jeder macht lange Passwörter.)

    Jede halbwegs vernünftige Person würde Passwörter aber als Hash-Wert abspeichern; und die haben eine fixe Länge, je nach Algorithmus. Selbst wenn in [IT von Firma X] das recht moderne SHA-256 verwendet würde, um Passwörter zu hashen, hätten die Passworthashes nur eine Länge von 64 Zeichen. Gerade mal 3.5MB bei 50000 Accounts. Wirkt doch vertretbar. Ältere Algorithmen (was ich mir bei [Firma X] leider auch vorstellen könnte) wären sogar noch kürzer.

    Was mich ebenfalls etwas beunruhigt ist, dass die Vermutung mit der Autokorrektur, die die Passwörter korrumpiert hat, bei Hashes egal gewesen wäre. Die kann man vor dem Vergleich mit dem eingegebenen Passwort einfach auf upper- oder lowercase normalisieren. Mein Verdacht mit den Klartextpasswörtern erhärtet sich.

    Um zu meinem Fall zurückzukommen: ich kann mich wieder einloggen. Danke. Ich war allerdings der Ansicht, dass, wenn es schon keine Möglichkeit gibt, mein Passwort über Email zurücksetzen zu lassen (Reset password link), es sicher im eingeloggten Zustand in der Oberfläche des Website eine Möglichkeit gibt, das eigene Passwort zu ändern. Wieder zuhause mache ich mich auf die Suche danach. Wieder Fehlanzeige. Für die Änderung des Passworts muss man wieder zur [IT von Firma X]. Wen wundert das noch?



    Meine Empfehlung an die [IT von Firma X] war:

    • – die Mindestlänge für Passwörter auf 10 Zeichen anheben.
    • – die Maximallänge für Passwörter auf 256 (oder mehr?) Zeichen erhöhen.
    • – auf der [Website] einen “Passwort vergessen?”-Link einführen, der das zurücksetzen des Benutzerpassworts über eine eventuell hinterlegte Emailadresse erlaubt.
    • – auf der eingeloggten [Website] eine Möglichkeit vorsehen, das eigene Passwort direkt zu ändern.
    • – Bonus: veröffentlichen, wie der prinzipielle Umgang mit Passwortdaten in den Datenbanken von [Firma X] ist und auf welche Weise sie hinterlegt sind.
  3. Apple San Francisco Pro Icons

    Apple’s switch of fonts on its website from Myriad to San Francisco is in the news today. Something in John Gruber’s post about the topic got me interested: the mention of not only the known San Francisco weights, but also a font file called SFPro Icons.

    I worked some simple typography magic and made a surprising unsurprising discovery: the file contains various icons used throughout apple.com. Shocking, I know. But I’m posting a screenshot here anyway, for science.

    Apple San Francisco Pro Icons webfont