Gewerbliche Anbieter mit Verschlüsselung

[doe]

Dieser Tage habe ich elektronische Vertragsunterlagen von meiner Krankenversicherung per Telefon angefordert.
Die Email enthielt eine HTML-Datei, beim Anklicken öffnete sich eine Registierungsformular.
Darin fest eingetragen meine Emailadresse (hatte ich dem Kundendienstler tel. mitgeteilt sowie meine Versicherungsnummer),
und ich sollte mir ein Passwort vergeben. Die nächste Seite zeigte wieder meine Addy und ein Feld zur Passworteingabe.
Nun öffnete sich die Mail und ich konnte die Unterlagen runterladen.
Die Verbindung war SSL.

Wie sicher ist diese Methode?

Kann jemand ähnliches berichten?

 

[toskala]

Versteh ich das richtig: Du hast das Formular *in* Deinem Mailclient ausgefüllt und es öffnete sich kein eigenes Browser Fenster? Welchen Mailclient nutzt Du denn?

 

[doe]

Die Mail enthielt eine HTML-Datei die mit Anklicken meinen Standardbrowser öffnete, alles weitere lief im Browser.

 

[Inkognito]

Und wo ist da das Problem? Wenn es eine HTML-DATEI war und kein Link, dann hast du diese ausgefüllt, nachdem du alles bestätigt hast wurdest du auf eine Webseite umgeleitet wo du ein PW angeben musstest. Ich verstehe zwar nicht wieso man dir keinen Link geschickt hat aber was soll an dem Verfahren unsicher sein?

 

[doe]

Ist nur eine Frage.

Die Verifikation erfolgte per Geburtsdatum am Telefon.
Leute die mich näher, kennen auch mein Geburtsdatum ...
Die Emailadresse hätte auch eine andere sein können,
wenn jemand eine Addy mit meinem Namen anlegt,
mein Geburtsdatum kennt und dann anruft,
hätte er so Zugriff auf meine Unterlagen erhalten.

Wie sicher ist das im Vergleich zu GPG?

 

[PP Daniel]

@doe: Das kommt ganz drauf an: Wenn die Seite per https aufgerufen wird, kommt dabei vermutlich ein RSA mit 2048bits Schlüssellänge zum Einsatz, das kannst ja im Browser ggf. sehen. Wenn per http (unverschlüsselt), ists so sicher wie ne Postkarte

 

[doe]

SSL hatte ich bereits erwähnt.

Es geht mir um die Verifikation.
Wenn owa beschreibt, wie das im RZ gemacht wird mit GPG,
und hier nur Geburtsdatum und eine frei wählbare Addy.

Mein Gefühl sagt mir, es kann nicht wirklich sicher sein,
vielleicht auch, weil es so unaufwendig war.

 

[PP Daniel]

@doe: Stimmt, das SSL war mir entfallen, ich sehe bei dem Verfahren kein Problem. Ich nehme mal an dass du dich am Tel. schon irgendwie als Kunde mit Nr. xyz oder so verifiziert hast (bekanntes Geheimnis). Wäre doch auch nichts anderes, wenn die dir nun an die bekannte Adresse postalisch etwas zugestellt hätten.

 

[Rudpla]

Wenn bei dem Procedere nirgendwo deine Versicherungsnummer abgeglichen wurde, ist das Verfahren für die Tonne, SSL hin oder her.