Ich möchte hier einen anekdotischen Hinweis geben, um eventuell manchen vor einer leidvollen Erfahrung zu bewahren.
Ich benutze ein Google Pixel 6a mit GrapheneOS.
Nach diversen Hinweisen hier im Forum habe ich vor kurzem — problemlos und erfolgreich— von physischer SIM auf eSIM umgestellt.
Außerdem habe ich das Duress-Passwort gesetzt.
Ich habe ein System-Passwort von etwas größerer Komplexität. Für den Alltag nutze ich den Fingerprintreader mit einem zusätzlichen Passwort geringer Komplexität als 2FA. Außerdem ist wie erwähnt ein Duress-Passwort gesetzt, welches auch von geringer Komplixität ist und so gewählt ist, dass man es bei Kenntnis meiner biographischen Daten erraten könnte (dies ist explizit so beabsichtigt!).
Nun habe ich vor kurzem bei der Entsperrung meines Gerätes, um zu testen, wann es locked, etwas „herumgedaddelt“. Dabei habe ich quasi in geistiger Umnachtung tatsächlich das Duress-Passwort eingegeben. Es hat funktioniert: ruckzuck erfolgte ein Boot und das System war zurückgesetzt.
So war auch meine eSIM (wie eigentlich auch beabsichtigt) gelöscht. Um eine neue zu beantragen habe ich mich ins Kundenkonto meines Providers, i.e. o2, eingeloggt. Bei o2 erfolgt 2FA normalerweise per SMS (schon mal nicht so gut…!). Da ich hierauf keinen Zugriff hatte, habe ich alternatives 2FA gewählt: dies war ein Code per E-Mail (auch ziemlich schlecht…!). Der Weg per E-Mail ist verfügbar, wenn eine E-Mail Adresse hinterlegt ist UND diese vorher bereits bestätigt wurde. Allerdings funktionierte dies nicht für die Beantragung einer neuen eSIM! Hier gab es dann die Möglichkeit: QR-Code per Postversand innerhalb von 3-5 Werktagen. Außerdem wäre noch die Postlaufzeit zu bedenken… Die Alternative ist: Freischaltung in einem o2-Shop. hierzu muss man sich ausweisen. Bei mir wurde nicht (wie vermutet) der Personalausweis kontrolliert, sondern meine bei o2 hinterlegte Bankverbindung geprüft (auch nicht wirklich gut…!). Danach bekam ich dann einen Ausdruck mit QR-Code. Mit diesem habe ich dann in meinem heimischen W-LAN die neue eSIM eingerichtet. Sie war bereits aktiviert: dies wurde mir im o2-Shop auch entsprechend mitgeteilt — ich müsse sie nicht explizit über das Kundenportal aktivieren.
Nur mal so als Hinweis, dass nicht auf einmal jemand einfach so dasteht…
Außerdem wundere ich mich über die Wege von 2FA und Authentifizierung bei o2:
Warum wird statt SMS (und eventuell E-Mail als Fallback) nicht auf OTP gesetzt? Dies ist ein unabhängiger und mittlerweile weit verbreiteter Standard. Der sich auf vierlei Weise nutzen lässt: ich habe meine OTP Schlüssel sowohl in einem HW Gerät von Reiner SCT als auch in der SW KeepassXC, also redundant und tatsächlich unabhängig. Außerdem ist dieser Weg unabhängig von Mobilfunk (wie SMS).
Und ich frage mich, warum bei der Prüfung im Shop nicht mein Ausweis benutzt wurde. Dies empfinde ich als sicherer, als mich nach meiner Bankverbindung zu fragen.
Da es um O2 geht: Gibt es auch Erfahrung mit Multicards? Ich habe drei Multicards (Eifon, Auto, 5G-Router WoMo). Die Multicards sind für mich kostenlos zusammen mit Datenflat. Kann man die SIMs mischen z.B. eine eSIM und zwei physische SIMs? Hat das mal jemand gemacht?
Ja, die 2FA bei O2 lässt sehr zu wünschen übrig. Frage mich auch schon lange, warum da kein TOTP angeboten wird.
Das beschriebene hat aber mal so gar nix mit irgendwelchen Nachteilen eine eSIM zu tun. Im Gegenteil. Das Löschen der eSIM bei Eingabe der Duress PIN ist ja explizit so gewollt und ein GOS-Sicherheitsfeature. Das ist sogar ein großer entscheidender Vorteil gegenüber einer physischen SIM. Dass TO dies versehentlich beim “herumdaddeln”, wie selbst beschrieben “in geistiger Umnachtung” eingegeben hat, ist nun absolut die eigene Schuld. Sonst ist es nicht so einfach, versehentlich eine eSIM zu löschen, das muss schon explizit angestoßen werden in den Einstellungen. Auch bei einem factory reset oder dem flashen des Phones - ob von Stock zu GOS oder umgekehrt - bleiben eSIMs immer erhalten.
Alles andere eingangs beschriebene nervende und unschöne bezieht sich auf die deutlich verbesserungsfähigen Strukturen bei O2.
Kommt wohl auf das jeweilige Gerät an, ob dies möglich ist. Bei Google Pixel z.B. kann man gleichzeitig entweder 1 physische und 1 eSIM nutzen oder 2 eSIMs (und keine physische). Wohingegen man aber durchaus mehrere (weiß gerade nicht wie viele maximal) eSIMs speichern kann, nur halt nicht mehr als 2 gleichzeitig aktiv betreiben.
Zum Thema ‘versehentliches Löschen der eSIM’: Bei WEtell kann ich den QR-Code meiner eSIM jederzeit auf der Website in meinem Kundenbereich einsehen und dort einscannen.
Dafür muss sie natürlich vorher auf dem Handy gelöscht worden sein. Da das neulich bei meinem Umstieg vom FP4 mit iodéOS auf das Pixel 9a mit GOS nicht geklappt hat (ich konnte die eSIM auf dem FP4 nicht löschen - komischerweise hat es Wochen später doch funktioniert), hat mich das einmalig 15€ für ‘ne neue eSIM gekostet…
Habe mich unklar ausgedrückt: Meinte wenn ich drei physische Multicards habe, z.B. eine davon in eSIM umtauschen und die beiden anderen als physische SIM behalten (meine das ging bei O2 früher nicht). Z.B. wenn ich ein Smartphone ohne physischen SIM-Slot kaufe. Alos die Multicards an sich mischen…
Dass der Reset nach Duress-Passwort ausgelöst wurde, ist tatsächlich meine Schuld!
Aber ich sehe es als schlechten Service/Technik bei o2 an, dass im Shop nicht mein Personalausweis, sondern meine Bankverbindung geprüft wurde. Und dass der allgemeine Login ins Kundenkonto zwar per 2FA abgesichert ist, aber mit der primären Variante SMS und dem Fallback E-Mail — und nicht OTP wie z.B. TOTP. Beide Sachverhalte schätze ich als ernstzunehmende Schwachstellen ein.
Ich habe gerade einen Brief diesbezüglich an o2 verfasst. Bei einer eventuellen Antwort informiere ich hier.
Ist das Telekom-Netz? Da kann man den QR-Code mehrfach verwenden. Bei O2 - und ich meine auch bei Vodafone - geht das wohl nicht, die Codes da können nur einmal aktiviert werden. Bei “Verlust” der eSIM oder Telefon-Wechsel muss eine neue geordert werden.
Nicht unbedingt. Hätte ich den ganzen Zusammenhang aufmerksamer gelesen, hätte es mir eigentlich klar sein können. Aber speziell dazu weiß ich auch nichts weiter.
Hat das denn schon einmal geklappt, mit demselben QR-Code die eSIM ein weiteres Mal zu aktivieren? Denn nur, dass der im Kundenkonto dauerhaft gespeichert ist, hat nichts zu bedeuten. Ist bei meinem Anbieter genauso. Der schreibt aber explizit dazu, dass nur die von der T-Kom wiederverwendbar sind, bei den anderen beiden Netzen eine “Ersatz”-eSIM bestellt werden muss zur erneuten Einrichtung.
vermutlich weil den meisten Benutzern nicht bewusst ist, dass es dafür ein Shared-Secret braucht, das man separat sichern sollte, und es daher bei vielen Anwendern beim Löschen des Telefons weg ist.
Naja, man könnte es ja zumindest als Alternative zu den anderen Optionen anbieten. Und ein expliziter Hinweis darauf bei der Einrichtung sollte die Aufmerksamkeit diesbezüglich eigentlich genügend darauf lenken, am Besten gleich mit der Aufforderung zur Sicherung von Wiederherstellungscodes, wie es heutzutage bei etlichen Diensten zur Absicherung der Onlinekonten ihrer Kunden Gang und Gäbe ist.
Ja das Duress Passwort hat also genau das gemacht was es machen sollte.
Ich verwende zB sipgate und tmobile und kann mir binnen Minuten neue Karten erstellen lassen, sollte das mal notwendig sein. Liegt eben wirklich am Anbieter. Ich nutze mehrere Smartphones und zB auch eine multicard. Die esim im GrapheneOS Gerät die physische Sim in einem anderen … wenn ich Duress lösche habe ich die Multisim um die esim neu zu beantragen. Bei sipgate funktioniert das per 2. Faktor den ich per yubikey realisiere….
Außerdem ist SMS als Möglichkeit für 2FA bei einem Mobilfunkanbieter besonders misslich: die konkrete Mobilfunkverbindung kann aus vielerlei Gründen gestört sein. Bei mir war es halt die gelöschte eSIM. Aber es gibt weitere mögliche Gründe… Auf einen Mobilfunkanbieter ohne Mobilfunk zugreifen…?!
Ich halte vom 2. Faktor über SMS gar nichts es ist leider zu leicht eine Simkarte eines völlig fremden Menschen in die Hände zu bekommen, sprich einfach anzufordern. Der Mensch ist der Fehler im Konstrukt. 8 Hotliner machen alles richtig und der 9. glaubt dir deine Geschichte und schickt eine aktivierte Simkarte raus. Social engineering funktioniert..
Bitte klärt mich auf. Wozu überhaupt all diese komplizierten Vorgänge? Was hindert einen daran, bei Verlust der SIM-Karte einfach in die nächste Filiale des Anbieters zu gehen, seinen Reisepaß oder Ausweis vorzulegen und eine neue SIM zu bekommen?
Aber speziell dazu weiß ich auch nichts weiter.