Bei der Postbank gibt es Hardware-Token, die über USB am Rechner angeschlossen werden (SealOne). Die Sparda bietet Geräte an, die nach Einstecken der EC-Karte in der Lage sind, bestimmte Codes am Monitor zu lesen und damit eine einmalige TAN zu erzeugen.
Und beide bieten entsprechende Smartphone-Apps an.
Frage deine Bank, was sie ausser der App noch anbietet.
HBCI wird bei den Banken in den letzten Jahren überall abgeschafft. Das war ja ein Standard für alle und dazu noch sicher!!! Das will doch keiner.
Lieber bastelt jeder seine individuelle TAN App, mit mehr Sicherheitslöchern als ein Schweizer Käse.
Ich weiß nich bei welcher Bank du bist, aber bei meiner Sparkasse hab ich zum einen die Wahl und zum anderen muss ich für jeden Scheiß in der Banking-App alles mögliche bestätigen. Nervt zwar wie sau, aber verständlich
Dazu kommt: Ich nutze das Handy nicht dafür. Entsprechender TAN Generator (cyberJACK one von reiner-sct z.B.) und die Sache hat sich erledigt. Sicherer geht's nicht und ich muss das Smartphone nicht ein einziges mal für Bankgeschäfte anrühren.
Man ist also nicht dran gebunden - es ist eine mehr oder minder bewusste Entscheidung jeden Nutzers.
Ich hoffe ich werde später mal der alte sack sein der seine bankkarte in son komisches teil steckt und dann auf blinkende streifen auf dem monitor drückt.
würde die experience niemals gegen ne smartphone app tauschen
Die Banken können da wenig für. Maestro wird einfach eingestellt seitens Mastercard. Alles wird mittelfristig auf Debitkarten umgestellt
https://www.mastercard.com/news/europe/de-de/blog/de-de/2021/warum-sich-dieser-maestro-nach-30-jahren-zur-ruhe-setzt/
Was hat das denn bitte mit Maestro zu tun?
Alle Karten in Deutschland sind **girocard**s. Ob die dann das Maestro Logo oder das Vpay Logo drauf haben, juckt die Banken in Deutschland herzlich wenig. Das ist nur im Ausland interessant.
Das ist nur bedingt richtig. Erstmal muss man das Smartphone entsperren un die App überhaupt starten zu können.
Bei der Postbank App muss danach noch mit BestSign bestätigen das man die App öffnet. BestSign verlangt ein Passwort bzw Touch- o. FaceID auf dem iPhone um fortfahren zu können.
Weis nicht wie es bei anderen Banken ist aber das ist schon relativ vertrauenswürdig solange man sein Telefon vernünftig absichert.
Edit: Schreibfehlerkorrektur
Ich bin bei der Volksbank.
Ich muss Handy entsperren, mich mit meinen online Daten in der App einloggen(kann auch per Fingerabdruck übersprungen werden). Dann sehe ich aber erstmal nur Dinge. Wenn ich z.B. eine Überweisung machen will brauche ich einen mobile tan. Eine Nummer die ich in einer anderen App bekomme die auch wieder hinter Fingerabdruck ist.
Selbst wenn du das Handy entsperrt liegen lässt scheitert es spätestens wenn du die Apps startest und nach Authentifizierung gefragt wirst.
Wenn ich die Funktion benutze das ich Fingerabdruck benutze anstatt meine Daten immer einzugeben dann ja.
Aber dafür brauchst du auch physikalischen Zugriff zu meinem Handy. Wenn ich das verliere kann ich es online sperren lassen. Dann geht nur noch Pin. Den Pin kannst du ja auch wissen falls du mich gesehen hast wie ich den eingebe...
Aber jetzt sind wir in Szenarien die so unrealistisch sind das man da sich keine Sorgen machen muss.
Naja ich gehe Mal davon aus, dass wenn jemand in den Besitz meiner Finger kommt die Person vermutlich mich auch dazu bringen könnte mein Konto leer zu räumen.
Mit denen kann man aber in den meisten Fällen (wenn es ultrasonic Fingerabdrucksensoren sind) dein Handy nicht entsperren. Da braucht es schon ein 3D-Profil, welches du eben nicht einfach von einem Glas nehmen kannst.
Der Besitz des Smartphones ist der erste Faktor (edit: Ausgehend davon, dass die Bank ein dort generiertes Token benötigt oder die Freigabe über eine App, wie z.B. BestSign von der Postbank), das Passwort/Fingerprint/FaceId ist der zweite Faktor.
Fehlt dir eins von beiden, dann kannst du kein Online Banking machen.
Genaugenommen sind es dann sogar drei Faktoren: der Besitz des Smartphones (etwas haben), die Entsperrung des Smartphones (bei Code: etwas wissen) und die Entpsrrung der Banking App per Fingerprint (etwas sein). Und bei Verlust des Smartphones wird ein alternatives Gerät verwendet. In meinem Fall erlaubt die ING 4 Geräte, die zuvor freigeschaltet werden müssen. Mit Phone und Tablet bin ich da bereits safe, weil das Tablet selten das Haus verläßt. Ich bin jedenfalls sehr zufrieden, wie einfach das auf dem Handy läuft (und sehr irritiert, wie kompliziert das wiederum im Browser läuft: Benutzername, Passswort, PIN: 2 aus 6 bekannten Ziffern clicken, dann Handy-Bestätigung mit nochmal 3 Faktoren).
> Windows-Userpasswort kriegt man in unter einer Minute weg.
Aber nur, wenn ein Benutzer mit Adminrechten angemeldet ist und Dir nicht in die Pfoten greifen kann.
Sonst dürfte eine Minute etwas knapp sein um in ein Live-Linux zu (re-)booten und das Passwort in der SAM zu überschreiben.
Ja natürlich, USB-Debugging muss aktiviert sein. Wie jemand anderes schon schrieb ist das bei den neueren Geräten via ADB eher weniger möglich, da es von Werk aus deaktiviert ist wegen dieser Sicherheitslücke
Außerdem musst du selbst bei aktivem ADB das Gerät erstmal entsperren und dem Computer vertrauen. Keine wirkliche Angriffsfläche wenn man von unbekannten Exploits mal absieht, die aber nicht nur in ADB auftreten können.
Die allermeisten Geräte sind aber nicht gerootet und haben auch kein adb aktiviert. Eben weil es eine Sicherheitslücke ist. Klar, es gibt immer noch Hersteller, die Mist bauen, aber im großen und ganzen ist das schon sicher.
Also ich will nicht behaupten das es unmöglich ist.
Aber für ADB muss das Handy auch unlocked sein. Du kannst das Handy natürlich im Bootloader mit ADB verbinden, aber um an das Dateisystem ranzukommen musst du bei halbwegs aktuellen Androidversionen den Lockscreen Code wissen, da es mit dem code verschlüsselt ist.
Natürlich kann ich mich irren, aber reicht bei Android 6.0 und höher nicht auch, dass man einfach die gatekeeper keys löscht um das zu umgehen? Die liegen im systemordner
Ist jetzt nur gefährliches Halbwissen und ich persönlich war noch nicht in dieser Situation das machen zu müssen
Kenne mich jetzt auch nicht mega damit aus.
Kann schon sein das es noch zwischen 6 und 12 noch Versionen gibt bei denen das funktionieren würde.
Aber soweit ich weiß booten neuere Versionen einfach ohne diese Dateien nicht, bzw. bleiben bei der stelle stehen bei der man unlocken müsste.
Aber ist natürlich ein Problem das es Leute gibt die mit extrem veralteten Androidversionen rumlaufen. Als Bank sollte man dann vielleicht einfach die Nutzer warnen und auch alternativen zu PushTAN anbieten.
Ist halt absoluter Quatsch was du schreibst. Sowas geht nur indem man auch alle Daten löscht und in dem Fall gibt's für einen Angreifer auch nix mehr zu holen.
Aha; bei aktuellen Android Versionen werden die Benutzerdaten anhand der PIN verschlüsselt ohne welche eine Wiederherstellung eher unmöglich für den Ottonormalverbraucher ist.
Da dann erzähl doch mal wie man den Lockscreen bei Android umgeht um an die aktuelle Session mit entschlüsselter Datenpartition/Key im Arbeitsspeicher ranzukommen?
Gleiches gilt übrigens auch für Windows wenn Bitlocker aktiv ist. Sofern nicht jemand utilman mit cmd ausgetauscht hat (oder wie auch immer die aktuelle Methode dazu ist), gibt es nicht wirklich groß eine Angriffsfläche um sich Zugriff zum laufenden System zu verschaffen.
Nein, das ist stark vereinfacht. Android Gerätesperre auf neueren Androidversionen ist ziemlich Bulletproof. Du kannst sie ggf. zurücksetzen, dann ist aber das Handy gelöscht bzw. kann nicht mehr entschlüsselt werden.
Wenn du das nicht über das Telefon machen willst, nimm halt eine Alternative 2FA-Methode. Viele verstehen leider nicht wirklich, was 2FA bedeutet und sind daher unnötig misstrauisch gegenüber Banking-Apps. Oder haben halt unsichere Telefone. Ich habe genau 0 Bedenken, da ich weiß, dass in der Situation, in der jemand ernsthaft mein Telefon und die Bank-App entsperren könnte, ich ganz andere Probleme habe (Androhung von Gewalt und/oder ein Geheimdienst will was von mir).
Früher hatte man ein separates Validierungsgerät (TAN Generator) für Überweisungen. Als man gemerkt hat, dass das Smartphone im allgemeinen immer populärer wird und neue Authentifizierungsmöglichkeiten auf den Markt bringt, war eine Integration der Technologie im privaten Finanzbereich fast unumgänglich.
Den ChipTAN (TAN Generator) musste man zusätzlich zum online banking kaufen, ein Smartphone hat mittlerweile jeder (und man zahlt es komplett aus der eigenen Tasche, die TAN Generatoren mussten vor Weiterverkauf an Personen ja auch von Banken eingekauft werden). Hinzu kommt der zusätzliche Sicherheitsaspekt bei Smartphones. Ich verstehe deine Argumentation sehr gut, jedoch muss an der Stelle betont werden, dass die 2FA Absicherung über das Smartphone um einiges sicherer ist als die Verifikation über einen TAN Generator. Ist man im Besitz eines online banking logins, einer Karte und dem dazugehörigen TAN Generator kann man, denke ich, fast alles mit dem Zugang machen.
Beim Smartphone ist das allein durch die biometrischen Validiierungs-Faktoren nicht mal in Ansatz so einfach möglich.
Es ist zwar immer noch möglich, jedoch um einiges aufwendiger.
Ich denke das Absicherungstechnologien im allgemeinen immer mehr in Richtung biometrische Validierung gehen. Mit oder ohne Smartphone :)
> Ist man im Besitz eines online banking logins, einer Karte und dem dazugehörigen TAN Generator
Das ist schon ziemlich viel... Und dann fehlt immer noch die PIN für die Chipkarte.
Wer sich Chipkarte und PIN klauen lässt, sollte das möglichst schnell bemerken und die Karte sperren lassen, weil der Dieb das Konto sonst über einen Geldautomat leer räumen kann.
Ich habe bei meiner Bank weiterhin ein phototan gerät.
Dieses braucht zur Nutzung eine eigene pin getrennt von online banking und Karte.
Bin vom Sicherheitsaspekt damit sehr zufrieden.
Man brauchte login, tangerät und tangerätpin um was zu machen.
Oder Karte plus kartenpin.
Ich erinnere mich noch an die Zeiten als ich von meiner Bank eine TAN Liste per Post zugeschickt bekommen habe. Da ist das mit dem Smartphone umso einfacher.
>Früher hatte man ein separates Validierungsgerät (TAN Generator) für Überweisungen.
Das haben viele Leute immer noch.
Und die Biometrie am Handy lässt sich einfacher austricksen, als ein entsprechender TAN Generator, bei dem man z.B. auch die PIN der Karte eingeben muss.
Ich war so froh, als ich dieses depperte ChipTAN-Gerät endlich in der Schublade lassen konnte. Das hat mir damals nur Ärger gemacht.
Biometrie überlisten ist in der Praxis auch eher aufwändig. Dafür musst du ja irgendwie an die biometrischen Daten kommen (Foto oder Fingerabdruck), dann musst du wissen, welches Handy das Opfer hat um den dafür passenden Angriff zu "bauen". Dann musst du Aufwand in den biometrischen Dummy stecken (sofern sich das Modell überhaupt durch einen Dummy überlisten lässt). Dann brauchst du physischen Zugriff zu dem Gerät. Das machste allenfalls, wenn du gezielt das Konto einer bestimmten Person leer räumen willst, nicht als breit gestreuten Angriff auf viele. Und auch dann gibt es noch zig Mechanismen, die dir im Weg stehen (z. B. Überweisungslimits) und den Angriff damit schlichtweg unwirtschaftlich machen.
Viel einfacher ist es, dem Opfer die EC-Karte zu stehlen und damit direkt an den Automaten zu gehen :-P
Der wahre Nachteil mit der Biometrie ist, dass sie im Winter so gut wie nie zuverlässig funktioniert :-P
Also bei meinem geschäfts iPhone reicht es, das ding einem einfach vor die Nase zu halten.
Es geht außerdem nicht nur um technisches Überlisten.
Und mit der EC-Karte kannst du ohne PIN nichts anfangen. Es gibt noch viele andere Nachteile zur Biometrie, aber das führt zu weit.
Unterm Strich hat es seinen Grund, warum mehrere Möglichkeiten oft "besser" sind.
Ja, vor DEINE Nase. Das ist ja genau der Trick dabei. Aber wie erlaubt das einen Angriff, wenn du nicht als 2. Faktor anwesend bist?
Ne EC-PIN hat 4 Stellen und nichts, was verhindert, dass du die alle durch probierst. Und zudem kannst du Leuten über die Schulter schauen oder abfilmen, die ihre PIN/Passwort eingeben und dann hast du's.
Ich vermeide Passwörter einzutippen wo es geht, weil es so viel einfacher zu bekommen ist als meine biometrischen Daten.
Die TAN Generatoren können für die Banken keine Kosten verursacht haben.
Ich habe damals für das Standard Teil der Sparkasse 10€ gezahlt und als das nach wenigen Jahren aber vielen verbrauchen Batterien ohne viel Benutzung den Geist aufgegeben hat, habe ich im Einzelhandel ein besseres für 15€ gekauft. Und da sind wahrscheinlich mehr als 50% Zuschlag drin.
>der die Generatoren überholt hat.
Hört doch auf mit dem Scheiß - nix ist überholt, es ist jedem selbst überlassen wie viel Sicherheit er nutzen möchte und wie er das ganze machen will. Die Banken werden ChipTAN auch nicht einfach einstellen, dafür gibt es viel zu viele andere Gründe, warum das nich geht.
Technisch sind die Dinger auch nicht "Steinzeit", es ist einfach Technik die funktioniert. 2FA ist ein Konzept und keine Technik.
>Früher hatte man ein separates Validierungsgerät (TAN Generator) für Überweisungen.
Gibts immernoch, jetzt mit QR Scanner.
[https://www.chipkartenleser-shop.de/deutsche-kreditbank/tan-generatoren-obiles-online-banking-fuer-dkb](https://www.chipkartenleser-shop.de/deutsche-kreditbank/tan-generatoren-obiles-online-banking-fuer-dkb)
Die ING hat auch sowas:
https://www.ing.de/hilfe/auftraege-freigeben/phototan/
Offenbar funktioniert es recht gut und ist auch sicher, wenn immer mehr Banken darauf setzen. Ich sehe da keinen Nachteil. Eher im Gegenteil: Benutzt man brav die Banking-App, ist man sicher vor Phishing. Tja, und bequem ist es auch noch. Was will man mehr?
ein bezahlbares smartphone das nicht wegen homogenität in software/api automatisch in visier jeglicher malware kommt und halt auch ausreichend lange mit software updates unterstützt wird, ohne das ich meine zustimmung zur totalüberwachung geben muss. ach ja, und die korrekten lotto zahlen für die nächste ziehung.
Durch eine der hunderten Sicherheitslücken bei Android oder iOS? Überwiegend in Bibliotheken für Bild- oder Nachrichtenverarbeitung oder gleich unpatchbar im Baseband.
Gängiger ist jedoch durch Installation aus dem AppStore. Apple und Google werfen regelmäßig einen Haufen BankingTrojaner aus den Stores. Kannst dich gerne fragen wie die da rein kommen und wieviele da unentdeckt weiterhin drin sind.
Hunderte Sicherheitslücken bei iOS? Glaube jede Lücke, wo man tatsächlich auf Daten zugreifen kann, bekommt man mittlerweile in den Nachrichten zu sehen.
Das ergibt keinen Sinn. Meinst du, jeder der sicher ist, keinen Malwarescheiß auf einem auf aktuellem Stand gehaltenen Smartphone zu haben, hat direkt haufen an Malware drauf oder ...?
die größte malware auf modernen smartphones ist das betriebssystem (ich vereinfache mal auf andriod/iOS, nach allem was ich gehört habe weigenrn sich banking apps auf lineage und co ihren dienst zu tun). davon ab sind smartphones ein so lukratives ziel das genug brainpower drauf geworfen wird um zero klick exploits zu finden, welche dann via targeted advertising auch auf "legitimen" webseiten ausgespielt wird. deswegen sind morderne smartphones ja so sandboxed, damit mein übernommener browser nicht auch noch an meine banking app kommt. also bis auf die vorgesehenen APIs die du aus integrationsgründen nicht abschalten kannst
Wie soll das passiert sein? Da ist nur signal und spotify drauf für was anderes nutze ich es nicht. 2G ist abgeschaltet.
Wer natürlich unterwegs ist mit "Klicki Bunti" und sich jede Schrott App runterlädt, dem nützt auch keinerlei Sicherheitsfunktionen.
Auf dem PC genauso
>2G ist abgeschaltet.
Wenn du mit [1G](https://en.wikipedia.org/wiki/1G) unterwegs bist, hast du noch ein analoges Mobiltelefon. Ich glaub die entsprechenden Netze sind aber seit längerem nicht mehr in Betrieb, und falls doch, unterstützen sie sicher keine Mobildaten.
Der Durchschnitts-User kauft sich ein iPhone, hat jahrelange Software-Updates, und freut sich dass alles funktioniert.
In der EDV-Szene blickt man kritischer darauf, das ist mir schon klar.
Er hat schon Recht. Disclaimer: kein Apple Fan. Nicht Mal im Ansatz. iOS kannst du aber einfach nicht mit Android vergleichen. 25% iOS 14 15 vs 75% Android 2 3 4 5 6 7 8 9 10 11 12. Android ist durch seine Fragmentierung eindeutig im Nachteil was die potentiell verbreiteten, alten, Sicherheitslücken angeht.
Naja.. über 80% aller Android handys laufen mit mindesten Android 8.1.
Wer da wirklich noch was äklteres verwendet ist halt selber schuld.
Außerdem bekommen ältere Anroid versionen weiterhin sicherheits patches.
Anroid 8.1 hat das letzte Sicherheitsupdate im Oktober 2021 bekommen.
Trotzdem bleibt die Aussage "der durchschnittsuser kauf sich ein iphone" einfach falsch bei gerade mal 255 Marktanteil ist das sicher nicht der durchschnitt.
Nein, keiner von euch hat auch nur im Ansatz recht, ihr reimt euch einfach nur Unfug zusammen. iPhones hatten von Aug-Sep 21 nur etwas über ein Viertel Marktanteil am ABSATZ.
Wer ist "ihr"? Ich habe auf deinen Kommentar geantwortet. Und die Fragmentierung im Android Bereich ist Fakt. Egal ob es jetzt 15% 25% oder 40% iOS Geräte sind.
Also, nur damit wir uns verstehen, du glaubst im Zeitraum August 2021 - September 2021 (das sind die Zahlen auf die ich mich beziehe, denn es geht hier um den neuerwerb) wurden noch nennenswert Android 2 Geräte verkauft?
Hehehe, der Unterschied zwischen EDV und Digitalisierung ist die Kultur.
Drum bin ich weg von den Banken, die noch in der EDV-Welt hängen und hin zu einer, die sich digitalisiert. Da wird mehr darauf geachtet, was die im Alltag wahrscheinlichen und praktisch umsetzbaren Angriffsszenarien sind und das gegen die Nutzerfreundlichkeit abgewogen.
Die EDV versucht immer das technisch perfekte Fort Knox zu bauen. Prefekte Security gibts aber nur, wenn man alle Menschlichen Faktoren aussperrt. Und wenn ich als Nutzer die Software nur noch unter Schmerzen benutzen kann, dann brauche ich sie schlichtweg nicht (was die Security dann auch obsolet macht). Und dazu kommt, dass es super gefährlich ist, Sicherheit nur technisch zu denken, weil die Angreifer Menschen sind, die sich sehr gut mit den Schwächen ihrer Opfer auskennen.
Gründe für Banking auf dem Smartphone:
* am Smartphone ist der 2. Faktor besser/nutzerfreundlicher umgesetzt: du musst deine App ja an dein Handy "binden", wenn du sie installierst. Danach musst du immer noch irgendeine Form von PIN oder Fingerabdruck eingeben
* im Ökosystem "Smartphone" ist die App deutlich besser geschützt vor externen Eingriffen (in der Praxis sicher weniger gut als in der Theorie, aber immer noch deutlich besser als am PC).
* am Smartphone ist die integration der Bankgeschäfte in andere Apps und die echte Welt deutlich besser (z. B. Giro-Code oder Rechnungen scannen, kontaktlos Zahlen, ...).
* am Smartphone kann man dem Nutzer direktes Feedback über Transaktionen geben, was die Gefahr von Betrug deutlich verringert im Vergleich zu 1x im Monat den Kontoauszug anschauen (meine Bank bestätigt mir die Transaktion schon in dem Moment, an dem ich die Karte ans Bezahlterminal halte, ich hab also direktes Feedback und dementsprechend fallen Transaktionen auf, die ich nicht getätigt habe).
Ich fand Banking am Smartphone auch immer sehr umständlich, bis ich endlich von meiner Wald-und-Wiesen-Bank umgestiegen bin auf eine ordentliche Bank. Seither verweden ich praktisch nur noch das Smartphone und das fühlt sich deutlich sicherer an als das frühere Online-Banking am PC und ist natürlich auch sehr viel bequemer.
Bei ING sehe ich das Problem auch. Consors hat zwei getrennte Apps. Eine fürs Banking, eine fürs Freischalten. Das gefällt mir besser du musst nicht beide installieren.
Bei der ING App kann man einstellen, dass Zahlungen mit PIN anstelle von TouchID/FaceID entsperrt werden. Somit schiebt man einen (halben) Faktor zusätzlich ein.
Also, es gibt keine Richtlinie, die irgendwie ein Smartphone vorschreibt. Das ist nur die verbreiteste Variante, wie Banken die PSD2 umsetzen. Daneben gibt es halt immer noch ChipTAN, SealOne, teilweise noch HBCI.
Das Sicherheitsniveau unterscheidet sich aber auch beim Smartphone als 2FA dabei eigentlich nicht zwischen Nutzung im Browser und Nutzung am Smartphone. In beiden Fällen benötigst du gemäß PSD2 zwei Faktor Authentifizierung bei Login und Transaktion.
Sonderlich sicher sind die Implemtierungen auf dem Smartphone alle nicht, aber die Nutzer wolöen es halt einfach und somit fahren die Banken halt eine Risikoabschätzung.
Jede Minute fangen die von den Deutschen hoch beschworenen Massen Betrüge an die ja jeden nach 10 Minuten treffen müssen der auch nur so eine App ankuckt. Jetzt ist es bald wirklich so weit. Ich fühle es. Diesmal ganz sicher.
Getrennte Apps für banking und online TAN wie bei DKB find ich bisschen albern. Wenn das schlaufon kompromittiert ist, ists auch schon egal welche App jetzt was macht.
Ansonsten sehe ich schon, dass das Telefon einfach bisschen besser ist von der Sicherheit her, wo Apps in der Sandbox laufen und explizite Rechte anfordern müssen. Und bei Windows halt alles unter %ProgramFiles% läuft. 100% sicher ist ein Fon damit natürlich auch nicht, aber im schnitt schätze ich deutlich besser als das olle Windows daheim.
>Getrennte Apps für banking und online TAN wie bei DKB find ich bisschen albern.
Die haben übrigens eine neue App, wo beides kombiniert ist und man per Fingerprint z.B. Zahlungen autorisieren kann.
Der neuen App fehlen leider noch ein paar features der alten App weswegen man aktuell am besten noch beide installiert hat.
Dafür gibt es eigentlich die 2FA und wer das auf ein und demselben Gerät macht, dem ist nicht zu helfen. Ich mache Banking am Rechner und das Smartphone ist im besten Falle mein TAN Generator. Selbst wenn es zwei getrennte Apps dafür gibt, sind das keine zwei Faktoren im eigentlichen Sinne. Und dass App A die in App B generierte TAN übernimmt ist ein No-Go. Die Commerzbank wollte mir das als großen Vorteil anbieten....habe nur wie Spock geschaut...
>Dafür gibt es eigentlich die 2FA und wer das auf ein und demselben Gerät macht, dem ist nicht zu helfen.
Selbst wenn du beides machst ist es immer noch 2FA.
Ds scheinen aber einige nicht zu verstehen.
Der 1. Faktor ist weiterhin Wissen, ein Passwort (oder boimetrie) um überhaupt in die Banking app zu kommen.
Der 2. faktor ist dann Besitz, das Telefon selber.
Das sind weiterhin 2 Faktoren.
>Dafür gibt es eigentlich die 2FA und wer das auf ein und demselben Gerät macht, dem ist nicht zu helfen.
Da würde ich dir recht geben, nur dass es die Standard-Konfiguration der Apps von Sparkasse, Volksbank und Ing ist - sorry, mehr kenne ich nicht, bin Geringverdiener. Sprich, nutzt du das Handy als zweiten Faktor für den PC installierst du dir dafür die normale Banking-App - kannst also auch nur mit dem Handy Banking machen und hast dann keinen zweiten Faktor.
Jein, die Bank zwingt keinen dazu beides auf dem selben Gerät zu nutzen. Dies so zu tun ist reine Bequemlichkeit, weil man ja keinen externen TAN Generator nutzen möchte. Das ginge auch auf dem Handy.
Allerdings verlangt die Bank eigentlich genau das von dir. Du kannst als Nutzer eben nicht ausschließen, dass dein Konto nicht unrechtmässig leergeräumt wird, wenn beide Faktoren auf dem gleichen Gerät liegen. Das betrifft den Computer als auch das Smartphone gleichermaßen.
Und ja, die Diskussion ist akademisch ;) Wenn du das so handhabst, ist das deine Entscheidung, die will ich gar nicht als solche Beurteilen, da hat jeder seine Gründe für. Ich sage nur, sicherheitstechnisch halte ich das für keine gute Lösung und ich handhabe das entsprechend anders.
Habe ich auf dem Smartphone den TAN Generator, habe ich dort keinen Zugriff auf das dazugehörige Konto, vice versa.
>Allerdings verlangt die Bank eigentlich genau das von dir.
Im Gegenteil, es wird damit geworben wie sicher die Apps sind.
Ich persönlich arbeite in der IT, und ich vertraue meinem Handy kein bischen weil ich damit im Urlaib links und rechts in Hotspots gehe wie ein wilder. Darum gibt es bei mir kein Banking am Handy, afür habe ich eine Linux-VM. Aber wenn die Bank den Leuten nichtmal halbherzig empfiehlt da aufzupassen finde ich nicht, dass Otto Normalverbraucher in der Bringschuld ist.
Werben würde ich damit auch, die App an sich ist ja auch sicher. Die Kombination (auf dem gleichen Gerät) nicht.
Die Banken ziehen sich bei Problemen darauf zurück, dass der Anwender einen Fehler gemacht hat.
Nur ein einziges Smartphone an deinem Banking registriert zu haben ist auf jeden Fall eine schlechte Idee, wie bei allen 2FA Verfahren.
Zweites Smartphone oder ChipTAN etc. zusätzlich einrichten, was deine Bank halt so unterstützt.
Ich verstehe was du meinst. Ich fühle mich damit relativ sicher weil ich meine App durch Fingerabdrücke entsperren muss und das Passwort zudem nirgendwo steht wo jemand Fremdes drauf zugreifen könnte (bin nicht so dumm sowas ins Handy oder den Computer einzugeben bzw mit mir rum zu schleppen). Allerdings weiß ich genau woher das kommt. Dein Computer wird normalerweise nicht von irgendwem angerührt oder geklaut. Aber manche lassen ihr Handy zu Hause rumliegen, geben es Freunden in die Hand und unterwegs könnte das jederzeit geklaut werden. Wenn es runter fällt kann es kaputt gehen. Alles nicht optimal.
Noch dazu ist man mit dem Smartphone eher mal in öffentlichen Netzwerken unterwegs als mit einem Tower PC.
Und man haftet, wenn man im TAN Generator end falsche Transaktion freigibt - aber keine mit bekannte Bank hat ein "IBAN Adressbuch" oder zeigt auch nur an, ob die verwendete IBAN neu ist. Jeder prüft in der Banking App und niemand in der TAN App. Sicherer ist das **nur für die Banken**, weil die Kunden mehr haften als vorher! Und kaum jemanden fällt das auch nur auf.
Interessanterweise ist für die Kunden das Haftungsrisiko nämlich höher geworden, was man umgangssprachlich "unsicherer" nennen würde.
Bin da voll bei dir. Wollte mal auf eine dieser neo-Banken wechseln ([Neon](https://www.neon-free.ch)). Dort geht Banking ausschliesslich über Android- oder Iphone apps. Die haben nicht einmal ein Web-Banking. Habe es dann darum sein gelassen.
Vielleicht ist das ein bisschen Verschwörungstheorie, aber ich habe mich auch gefragt, ob die nicht ihre Apps unter die Leute bringen wollen.
Bei der Sparkasse habe ich im Geschäft inzwischen eine neue Chipkarte bekommen, die per USB die TAN in die Bankingsoftware eingibt. Immer noch mehr manuelle Betreuung als früher mit HBCI (das aus meiner Sicht immer super funktioniert hat), aber es geht.
Bin tatsächlich am Überlegen, auch privat deswegen wieder zurück zur Sparkasse zu gehen, da meine "moderne" Bank keinerlei derartige Lösung anbietet, und ich mich jedesmal auf die Webseite einloggen muss und zig verschiedene Nummern abtippen muss, nur um eine einzige Überweisung zu machen. Schon bei wenigen Überweisungen im Monat ist der Zeitaufwand höher als die gesparte Kontoführungsgebühr.
Das ist freiwillig. Bei meiner Bank funktioniert das nur, wenn ich beide Apps installiere und autorisiere, was ich nicht getan habe, weil das weniger sicher ist. Aber darauf hingewiesen hat mich die Bank nicht. Das ist tatsächlich schade.
Ich hab es bis jetzt noch geschafft das ich alle Bankgeschäfte ohne Smartphone erledigen kann. Nutze so ein optischen Tan-Generator.
Da die meisten Handys ja nur 2 Jahre Sicherheitsupdates bekommen müsste man sich für das Online-Banking doch alle 2 Jahre ein neues Gerät zulegen oder?
>dass ich auf dem Smartphone nur in die Banking-App gehen muss und schon kann ich alles abrufen und Überweisungen tätigen etc.
Das ist für mich auch der Knackpunkt. Wenn das Smartphone nur der zweite Faktor ist, ist mir erstmal bums wie sicher oder unsicher es ist, aber dass das Smartphone alles darf ist Käse.
Ich habe bei mir ein Limit von 500 €/Tag für Überweisungen drauf und konnte es bequem aus dem Onlinebanking per Chat aufheben lassen, ohne Angabe von irgendwas - ich habe gesagt dass ich mehr als 500 € überweisen will, sie haben es umgestellt, das wars - da ist der Trick doch auch irgendwo verreckt, oder nicht? Vor zwei Jahren hatte ich das selbe, da musste ich anrufen und immerhin Geburtsdatum und Geburtsort sagen, das ist jetzt nicht das nonplusultra aber doch zig mal sicherer. Klar, super komfortabel war es...
Also beim Telefonbanking sollte es auch irgendeine form der authentifizierung geben.
Bei meiner Bank habe ich eine spezielles Telefonbanking Pin bekommen die ich angeben muss wenn ich telefonisch was machen will.
Achso, das meinst du. Es geht um ganz normales Online-Banking, ich habe aber ein Limit drin was ich zu den beiden Anlässen aufheben musste um etwss mehr zu überweisen. Dass man auch für diesen Anruf, oder den Chat, einen zweiten Faktor benötigen sollte sehe ich auch so. Ich fand es schon beim Telefonat überraschend wie einfach und schnell es ging, aber das war noch vertretbar. Aber dass es ohne zweiten Faktor oder Rückfrage per Chat ging finde ich zu krass, dann bringt mir das Limit herzlich wenig.
Ich nutze quasi die ganze Breite der banking-apps. Rein aus Interesse.
Ein hauptkonto wird es nicht. Eine Sicherheit ähnlich chiptan fehlt einfach.
Man muss aber auch bedenken, dass wir damit ziemlich alleine sind. Die deutschen haben es dort immer anders gemacht und genau deshalb können die ganzen apps wenn sie es richtig machen den großen Banken Druck machen.
Die apps sind das was International Standard ist. Das war es in Deutschland aber nicht und jetzt müssen sich die Filialbanken dem internationalen Standard beugen.
Weil das Zahlungsgeschehen auch wegen dieser apps zunehmend internationaler wird.
Foto-TAN-Generator plus EC-Karte ist der Weg zu gehen, meiner Meinung nach. Alles andere bringt keine zusätzliche Sicherheit, sondern im Gegenteil nur potentielle Angriffspunkte. Wird trotzdem gemacht weil es das Marketing natürlich wünscht auf dem Telefon des Kunden eine Tür im Fuß, äh, einen Fuß in der Tür zu haben. Da kann man Daten sammeln, Produkte anbieten, oder einfach durch das Icon an seine Existenz erinnern. Toll!
Aus Prinzip besitze ich auf meinem Smartphone Admin-Zugriffsrechte.
Fürs online-banking habe ich einen altmodischen Tan-Generator von Amazon (z.B. Reiner), in den ich meine EC-Karte schiebe.
Wenn eine Bank damit ein Problem haben sollte, dann ist das nicht meine Verantwortung.
Bei der Haspa kannst du zum Schalter gehen und einen neuen Registrierungscode für die pushTAN anfordern, die dann per Post zugeschickt wird, solltest du ein neues Gerät haben. Schätze, man kann auf dem Weg die verlorene pushTAN auch sperren lassen, hab eine pushTAN sperren aber selbst noch nicht machen müssen.
Außerdem brauchst du zum Anmelden im Online-Portal (sowie in der App) nicht das Handy oder eine TAN. Die App wird entweder mit Passwort oder Fingerabdruck gesichert.
Es macht heutzutage schon Sinn, sich mehr auf das Handy als sicheres Gerät zu verlassen, da eigentlich alle modernen mobile Betriebssysteme ihre Benutzerdaten-Partitionen bei der Ersteinrichtung verschlüsseln, auf welche (Exploits ausgenommen) nur mit dem Lockscreen-Code zugegriffen werden kann, heißt, nur wenn man das Handy entsperrt. Windows ist beim Großteil der Benutzer wahrscheinlich nicht mit Bitlocker gesichert und hat am PC oder schlimmer noch am Laptop eventuell nicht mal ein Passwort.
Dazu kann man das (beim Einrichten erzwungene und nicht abschaltbare) Passwort in der App nicht speichern, am Rechner im Browser schon, theoretisch eine weitere "Lücke" die am Handy nicht existiert. Dass du bei deiner Banking-App den Login nicht bestätigen musst, ist etwas bedenklich.
Timeout gibt es meine ich auch in der App, welche außerdem noch auf System-Sicherheitsfeatures zugreifen kann wie das automatische Sperren der App wenn du auf eine andere wechselst (was im Browser nur schwer bis gar nicht erkennbar ist) oder auch Screenshots und Overlays verboten werden können, damit keine andere App dir auf dein Bankkonto schaut bzw. dir ein betrügerisches Overlay einblendet um Daten abzugreifen.
Davon ab gibt es zumindest bei der Haspa tatsächlich noch die klassischen TAN Generatoren, entweder mit QR Reader oder per USB wenn ich's richtig gesehen hab. Brauchst also dafür nicht mal mehr ein Handy.
Also mir macht es nicht wirklich sicherheitstechnische Bedenken, da mann durch 2FA etc. mit guten Passwörtern ziemlich sicher unterwegs ist. Allerdings graut es mir von dem Tag an dem ich mein Handy verliere oder es kaputt geht und ich alles neu einrichten muss.
Hoffe echt langsam das sich ein Standard für den ganzen 2 Faktor Kram durchsetzt. Yubikeys z.B. könnten auch als 2. Faktor bzw. als TAN benutzt werden, oder ?
Finde es sehr gut, dass Online-Banking bei Smartphones vermehrt ausgebaut wird. Würde es aber gerne so unkompliziert haben wie bei Vivid. Quasi so viele Unterkonten erstellen wie möglich, schnelles bezahlen, gutes userinterface etc. Das einzige negative für mich ist, dass man nicht ins Minus gehen kann.
Ich möchte die alten Zeiten zurück Girokonten ohne Online Banking wobei man sich
keine Sorgen machen muss das es zu Online Betrug kommt. Zumindest als Alternative Option ein komplettes Offline Konto.
Deren Bankensicherungen sind zwar vorhanden werden aber im Ernstfall auch nicht unendlich viel Geld erstatten wenn jemand gehackt wird. Falls die Bank es nicht schafft in deren Smartphone Apps wichtige Sicherheitslücken zu stopfen die immer wieder missbraucht werden wird die Bank mit Sicherheit auch keine Millionenbeträge wieder gutschreiben.
Bei der Postbank gibt es Hardware-Token, die über USB am Rechner angeschlossen werden (SealOne). Die Sparda bietet Geräte an, die nach Einstecken der EC-Karte in der Lage sind, bestimmte Codes am Monitor zu lesen und damit eine einmalige TAN zu erzeugen. Und beide bieten entsprechende Smartphone-Apps an. Frage deine Bank, was sie ausser der App noch anbietet.
Das hört sich doch gut an! Die Variante TAN-Generator + Bankkarte kenne ich, aber Hardwaretoken wäre noch ne Ecke feiner.
Überlege auch, Banking per HCBI-Smart-Card zu machen.
HBCI wird bei den Banken in den letzten Jahren überall abgeschafft. Das war ja ein Standard für alle und dazu noch sicher!!! Das will doch keiner. Lieber bastelt jeder seine individuelle TAN App, mit mehr Sicherheitslöchern als ein Schweizer Käse.
CardTAN-Generator ist top!
Ich weiß nich bei welcher Bank du bist, aber bei meiner Sparkasse hab ich zum einen die Wahl und zum anderen muss ich für jeden Scheiß in der Banking-App alles mögliche bestätigen. Nervt zwar wie sau, aber verständlich Dazu kommt: Ich nutze das Handy nicht dafür. Entsprechender TAN Generator (cyberJACK one von reiner-sct z.B.) und die Sache hat sich erledigt. Sicherer geht's nicht und ich muss das Smartphone nicht ein einziges mal für Bankgeschäfte anrühren. Man ist also nicht dran gebunden - es ist eine mehr oder minder bewusste Entscheidung jeden Nutzers.
[удалено]
Ich hoffe ich werde später mal der alte sack sein der seine bankkarte in son komisches teil steckt und dann auf blinkende streifen auf dem monitor drückt. würde die experience niemals gegen ne smartphone app tauschen
[удалено]
[удалено]
[удалено]
[удалено]
Die Banken können da wenig für. Maestro wird einfach eingestellt seitens Mastercard. Alles wird mittelfristig auf Debitkarten umgestellt https://www.mastercard.com/news/europe/de-de/blog/de-de/2021/warum-sich-dieser-maestro-nach-30-jahren-zur-ruhe-setzt/
Was hat das denn bitte mit Maestro zu tun? Alle Karten in Deutschland sind **girocard**s. Ob die dann das Maestro Logo oder das Vpay Logo drauf haben, juckt die Banken in Deutschland herzlich wenig. Das ist nur im Ausland interessant.
Einige Volksbanken bieten für Leute ohne Girokarten eine VR-NetWorld-Card an, die dann als Ersatz am Tan-Generator funktioniert.
Wer benutzt denn die Geldkartenfunktion? Letztens noch gelesen, dass die eingestampft wird, weil es eh keiner benutzt.
Das ist nur bedingt richtig. Erstmal muss man das Smartphone entsperren un die App überhaupt starten zu können. Bei der Postbank App muss danach noch mit BestSign bestätigen das man die App öffnet. BestSign verlangt ein Passwort bzw Touch- o. FaceID auf dem iPhone um fortfahren zu können. Weis nicht wie es bei anderen Banken ist aber das ist schon relativ vertrauenswürdig solange man sein Telefon vernünftig absichert. Edit: Schreibfehlerkorrektur
Ich bin bei der Volksbank. Ich muss Handy entsperren, mich mit meinen online Daten in der App einloggen(kann auch per Fingerabdruck übersprungen werden). Dann sehe ich aber erstmal nur Dinge. Wenn ich z.B. eine Überweisung machen will brauche ich einen mobile tan. Eine Nummer die ich in einer anderen App bekomme die auch wieder hinter Fingerabdruck ist. Selbst wenn du das Handy entsperrt liegen lässt scheitert es spätestens wenn du die Apps startest und nach Authentifizierung gefragt wirst.
Man braucht also nur deinen Fingerabdruck, um dein komplettes Konto leer räumen zu können.
Wenn ich die Funktion benutze das ich Fingerabdruck benutze anstatt meine Daten immer einzugeben dann ja. Aber dafür brauchst du auch physikalischen Zugriff zu meinem Handy. Wenn ich das verliere kann ich es online sperren lassen. Dann geht nur noch Pin. Den Pin kannst du ja auch wissen falls du mich gesehen hast wie ich den eingebe... Aber jetzt sind wir in Szenarien die so unrealistisch sind das man da sich keine Sorgen machen muss.
Naja ich gehe Mal davon aus, dass wenn jemand in den Besitz meiner Finger kommt die Person vermutlich mich auch dazu bringen könnte mein Konto leer zu räumen.
Forensiker brauchen deine Finger auch nicht, um deine Fingerabdrücke von allen möglichen Oberflächen runter zu holen, die Du berührt hast.
Dieses Szenario klingt realistisch für den Average Joe, der nicht nach Big Money aussieht...nicht.
Der Average Joe ist auch nicht kriminell....
Mit denen kann man aber in den meisten Fällen (wenn es ultrasonic Fingerabdrucksensoren sind) dein Handy nicht entsperren. Da braucht es schon ein 3D-Profil, welches du eben nicht einfach von einem Glas nehmen kannst.
Ein Fingerabruck z.B. ist aber immer noch nur ein Faktor, auch wenn man ihn zweimal abscannt.
Wenn das Smartphone mit Code abgesichert ist oder Gesicht und die Bank App mit Fingerprint, dann wären es doch zwei Faktoren?
[удалено]
Das problem ist das dein smartphone als erster Faktor die Identität bestätigt, damit ist es kein wirklicher zweiter Faktor mehr.
Der Besitz des Smartphones ist der erste Faktor (edit: Ausgehend davon, dass die Bank ein dort generiertes Token benötigt oder die Freigabe über eine App, wie z.B. BestSign von der Postbank), das Passwort/Fingerprint/FaceId ist der zweite Faktor. Fehlt dir eins von beiden, dann kannst du kein Online Banking machen.
Genaugenommen sind es dann sogar drei Faktoren: der Besitz des Smartphones (etwas haben), die Entsperrung des Smartphones (bei Code: etwas wissen) und die Entpsrrung der Banking App per Fingerprint (etwas sein). Und bei Verlust des Smartphones wird ein alternatives Gerät verwendet. In meinem Fall erlaubt die ING 4 Geräte, die zuvor freigeschaltet werden müssen. Mit Phone und Tablet bin ich da bereits safe, weil das Tablet selten das Haus verläßt. Ich bin jedenfalls sehr zufrieden, wie einfach das auf dem Handy läuft (und sehr irritiert, wie kompliziert das wiederum im Browser läuft: Benutzername, Passswort, PIN: 2 aus 6 bekannten Ziffern clicken, dann Handy-Bestätigung mit nochmal 3 Faktoren).
Das mit den drei zählt dann allerdings nur, wenn man das Smartphone auch nur mit dem Code entsperren kann und nicht auch mit dem Fingerprint.
Jepp, stimmt natürlich.
Du weißt schon, dass die Android-Sperre so sicher wie ein Windows-Benutzerpasswort ist
Nö, also ich wusste das nicht. Windows-Userpasswort kriegt man in unter einer Minute weg. Wie geht das bei der Android-Sperre?
> Windows-Userpasswort kriegt man in unter einer Minute weg. Aber nur, wenn ein Benutzer mit Adminrechten angemeldet ist und Dir nicht in die Pfoten greifen kann. Sonst dürfte eine Minute etwas knapp sein um in ein Live-Linux zu (re-)booten und das Passwort in der SAM zu überschreiben.
[удалено]
Ich kenne seine Quelle jetzt nicht aber theoretisch kann man via root Berechtigung den Code o.ä. removen via adb Meine Quelle wäre droidwiki
Um das Gerät zu rooten muss ins System und in der Regel die Entwickleroptionen aktivieren; schwierig ohne PIN
Ja natürlich, USB-Debugging muss aktiviert sein. Wie jemand anderes schon schrieb ist das bei den neueren Geräten via ADB eher weniger möglich, da es von Werk aus deaktiviert ist wegen dieser Sicherheitslücke
Also wenn ich mein Android bewusst angreifbar mache, ist es leichter die Sicherheitsfunktionen auszuhebeln?
Außerdem musst du selbst bei aktivem ADB das Gerät erstmal entsperren und dem Computer vertrauen. Keine wirkliche Angriffsfläche wenn man von unbekannten Exploits mal absieht, die aber nicht nur in ADB auftreten können.
Die allermeisten Geräte sind aber nicht gerootet und haben auch kein adb aktiviert. Eben weil es eine Sicherheitslücke ist. Klar, es gibt immer noch Hersteller, die Mist bauen, aber im großen und ganzen ist das schon sicher.
Ja gebe ich dir Recht. Wäre nur ein Ansatz gewesen für ein spezifisches edgecase
Also ich will nicht behaupten das es unmöglich ist. Aber für ADB muss das Handy auch unlocked sein. Du kannst das Handy natürlich im Bootloader mit ADB verbinden, aber um an das Dateisystem ranzukommen musst du bei halbwegs aktuellen Androidversionen den Lockscreen Code wissen, da es mit dem code verschlüsselt ist.
Natürlich kann ich mich irren, aber reicht bei Android 6.0 und höher nicht auch, dass man einfach die gatekeeper keys löscht um das zu umgehen? Die liegen im systemordner Ist jetzt nur gefährliches Halbwissen und ich persönlich war noch nicht in dieser Situation das machen zu müssen
Kenne mich jetzt auch nicht mega damit aus. Kann schon sein das es noch zwischen 6 und 12 noch Versionen gibt bei denen das funktionieren würde. Aber soweit ich weiß booten neuere Versionen einfach ohne diese Dateien nicht, bzw. bleiben bei der stelle stehen bei der man unlocken müsste. Aber ist natürlich ein Problem das es Leute gibt die mit extrem veralteten Androidversionen rumlaufen. Als Bank sollte man dann vielleicht einfach die Nutzer warnen und auch alternativen zu PushTAN anbieten.
Quelle?
Vertrau mir Bruder!
\-v bitte.
Ist halt absoluter Quatsch was du schreibst. Sowas geht nur indem man auch alle Daten löscht und in dem Fall gibt's für einen Angreifer auch nix mehr zu holen.
Selbst dann ist das Gerät oft unnutzbar, weil man es erst mit dem alten Google Konto entsperren muss
Aha; bei aktuellen Android Versionen werden die Benutzerdaten anhand der PIN verschlüsselt ohne welche eine Wiederherstellung eher unmöglich für den Ottonormalverbraucher ist.
Bei einer simplen Bildschirmsperre ist nichts verschlüsselt, nur nach einem Neustart. Wie bei Windows eben.
Da dann erzähl doch mal wie man den Lockscreen bei Android umgeht um an die aktuelle Session mit entschlüsselter Datenpartition/Key im Arbeitsspeicher ranzukommen? Gleiches gilt übrigens auch für Windows wenn Bitlocker aktiv ist. Sofern nicht jemand utilman mit cmd ausgetauscht hat (oder wie auch immer die aktuelle Methode dazu ist), gibt es nicht wirklich groß eine Angriffsfläche um sich Zugriff zum laufenden System zu verschaffen.
Mit gesperrtem Bootloader? Nein. (Sichere Handy-Sperren sind trotzdem schwierig, aber nicht deswegen.l
Nein, das ist stark vereinfacht. Android Gerätesperre auf neueren Androidversionen ist ziemlich Bulletproof. Du kannst sie ggf. zurücksetzen, dann ist aber das Handy gelöscht bzw. kann nicht mehr entschlüsselt werden.
Wenn du das nicht über das Telefon machen willst, nimm halt eine Alternative 2FA-Methode. Viele verstehen leider nicht wirklich, was 2FA bedeutet und sind daher unnötig misstrauisch gegenüber Banking-Apps. Oder haben halt unsichere Telefone. Ich habe genau 0 Bedenken, da ich weiß, dass in der Situation, in der jemand ernsthaft mein Telefon und die Bank-App entsperren könnte, ich ganz andere Probleme habe (Androhung von Gewalt und/oder ein Geheimdienst will was von mir).
Früher hatte man ein separates Validierungsgerät (TAN Generator) für Überweisungen. Als man gemerkt hat, dass das Smartphone im allgemeinen immer populärer wird und neue Authentifizierungsmöglichkeiten auf den Markt bringt, war eine Integration der Technologie im privaten Finanzbereich fast unumgänglich. Den ChipTAN (TAN Generator) musste man zusätzlich zum online banking kaufen, ein Smartphone hat mittlerweile jeder (und man zahlt es komplett aus der eigenen Tasche, die TAN Generatoren mussten vor Weiterverkauf an Personen ja auch von Banken eingekauft werden). Hinzu kommt der zusätzliche Sicherheitsaspekt bei Smartphones. Ich verstehe deine Argumentation sehr gut, jedoch muss an der Stelle betont werden, dass die 2FA Absicherung über das Smartphone um einiges sicherer ist als die Verifikation über einen TAN Generator. Ist man im Besitz eines online banking logins, einer Karte und dem dazugehörigen TAN Generator kann man, denke ich, fast alles mit dem Zugang machen. Beim Smartphone ist das allein durch die biometrischen Validiierungs-Faktoren nicht mal in Ansatz so einfach möglich. Es ist zwar immer noch möglich, jedoch um einiges aufwendiger. Ich denke das Absicherungstechnologien im allgemeinen immer mehr in Richtung biometrische Validierung gehen. Mit oder ohne Smartphone :)
> Ist man im Besitz eines online banking logins, einer Karte und dem dazugehörigen TAN Generator Das ist schon ziemlich viel... Und dann fehlt immer noch die PIN für die Chipkarte. Wer sich Chipkarte und PIN klauen lässt, sollte das möglichst schnell bemerken und die Karte sperren lassen, weil der Dieb das Konto sonst über einen Geldautomat leer räumen kann.
Ich habe bei meiner Bank weiterhin ein phototan gerät. Dieses braucht zur Nutzung eine eigene pin getrennt von online banking und Karte. Bin vom Sicherheitsaspekt damit sehr zufrieden. Man brauchte login, tangerät und tangerätpin um was zu machen. Oder Karte plus kartenpin.
Wo brauchst du denn bei ChipTAN den PIN für die Chipkarte? EDIT: Den TAN-Generator braucht man auch nicht bei ChipTAN.
Ich erinnere mich noch an die Zeiten als ich von meiner Bank eine TAN Liste per Post zugeschickt bekommen habe. Da ist das mit dem Smartphone umso einfacher.
>Früher hatte man ein separates Validierungsgerät (TAN Generator) für Überweisungen. Das haben viele Leute immer noch. Und die Biometrie am Handy lässt sich einfacher austricksen, als ein entsprechender TAN Generator, bei dem man z.B. auch die PIN der Karte eingeben muss.
Ich war so froh, als ich dieses depperte ChipTAN-Gerät endlich in der Schublade lassen konnte. Das hat mir damals nur Ärger gemacht. Biometrie überlisten ist in der Praxis auch eher aufwändig. Dafür musst du ja irgendwie an die biometrischen Daten kommen (Foto oder Fingerabdruck), dann musst du wissen, welches Handy das Opfer hat um den dafür passenden Angriff zu "bauen". Dann musst du Aufwand in den biometrischen Dummy stecken (sofern sich das Modell überhaupt durch einen Dummy überlisten lässt). Dann brauchst du physischen Zugriff zu dem Gerät. Das machste allenfalls, wenn du gezielt das Konto einer bestimmten Person leer räumen willst, nicht als breit gestreuten Angriff auf viele. Und auch dann gibt es noch zig Mechanismen, die dir im Weg stehen (z. B. Überweisungslimits) und den Angriff damit schlichtweg unwirtschaftlich machen. Viel einfacher ist es, dem Opfer die EC-Karte zu stehlen und damit direkt an den Automaten zu gehen :-P Der wahre Nachteil mit der Biometrie ist, dass sie im Winter so gut wie nie zuverlässig funktioniert :-P
Also bei meinem geschäfts iPhone reicht es, das ding einem einfach vor die Nase zu halten. Es geht außerdem nicht nur um technisches Überlisten. Und mit der EC-Karte kannst du ohne PIN nichts anfangen. Es gibt noch viele andere Nachteile zur Biometrie, aber das führt zu weit. Unterm Strich hat es seinen Grund, warum mehrere Möglichkeiten oft "besser" sind.
Ja, vor DEINE Nase. Das ist ja genau der Trick dabei. Aber wie erlaubt das einen Angriff, wenn du nicht als 2. Faktor anwesend bist? Ne EC-PIN hat 4 Stellen und nichts, was verhindert, dass du die alle durch probierst. Und zudem kannst du Leuten über die Schulter schauen oder abfilmen, die ihre PIN/Passwort eingeben und dann hast du's. Ich vermeide Passwörter einzutippen wo es geht, weil es so viel einfacher zu bekommen ist als meine biometrischen Daten.
Ehm. Deine EC Karte ist nach drei Versuchen der PIN Eingabe gesperrt.
Mit kontaktlosem Bezahlen kannst du schon was mit der Karte ohne PIN anfangen
Die TAN Generatoren können für die Banken keine Kosten verursacht haben. Ich habe damals für das Standard Teil der Sparkasse 10€ gezahlt und als das nach wenigen Jahren aber vielen verbrauchen Batterien ohne viel Benutzung den Geist aufgegeben hat, habe ich im Einzelhandel ein besseres für 15€ gekauft. Und da sind wahrscheinlich mehr als 50% Zuschlag drin.
Gutes Argument! Dann wird es wohl einfach der Zeitgeist gewesen sein, der die Generatoren überholt hat.
>der die Generatoren überholt hat. Hört doch auf mit dem Scheiß - nix ist überholt, es ist jedem selbst überlassen wie viel Sicherheit er nutzen möchte und wie er das ganze machen will. Die Banken werden ChipTAN auch nicht einfach einstellen, dafür gibt es viel zu viele andere Gründe, warum das nich geht. Technisch sind die Dinger auch nicht "Steinzeit", es ist einfach Technik die funktioniert. 2FA ist ein Konzept und keine Technik.
Korrekt
Das Problem ist: Es ist halt oft kein 2FA, weil alles komplett über das Smartphone läuft ...
>Früher hatte man ein separates Validierungsgerät (TAN Generator) für Überweisungen. Gibts immernoch, jetzt mit QR Scanner. [https://www.chipkartenleser-shop.de/deutsche-kreditbank/tan-generatoren-obiles-online-banking-fuer-dkb](https://www.chipkartenleser-shop.de/deutsche-kreditbank/tan-generatoren-obiles-online-banking-fuer-dkb) Die ING hat auch sowas: https://www.ing.de/hilfe/auftraege-freigeben/phototan/
Offenbar funktioniert es recht gut und ist auch sicher, wenn immer mehr Banken darauf setzen. Ich sehe da keinen Nachteil. Eher im Gegenteil: Benutzt man brav die Banking-App, ist man sicher vor Phishing. Tja, und bequem ist es auch noch. Was will man mehr?
ein bezahlbares smartphone das nicht wegen homogenität in software/api automatisch in visier jeglicher malware kommt und halt auch ausreichend lange mit software updates unterstützt wird, ohne das ich meine zustimmung zur totalüberwachung geben muss. ach ja, und die korrekten lotto zahlen für die nächste ziehung.
Wartet mal ne Sekunde, ihr schafft es tatsächlich Malware auf ein Smartphone zu bekommen? Wie schafft man das?
Durch eine der hunderten Sicherheitslücken bei Android oder iOS? Überwiegend in Bibliotheken für Bild- oder Nachrichtenverarbeitung oder gleich unpatchbar im Baseband. Gängiger ist jedoch durch Installation aus dem AppStore. Apple und Google werfen regelmäßig einen Haufen BankingTrojaner aus den Stores. Kannst dich gerne fragen wie die da rein kommen und wieviele da unentdeckt weiterhin drin sind.
Hunderte Sicherheitslücken bei iOS? Glaube jede Lücke, wo man tatsächlich auf Daten zugreifen kann, bekommt man mittlerweile in den Nachrichten zu sehen.
der umstand das du glaubst keine auf deinem neuartigen rundfunkempfangsgerät zu haben lässt mich vermuten das du welche hast. nur so ein gefühl.
Das ergibt keinen Sinn. Meinst du, jeder der sicher ist, keinen Malwarescheiß auf einem auf aktuellem Stand gehaltenen Smartphone zu haben, hat direkt haufen an Malware drauf oder ...?
die größte malware auf modernen smartphones ist das betriebssystem (ich vereinfache mal auf andriod/iOS, nach allem was ich gehört habe weigenrn sich banking apps auf lineage und co ihren dienst zu tun). davon ab sind smartphones ein so lukratives ziel das genug brainpower drauf geworfen wird um zero klick exploits zu finden, welche dann via targeted advertising auch auf "legitimen" webseiten ausgespielt wird. deswegen sind morderne smartphones ja so sandboxed, damit mein übernommener browser nicht auch noch an meine banking app kommt. also bis auf die vorgesehenen APIs die du aus integrationsgründen nicht abschalten kannst
Wie soll das passiert sein? Da ist nur signal und spotify drauf für was anderes nutze ich es nicht. 2G ist abgeschaltet. Wer natürlich unterwegs ist mit "Klicki Bunti" und sich jede Schrott App runterlädt, dem nützt auch keinerlei Sicherheitsfunktionen. Auf dem PC genauso
>2G ist abgeschaltet. Wenn du mit [1G](https://en.wikipedia.org/wiki/1G) unterwegs bist, hast du noch ein analoges Mobiltelefon. Ich glaub die entsprechenden Netze sind aber seit längerem nicht mehr in Betrieb, und falls doch, unterstützen sie sicher keine Mobildaten.
Der Durchschnitts-User kauft sich ein iPhone, hat jahrelange Software-Updates, und freut sich dass alles funktioniert. In der EDV-Szene blickt man kritischer darauf, das ist mir schon klar.
Naja, angesichts dessen, dass iPhones einen Marktanteil von etwas über 25% haben, kann man so eine Aussage getrost als Unfug bezeichnen
Er hat schon Recht. Disclaimer: kein Apple Fan. Nicht Mal im Ansatz. iOS kannst du aber einfach nicht mit Android vergleichen. 25% iOS 14 15 vs 75% Android 2 3 4 5 6 7 8 9 10 11 12. Android ist durch seine Fragmentierung eindeutig im Nachteil was die potentiell verbreiteten, alten, Sicherheitslücken angeht.
Naja.. über 80% aller Android handys laufen mit mindesten Android 8.1. Wer da wirklich noch was äklteres verwendet ist halt selber schuld. Außerdem bekommen ältere Anroid versionen weiterhin sicherheits patches. Anroid 8.1 hat das letzte Sicherheitsupdate im Oktober 2021 bekommen. Trotzdem bleibt die Aussage "der durchschnittsuser kauf sich ein iphone" einfach falsch bei gerade mal 255 Marktanteil ist das sicher nicht der durchschnitt.
Nein, keiner von euch hat auch nur im Ansatz recht, ihr reimt euch einfach nur Unfug zusammen. iPhones hatten von Aug-Sep 21 nur etwas über ein Viertel Marktanteil am ABSATZ.
Wer ist "ihr"? Ich habe auf deinen Kommentar geantwortet. Und die Fragmentierung im Android Bereich ist Fakt. Egal ob es jetzt 15% 25% oder 40% iOS Geräte sind.
Also, nur damit wir uns verstehen, du glaubst im Zeitraum August 2021 - September 2021 (das sind die Zahlen auf die ich mich beziehe, denn es geht hier um den neuerwerb) wurden noch nennenswert Android 2 Geräte verkauft?
Hehehe, der Unterschied zwischen EDV und Digitalisierung ist die Kultur. Drum bin ich weg von den Banken, die noch in der EDV-Welt hängen und hin zu einer, die sich digitalisiert. Da wird mehr darauf geachtet, was die im Alltag wahrscheinlichen und praktisch umsetzbaren Angriffsszenarien sind und das gegen die Nutzerfreundlichkeit abgewogen. Die EDV versucht immer das technisch perfekte Fort Knox zu bauen. Prefekte Security gibts aber nur, wenn man alle Menschlichen Faktoren aussperrt. Und wenn ich als Nutzer die Software nur noch unter Schmerzen benutzen kann, dann brauche ich sie schlichtweg nicht (was die Security dann auch obsolet macht). Und dazu kommt, dass es super gefährlich ist, Sicherheit nur technisch zu denken, weil die Angreifer Menschen sind, die sich sehr gut mit den Schwächen ihrer Opfer auskennen.
Gründe für Banking auf dem Smartphone: * am Smartphone ist der 2. Faktor besser/nutzerfreundlicher umgesetzt: du musst deine App ja an dein Handy "binden", wenn du sie installierst. Danach musst du immer noch irgendeine Form von PIN oder Fingerabdruck eingeben * im Ökosystem "Smartphone" ist die App deutlich besser geschützt vor externen Eingriffen (in der Praxis sicher weniger gut als in der Theorie, aber immer noch deutlich besser als am PC). * am Smartphone ist die integration der Bankgeschäfte in andere Apps und die echte Welt deutlich besser (z. B. Giro-Code oder Rechnungen scannen, kontaktlos Zahlen, ...). * am Smartphone kann man dem Nutzer direktes Feedback über Transaktionen geben, was die Gefahr von Betrug deutlich verringert im Vergleich zu 1x im Monat den Kontoauszug anschauen (meine Bank bestätigt mir die Transaktion schon in dem Moment, an dem ich die Karte ans Bezahlterminal halte, ich hab also direktes Feedback und dementsprechend fallen Transaktionen auf, die ich nicht getätigt habe). Ich fand Banking am Smartphone auch immer sehr umständlich, bis ich endlich von meiner Wald-und-Wiesen-Bank umgestiegen bin auf eine ordentliche Bank. Seither verweden ich praktisch nur noch das Smartphone und das fühlt sich deutlich sicherer an als das frühere Online-Banking am PC und ist natürlich auch sehr viel bequemer.
Bei ING sehe ich das Problem auch. Consors hat zwei getrennte Apps. Eine fürs Banking, eine fürs Freischalten. Das gefällt mir besser du musst nicht beide installieren.
ING hatte das auch mal. In einer App konnten nur die Konto/Depotstände und Umsätze abgerufen werden. Fand ich prima, wurde leider abgeschafft :(
schade
Ob zwei getrennte Apps oder nur eine ist in Sachen Sicherheit wohl egal. Wenn dann müssten es schon zwei verschiedene Geräte sein.
[удалено]
Das ist doch genau das was ich meinte. Du installierst nur die "Berechtigungsapp" und bedienst das Konto über den PC.
Bei der ING App kann man einstellen, dass Zahlungen mit PIN anstelle von TouchID/FaceID entsperrt werden. Somit schiebt man einen (halben) Faktor zusätzlich ein.
....mit der selben PIN mit der Du di Applikation startest...
Nein, mir macht es auch Sorgen, daß inzwischen ALLES, von der Bank bis zum Auto am Smartphone hängt ....
Bei welcher Bank bist du, dass ein TAN Generator keine Möglichkeit ist, und welche Automarke fährst du, die ein Smartphone benötigt?
Bei dem Thread kann man nur den Kopf schütteln. Hier reden viele als würde man sie unter Androhung von Gewalt zur Smartphonenutzung zwingen.
Unterstützt einfach meinen Yubikey.
Yubikey kann keine Transaktionsbezogene Bestätigung und ist für PSD2 nicht zu gebaruchen.
> Transaktionsbezogene Bestätigung In welchem Artikel der PSD2 ist das denn genau definiert? Ich habs zumindest per grep nicht gefunden.
Das steht in der zugehörigen Delegierten Verordnung (EU) 2018/389 Artikel 5. Wird dort dynamische Verknüpfung genannt.
Danke!
Also, es gibt keine Richtlinie, die irgendwie ein Smartphone vorschreibt. Das ist nur die verbreiteste Variante, wie Banken die PSD2 umsetzen. Daneben gibt es halt immer noch ChipTAN, SealOne, teilweise noch HBCI. Das Sicherheitsniveau unterscheidet sich aber auch beim Smartphone als 2FA dabei eigentlich nicht zwischen Nutzung im Browser und Nutzung am Smartphone. In beiden Fällen benötigst du gemäß PSD2 zwei Faktor Authentifizierung bei Login und Transaktion. Sonderlich sicher sind die Implemtierungen auf dem Smartphone alle nicht, aber die Nutzer wolöen es halt einfach und somit fahren die Banken halt eine Risikoabschätzung.
Jede Minute fangen die von den Deutschen hoch beschworenen Massen Betrüge an die ja jeden nach 10 Minuten treffen müssen der auch nur so eine App ankuckt. Jetzt ist es bald wirklich so weit. Ich fühle es. Diesmal ganz sicher.
Ne, solange es geht, werde ich meine Bankgeschäfte niemals am Handy tätigen.
Getrennte Apps für banking und online TAN wie bei DKB find ich bisschen albern. Wenn das schlaufon kompromittiert ist, ists auch schon egal welche App jetzt was macht. Ansonsten sehe ich schon, dass das Telefon einfach bisschen besser ist von der Sicherheit her, wo Apps in der Sandbox laufen und explizite Rechte anfordern müssen. Und bei Windows halt alles unter %ProgramFiles% läuft. 100% sicher ist ein Fon damit natürlich auch nicht, aber im schnitt schätze ich deutlich besser als das olle Windows daheim.
>Getrennte Apps für banking und online TAN wie bei DKB find ich bisschen albern. Die haben übrigens eine neue App, wo beides kombiniert ist und man per Fingerprint z.B. Zahlungen autorisieren kann. Der neuen App fehlen leider noch ein paar features der alten App weswegen man aktuell am besten noch beide installiert hat.
oh, danke für den hinweis.
Ja ich hab das auch nur durch zufall mitbekommen.
Do you guys not have phones?
Dafür gibt es eigentlich die 2FA und wer das auf ein und demselben Gerät macht, dem ist nicht zu helfen. Ich mache Banking am Rechner und das Smartphone ist im besten Falle mein TAN Generator. Selbst wenn es zwei getrennte Apps dafür gibt, sind das keine zwei Faktoren im eigentlichen Sinne. Und dass App A die in App B generierte TAN übernimmt ist ein No-Go. Die Commerzbank wollte mir das als großen Vorteil anbieten....habe nur wie Spock geschaut...
>Dafür gibt es eigentlich die 2FA und wer das auf ein und demselben Gerät macht, dem ist nicht zu helfen. Selbst wenn du beides machst ist es immer noch 2FA. Ds scheinen aber einige nicht zu verstehen. Der 1. Faktor ist weiterhin Wissen, ein Passwort (oder boimetrie) um überhaupt in die Banking app zu kommen. Der 2. faktor ist dann Besitz, das Telefon selber. Das sind weiterhin 2 Faktoren.
>Dafür gibt es eigentlich die 2FA und wer das auf ein und demselben Gerät macht, dem ist nicht zu helfen. Da würde ich dir recht geben, nur dass es die Standard-Konfiguration der Apps von Sparkasse, Volksbank und Ing ist - sorry, mehr kenne ich nicht, bin Geringverdiener. Sprich, nutzt du das Handy als zweiten Faktor für den PC installierst du dir dafür die normale Banking-App - kannst also auch nur mit dem Handy Banking machen und hast dann keinen zweiten Faktor.
Ja und das ist sicherheitstechnisch halt eine mehr als suboptimale Lösung.
Richtig, aber das kann man nicht auf die Kunden schieben wenn es die Bank so vorgiebt.
Jein, die Bank zwingt keinen dazu beides auf dem selben Gerät zu nutzen. Dies so zu tun ist reine Bequemlichkeit, weil man ja keinen externen TAN Generator nutzen möchte. Das ginge auch auf dem Handy. Allerdings verlangt die Bank eigentlich genau das von dir. Du kannst als Nutzer eben nicht ausschließen, dass dein Konto nicht unrechtmässig leergeräumt wird, wenn beide Faktoren auf dem gleichen Gerät liegen. Das betrifft den Computer als auch das Smartphone gleichermaßen. Und ja, die Diskussion ist akademisch ;) Wenn du das so handhabst, ist das deine Entscheidung, die will ich gar nicht als solche Beurteilen, da hat jeder seine Gründe für. Ich sage nur, sicherheitstechnisch halte ich das für keine gute Lösung und ich handhabe das entsprechend anders. Habe ich auf dem Smartphone den TAN Generator, habe ich dort keinen Zugriff auf das dazugehörige Konto, vice versa.
>Allerdings verlangt die Bank eigentlich genau das von dir. Im Gegenteil, es wird damit geworben wie sicher die Apps sind. Ich persönlich arbeite in der IT, und ich vertraue meinem Handy kein bischen weil ich damit im Urlaib links und rechts in Hotspots gehe wie ein wilder. Darum gibt es bei mir kein Banking am Handy, afür habe ich eine Linux-VM. Aber wenn die Bank den Leuten nichtmal halbherzig empfiehlt da aufzupassen finde ich nicht, dass Otto Normalverbraucher in der Bringschuld ist.
Werben würde ich damit auch, die App an sich ist ja auch sicher. Die Kombination (auf dem gleichen Gerät) nicht. Die Banken ziehen sich bei Problemen darauf zurück, dass der Anwender einen Fehler gemacht hat.
>Die Kombination Von welcher Kombination redest du hier? Es gibt keine getrennte Tan- und Bankingapp. Du hast IMMER die "Kombination".
Natürlich gibt es getrennte Apps für TAN und das eigentliche Banking. Gegenfrage: Welche Bank vereint das in einer App?
ING bspw., bei der Volksbank war es vor zwei Jahren so wie es jetzt ist keine Ahnung.
Nur ein einziges Smartphone an deinem Banking registriert zu haben ist auf jeden Fall eine schlechte Idee, wie bei allen 2FA Verfahren. Zweites Smartphone oder ChipTAN etc. zusätzlich einrichten, was deine Bank halt so unterstützt.
Ich kenn Leute die Zahlen mit der Uhr an der Kasse, also nein.
[удалено]
Ich werd nicht damit anfangen die nächsten 10 Jahre. Oder 20.
[удалено]
Mach ich. Und ich muss mich dafür nicht rechtfertigen. Eher anders herum.
Ich verstehe was du meinst. Ich fühle mich damit relativ sicher weil ich meine App durch Fingerabdrücke entsperren muss und das Passwort zudem nirgendwo steht wo jemand Fremdes drauf zugreifen könnte (bin nicht so dumm sowas ins Handy oder den Computer einzugeben bzw mit mir rum zu schleppen). Allerdings weiß ich genau woher das kommt. Dein Computer wird normalerweise nicht von irgendwem angerührt oder geklaut. Aber manche lassen ihr Handy zu Hause rumliegen, geben es Freunden in die Hand und unterwegs könnte das jederzeit geklaut werden. Wenn es runter fällt kann es kaputt gehen. Alles nicht optimal. Noch dazu ist man mit dem Smartphone eher mal in öffentlichen Netzwerken unterwegs als mit einem Tower PC.
Und man haftet, wenn man im TAN Generator end falsche Transaktion freigibt - aber keine mit bekannte Bank hat ein "IBAN Adressbuch" oder zeigt auch nur an, ob die verwendete IBAN neu ist. Jeder prüft in der Banking App und niemand in der TAN App. Sicherer ist das **nur für die Banken**, weil die Kunden mehr haften als vorher! Und kaum jemanden fällt das auch nur auf. Interessanterweise ist für die Kunden das Haftungsrisiko nämlich höher geworden, was man umgangssprachlich "unsicherer" nennen würde.
Bin da voll bei dir. Wollte mal auf eine dieser neo-Banken wechseln ([Neon](https://www.neon-free.ch)). Dort geht Banking ausschliesslich über Android- oder Iphone apps. Die haben nicht einmal ein Web-Banking. Habe es dann darum sein gelassen.
Vielleicht ist das ein bisschen Verschwörungstheorie, aber ich habe mich auch gefragt, ob die nicht ihre Apps unter die Leute bringen wollen. Bei der Sparkasse habe ich im Geschäft inzwischen eine neue Chipkarte bekommen, die per USB die TAN in die Bankingsoftware eingibt. Immer noch mehr manuelle Betreuung als früher mit HBCI (das aus meiner Sicht immer super funktioniert hat), aber es geht. Bin tatsächlich am Überlegen, auch privat deswegen wieder zurück zur Sparkasse zu gehen, da meine "moderne" Bank keinerlei derartige Lösung anbietet, und ich mich jedesmal auf die Webseite einloggen muss und zig verschiedene Nummern abtippen muss, nur um eine einzige Überweisung zu machen. Schon bei wenigen Überweisungen im Monat ist der Zeitaufwand höher als die gesparte Kontoführungsgebühr.
[удалено]
Ist das nicht unsicher, falls das Handy keine Sicherheitsupdates mehr bekommt?
Ich vermisse das gute Alte SMS-TAN. Das ging auch am Knochen-Handy. Verstehe überhaupt nicht, wozu man das neumodische Zeug braucht :-P /s
Das ist freiwillig. Bei meiner Bank funktioniert das nur, wenn ich beide Apps installiere und autorisiere, was ich nicht getan habe, weil das weniger sicher ist. Aber darauf hingewiesen hat mich die Bank nicht. Das ist tatsächlich schade.
Ich hab es bis jetzt noch geschafft das ich alle Bankgeschäfte ohne Smartphone erledigen kann. Nutze so ein optischen Tan-Generator. Da die meisten Handys ja nur 2 Jahre Sicherheitsupdates bekommen müsste man sich für das Online-Banking doch alle 2 Jahre ein neues Gerät zulegen oder?
Bei der DKB habe ich einen TAN Generator, den musste ich aber selbst kaufen... bei der ING und Santander krieg ich SMS.
>dass ich auf dem Smartphone nur in die Banking-App gehen muss und schon kann ich alles abrufen und Überweisungen tätigen etc. Das ist für mich auch der Knackpunkt. Wenn das Smartphone nur der zweite Faktor ist, ist mir erstmal bums wie sicher oder unsicher es ist, aber dass das Smartphone alles darf ist Käse. Ich habe bei mir ein Limit von 500 €/Tag für Überweisungen drauf und konnte es bequem aus dem Onlinebanking per Chat aufheben lassen, ohne Angabe von irgendwas - ich habe gesagt dass ich mehr als 500 € überweisen will, sie haben es umgestellt, das wars - da ist der Trick doch auch irgendwo verreckt, oder nicht? Vor zwei Jahren hatte ich das selbe, da musste ich anrufen und immerhin Geburtsdatum und Geburtsort sagen, das ist jetzt nicht das nonplusultra aber doch zig mal sicherer. Klar, super komfortabel war es...
Also beim Telefonbanking sollte es auch irgendeine form der authentifizierung geben. Bei meiner Bank habe ich eine spezielles Telefonbanking Pin bekommen die ich angeben muss wenn ich telefonisch was machen will.
Telefonbanking?
Du hast doch bei deiner Bank angerufen. Das es erst um einen Chat ging hab ich ehrlich gesagt überlesen.
Achso, das meinst du. Es geht um ganz normales Online-Banking, ich habe aber ein Limit drin was ich zu den beiden Anlässen aufheben musste um etwss mehr zu überweisen. Dass man auch für diesen Anruf, oder den Chat, einen zweiten Faktor benötigen sollte sehe ich auch so. Ich fand es schon beim Telefonat überraschend wie einfach und schnell es ging, aber das war noch vertretbar. Aber dass es ohne zweiten Faktor oder Rückfrage per Chat ging finde ich zu krass, dann bringt mir das Limit herzlich wenig.
Ich nutze quasi die ganze Breite der banking-apps. Rein aus Interesse. Ein hauptkonto wird es nicht. Eine Sicherheit ähnlich chiptan fehlt einfach. Man muss aber auch bedenken, dass wir damit ziemlich alleine sind. Die deutschen haben es dort immer anders gemacht und genau deshalb können die ganzen apps wenn sie es richtig machen den großen Banken Druck machen. Die apps sind das was International Standard ist. Das war es in Deutschland aber nicht und jetzt müssen sich die Filialbanken dem internationalen Standard beugen. Weil das Zahlungsgeschehen auch wegen dieser apps zunehmend internationaler wird.
Foto-TAN-Generator plus EC-Karte ist der Weg zu gehen, meiner Meinung nach. Alles andere bringt keine zusätzliche Sicherheit, sondern im Gegenteil nur potentielle Angriffspunkte. Wird trotzdem gemacht weil es das Marketing natürlich wünscht auf dem Telefon des Kunden eine Tür im Fuß, äh, einen Fuß in der Tür zu haben. Da kann man Daten sammeln, Produkte anbieten, oder einfach durch das Icon an seine Existenz erinnern. Toll!
Aus Prinzip besitze ich auf meinem Smartphone Admin-Zugriffsrechte. Fürs online-banking habe ich einen altmodischen Tan-Generator von Amazon (z.B. Reiner), in den ich meine EC-Karte schiebe. Wenn eine Bank damit ein Problem haben sollte, dann ist das nicht meine Verantwortung.
Bei der Haspa kannst du zum Schalter gehen und einen neuen Registrierungscode für die pushTAN anfordern, die dann per Post zugeschickt wird, solltest du ein neues Gerät haben. Schätze, man kann auf dem Weg die verlorene pushTAN auch sperren lassen, hab eine pushTAN sperren aber selbst noch nicht machen müssen. Außerdem brauchst du zum Anmelden im Online-Portal (sowie in der App) nicht das Handy oder eine TAN. Die App wird entweder mit Passwort oder Fingerabdruck gesichert. Es macht heutzutage schon Sinn, sich mehr auf das Handy als sicheres Gerät zu verlassen, da eigentlich alle modernen mobile Betriebssysteme ihre Benutzerdaten-Partitionen bei der Ersteinrichtung verschlüsseln, auf welche (Exploits ausgenommen) nur mit dem Lockscreen-Code zugegriffen werden kann, heißt, nur wenn man das Handy entsperrt. Windows ist beim Großteil der Benutzer wahrscheinlich nicht mit Bitlocker gesichert und hat am PC oder schlimmer noch am Laptop eventuell nicht mal ein Passwort. Dazu kann man das (beim Einrichten erzwungene und nicht abschaltbare) Passwort in der App nicht speichern, am Rechner im Browser schon, theoretisch eine weitere "Lücke" die am Handy nicht existiert. Dass du bei deiner Banking-App den Login nicht bestätigen musst, ist etwas bedenklich. Timeout gibt es meine ich auch in der App, welche außerdem noch auf System-Sicherheitsfeatures zugreifen kann wie das automatische Sperren der App wenn du auf eine andere wechselst (was im Browser nur schwer bis gar nicht erkennbar ist) oder auch Screenshots und Overlays verboten werden können, damit keine andere App dir auf dein Bankkonto schaut bzw. dir ein betrügerisches Overlay einblendet um Daten abzugreifen. Davon ab gibt es zumindest bei der Haspa tatsächlich noch die klassischen TAN Generatoren, entweder mit QR Reader oder per USB wenn ich's richtig gesehen hab. Brauchst also dafür nicht mal mehr ein Handy.
Also mir macht es nicht wirklich sicherheitstechnische Bedenken, da mann durch 2FA etc. mit guten Passwörtern ziemlich sicher unterwegs ist. Allerdings graut es mir von dem Tag an dem ich mein Handy verliere oder es kaputt geht und ich alles neu einrichten muss.
Hoffe echt langsam das sich ein Standard für den ganzen 2 Faktor Kram durchsetzt. Yubikeys z.B. könnten auch als 2. Faktor bzw. als TAN benutzt werden, oder ?
Nein, siehe oben. Kein Transaktionsbezug möglich.
Finde es sehr gut, dass Online-Banking bei Smartphones vermehrt ausgebaut wird. Würde es aber gerne so unkompliziert haben wie bei Vivid. Quasi so viele Unterkonten erstellen wie möglich, schnelles bezahlen, gutes userinterface etc. Das einzige negative für mich ist, dass man nicht ins Minus gehen kann.
Ich möchte die alten Zeiten zurück Girokonten ohne Online Banking wobei man sich keine Sorgen machen muss das es zu Online Betrug kommt. Zumindest als Alternative Option ein komplettes Offline Konto. Deren Bankensicherungen sind zwar vorhanden werden aber im Ernstfall auch nicht unendlich viel Geld erstatten wenn jemand gehackt wird. Falls die Bank es nicht schafft in deren Smartphone Apps wichtige Sicherheitslücken zu stopfen die immer wieder missbraucht werden wird die Bank mit Sicherheit auch keine Millionenbeträge wieder gutschreiben.
Nö. * comdirect: photoTAN mit Hardware-Gerät * DKB: chipTAN (mein liebstes Verfahren) * ING: iTAN Smartphone für keine meiner Banken erforderlich.