ComputerBase Menü
Aktuelles

Online-Banking nur noch am Handy, nicht mehr am PC?

pvc-junkie schrieb:
Vom CCC gibt es zu dem Thema auch noch ein neueres Video
Zum Vergrößern anklicken....
In diesem wird aber wieder eine Transaktionsmanipulation demonstriert, was durch eine Durchführung auf zwei verschiedenen Geräten: PC zur Transaktion Erstellung und Smartphone zur Authentifizierung sehr effektiv unterbunden werden kann, bzw. den Schwierigkeitsgrad für den Angreifer mehr als nur merklich steigert.

pvc-junkie schrieb:
Die App der ING ist keine App zum reinen Generieren TAN für die Transaktion. Sobald ich mich da anmelde, liegt das Kind meiner Meinung nach schon im Brunnen
Zum Vergrößern anklicken....
Solange vom User dort keine Transaktion initiiert wird und die App nur zur Authentifizierung nutzt, ist das wohl nicht als ganz so kritisch einzustufen.

Ganz von der Hand will ich diesen Umstand aber sicherlich nicht weisen, weswegen ich auch dem TE eindeutig zu einem nicht Internet fähigem Gerät, in Form eines photoTAN-Generators, als zweiten Faktor zur Authentifizierung geraten habe.
 
Wenn die App kompromitiert wurde, haben die Angreifer alles was sie brauchen um Geld abzuziehen, weil schlicht beide Faktoren auf einem Gerät und in einer App vereint wurden. Wenn die App wie im Video durch ein "Update" etwas verändert/ersetzt wurde, reicht es die PIN abzufragen, wie beim Einloggen in die App normal ist, und anschließend kann die modifizierte App direkt ein paar Überweisungen tätigen. Das hat mit 2FA nur noch wenig zu tun.
 
Ich nutze auch die Diba App, das mit der Pin ist etwas daneben, wenn sie wenigstens die Länge offen lassen würden und auch nicht gleich aktivieren, wenn du getroffen hast....

Was mich aber viel mehr stört, man sieht das alten soll/haben nicht.

Wenn ich am ersten Gehalt bekomme und am Ende des Monats mal sehen will, wieviel über geblieben ist darf ich händisch zurück rechnen, es gibt nämlich keine Gegenüberstellung.
 
Vielen Dank für die interessanten Informationen hier im Thread. Vor allem an @Timberwolf90 und @pvc-junkie aber auch an die anderen Beiträge. Sorry wenn ich den etwas älteren Thread wieder hoch hole, da aber der 01.04. näher rückt, und das MTaN Verfahren bei ING eingestellt wird, denke ich, wird das Thema demnächst akut werden.
Ich habe als Kunde der ING die Umstellung auch gerade mitbekommen und bin fassungslos. 2FA ist bei dem System nach meinem Verständnis für den Popo. Einer, der einem das Handy klaut, hat mit ein paar Kniffen Zugriff auf mein gesamtes Vermögen? Ich würde nie Bankgeschäfte über mein Handy machen. Was ist, wenn die App kompromittiert wird? Oder ich mein Handy verliere bzw. es mir geklaut wird? Im Grunde braucht ein Dieb nur die Leute beobachten, wie sie sich anmelden (idealerweise mit dem 5Pin-Code :freak: ), das Handy klauen und hat Zugriff aufs Konto. Oder klaut das Handy und umgeht die technischen Hürden in aller Ruhe mit technischen Helferlein. Klar ist es naiv, Bankgeschäfte in der Öffentlichkeit zu machen. Andererseits braucht man sich nicht wundern, wenn Leute ihre mobilen Geräte auch mobil benutzen. Auch davon auszugehen, dass das alles sicher ist, ist doch super naiv. Wie lange hat es gedauert, bis der Fingerprinter geknackt war? Ich würde jedenfalls nicht mein Vermögen und meine Altersvorsorge auf die Sicherheit verwetten.

Auch das Sicherheitsversprechen der Bank, das man im Falle eines Verlustes durch Missbrauch den Schaden ersetzt, würde ich nicht strapazieren wollen. Bei ein paar hundert Euro, mag das funktionieren. Wenn aber ein paar 10.000de Eur weg sind, weil das Konto leergeräumt und überzogen wurde, möchte ich sehen, was vom "Versprechen" übrig bleibt. Im Zweifel sehe ich da Diskussionen mit der Bank aufkommen, die auf Fahrlässigkeit des Kunden abzielen wird.
Klar 100%ige Sicherheit hat man nie. Wenn zu Hause eingebrochen wird oder sonst physischer Zugriff erfolgt, dann besteht auch eine Missbrauchsgefahr. Man muss es ja aber nicht noch Kriminelle extraeinfach machen.

@Timberwolf90
Hast Du oder jemand anderes Erfahrung mit dem PhotoTangenerator? Taugt das System was? Funktioniert der Scanner der ING gut? Ich hatte früher bei meiner anderen Bank mal so ein FlackerTan Generator, der mehr schlecht als recht funktioniert hat. Ist das beim PhotoTangenerator besser? Gibt es sonst Aspekte, die man bedenken sollte, wenn man diesen Weg beschreitet?

Ich bin gerade echt am Überlegen, mein Konto bei der ING zu kündigen. Indes befürchte ich, dass andere Banken da ähnlich agieren.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Pym, Idon und Nutzerkennwort
Wenn das Handy mit Touch ID oder Face ID gesichert ist, ist man doch ziemlich safe.
Dann bekommt der Dieb das Gerät nicht mal entsperrt, geschweige denn zu Bankgeschäften.
Ich finde die Funktionen der App sehr praktisch und bin froh, dass man so bequem mit Face ID Überweisungen machen kann.
 
  • Gefällt mir
Reaktionen: Tinkerton
Smartin schrieb:
Hast Du oder jemand anderes Erfahrung mit dem PhotoTangenerator? Taugt das System was? Funktioniert der Scanner der ING gut? Ich hatte früher bei meiner anderen Bank mal so ein FlackerTan Generator, der mehr schlecht als recht funktioniert hat. Ist das beim PhotoTangenerator besser? Gibt es sonst Aspekte, die man bedenken sollte, wenn man diesen Weg beschreitet?
Zum Vergrößern anklicken....
Den FlackerTan Generator habe ich im Einsatz beobachten können. Nervig, weil der oft genau an den Bildschirm gehalten werden muss, damit er funktioniert. Der PhotoTan Generator kann nur besser funktionieren, der QR-Code lässt sich leichter vom Gerät lesen. Und auf der ING-Webseite im zweiten Video sieht es auch leichter aus und der Generator arbeitet immerhin mit drei Microzellen (AAA) und kommt deswegen wohl eine Weile ohne einen Batteriewechsel aus. Bevor ich das Konto kündigen würde, würde ich zuerst den PhotoTan Generator ausprobieren.
 
boarder-winterman schrieb:
Wenn das Handy mit Touch ID oder Face ID gesichert ist, ist man doch ziemlich safe.
Dann bekommt der Dieb das Gerät nicht mal entsperrt, geschweige denn zu Bankgeschäften.
Ich finde die Funktionen der App sehr praktisch und bin froh, dass man so bequem mit Face ID Überweisungen machen kann.
Zum Vergrößern anklicken....
so recht sicher erscheint mir das teilweise nicht. FaceID und Fingerabdruck sind doch teilweise umgehbar. Und wenn es nicht funktioniert, kommt ohnehin die HandyPIN als Auffangsystem (wenn ich meinem Apple Iphone per FaceID nicht erkannt werde, muss ich meine PIN eingeben. Wenn bei meinem Samsung Handy der Fingerprinter meinen Fingerabdruck nicht erkennt, muss ich die PIN eingeben.) Ich würde mein finanzielles Wohl und Wehe nicht auf solch wacklige Verantwortung stellen wollen. 2 Faktor Authentifizierung gehört nicht auf ein Gerät. Und ich möchte keine App auf meinem Handy haben, mit der ich über mein Komplettes Vermögen verfügen kann. Da wird Bequemlichkeit ganz schnell zum schmerzhaften Boomerang.
Ergänzung ()

@Pym Ja der Flackergenerator hat mich in den Wahnsinn getrieben. Man musste händisch die Breite justieren, händisch die Flackergeschwindigkeit einstellen und hoffen, dass er nach einer Weile was ausspuckt. Das war ein Tiefpunkt technischen "Fortschritts" dargestellt hat. Ich denke auch, dass der Phototangenerator besser ist und erwarte das auch.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: tarifa
Smartin schrieb:
Hast Du oder jemand anderes Erfahrung mit dem PhotoTangenerator?
Zum Vergrößern anklicken....
Ich nutzte regelmäßig photoTAN. Das Gerät muss man nur grob Richtung Code halten und dann passt das. Ist sehr viel einfacher als dieser Flacker-Kram, der mich auch manchmal an den Rande des Wahnsinns getrieben hat. Ich dachte eigentlich, den Blödsinn gibt es gar nicht mehr.

Von Face- oder Touch-ID würde ich aber auch generell komplett abraten.

Die Authentifizierung über das Smartphone mache ich auch, allerdings ist es per Passwort verschlüsselt und nicht per Gesicht oder Fingerabruck-Blödsinn-Funktion.
 
  • Gefällt mir
Reaktionen: Pym und Smartin
Smartin schrieb:
@Pym Ja der Flackergenerator hat mich in den Wahnsinn getrieben. Man musste händisch die Breite justieren, händisch die Flackergeschwindigkeit einstellen und hoffen, dass er nach einer Weile was ausspuckt. Das war ein Tiefpunkt technischen "Fortschritts" dargestellt hat. Ich denke auch, dass der Phototangenerator besser ist und erwarte das auch.
Zum Vergrößern anklicken....
komisch, hab noch nie da was an der Grösse ändern oder an der Geschwindigkeit drehen müssen.
Das einzige was ich an dem Tan-Generator bemängeln könnte ist, das Display, das manchmal nicht gut lesbar ist, aber mit guter Ausleuchtung geht das eigentlich auch gut.
 
  • Gefällt mir
Reaktionen: tarifa
S.a.M. schrieb:
komisch, hab noch nie da was an der Grösse ändern oder an der Geschwindigkeit drehen müssen.
Das einzige was ich an dem Tan-Generator bemängeln könnte ist, das Display, das manchmal nicht gut lesbar ist, aber mit guter Ausleuchtung geht das eigentlich auch gut.
Zum Vergrößern anklicken....
musste ich jedes mal einstellen, weil der PC das auch nicht gespeichert hat. Meine Eltern, die das unabhängig von mir auch genutzt haben, auch. Oft musste man die Flackergeschwindigkeit runterstellen, weil er sonst nicht übertragen und gelesen hat. Das war oft ein Glücksspiel. Manchmal hat es länger als 5 min gedauert, und man musste sich neu anmelden, weil das auto-louout den User rausgeschmissen hat. Eigentlich unfassbarer Schrott.
 
  • Gefällt mir
Reaktionen: tarifa
Ich musste das an den Monitoren einstellen, die eine höhere Auflösung als 1080p geboten haben. Extrem nervig.
 
  • Gefällt mir
Reaktionen: tarifa
Die Einstellung an den Monitoren ist auf zielführender. Kann man speichern.
 
  • Gefällt mir
Reaktionen: tarifa
Vielen Dank für die interessanten Informationen hier im Thread

SMartin
Ich bin gerade echt am Überlegen, mein Konto bei der ING zu kündigen. Indes befürchte ich, dass andere Banken da ähnlich agieren.
Zum Vergrößern anklicken....

Also - von ING zur DB zu wecheln würde dir noch nicht mal viel bringen: Die Deutsche Bank setzt im Übrigen auch auf PhotoTAN Verfahren. Das PhotoTan-Verfahren muss man m.E. dort auch immer nutzen.

Es ist ja so: Die Bank darf uns keine andere (im Zweifel) unsichere Lösung mehr anbieten. Dies wurde in der sog. Zahlungsdienstrichtlinie oder PSD2 so festgelegt:
Bedeutet für mich, bei der DB: Das ich dann (zumindesten) alle 90 Tage (wiederkehrend) eine TAN einsetzen muss - auch dann wenn ich das Komfort-Login aktivert habe.

Ich finde dieses Prozedere auch ziemlich umständlich. Bei dem sogenannten Komfortlogin ist es dann halt so dass ich auch dann, wenn ich den nutze, dann immer bei Änderungen noch zusätzlich eine PhotoTAN einsetzen muss.

Welche Erfahrungen habt ihr mit dem Komfort-Login bei der DB gemacht. Ist dieser denn einfacher zu handhaben - und bringt Euch Vorteile.

Ich persönlich würde - wenn ich kann - einfach auf das Smartphone und weitere Devices / Hilsfmittel verzichten.

VG Tarifa
:)
 
@tarifa Ich habe die Kröte jetzt einfach geschluckt und seit letzter Woche den PhototanGenerator. Funktioniert ganz gut, auch wenn es insgesamt umständlicher ist, als vorher. Aber was solls.. Ich kann es nicht ändern, und die Socke unterm Kopfkissen ist mir auch als Alternativ zu unsicher :)
 
  • Gefällt mir
Reaktionen: tarifa
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M.B.H.
Yubikey - Fragen zur Praxis (Key + Handy), welche nirgendswo beantwortet werden
Antworten
11
Aufrufe
1.904
Andreas1402
Andreas1402
M
Handy automatisch mit PC anschalten ?
Antworten
5
Aufrufe
1.208
kartoffelpü
K
M
Ein paar Fragen zur Handy-Fernsteuerung am PC
2
Antworten
27
Aufrufe
2.424
MarkP
M
kim88
Leserartikel Gnome-Projekt: Ein Quantensprung in der digitalen Infrastruktur durch die Finanzierung des Sovereign Tech Fund?
Antworten
14
Aufrufe
1.127
netzgestaltung
netzgestaltung
Ben_computer_Ba
Extreme Internet Probleme am PC, andere Geräte sind nicht betroffen
2
Antworten
23
Aufrufe
5.307
Ben_computer_Ba
Ben_computer_Ba

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz