netbib weblog

Der kurioese Bibliotheksbote worinnen zu finden sind allerley newe Zeitungen

Warum noch einen Ausweis, wenn man doch ein Handy hat?

Vagabondage hat auf einen interessanten Artikel beim „Swiss Army Librarianhingewiesen: „Scanning Library Cards on Smartphones„.
Offenbar verwenden Benutzer immer häufiger Apps, mit denen sich Kundenkarten- und Ausweis-Nummern auf dem Handy speichern und auf dem Display als Barcode darstellen lassen. So spart man sich zig Karten im Portemonnaie und hat im Handy immer alles dabei.
Da ältere Scanner aus technischen Gründen nicht von Handy-Displays einlesen können, müßten Bibliotheken zwar eventuell aufrüsten, könnten damit ihren „modernen“ Kunden aber eine interessante Service-Erweiterung bieten.

Autor: Viola Voß

Jahrgang 1977, Sprachwissenschaftlerin mit Master in Bibliotheks- und Informationswissenschaft, arbeitet an der Universitäts- und Landesbibliothek Münster

18 Kommentare

  1. In den Kommentaren wird auch auf die damit verbundenen Sicherheitsprobleme hingewiesen, das sollte man nicht unterschlagen. Strichcodes (zweidimensionale Barcodes) lassen sich sehr leicht herstellen, bieten also an sich nicht die geringste Sicherheit, wenn die zugehörige Ausweisnummer bekannt ist (oder sich valide Ausweisnummern erraten lassen, oder die Nummern auf jeder Rückgabequittung, jedem Bestellzettel etc. stehen). Folglich braucht man bei Anwendung der beschriebenen App seitens Bibliothek eine zusätzliche Identifikation oder Verifikation, dass Person und virtueller Barcode wirklich zusammengehören.

  2. In den Kommentaren des Originalartikels wird auch auf die damit verbundenen Sicherheitsprobleme hingewiesen, das sollte man nicht unterschlagen. Strichcodes (zweidimensionale Barcodes) lassen sich sehr leicht herstellen, bieten also an sich nicht die geringste Sicherheit, wenn die zugehörige Ausweisnummer bekannt ist (oder sich valide Ausweisnummern erraten lassen, oder die Nummern auf jeder Rückgabequittung, jedem Bestellzettel etc. stehen). Folglich braucht man bei Anwendung der beschriebenen App seitens Bibliothek eine zusätzliche Identifikation oder Verifikation, dass Person und virtueller Barcode wirklich zusammengehören.

  3. Interessant! Eine zusätzliche Verifikation wäre sicherlich sinnvoll. Sie müsste aber für den Nutzer so unkompliziert sein, dass der Konfortgewinn durch die App nicht aufgehoben wird. Denkbar wäre eine Identitätskontrolle über das Ausleihsystem (Foto), das ist aber sicherlich nicht wünschenswert.

    Eine andere Möglichkeit wäre die Annahme des Barcodes nur durch die Bibliotheksapp. Dies könnte man kombinieren mit einer elektronischen Rückmeldung der App ans Ausleihsystem. Ist sowas realistisch und auch hinreichend sicher?

  4. Sollen wir wieder zurück zum Barcode=?

  5. @CH
    Und woran sollte die Bibliotheksapp erkennen, dass der Barcode zu einem Benutzer gehört, der berechtigt ist, diese Nutzernummer zu verwenden?

  6. @Nemissimo Das Konzept ist noch nicht zu Ende durchdacht. Ich erkläre diese Frage bis zur Lösung als unzulässig. Raffiniert, hm?

    Etwas ernsthafter: Vielleicht doch Anmeldung wie im Benutzerkonto? Wenn man sich in der App anmeldet, wird das Benutzerkonto geöffnet und ein entsprechender Barcode generiert. Wesentlich unsicherer als die jetzt gängigen Verfahren mit Benutzerausweisen erscheint mir das erstmal nicht.

  7. Ich habe es mal mit meinem eigenen Bibliotheksausweis ausprobiert. Obwohl unsere Scanner nicht gerade die allerneuesten sind, hat das Einlesen problemlos funktioniert.
    Übrigens weiß ich beim echten Bibliotheksausweis auch nicht bei jedem Kunden, ob er oder sie berechtigt ist, mir diesen Ausweis vorzulegen. Aber der Originalausweis ist nicht so einfach nachzumachen. Ich bin gespannt, wann mir jemand ein Smartphoneausweis vor die Nase halten wird.

  8. @CH
    Moment, das verstehe ich jetzt nicht: Ich dachte, das Smartphone ist der Ersatz für die Karte, d.h. der Barcode wird im Smartphone gespeichert, oder, das wäre die Sicherheitslücke: beliebig generiert. Bei der Ausleihverbuchung an der Theke authentifiziert man sich mit der Karte bzw. dann mit der Darstellung des Barcodes auf dem Bildschirm des Smartphones. Hier findet keine Anmeldung am Benutzerkonto oder Authentifizierung per Kennwort statt. Dann müßte man den Ausweis (oder Vollmacht) dazu verlangen. Schlechtes Beispiel wäre natürlich ein Keylender, bei dem auch bei Verwendung des Bibliotheksausweises kein Kennwort verlangt wird – da besteht die Sicherheitslücke schon in der analogen Kartenwelt.

  9. @TT
    War da jemand schon von weg, von Barcodes auf Benutzerausweisen?
    Aber das ganze ließe sich sicherlich auch mit QR-Codes o.ä. umsetzen. 🙂

  10. Verschiedene Unternehmen wie bspw. Verkehrsbetriebe scheinen diese Probleme schon gelöst zu haben. Vielleicht sollte man dort mal nachfragen 😉 Liebe Techniker im Raum: Wäre es nicht möglich, dass nur diejenigen sich die App runter laden können, die sich vorher identifiziert haben? Zudem bezweifel ich, dass RFID-Chips sicherer sind. Sie können genauso umprogrammiert bzw. von Fremden ausgelesen werden.
    Und wer so viel kreativ-kriminelle Energie aufbringt, ein Bild mit einem Barcode zu generieren, der würde sich auch hinsetzen und die Sicherungsstreifen aus den Büchern knibbeln.

  11. @Silvia
    Die Sicherheitslücke besteht nicht bei der Verfügbarkeit der App, sondern dort, wo sie akzeptiert wird. Apps, die Barcodes produzieren, kann jeder Programmieren. Soll dann die Bibliothek überprüfen, ob eine zulässige App auf dem Smartphone läuft? Vorstellbar wäre das nur, wenn die App mit dem Bibliothekssystem kommuniziert und sich selbst authentifiziert.

    Zum Stichwort kreativ-kriminelle Energie: Mag sein, damit darf man das generelle Inkaufnehmen von Sicherheitslücken aber nicht rechtfertigen. Und so kompliziert ist das mit den Barcodes nicht, dafür gibt es sogar Online-Dienste: http://barcode.tec-it.com/?LANG=de Man muss nur ermitteln, welche Kodierung zum Einsatz kommt. Viel Kreativität gehört nicht dazu.

  12. @Nemissimo

    Wie es praktisch funktioniert, weiß ich nicht. Ich kann mir jedoch Mechanismen vorstellen, die die Unsicherheit zumindest einschränken.

    1. Nutzer gibt Nutzerdaten in App ein, meldet sich via App im Benutzerkonto an.
    2. Die App generiert aus dem Nutzerkonto heraus einen Barcode. Dies evtl. inkl. verschiedener Benutzerdaten (z.B. Name des Benutzers), die ebenfalls angezeigt werden. Dazu noch ein Bibliothekslogo oder so, damit man sieht, dass es die App ist oder zumindest eine etwas mühevoller angefertigte Fälschung.
    3. Nun muss noch ein Feedback-Mechanismus stattfinden.
    a) Die App sendet ein Signal an das Bibliothekssystem, dass nun ein Ausleihvorgang stattfinden soll.
    b) Der Nutzer gibt eine PIN oder ein Passwort in ein Terminal ein analog zur Kartenbezahlung an der Supermarktkasse.
    c) …?

  13. Pingback: Infobib » Smartphone ersetzt Bibliotheksausweis?

  14. Bei mir kam tatsächlich schonmal ein Nutzer mit einem ausgedruckten Barcode an und wollte, dass ich ihm was darauf ausleihe. Er hat mir sogar klar gesagt, dass das nicht sein Barcode sei, sondern von einem Freund, für den er Bücher holen sollte. Eine Vollmacht dieses Benutzers hatte er nicht.
    Ich hab die Ausleihe verweigert, denn so einen Barcode zu erstellen ist wirklich zu einfach. Ob die Selbstverbucher so eine „Barcodefälschung“ akzeptieren weiss ich nicht, aber da braucht man zum Ausleihen bei uns zumindest noch sein Passwort.

    Ein Ansatz wäre aber vielleicht, dem Benutzer die Wahl zu lassen, ob er auch per Smartphone ausleihen können möchte. Dafür könnte man ein System basteln, in dem diese Zustimmungen festgehalten werden. Die Nutzer können dann ihren echten Ausweis abgeben und sich fortan nur noch elektronisch ausweisen. Dazu bräuchte man nicht mal das Bilbliothekssystem aufbohren: einfach eine neue DB danebenlegen und bei Leuten mit Smartphone-Ausweis dann zuerst überprüfen, ob sie berechtigt sind zur Smartphone-Ausleihe und dann ganz normal wie mit den Ausweiskarten verfahren. Das müsste eigentlich gehen und hätte aus meiner Sicht auch keine so gravierenden Sicherheitslücken mehr…

  15. @CH
    Ich denke, den Barcode der Bibliotheksausweise (und sonstiger Karten) durch eine Smartphone-Applikation zu ersetzen, ist nicht der richtige Weg. Meine Sicherheitsbedenken in dieser Sache lasse ich mir nicht ausreden, und wenn man die Sicherheit erhöht, steigt die Komplexität der Anwendung. Eine individuelle Karte ist sicher bequemer zu handhaben als die beispielhaft skizzierte 3-Punkte-Lösung. Jedenfalls wäre die PIN-Eingabe bei Verbuchung an der Theke gegenüber dem aktuellen Verfahren eine Verumständlichung.

    Andererseits nervt natürlich die Vielzahl der Karten (wie auch die Vielzahl der sonstigen Accounts). In Reichweite (Schreibtisch und Portemonnaie) habe ich z.B. noch Bibliotheksausweise der SBB-PK, der Kunstbibliothek PK, des Staatlichen Instituts für Musikforschung PK, der UB der TU Berlin, der FU Berlin, der HU Berlin, der Zentral- und Landesbibliothek Berlin, der Öffentlichen Bibliotheken Berlin, der Bibliothek für Bildungsgeschichtliche Forschung Berlin, der SUB Göttingen, der UB Heidelberg, HAAB Weimar – manche sicher nicht mehr gültig). Ich würde eher hoffen auf Weiterentwicklung der Bibliothekssysteme derart, dass sie für Login über OpenID oder Single-Sign-on-Verfahren offen sind und im besten Fall nur noch eine Registrierung, aber keine individuelle Bibliothekskarte mehr nötig ist. Ein Fortschritt war in Hannover schon die HOBSY-Karte (habe ich auch), die es ermöglicht, verschiedene Bibliotheken mit einer Karte und Kartennummer (bei je gesonderter Freischaltung) zu benutzen. Für die Einführung des LBS4 von OCLC/PICA im LBS Hannover ist diese Funktionalität zur conditio sine qua non erklärt worden (muss erst entwickelt werden).

  16. ich stelle mir gerade vor, wie jemand das Smartphone in den Leseschitz für den Leseausweis eines Ausleihautomaten steckt…

  17. Vielleicht könnte man bei weitergehendem Interesse mal bei dieser Tübinger Informatik-Arbeitsgruppe, die sich mit mobiler Authentifizierung beschäftigt, nachfragen, wie das technisch funktionieren könnte.

  18. Die Restaurant-Kette Vapiano arbeitet mit QR-Codes und einer App, um die Kundenkarte durch das Handy ablösen zu können, wird hier berichtet.