Worauf @WilliWuff hinauswollte war, dass die PIN für sich nutzlos ist. Selbst wenn die App die PIN auf einem zentralen Server speichert, so dass sie mit deiner Person verknüpft wäre (was schon eine ziemlich dumme Designentscheidung wäre, zumal die PIN ja meist kein zweites mal gebraucht wird), müsste der Hacker noch bei dir vorbeischauen und deinen Ausweis klauen, um mit der PIN irgendwas anfangen zu können.
Man sollte trotzdem schauen, was für eine App man verwendet. Bei Banken, Versicherungen und PostIdent wäre ich entspannt. Die Altersverifikation beim windigen Glücksspielanbieter sollte man aber lieber nur über AusweisApp machen.
Die Gefahr ist nämlich nicht so sehr, dass die PIN abgegriffen wird, sondern dass im Moment der Ausweisnutzung noch weitere Identifizierungen damit durchgeführt werden.
2-Faktor ist für mich eher wenig sinnvoll, wenn ich einen der Faktoren nicht wirklich wertschätze.
Und es geht ja nicht nur darum, ob ich der Bank vertraue, das muss ich ja sowieso. Es geht auch darum, dass diese Apps anfällig für Hacks sind. Klar ist die Ausweisapp auch, aber je mehr Apps ich mein Passwort gebe, desto riskanter. Was wenn irgendwann mal einer anfängt solche Listen an Perso Passwörtern zu verkaufen ohne das man es mitbekommt? Dann fehlt den nur noch der Perso.
Auch für Phishing ergibt sich hier ein weiterer Angriffsvektor.
Und wir reden hier ja über keine Kleinigkeit sondern etwas, was die Zukunft der Identität im Internet darstellen soll.
Also das ganze ist ja nett gedacht, aber so lange es nicht über die AusweisApp geht, werd ich das wohl erstmal nicht nutzen.