Ich bin ja im Moment auf einem Projekt im Online-Zahlungsverkehr. Derzeit beschäftige ich mich hauptsächlich mit Kundenauthentifizierung. Die Anforderungen, die einem da auf den Tisch gelegt werden, da gruselt es dir als Kunde.
Um mal etwas zu kundenanonymisieren. Sagen wir, wir identifizieren den Kunden anhand seiner Telefonnummer. Die Telefonnumer prüfen wir bspw. per SMS. Das kennen die meisten als SMS-Tan-Schwachsinn.
Jetzt kann so 'ne Telefonnummer aber den Besitzer wechseln und das geht bisweilen echt schnell, vor allem in anderen Ländern.
Jetzt hab ich einen Nutzer, der gerade eine Telefonnummer verifiziert, die ich schon kenne. Wegen Multi-Faktor-Auth weiß ich aber, dass das nicht der Typ ist, den ich kenne. Aber irgendwie muss ich ihm ja erlauben, seine Telefonnummer zu nutzen, die hat er schließlich verifiziert. Also wäre jetzt die Variante, die einfach ist und den Nutzer nicht überrascht: Der kriegt einen Account, mit seiner Telefonnummer aber ohne irgendwelche Daten, also einen ganz neuen.
Nun kommen da so Gestalten aus den Bankgebäuden gesprungen: "Ja, aber wenn der alte Nutzer kommt dann brauch der ja seinen Account.", "Da kommt kein alter Nutzer, der kriegt die MFA nicht mehr hin.", "Ja, aber da kann er uns ja anrufen, dann schalten wir ihm das wieder frei.", "Woher wisst ihr denn, dass das wirklich der alte Nutzer ist, der legitim Zugriff auf den Account hat.", "Na der hat ja den anderen Authentifzierungsfaktor.", "Ah, also habt ihr keine MFA mehr, ich glaub, das ist regulatorisch untersagt.", "Aber..." und so drehen wir uns noch ein paar Stunden im Kreis. Irgendwann endet es mit "Ich brauch dafür eine Risikofreigabe." und der Scheiß eskaliert die Mangementstufen nach oben.
