Hallo, bisher habe ich zu meinem Bankkonto eine Liste mit iTANs. Wenn ich überweise, sagt mir das Programm, welches iTAN ich eingeben muss. Die Bank bietet nun photoTAN an, wo man mit einem Smartphone eine Graphik vom Bildschirm abliest und dann die TAN erstellt wird. Das Verfahren soll sicherer sein. Ich bin kein Sicherheitsexperte, weiß aber, dass es keine ganz absolute Sicherheit gibt. Frage: Sollte man zur photoTAN wechseln oder weiter mit der iTAN arbeiten?
J. Ad. schrieb: > Die Bank bietet nun photoTAN an, wo man mit einem Smartphone eine > Graphik vom Bildschirm abliest und dann die TAN erstellt wird. > > Das Verfahren soll sicherer sein. Für meinen Geschmack klingt das nach einem ziemlichen Schmarrn: Sobald Du ein frei programmierbares Gerät, wie hier Dein Smartphone, im Spiel hast, kann das durch einen Trojaner geknackt werden. Du ersetzt also die Gefahr, daß Dein PC vom Trojaner infiziert wird, durch die Gefahr daß Dein Smartphone vom Trojaner infiziert wird. Wenn man sich dann mal anschaut wie häufig es Sicherheitsupdates für PCs veröffentlicht werden und wie die verbreitet werden und das mit Smartphones vergleicht, vor allem bei Android, dann halte ich die Gefahr einer Infektion beim Smartphone für höher. Auch das M-Tan wurde schon geknackt, da gibt es Trojaner die erst den PC infizieren und dann von da aus dann das Smartphone infizieren. Das einzig wirklich sicherere Verfahren sind die Hardware-TAN-Generatoren: die haben keine von außen erreichbare Programmierschnittstelle und können somit nicht infiziert werden.
Gerd E. schrieb: > J. Ad. schrieb: > > Das einzig wirklich sicherere Verfahren sind die > Hardware-TAN-Generatoren: die haben keine von außen erreichbare > Programmierschnittstelle und können somit nicht infiziert werden. ok, also Finger weg vom Smartphone wenn es ums banking geht. Diese Dinger senden ja ohnehin jedem und allen alles mögliche aus meinem Gerät. Habe nur das notwendigste drauf. Bei der Sparkasse habe ich eine kleine rote Schachtel, in die ich meine EC-Karte reinstecken muss und die ich dann über einen flackernden Barcode auf der Tastatur halten muss. Dann werden Daten übertragen und mir wird eine TAN angezeigt, zusammen mit der Kontonummer und dem Betrag. Ist so etwas sicherer?
Am sichersten ist chipTAN. Die Entschlüsselung erfolgt im Chip auf der EC-Karte. Solange Du die EC-Karte nicht verlierst und der "Finder" Dein Login zum Banking nicht kennt, kommt kein anderer an ein gültige TAN ran. Beim photoTAN mußt Du eine App installieren und die könnte gehackt werden.
J. Ad. schrieb: > Die Bank bietet nun photoTAN an, wo man mit einem Smartphone eine > Graphik vom Bildschirm abliest und dann die TAN erstellt wird. Wie machst du das, wenn du unterwegs bist, aber eine Überweisung auf den Weg bringen musst?
J. Ad. schrieb: > Bei der Sparkasse habe ich eine kleine rote Schachtel, in die ich meine > EC-Karte reinstecken muss und die ich dann über einen flackernden > Barcode auf der Tastatur halten muss. Dann werden Daten übertragen und > mir wird eine TAN angezeigt, zusammen mit der Kontonummer und dem > Betrag. Ist so etwas sicherer? Ja genau, das ist ein Hardware-TAN-Generator mit Anzeige der Kontonummer und Betrag. Das Ding ist deutlich sicherer als itan, mtan, phototan, murxtan,... Der Klasse 2 Chipkartenleser, also der mit eigenem Display für Anzeige von Kontonummer und Betrag, ist auf dem selben Niveau. Allerdings haben die sich nicht so durchgesetzt.
Karl Heinz schrieb: > J. Ad. schrieb: > >> Die Bank bietet nun photoTAN an, wo man mit einem Smartphone eine >> Graphik vom Bildschirm abliest und dann die TAN erstellt wird. > > Wie machst du das, wenn du unterwegs bist, aber eine Überweisung auf den > Weg bringen musst? Ja, das ist dann blöde, denn wenn man von iTan auf photo umgestellt hat gibt es keinen Weg zurück. Die TANs muss ich aber auch dabei haben bzw. dieses Kästchen von der Sparkasse. Das Kästchen (kleiner als eine Zigarettenschachtel) scheint jedoch nicht speziell für mich programmiert worden sein: Als die Anzeige mal Ausfälle zeigte und ich hin bin, hat mir der Sparkassenmann einfach ein neues Kästchen gegeben - im Austausch. Da wurde nix personalisiert und so.
J. Ad. schrieb: > Sollte man zur photoTAN wechseln oder weiter mit der iTAN > arbeiten? iTan ist sicher, solange Du Deinen Rechner unter Kontrolle hast und nicht seitenweise Tan-Listen abtippst, weil Dich eine Mail aus Nigeria dazu auffordert. Wichtig sind ein aktueller Virenscanner und ein Blick auf das https im Browser. J. Ad. schrieb: > Dann werden Daten übertragen und > mir wird eine TAN angezeigt, zusammen mit der Kontonummer und dem > Betrag. Ist so etwas sicherer? Das ist recht sicher, wenn Du beachtest: - keine Sammelüberweisungen, da können Teile so manipuliert werden, dass Du es nicht siehst - immer die angezeigte Kontonummer und den Betrag auf dem Tangenerator gegenprüfen Da der Tangenerator nicht manipuliert werden kann, setzt ein Trojaner hier darauf, Dir falsche Daten unterzuschieben. Also entweder in einer Sammelüberweisung eine Überweisung zu manipulieren, oder bei einer Einzelüberweisung Kontonummer und Betrag zu verändern. Gab letztens ein Urteil, dass die Bank Dir das nicht erstatten muss, wenn Du die Daten nicht abgleichst.
J. Ad. schrieb: > Da wurde nix personalisiert und so Das Gerät dient nur der Anzeige/Datenübermittlung, die TAN Generierung findet durch die EC-Karte statt. Solange du also ein Gerät hast welches den "Sparkassencode" Versteht und mit dem Chip deiner EC Karte kommunizieren kann ist das egal was auf dem Gerät draufsteht.
Läubi .. schrieb: > Solange du also ein Gerät hast welches > den "Sparkassencode" Versteht und mit dem Chip deiner EC Karte > kommunizieren kann ist das egal was auf dem Gerät draufsteht. Diese roten Dinger von der Spasskasse müssten doch aber auch mit Karten anderer Banken funktionieren, oder? Ich hätte ja was dafür übrig, dass die Diba mal chipTan anbietet...
Hat das jemand mit der photoTAN erfolgreich probiert? Ich habe eben das bei der Comidrekt freischalten lassen und die App aufs Handy installiert. Aber wenn ich mit dem Handy eine Überweisung tätigen will, sieht die App natürlich nicht den Farbcode der anderen App. Muss ich jetzt allen ernstes einen Screenshot erstellen, diesen ausdrucken und dann wieder abphotographieren?
Marek N. schrieb: > Aber wenn ich mit dem Handy eine Überweisung tätigen will, sieht die App > natürlich nicht den Farbcode der anderen App. Das solltest Du auch nicht tun, denn dann ist all' die durch die App o.ä. gewonnene Sicherheit verloren, wie sie es auch ist, wenn Du mit dem gleichen Smartphone mTANs empfängst, mit dem Du auch Überweisungen veranlassen willst. In beiden Fällen genügt etwas geschickt programmierte Schadsoftware, und Dein Kontostand wird sich ohne Dein Zutun ändern.
Achtung: es gibt 2 Photo-Tan-Verfahren, die nicht kompatibel sind. Gemeinsamkeit: Es werden 2-dimensionale QR-Code-ähnlich Grafiken gescannt, teils farbig, teils SW. Davon zu unterscheiden ist das Chip-Tan-Verfahren, damit werden bewegte Balkengrafiken gescannt. Bei der Deutschen Bank z.B. bekommt man das Gerät von der Bank (das gilt als sicher), (oder eine App für das Handy, das dürfte dann deutlich unsicherer sein), das ist dann nur für diese passend. Und es gibt ein Photo-Tan-Gerät von ReinerSCT (nicht das Chip-Tan, das ist wieder was anders), das ist für diverse andere Banken. Also unbedingt die Bank fragen. VG S.
Marek N. schrieb: > Aber wenn ich mit dem Handy eine Überweisung tätigen will, sieht die App > natürlich nicht den Farbcode der anderen App. Eine ungemein positive Eigenschaft von PhotoTAN und QR-TAN ist, dass man schon ziemlich im die Ecke denken muss, um den Fehler zu machen, es auf dem gleichen Gerät zu versuchen.
:
Bearbeitet durch User
Habe damals auch iTans genutzt, später kurz sms Tans. Nun nutze ich am Iphone FaceID und einen eigenen Pin. Würde ich jedoch auch auf Androids nicht empfehlen (unsicher). Wenn ich am PC etwas autorisieren muss, läuft es auch über FaceID an meinem Handy. Bin soweit zufrieden damit.
A. K. schrieb: > Marek N. schrieb: >> Aber wenn ich mit dem Handy eine Überweisung tätigen will, sieht die App >> natürlich nicht den Farbcode der anderen App. > > Eine ungemein positive Eigenschaft von PhotoTAN und QR-TAN ist, dass man > schon ziemlich im die Ecke denken muss, um den Fehler zu machen, es auf > dem gleichen Gerät zu versuchen. Nicht wirklich. Weil es TAN Systeme gibt welche das aktiv unterstützen. Die Deutsche Bank hat so was: Die Banking App kann sich von der PhotoTan App die TAN holen. Alles auf einem Gerät. Das ganze mutet in der Tat unsicher an. Ist aber dann sicher genug, falls die PhotoTan App sich nicht dazu bewegen lässt (z.B. von einem Trojaner auf dem Smartphone), eine TAN zu generieren ohne Benutzeraktion. D.h. ohne dem Benutzer Ziel IBAN und Betrag anzuzeigen und sich das OK zu holen. Ist das sichergestellt, ist es nicht unsicherer als ein separater TAN Generator. Denn die Sicherheit beim TAN Generator basiert ja nicht darauf dass alles getrennt ist, sondern auf der Tatsache dass man etwas körperliches braucht (z.B. das registrierte Smartphone) und dass die Daten aus denen die TAN generiert wird, vom Benutzer vorher abgesegnet werden. Denn auch ein befallener PC kann einfach eine Überweisung fälschen. Achtet der Nutzer dann beim ChipTan Generator nicht auf das Display, sondern drückt einfach weiter, ist die Sicherheit dahin. Bei dieser Betrachtung spielt es keine Rolle ob nun zwei Geräte involviert sind, oder nur eines. Man muss aber bedenken dass die TANs in erster Linie verhindern sollen, dass jemand ohne aktiven Kontakt zum Nutzer sich am Konto bedient. Also einfach einloggt weil er die PIN errät oder per Sozialen Medien abgeift. Eine gezielte Infektion von PC oder Smartphone ist die sehr seltene Hardcore Variante die man bisher mit TAN oder iTan Liste gar nicht abfangen konnte und mit ChipTan/PhotoTan sich auf die Aufmerksamkeit des Nutzers verlassen muss. Wer prüft die IBAN auf dem Display des Tan generators wirklich?
:
Bearbeitet durch User
Cyblord -. schrieb: > Wer prüft die IBAN auf dem Display des Tan generators wirklich? Ich! Immer! Auch um nochmal zu kontrollieren, ob ich selber die richtige IBAN eingetragen hatte.
Cyblord -. schrieb: > Nicht wirklich. Weil es TAN Systeme gibt welche das aktiv unterstützen. > Die Deutsche Bank hat so was: Die Banking App kann sich von der PhotoTan > App die TAN holen. Alles auf einem Gerät. Ist das wirklich Photo/QR-TAN, oder etwas anderes? Es gibt Banking-Systeme, die technisch auf dem gleichen Gerät arbeiten können, oder sogar in der Banking-App drin sind, wie Postbank BestSign. Aber das ist eine völlig andere Baustelle.
:
Bearbeitet durch User
A. K. schrieb: > Cyblord -. schrieb: >> Nicht wirklich. Weil es TAN Systeme gibt welche das aktiv unterstützen. >> Die Deutsche Bank hat so was: Die Banking App kann sich von der PhotoTan >> App die TAN holen. Alles auf einem Gerät. > > Ist das wirklich Photo/QR-TAN, oder etwas anderes? Es gibt > Banking-Systeme, die technisch auf dem gleichen Gerät arbeiten können, > oder sogar in der Banking-App drin sind, wie Postbank BestSign. Aber das > ist eine völlig andere Baustelle. Das ist PhotoTan der Deutschen Bank. Die App scannt normalerweise das bunte Punktmuster vom Bildschirm. Kann die Daten aber offensichtlich auch auf direktem Weg von der Banking App bekommen. Ist das Postbank System auch TAN basiert? Ein TAN Generator arbeitet im Prinzip immer gleich. Nur wie er an seine Daten bekommt ist unterschiedlich. > Auch um nochmal zu kontrollieren, ob ich selber die richtige IBAN > eingetragen hatte. Dafür ist es allerdings unnötig, gegen Tippfehler ist die mit einer Prüfziffer abgesichert. Was das auslassen der Überprüfung nur noch verlockender macht
:
Bearbeitet durch User
Cyblord -. schrieb: >> Auch um nochmal zu kontrollieren, ob ich selber die richtige IBAN >> eingetragen hatte. > > Dafür ist es allerdings unnötig, gegen Tippfehler ist die mit einer > Prüfziffer abgesichert. Das hilft aber nicht, wenn ich aus Dummheit die IBAN einer anderen Person eingetragen habe ;-((
Dietrich L. schrieb: > Cyblord -. schrieb: >>> Auch um nochmal zu kontrollieren, ob ich selber die richtige IBAN >>> eingetragen hatte. >> >> Dafür ist es allerdings unnötig, gegen Tippfehler ist die mit einer >> Prüfziffer abgesichert. > > Das hilft aber nicht, wenn ich aus Dummheit die IBAN einer anderen > Person eingetragen habe ;-(( Fände ich aber jetzt nicht schlimm, wenn es z.B. meine wäre ;-)
A. K. schrieb: > Marek N. schrieb: >> Aber wenn ich mit dem Handy eine Überweisung tätigen will, sieht die App >> natürlich nicht den Farbcode der anderen App. > > Eine ungemein positive Eigenschaft von PhotoTAN und QR-TAN ist, dass man > schon ziemlich im die Ecke denken muss, um den Fehler zu machen, es auf > dem gleichen Gerät zu versuchen. Wieso? Früher konnte ich mit dem Handy eine Überweisung von Unterwegs tätigen. Jetzt soll das nicht mehr gehen dürfen? Das ist schade!
Marek N. schrieb: > Früher konnte ich mit dem Handy eine Überweisung von Unterwegs tätigen. > Jetzt soll das nicht mehr gehen dürfen? > Das ist schade! Sicherheit und Bequemlichkeit sind leider meist Gegensätze. So bequem es für dich ist, so bequem ist es für jene, die an dein Geld wollen.
:
Bearbeitet durch User
Mir erschließt sich bis heute nicht, warum man (regelmäßig völlig überraschend) unterwegs eine Überweisung tätigen sollte. Zu Hause gibt's die iTAN-Liste. Für unterwegs gibt es Kredit-/EC-Karte... Man hat also wieder erfolgreich ein virtuelles Problem konstruiert und zur Normalität erhoben um dann Lösungen dagegen zu verkaufen...
Roland E. schrieb: > Mir erschließt sich bis heute nicht, warum man (regelmäßig völlig > überraschend) unterwegs eine Überweisung tätigen sollte. Zu Hause gibt's > die iTAN-Liste. > > Für unterwegs gibt es Kredit-/EC-Karte... > > Man hat also wieder erfolgreich ein virtuelles Problem konstruiert und > zur Normalität erhoben um dann Lösungen dagegen zu verkaufen... Nicht von dir auf andere schließen. Ich will heute alles mobil machen können. Das versteht der Opa mit der Tan Liste in der Schublade halt nicht.
A. K. schrieb: > Marek N. schrieb: >> Früher konnte ich mit dem Handy eine Überweisung von Unterwegs tätigen. >> Jetzt soll das nicht mehr gehen dürfen? >> Das ist schade! > > Sicherheit und Bequemlichkeit sind leider meist Gegensätze. So bequem es > für dich ist, so bequem ist es für jene, die an dein Geld wollen. Ist das tatsächlich so? Gibt es denn eine Schadsoftware auf dem Smartphone die sich da erfolgreich zwischenhängt, die TAN mit gefälschten Werten aus der TAN Generator APP erzeugt und somit dann unbemerkt vom Nutzer Geld überweisen kann? Im Gegensatz dazu, waren Social Engineering Angriffe in der Vergangenheit auf normale TAN Listen eine Zeit lang sehr lukrativ. Und grade die Altchen die meinen mit dem Internet wird ihr Konto geplündert haben dann meist EC Karte und Pin im Geldbeutel deponiert. Oder geben direkt einem Wildfremden ihr Geld auf Nachfrage (Enkeltrick). Also man vergleiche hier bitte mal die Vorfälle bezüglich Häufigkeit.
:
Bearbeitet durch User
Cyblord -. schrieb: > Ich will heute alles mobil machen können. Das versteht der Opa mit der > Tan Liste in der Schublade halt nicht. Und Du kapierst nicht, daß Du ein elementares Sicherheitselement aufgibst, indem Du sowohl die Überweisungen als auch deren Absicherung mit ein und demselben Gerät durchführst. Daß genau das ein hochinteressantes anzugreifendes Objekt ist, wissen zig Skript-Kiddies und andere freundliche Menschen. Und es ist ja nicht so, daß Android dafür bekannt wäre, daß es darauf noch nie irgendwelche Schadsoftware o.ä. gegeben hätte. Warum Du Menschen, die ihr Geld behalten wollen, statt es freizügig an irgendwelche Skript-Kiddies auszuschütten, unbedingt als "Opas" bezeichnen musst, entzieht sich meinem Verständnis, aber vielleicht spricht da auch einfach nur Dein bekannter umwerfender Charme, der es einem so schwer macht, Dich irgendwie ernstzunehmen.
Rufus Τ. F. schrieb: > Und Du kapierst nicht, daß Du ein elementares Sicherheitselement > aufgibst, indem Du sowohl die Überweisungen als auch deren Absicherung > mit ein und demselben Gerät durchführst. Auch für dich: Erkläre mir bitte wo da das Sicherheitsproblem ist. Ich habe das Für und Wieder weiter oben bereits ausgeführt. Es wäre nett wenn du darauf eingehen würdest, anstatt einfach irgendwas zu wiederholen was schon öfters hier genannt wurde. > Warum Du Menschen, die ihr Geld behalten wollen, statt es freizügig an > irgendwelche Skript-Kiddies auszuschütten, unbedingt als "Opas" > bezeichnen musst, entzieht sich meinem Verständnis, aber vielleicht > spricht da auch einfach nur Dein bekannter umwerfender Charme, der es > einem so schwer macht, Dich irgendwie ernstzunehmen. Mir fällt es schwer Leute ernst zu nehmen die absolut frei von Wissen sind, aber dann Sätze wie "Früher ging doch auch die Tan liste in der Schublade, warum muss ich unterwegs Überweisungen ausführen". Also das immer gleiche ewig gestrige Gelabere. Wo sind deine ganzen Script Kiddies die die Konten leer räumen. Nochmal: Die Leute lassen sich viel einfacher um ihr Geld bringen, als über gehackte TAN Apps. Und solange du nicht einen praktikablen Angriff gegen eine aktuelle TAN App nachweisen kannst, ist das alles sowieso Theorie.
:
Bearbeitet durch User
Cyblord -. schrieb: > A. K. schrieb: >> Marek N. schrieb: >>> Früher konnte ich mit dem Handy eine Überweisung von Unterwegs tätigen. >>> Jetzt soll das nicht mehr gehen dürfen? >>> Das ist schade! >> >> Sicherheit und Bequemlichkeit sind leider meist Gegensätze. So bequem es >> für dich ist, so bequem ist es für jene, die an dein Geld wollen. > > Ist das tatsächlich so? Gibt es denn eine Schadsoftware auf dem > Smartphone die sich da erfolgreich zwischenhängt, die TAN mit > gefälschten Werten aus der TAN Generator APP erzeugt und somit dann > unbemerkt vom Nutzer Geld überweisen kann? Der Punkt ist dass es möglich ist, so eine Software zu bauen. Ob es die gibt oder nicht kriegst du im Zweifel nicht mit, ich vermute auch dass es hier eine hohe Dunkelziffer gibt, weil die Banken mit solchem Betrug meiner Vermutung nach recht kulant umgehen. Zumindest würde ich das tun, wenn ich eine Bank wäre. Der Chip-TAN-Generator als Kästchen was die Karte liest bietet diesen Angriffsvektor nicht. Das ganze Mobil-Argument kann ich persönlich auch nicht nachvollziehen. Ich sitze nie in der Bahn und denke "boah, jetzt müsste ich wirklich dringend diese Überweisung machen die dann eh 2 Tage dauert, ich kann nicht 2h warten bis ich daheim bin" ...
Sven B. schrieb: > Der Punkt ist dass es möglich ist, so eine Software zu bauen. Nein das ist nicht der Punkt. Möglich ist alles. Damit wäre kein Stück Software auf der Welt sicher genug für irgendwas. Man müsste alles abschalten. Weil es ja möglich wäre. Gehackte Flugzeuge, gehackte Züge, gehackte AKW usw. usw. Tut man aber nicht. Weil es auf Wahrscheinlichkeiten ankommt. Und in der Theorie ist der Angriff so einfach, dass man den schon lange flächendeckend sehen müsste, wenn die Sicherheit der Apps wirklich schlecht wäre. Einfach eine verseuchte App übern PlayStore verbreiten, die auf gängige Banking Apps und Tan Generatoren lauscht und wartet bis der Nutzer eine Überweisung tätigen will. Dann wird der Pin bei Eingabe abgehört, mittels Tan App dann eine Tan für die eigene IBAN erstellen und Überweisung auslösen. Das das noch nicht passiert zeigt mir, dass die Banken bei den Apps bisher irgendwas richtig machen. > Das ganze Mobil-Argument kann ich persönlich auch nicht nachvollziehen. Das ist ein weit verbreitetes Problem: Was ich persönlich nicht mache oder brauche gönne ich auch niemand anderem. Weg mit dem Quatsch. Verbieten und gut ist.
:
Bearbeitet durch User
Cyblord -. schrieb: > Sven B. schrieb: > >> Der Punkt ist dass es möglich ist, so eine Software zu bauen. > > Nein das ist nicht der Punkt. Möglich ist alles. Damit wäre kein Stück > Software auf der Welt sicher genug für irgendwas. Man müsste alles > abschalten. Weil es ja möglich wäre. Gehackte Flugzeuge, gehackte Züge, > gehackte AKW usw. usw. Tut man aber nicht. Weil es auf > Wahrscheinlichkeiten ankommt. Diese Argumentationsweise ist unsinnig. Natürlich ist es ein Unterschied, ob eine bestimmte Klasse von Angriffen funktioniert oder nicht. Das hat auch nichts mit Wahrscheinlichkeiten zu tun, weil eben eine ganze Klasse von Problemen konzeptionell ausgeschlossen wird. Diese Klasse von Angriffen (in dem Fall Tätigen von Überweisungen ohne Vorliegen der Karte) kann in dem Konzept nicht stattfinden. >> Das ganze Mobil-Argument kann ich persönlich auch nicht nachvollziehen. > > Das ist ein weit verbreitetes Problem: Was ich persönlich nicht mache > oder brauche gönne ich auch niemand anderem. Weg mit dem Quatsch. > Verbieten und gut ist. Kannst du ja haben, nichts dagegen. Ich brauch's nicht.
Sven B. schrieb: > Diese > Klasse von Angriffen (in dem Fall Tätigen von Überweisungen ohne > Vorliegen der Karte) kann in dem Konzept nicht stattfinden. Wobei du jetzt hier zwei Dinge vermischst: Man kann den ChipTan Generator durch ein Smartphone ersetzen oder die Überweisung komplett auf dem SmartPhone durchführen. Das sind zwei verschiedene Aspekte. In letzterem liegt natürlich die höhere Gefahr über die ich hier rede. In ersterem sehe ich kein Problem, weil man statt der GiroCard eben sein Smartphone benötigt. Das gibt sich nichts.
Cyblord -. schrieb: > In letzterem liegt natürlich die höhere Gefahr über die ich hier rede. > In ersterem sehe ich kein Problem, weil man statt der GiroCard eben sein > Smartphone benötigt. Das gibt sich nichts. Doch, gibt sich was, weil beim einen der Key in einem Hardware-Sicherheitsmodul gespeichert ist und nicht kopiert werden kann und beim anderen nicht.
Cyblord -. schrieb: > Auch für dich: Erkläre mir bitte wo da das Sicherheitsproblem ist Du siehst kein Sicherheitsproblem, wenn sowohl die "App", die die Überweisung durchführt als auch die "App", die die dafür nötigen TANs generiert, auf dem gleichen System laufen? > Und solange du nicht einen praktikablen Angriff gegen eine aktuelle TAN > App nachweisen kannst, ist das alles sowieso Theorie. Kannst Du solche Angriffe sicher ausschließen? Cyblord -. schrieb: > oder die Überweisung komplett auf dem SmartPhone durchführen. Das sind > zwei verschiedene Aspekte. > > In letzterem liegt natürlich die höhere Gefahr über die ich hier rede. Hey, Du scheinst was verstanden zu haben! Chapeau!
Cyblord -. schrieb: > Nicht von dir auf andere schließen. Ich will heute alles mobil machen > können. Das versteht der Opa mit der Tan Liste in der Schublade halt > nicht. Das muss der Opa mit den TAN_Listen endlich kapieren, dass überall überweisen zu können ein wesentliches Element des Lifestyle des mobilen Digitaldeppen ist, genauso wie dauernd gegen Laternenmasten prallen, beim Pokemon-Fangen von der Klippe stürzen oder sich eine Nacht lang vor dem Applestore anstellen.
Rufus Τ. F. schrieb: > Du siehst kein Sicherheitsproblem, wenn sowohl die "App", die die > Überweisung durchführt als auch die "App", die die dafür nötigen TANs > generiert, auf dem gleichen System laufen? Doch, wie gesagt, habe ich weiter oben bereits alles erörtert. Es hängt an der Sicherheit der TAN App und ob von dieser im Hintergrund unbemerkt eine TAN bezogen werden kann. Eine komplett eigenständige Generierung der TAN durch einen Angreifer schließe ich als unrealistisch sowieso aus. > Hey, Du scheinst was verstanden zu haben! Chapeau! Ausgerechnet vom Mod kommen immer die unsachlichsten Pöbeleien. Unglaublich. Bist du so gar nicht mehr an einer sachlichen Diskussion hier interessiert oder was ist der Grund? Lass mal hören!
:
Bearbeitet durch User
Cyblord -. schrieb: > Doch, wie gesagt, habe ich weiter oben bereits alles erörtert. Deine Reaktion vorhin auf meinen Beitrag lässt das nicht erkennen. > Ausgerechnet vom Mod kommen immer die unsachlichsten Pöbeleien. Gerade Du solltest sehr vorsichtig sein, wenn Du irgendjemandem Unsachlichkeit oder gar Pöbeleien vorwirfst, denn gerade Du brillierst hier in diesem Forum durch genau das: Unsachliche Pöbeleien. Schraub' Deine künstliche Empörung also mal wieder 'ne Stufe 'runter.
Rufus Τ. F. schrieb: > Cyblord -. schrieb: >> Doch, wie gesagt, habe ich weiter oben bereits alles erörtert. > > Deine Reaktion vorhin auf meinen Beitrag lässt das nicht erkennen. Meine Reaktion war, dich auf gerade diesen Umstand hinzuweisen. Hast du meinen Beitrag inzwischen gelesen? Dann könntest du diesen als Ausgangspunkt für deine (dann vielleicht sachliche) Kritik nutzen und was zur Diskussion beitragen. Immer dasselbe zu wiederholen bringt einen nicht weiter. Beitrag "Re: Sollte man von TAN auf photoTAN umsteigen?" > >> Ausgerechnet vom Mod kommen immer die unsachlichsten Pöbeleien. > > Gerade Du solltest sehr vorsichtig sein, wenn Du irgendjemandem > Unsachlichkeit oder gar Pöbeleien vorwirfst, Überhaupt nicht. Es stimmt. Du pöbelst mich hier nur unsachlich an und zerstörst hier eine sachliche Diskussion zum Thema. > denn gerade Du brillierst > hier in diesem Forum durch genau das: Unsachliche Pöbeleien. Musst du hier als Mod private Rache gegen User führen? Muss ich jetzt in jedem Thread damit rechnen grundlos von dir angemacht zu werden? Würde es dir besser gehen, wenn ich einfach deinen Standpunkt teile und mich hier zurückziehe und wir einigen uns darauf dass alles unsicher ist.
:
Bearbeitet durch User
Cyblord -. schrieb: > Das ganze mutet in der Tat unsicher an. Ist aber dann sicher genug, > falls die PhotoTan App sich nicht dazu bewegen lässt (z.B. von einem > Trojaner auf dem Smartphone), eine TAN zu generieren ohne > Benutzeraktion. D.h. ohne dem Benutzer Ziel IBAN und Betrag anzuzeigen > und sich das OK zu holen. > Ist das sichergestellt, ist es nicht unsicherer als ein separater TAN > Generator. Diese Argumentation ist prinzipiell Unfug. Der Punkt ist, dass die Secrets, die zum Generieren der TAN benötigt werden, auf dem Smartphone gespeichert sind. Die App an sich und wozu sie sich bewegen lässt spielt überhaupt keine Rolle, es geht um den Key. Habe ich den, kann ich die Anwendung drum herum die sich nicht um den Benutzer schert notfalls komplett selbst nachbauen. > Denn die Sicherheit beim TAN Generator basiert ja nicht darauf dass > alles getrennt ist, sondern auf der Tatsache dass man etwas körperliches > braucht (z.B. das registrierte Smartphone) und dass die Daten aus denen > die TAN generiert wird, vom Benutzer vorher abgesegnet werden. Letzteres kannst du aber nicht garantieren, wenn das System, auf dem der Key liegt, nicht komplett kontrolliert ist. > Bei dieser Betrachtung spielt es keine Rolle ob nun zwei Geräte > involviert sind, oder nur eines. Jo. Wenn der Benutzer die Sicherheitsmaßnahme ignoriert, hat er Pech gehabt. Ich prüfe aber immer den Betrag und bei mindestens mittleren Beträgen auch die IBAN auf dem Display. So viel Zeit kostet das nun auch nicht.
:
Bearbeitet durch User
Sven B. schrieb: > Der Punkt ist, dass die > Secrets, die zum Generieren der TAN benötigt sind, auf dem Smartphone > gespeichert sind. Das ist in der Tat ein valider Punkt. Es wäre interessant zu erfahren welche Sicherheitsvorkehrungen hier getroffen wurden. > es geht um den Key. Klar, falls es die Möglichkeit gibt an den Key zu kommen und der Algo zur TAN Generierung überhaupt bekannt ist. Letzteres erhöht zwar formal nicht die Sicherheit kostet aber auch (einmaligen) Aufwand. Eine APP welche aber bereits eine "Inter-App" Schnittstelle zur TAN Generierung bereitstellt ist ein viel offensichtlicherer und einfacherer Angriffsvektor. > Jo. Wenn der Benutzer die Sicherheitsmaßnahme ignoriert, hat er Pech > gehabt. Genau. Darauf zu spekulieren ist aber bestimmt hundert mal erfolgversprechender als den Key aus der App zu bekommen und die TAN selbst zu generieren.
:
Bearbeitet durch User
Cyblord -. schrieb: >> es geht um den Key. > > Klar, falls es die Möglichkeit gibt an den Key zu kommen und der Algo > zur TAN Generierung überhaupt bekannt ist. Die Möglichkeit an den Key zu kommen gibt es -- die App kann es ja auch. Der Rest ist Security by Obscurity ;) > Letzteres erhöht zwar formal > nicht die Sicherheit kostet aber auch (einmaligen) Aufwand. Naja. Da haben Leute schon für erheblich weniger erheblich größeren Aufwand betrieben. Ist wirklich kein Argument. Vermutlich ist die App sogar in Java geschrieben und sehr leicht disassemblierbar. > Eine APP welche aber bereits eine "Inter-App" Schnittstelle zur TAN > Generierung bereitstellt ist ein viel offensichtlicherer und einfacherer > Angriffsvektor. Joa, aber wie du sagst formal und damit in diesem Fall real kein Unterschied. Ein einzelner Typ der sich mal ein paar Wochen hinsetzt und es ist für Millionen von Anwendern kaputt. >> Jo. Wenn der Benutzer die Sicherheitsmaßnahme ignoriert, hat er Pech >> gehabt. > > Genau. Darauf zu spekulieren ist aber bestimmt hundert mal > erfolgversprechender als den Key aus der App zu bekommen und die TAN > selbst zu generieren. Wenn ich die TANs selbst generieren kann, hat das ganz andere Ausmaße als der andere Angriff. Wenn der Angriff mit dem TAN-Generator bekannt wird, kannst du den Leuten sagen "das Verfahren ist immer noch sicher, ihr müsst nur bitte mal drauf achten was da steht". In dem Smartphone-Fall, also ein Wurm o.ä. mit entsprechender Verbreitung (wie es das in den letzten Jahren dutzendfach gab), der TANs generiert, kannst du direkt mal mehr oder weniger das ganze System abschalten. Was ich nicht weiß, ist ob das Foto evtl. serverseitig verifiziert wird, kennt da jemand Details?
:
Bearbeitet durch User
Sven B. schrieb: > Joa, aber wie du sagst formal und damit in diesem Fall real kein > Unterschied. Ein einzelner Typ der sich mal ein paar Wochen hinsetzt und > es ist für Millionen von Anwendern kaputt. > Wenn ich die TANs selbst generieren kann, hat das ganz andere Ausmaße > als der andere Angriff. Natürlich hast du recht. Und genau darum wundert es mich ja, warum 1.) Banken so was explizit erlauben bzw. vorsehen und 2.) warum es dazu recht wenig Sicherheitsforschung gibt und nicht schon lange jemand einen Trojaner gebaut hat der den Schlüssel aus einer Banking/Tan Apps ausliest und dann quasi jederzeit auf diesem Smartphone Überweisungen tätigen kann. > Die Möglichkeit an den Key zu kommen gibt es -- die App kann es ja auch. Bleibt die Frage ob es für eine Schad-App auf einem nicht gerooteten Smartphone möglich ist. > Was ich nicht weiß, ist ob das Foto evtl. serverseitig verifiziert wird, > kennt da jemand Details? Leider nicht- Ist allerdings unerheblich da ja eine TAN auch ohne Foto erstellt werden kann. Letzlich transportiert das Foto nur ein paar Transaktionsdaten. Sicher nicht mehr als die blinkenen Barcodes der Sparkasse. Ich glaube nicht dass es Sicherheitsrelevant ist.
:
Bearbeitet durch User
Cyblord -. schrieb: > Natürlich hast du recht. Und genau darum wundert es mich ja, warum 1.) > Banken so was explizit erlauben bzw. vorsehen Weil die Hipster die aus der Bahn ihre Bananen per Überweisung bezahlen müssen es haben wollen! :D > und 2.) warum es dazu > recht wenig Sicherheitsforschung gibt und nicht schon lange jemand einen > Trojaner gebaut hat der den Schlüssel aus einer Banking/Tan Apps > ausliest und dann quasi jederzeit auf diesem Smartphone Überweisungen > tätigen kann. Ich könnte mir vorstellen, dass das hauptsächlich mit der Hemmschwelle zusammenhängt so eine Bank zu targetten. Anderer Betrug ist einfacher, es ist mit viel weniger (juristischer, etc) Gegenwehr zu rechnen. Dazu ist es hier schwierig, das Geld irgendwo nicht-nachverfolgbar hin zu überweisen ...
Bitteschön, alles schon gelöst, äh geknackt: https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking
Sven B. schrieb: > Cyblord -. schrieb: >> Natürlich hast du recht. Und genau darum wundert es mich ja, warum 1.) >> Banken so was explizit erlauben bzw. vorsehen > > Weil die Hipster die aus der Bahn ihre Bananen per Überweisung bezahlen > müssen es haben wollen! :D Dazu nimmt der sowieso PayPal oder Apple Pay. Überweisung ist ja an sich schon old school, ob mit Smartphone oder nicht. Trotzdem glaube ich nicht an riesige derart offensichtliche Sicherheitslücke die bisher unentdeckt ist weil noch keiner Bock hatte sich damit zu beschäftigen. > Ich könnte mir vorstellen, dass das hauptsächlich mit der Hemmschwelle > zusammenhängt so eine Bank zu targetten. Anderer Betrug ist einfacher, > es ist mit viel weniger (juristischer, etc) Gegenwehr zu rechnen. Dazu > ist es hier schwierig, das Geld irgendwo nicht-nachverfolgbar hin zu > überweisen ... Allein sportlich/akademisch wäre es schon ein Coup.
vn n. schrieb: > Bitteschön, alles schon gelöst, äh geknackt: > https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking Auch da geht es wohl um gerootete Smartphones.
Cyblord -. schrieb: > Natürlich hast du recht. Und genau darum wundert es mich ja, warum 1.) > Banken so was explizit erlauben bzw. vorsehen und 2.) warum es dazu > recht wenig Sicherheitsforschung gibt und nicht schon lange jemand einen > Trojaner gebaut hat der den Schlüssel aus einer Banking/Tan Apps > ausliest und dann quasi jederzeit auf diesem Smartphone Überweisungen > tätigen kann. Gibts ja schon als Proof of Concept. Warum Banken sowas trotzdem machen? Weils ihnen egal ist, den Benutzer interessier Komfort, nicht Sicherheit.
Für mich war das Ersetzen der (i)TAN Liste durch PhotoTan oder (kostenpflichtige) SMSTan ein (weiterer) Grund mir eine neue Bank zu suchen. Mir fehlt a) dass für die App notwendige Android/iOS basierende Smartphone noch halte ich b) diese Lösung für sicher. Angeblich soll die App und das Verfahren jeweils auf genau ein Smartphone personalisiert sein und dadurch das Sicherheitselement "Besitz" erfüllt sein. Dumm nur das es anscheinend schon gelungen ist solche eine personalisierte App komplett zu kopieren so das einfach mit einem weiteren Smartphone die TANs generiert werden konnten: http://www.heinz-schmitz.org/index.php/nachrichtenleser/it-experten-hacken-phototan-verfahren-in-echtzeit.html Lt. dem Artikel ist der Aufwand wohl aufgrund anderer Probleme der Apps aber gar nicht nötig, man kann dem Nutzer einfach Dummydaten anzeigen... Zur Kombination von Banking App und TanApp auf dem selben Handy: https://www.computerweekly.com/de/meinung/Mobile-Banking-So-funktioniert-der-photoTAN-Hack Ob der bei der DB zu kaufenden PhotoTan Generator sicherer ist weis ich nicht, aber noch obigen traue ich denen nicht mehr viel zu. Ich habe die Bank gewechselt und nutze jetzt einfach den ChipTan Generator von der Sparkasse meiner Frau mit, der geht auch mit der Volksbank. Und um den zu Nutzen braucht man zwingend die zum Konto passende EC-Karte. Ich gehe davon aus (hoffe) das es weit aufwändiger ist den EC-Kartenchip zu kopieren als ein Handy, zumal eine Ec-Karte weniger Angrifssmöglichkeiten als ein Smartphone bietet. Und CHIPTan kann man natürlich auch von Unterwegs benutzen, einfach den Generator mitnehmen, die EC-Karte hat man ja eh dabei... Ich sehe gerade, beide Links zeigen auf das gleiche Thema...
:
Bearbeitet durch User
Andreas M. schrieb: > Für mich war das Ersetzen der (i)TAN Liste durch PhotoTan oder > (kostenpflichtige) SMSTan ein (weiterer) Grund mir eine neue Bank zu > suchen. iTan ist auch nicht besonders sicher, weil du nicht weißt wofür die TAN verwendet wird. Eine umgebogene Überweisung merkst du somit nicht. > Lt. dem Artikel ist der Aufwand wohl aufgrund anderer Probleme der Apps > aber gar nicht nötig, man kann dem Nutzer einfach Dummydaten anzeigen... Dieses Problem hat jeder TAN Generator. Der Nutzer muss aufpassen und die Daten auf dem Display auch wirklich prüfen. Prinzipiell kann man dem Generator beliebige Daten schicken und dafür dann eine TAN bekommen.
Die Commerzbank nutzt ebenfalls das FotoTAN system und man kann damit auch vom Handy aus überweisen. Und ja: ich habe es und werde es wieder nutzen. Warum? erstens: Bequemlichkeit, 2.: Vergesslichkeit. wenn ich z.B. Rechnungen bekomme (Was sehr selten vorkommt, da vieles über Kreditkarte oder Bankeinzug automatisch bezahlt wird), wenn ich nun also eine Rechnung bekomme so ist diese normalerweise im Flur hinter der Eingangstür deponiert wenn ich heim komme. (Keine Ahnung, wer die da hin bringt g) Nun kann ich dort den üblicherweise angehangen Überweisungsvordruck mit der App einfach abscannen, starte die Fototan App, kontrolliere die IBAN, (aber nur die ersten 4 Stellen nach dem DE, beim Rest verlasse ich mich auf die Rüfziffer), den Betrag, Verwendungszweck und Empfänger und drücke auf absenden. Fertig. Das Dauert keine 30 Sekunden. Wenn ich die Überweisung mit dem PC machen würde müsste ich diesen zuerst aufsuchen und Einschalten. Mich Einloggen beim Onlinebanking (geht in der App mittels Fingerabdrucksensor) und dort die Überweisungsdaten eingeben. Anschließend das Handy holen um die Tan zu generieren. Das dauert alles sehr viel länger. Nächstes Beispiel: Wir machen des öfteren Sammelbestellungen unter Kollegen. Da ist es auch kein Problem einfach schnell den Betrag zu überweisen anstatt mich hier wieder abends an den PC zu setzen. Das vergesse ich nämlich dann auch gern mal und man möchte einfach nicht mehrmals auf die noch ausstehende Zahlung angesprochen werden. Für mich hat das somit ganz klare Vorteile. Um das Risiko zu minimieren schaue ich mehrmals Wöchentlich aufs Konto. Unklare Überweisungen fallen so schnell auf und ich könnte sie entsprechend Schnell bei der Bank reklamieren. Musste ich bisher aber noch nie.
Christian B. schrieb: > aber nur die ersten 4 Stellen nach dem DE Du prüfst also die Prüfziffer und die ersten 2 Stellen der Bankleitzahl. Ich sehe mir die letzten 6 Ziffern an - das ist der variabelste Teil der Kontonummer. https://de.wikipedia.org/wiki/Internationale_Bankkontonummer#Zusammensetzung
Cyblord -. schrieb: > iTan ist auch nicht besonders sicher, weil du nicht weißt wofür die TAN > verwendet wird. Eine umgebogene Überweisung merkst du somit nicht. Ja das stimmt. Da muss man sich dann auf SSL/Zertifikatsprüfne des Browsers und sein System verlassen. Cyblord -. schrieb: > Dieses Problem hat jeder TAN Generator. Der Nutzer muss aufpassen und > die Daten auf dem Display auch wirklich prüfen. Prinzipiell kann man dem > Generator beliebige Daten schicken und dafür dann eine TAN bekommen. In dem Artikel steht, das bei dem Angriff die PhotoTan APP die vom Nutzer zur Überweisungen eingebenen Daten zur Verifikation korrekt angezeigt hat, im Hintergrund dann aber aber eine andere Überweisung durchgeführt wurde... Christian B. schrieb: > Um das Risiko zu minimieren schaue ich mehrmals Wöchentlich aufs Konto. > Unklare Überweisungen fallen so schnell auf und ich könnte sie > entsprechend Schnell bei der Bank reklamieren. Musste ich bisher aber > noch nie. Du kannst eine SEPA-Überweisung nicht so einfach wie eine SEPA-Lastschrift reklamieren. Wenn die Bank eine wie auch immer legitimierte SEPA-Überweisung für Dein Konto ausgeführt hat, dann ist das Geld erst mal Weg. Die Bank kann das nicht ohne weiteres von der Empfängerbank zurückholen, wird Dir daher eine ganze Menge Fragen und sich erstmal quer stellen. Im Bekanntenkreis hat das Jemand schon hinter sich: Falsche, aber gültige Empfängerkontonummer benutzt -> Geld war weg, die Bank hat da nichts erstattet. Warum wird hier eigentlich immer das Zeitargument angeführt? Ist es so schlimm sich alle zwei Wochen mal vor den PC zu setzen und 5 Minuten in eine Überweisung zu investieren?
Andreas M. schrieb: > Ja das stimmt. Da muss man sich dann auf SSL/Zertifikatsprüfne des > Browsers und sein System verlassen. Aber unter der Prämisse eines sauberen Systems (egal ob PC oder Smartphone) ist jedes TAN Verfahren sicher. Weil dann nur noch Angriffe von Remote in Betracht kommen, die mit der vom User verwendeten HW und SW nichts mehr zu tun haben. > In dem Artikel steht, das bei dem Angriff die PhotoTan APP die vom > Nutzer zur Überweisungen eingebenen Daten zur Verifikation korrekt > angezeigt hat, im Hintergrund dann aber aber eine andere Überweisung > durchgeführt wurde... DAS wiederum spricht wirklich nicht für die Tan App. Kann aber sicher als Bug betrachtet und recht einfach abgestellt werden.
Cyblord -. schrieb: > vn n. schrieb: >> Bitteschön, alles schon gelöst, äh geknackt: >> > https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking > > Auch da geht es wohl um gerootete Smartphones. Ach ne, sag bloß? Und Schadsoftware kann natürlich nie, nie, niemals nicht Rootrechte über Sicherheitslücken, erlangen, niiiiieeeemals!11!1 Hat es auch in der Vergangenheit auch noch nie gegeben. Äh, genau das ist der dort angesprochene Angriffsvektor. Aber zum Glück haben die Bankingapps ja jede Menge leicht zu umgehendes Schlangenöl eingebaut, das zwar bestenfalls Usern mit gerrotetem Gerät auf die Nerven geht, für Angreifer aber leicht zu umgehen ist, wie in Livedemos bereits gezeigt. Cyblord -. schrieb: > Aber unter der Prämisse eines sauberen Systems (egal ob PC oder > Smartphone) ist jedes TAN Verfahren sicher. Tja, und genau die Prämisse ist grundfalsch, denn ein TAN-System hat man ja genau deswegen, damit ein einzelnes angegriffenes Gerät nicht ausreicht, um das Konto leerzuräumen. Cyblord -. schrieb: > DAS wiederum spricht wirklich nicht für die Tan App. Kann aber sicher > als Bug betrachtet und recht einfach abgestellt werden. Wie genau soll man das abdrehen? Ein kompromittiertes System ist nicht vertrauenswürdig, Punkt. Deshalb hat man ja Multifaktorauthentifizierung vulgo TAN erfunden, um nicht an ein einziges System gebunden zu sein.
Andreas M. schrieb: > In dem Artikel steht, das bei dem Angriff die PhotoTan APP die vom > Nutzer zur Überweisungen eingebenen Daten zur Verifikation korrekt > angezeigt hat, im Hintergrund dann aber aber eine andere Überweisung > durchgeführt wurde... Andreas M. schrieb: > Du kannst eine SEPA-Überweisung nicht so einfach wie eine > SEPA-Lastschrift reklamieren. Wenn die Bank eine wie auch immer > legitimierte SEPA-Überweisung für Dein Konto ausgeführt hat, dann ist > das Geld erst mal Weg. Die Bank kann das nicht ohne weiteres von der > Empfängerbank zurückholen, wird Dir daher eine ganze Menge Fragen und > sich erstmal quer stellen. Im Bekanntenkreis hat das Jemand schon hinter > sich: Falsche, aber gültige Empfängerkontonummer benutzt -> Geld war > weg, die Bank hat da nichts erstattet. Meine Überweisungsapp hat eine Liste der zuletzt überwiesenen Beträge und Empfänger. Wenn die nicht mit den Daten auf dem Kontoauszug übereinstimmt ist das schon ein recht gutes Argument, wie ich meine. Wie gesagt, ich habe sehr selten Überweisungen, vielleicht 3-5 im Jahr, weshalb ich die auch vergesse, wenn ich es nicht gleich erledige. Uhu U. schrieb: > Du prüfst also die Prüfziffer und die ersten 2 Stellen der Bankleitzahl. > > Ich sehe mir die letzten 6 Ziffern an - das ist der variabelste Teil der > Kontonummer. Gutes Argument, dann werde ich ab sofort die letzten 6 Stellen überprüfen, wenn die Checksumme nicht stimmt meldet das die Überweisungsapp bei Eingabe sowieso direkt. vn n. schrieb: > Äh, genau das ist der dort angesprochene Angriffsvektor. Aber zum Glück > haben die Bankingapps ja jede Menge leicht zu umgehendes Schlangenöl > eingebaut, das zwar bestenfalls Usern mit gerrotetem Gerät auf die > Nerven geht, für Angreifer aber leicht zu umgehen ist, wie in Livedemos > bereits gezeigt. nunja, auch hier gilt wie beim PC: Nicht jede kostenlose Demo muss man installieren. Wenn man das nämlich schonmal unterbindet siehts da schonmal schlecht aus. Wobei ich das gar nicht muss. Google sei dank belegen die nicht löschbaren und nicht benutzten standardmitbringsel zusammen mit den wirklich genutzten apps soviel Speicher, daß nichts neues mehr installiert werden kann. Auch ne Art sich zu schützen.
Christian B. schrieb: > nunja, auch hier gilt wie beim PC: Nicht jede kostenlose Demo muss man > installieren. Was redest du da? Eine Livedemonstration, auch Vorführung genannt, kann man nicht installieren.... Unglaublich, wie man Unfug laut, falsch und begeisterung hinausposaunen kann, nur weil man um jeden Preis recht haben und sein Unwissen nicht eingestehen will... Christian B. schrieb: > Wenn man das nämlich schonmal unterbindet siehts da schonmal schlecht > aus. Ja ne, ist klar. Träumer. Christian B. schrieb: > Google sei dank belegen die nicht löschbaren und nicht benutzten > standardmitbringsel zusammen mit den wirklich genutzten apps soviel > Speicher, daß nichts neues mehr installiert werden kann. Ich weiß zwar nicht, was deiner Meinung nach Google viel mitliefern soll, aber für einem Trojaner findet sich immer Platz...
:
Bearbeitet durch User
vn n. schrieb: > Ich weiß zwar nicht, was deiner Meinung nach Google viel mitliefern > soll Dann hast du kein Android handy und bist raus... Außerdem zwingt dich ja auch niemand, die Überweisungen vom Handy aus zu machen wenn dir das zu unsicher erscheint. Mir ist in den 3 Jahren, in welchen ich dies nun tue noch kein einziger Cent abhanden gekommen. Ich habe auch noch nicht von einem greifbaren Fall gehört. Solange sich das nicht ändert überwiegen für mich einfach die Vorteile.
Christian B. schrieb: > Dann hast du kein Android handy und bist raus... Bestechend Argumentation. Äh ne, doch nicht so. Christian B. schrieb: > Außerdem zwingt dich ja auch niemand, die Überweisungen vom Handy aus zu > machen wenn dir das zu unsicher erscheint. Ach? Und das ändert jetzt was genau an der Tatsache, dass APP-TAN unsicher sind, und eigentlich das ganze TAN-Verfahren ad absurdum führen? Christian B. schrieb: > Mir ist in den 3 Jahren, in welchen ich dies nun tue noch kein einziger > Cent abhanden gekommen. Wow. Ganz toll. Christian B. schrieb: > Ich habe auch noch nicht von einem greifbaren Fall gehört. Eine Bank wäre wohl auch blöd, sowas zu publizieren... wenn Mutti Geld abgezweigt wurde, wird sie das nach etwas hin und her halt zurückbekommen mit verweis darauf, dass sie ja eigentlich selbst schuld ist. Unfassbar, wie fahrlässig manche mit ihrem Geld umgehen: ist zwar erwiesenermaßen höchst unsicher,aber egal, machma trotzdem.
vn n. schrieb: > Unfassbar, wie fahrlässig manche mit ihrem Geld umgehen: ist zwar > erwiesenermaßen höchst unsicher,aber egal, machma trotzdem. Andere Leute legen ihr Geld unters Kopfkissen oder verstecken es in Keksdosen. Irgendeinen Tod muss man sterben. Wenn man das TAN Verfahren nicht will muss man es ja nicht verwenden. Alle Banken, durch die Bank, bieten Schalterüberweisungen an. Indeß die meisten lassen sich diesen Service gut bezahlen. Entweder man lebt damit oder man nutzt Alternativen. Wie immer im Leben hat man diese beiden Optionen. Tan Generatoren auf Basis der EC Karte wurden bereits genannt. Auch diese bieten viele Banken an. ist möglicherweise eine Alternative für die, denen Fototan zu unsicher ist.
Christian B. schrieb: > Andere Leute legen ihr Geld unters Kopfkissen oder verstecken es in > Keksdosen. Schön. Und was hat das nun mit dem Thema zu tun? Christian B. schrieb: > Irgendeinen Tod muss man sterben. Nö. Gibt ja genug sichere TAN-Verfahren, da muss man kein unsicheres anbieten. Christian B. schrieb: > ist möglicherweise eine Alternative für > die, denen Fototan zu unsicher ist. photoTAN ist nicht unsicher, es ging um diese komischen Apps, die Banking und "TAN" in einem anbieten. photoTAN im herkömlichen Sinne ist (relativ) sicher, da ich ja zwei Geräte brauche, eines auf dem ich überweise, und eines, mit dem ich den Code abfotografiere. Herrgott, liest hier auch jemand? Christian B. schrieb: > Wenn man das TAN Verfahren nicht will > muss man es ja nicht verwenden. Lächerliches Argument, das Banken und andere Dienstanbieter immer wieder bringen, wenn sie ihren kapuuten Müll auf den Markt werfen. Woher soll Mutti wissen, dass Single-App-PseudoTANs unsicher sind? Aber natürlich, immer brav dem User die Verantwortung für die kaputten Konzepte in die Schuhe schieben. https://futurezone.at/digital-life/hack-wie-bei-n26-geld-abgezweigt-werden-konnte/237.973.645 https://www.gruenderszene.de/allgemein/n26-ccc-vincent-haupert-kundenservice https://blog.fefe.de/?ts=a3f881bd Oh, wer hätte das gedacht, Bankingapps mit kaputtem Konzept dahinter sind unsicher!!11!1
:
Bearbeitet durch User
Dann ist das ja jetzt umfassend geklärt. Auch ohne die vielen "!".
Christian B. schrieb: > > > Tan Generatoren auf Basis der EC Karte wurden bereits genannt. Auch > diese bieten viele Banken an. ist möglicherweise eine Alternative für > die, denen Fototan zu unsicher ist. Das "Problem" hier sind dann Banken, die unbedingt das Rad per App neu erfinden wollen, und diese bestehende Infrastruktur nicht nutzen wollen. Betreffende Bank wurde schon genannt. Wenn die iTAN-Liste nicht mehr geht, wird das Chip-Tan Verfahren kommen. Ob mit oder ohne die betreffende Bank...
iTan gibt es bald nicht mehr, bei einigen Banken schon jetzt. Dann MUSS man gezwungenermaßen wechseln. Ich nutze dafür keine Smartphone App, sondern einen Kartenleser.
Ist es an euch vorbeigegangen, dass da ein Gesetz geändert wurde und daher die itan nicht mehr ausreicht? https://www.tagesspiegel.de/verbraucher/abschied-von-der-tan-liste-das-sind-die-alternativen-tan-verfahren/24362676.html --- Mit dem Aus der Papier-Tanliste setzen die Banken eine Vorgabe der EU um, die verlangt, dass Tan dynamisch generiert werden: dass also eine App oder ein Gerät sie erst in dem Moment erzeugt, in dem der Nutzer sie braucht. --- Hier wird diese EU Richtlinie nochmal erklärt: https://www.tagesspiegel.de/verbraucher/mehr-schutz-im-netz-darum-wird-das-onlineshoppen-kompliziert/24474480.html Mit krassen Dingen wie: --- Banken verlieren die alleinigen Rechte auf die Daten ihrer Kunden und müssen Drittanbietern künftig einen Zugriff aufs Konto gewähren – so diese es erlauben. --- Natüüüüürlich kann man das abschalten, aber dann find ma ne Wohnung... (Der hat ja was zu verbergen!)
Mw E. schrieb: > Ist es an euch vorbeigegangen, dass da ein Gesetz geändert wurde und > daher die itan nicht mehr ausreicht? Wurde hier schon oft im Thread angesprochen. Vielleicht ist das an DIR vorbeigegangen?
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.