DKB Sammelthread

[Amino]

ANZEIGE

Die Passwörter für 3D-Secure sind einfach extrem unsicher.

Da für Transaktionen mit 3D-Secure meistens der Issuer haftet (ohne 3D-Secure liegt das Risiko ja beim Händler oder Acquirer), haben die Banken einfach keine Lust mehr, durch unsichere Passwörter unnötig Geld zu verlieren.

Meiner Meinung nach hat die DKB hier eine sehr gute Lösung, da man nicht auf SMS oder Internet angewiesen ist, die App funktioniert auch offline.

 

[intellexi]

Meiner Meinung nach hat die DKB hier eine sehr gute Lösung, da man nicht auf SMS oder Internet angewiesen ist, die App funktioniert auch offline.

Sehe ich auch so und mein Smartphone ist halt etwas was ich quasi ausnahmslos immer bei mir habe.

 

[sk9]

Aber man müsste noch eine ernstzunehmende Alternative anbieten, damit Kunden ohne (passendes) Smartphone nicht ausgeschlossen werden. ChipTAN und/oder kostenlose mTAN sollten möglich sein.
Und zwecks Sicherheit: Wie sicher war das Passwort (oder die Sicherheitsfragen bei MasterCard) gegenüber der Amazon-Variante oder der Variante mit CVC? Viel sicherer. Am POS oder ATM kommt man mit einer geskimmten/geklauten PIN auch weiter.

 

[bindannmalweg]

Die Passwörter für 3D-Secure sind einfach extrem unsicher.

Die Passwörter sind vor allem lästig. Würde mich nicht wundern, wenn viele Kunden das Passwort im richtigen Moment gerade nicht zur Hand hatten oder es schlicht vergessen haben.

Letztliche muss jede Bank aber auch abwähgen zwischen Sicherheit und Komfort. Weiß ja nicht welche Strategie man da verfolgt. Ob man PayPal und Co das Feld überlassen, oder weiter ein relevantes Zahlungsmittel im Fernabsatz sein möchte.

 

[DerSimon]

Die Passwörter für 3D-Secure sind einfach extrem unsicher.

Da für Transaktionen mit 3D-Secure meistens der Issuer haftet (ohne 3D-Secure liegt das Risiko ja beim Händler oder Acquirer), haben die Banken einfach keine Lust mehr, durch unsichere Passwörter unnötig Geld zu verlieren.

Meiner Meinung nach hat die DKB hier eine sehr gute Lösung, da man nicht auf SMS oder Internet angewiesen ist, die App funktioniert auch offline.

Irgendwo wäre aber die Nutzung eines Standards nett. Fast alle 2FA kann ich in Google Authenticator/Authy anzeigen lassen oder meinen U2F-Stick reinstecken/dranhalten, nur die Banken haben immer ihre Sonderlösungen.

 

[Amino]

Und zwecks Sicherheit: Wie sicher war das Passwort (oder die Sicherheitsfragen bei MasterCard) gegenüber der Amazon-Variante oder der Variante mit CVC? Viel sicherer.

Aus der Sicht des Issuers nicht.

Bei einer Zahlung mit oder ohne CVC haftet der Acquirer (der den Schaden je nach Vertrag selbst übernimmt oder an den Händler weitergibt). Die Kartenausgebende Bank hat also niemals einen Schaden, außer den Arbeitsaufwand fürs Geld zurückholen.

Bei einer Zahlung mit 3D-Secure ist das anders, denn hier garantiert die Bank, das die Karte vom richtigen Karteninhaber eingesetzt wird. Acquirer oder Händler müssen das Geld also nicht mehr zurückgeben, wenn sich herausstellt, dass die Transaktion nicht vom richtigen Karteninhaber autorisiert wurde.

Daher hat der Issuer die Verantwortung, das Verfahren möglichst sicher zu machen. Der Kunde haftet nämlich nur bei eigenem Verschulden. Bei ausgespähtem Passwort, ohne dass man Verschulden des Kunden beweisen kann, muss die kartenausgebende Bank den vollen Schaden übernehmen

 

[sk9]

Aus der Sicht des Issuers nicht.

Bei einer Zahlung mit oder ohne CVC haftet der Acquirer (der den Schaden je nach Vertrag selbst übernimmt oder an den Händler weitergibt). Die Kartenausgebende Bank hat also niemals einen Schaden, außer den Arbeitsaufwand fürs Geld zurückholen.

Bei einer Zahlung mit 3D-Secure ist das anders, denn hier garantiert die Bank, das die Karte vom richtigen Karteninhaber eingesetzt wird. Acquirer oder Händler müssen das Geld also nicht mehr zurückgeben, wenn sich herausstellt, dass die Transaktion nicht vom richtigen Karteninhaber autorisiert wurde.

Daher hat der Issuer die Verantwortung, das Verfahren möglichst sicher zu machen. Der Kunde haftet nämlich nur bei eigenem Verschulden. Bei ausgespähtem Passwort, ohne dass man Verschulden des Kunden beweisen kann, muss die kartenausgebende Bank den vollen Schaden übernehmen

Okay, deshalb dieser Wahnsinn. Dann nutzt man halt andere Karten oder Lastschrift (Kenne DKB-Kunden, die das seit dem neuen 3D-Secure machen). Das bringt dann der DKB auch nichts.
Und gegen Phising gibt es auch andere Gegenmaßnahmen. Siehe MC mit der Persönlichen Begrüßung und der unterschiedlichen Sicherheitsfragen.

 

[Amino]

Die persönliche Begrüßung ist absolut nutzlos. Jeder, der die Kartendaten abgephisht hat, kann die Begrüßung nachsehen.

 

[sk9]

Die persönliche Begrüßung ist absolut nutzlos. Jeder, der die Kartendaten abgephisht hat, kann die Begrüßung nachsehen.

Stimmt wiederum auch...
Aber: Komplizierte Verfahren steigern nicht die Attraktivität.

 

[Escorpio]

dann wird sie allerdings bei einigen POS wie z.B. manchen Automaten nicht einsetzbar sein.

Wieso nicht? Wenn keine CVM Regel mit PIN hinterlegt ist müsste die Zahlung doch ohne unterschrift / pin durch gehen?

 

[Escorpio]

Die persönliche Begrüßung ist absolut nutzlos. Jeder, der die Kartendaten abgephisht hat, kann die Begrüßung nachsehen.

So nutzlos finde ich die nicht. So lange die Kartendaten noch nicht abgephisht sind, kann man sicher sein mit seiner Bank zu "kommunizieren".

 

[E190]

Stimmt wiederum auch...
Aber: Komplizierte Verfahren steigern nicht die Attraktivität.

Was ist denn am DKB Verfahren per se so kompliziert?

Einzig alleine finde ich kritikwürdig, dass man 3 Apps benötigt. Wäre schön, wenn man das mittelfristig ändern würde.

 

[Amino]

So nutzlos finde ich die nicht. So lange die Kartendaten noch nicht abgephisht sind, kann man sicher sein mit seiner Bank zu "kommunizieren".

So lange die Kartendaten nicht abgephisht sind, kann mit dem 3D-Secure-Passwort sowieso nichts anstellen.

Die persönliche Anrede schützt also gegen gar nichts, denn wenn ein phishing Schutz nur wirkt, so lange nicht gephisht wird...

 

[Escorpio]

So lange die Kartendaten nicht abgephisht sind, kann mit dem 3D-Secure-Passwort sowieso nichts anstellen.

Die persönliche Anrede schützt also gegen gar nichts, denn wenn ein phishing Schutz nur wirkt, so lange nicht gephisht wird...

Aber wenn ich meine persönliche Begrüßung nicht angezeigt bekomme, gebe ich mein Passwort doch erst gar nicht ein? Und eine Phising Seite kann mir meine persönliche Begrüßung nicht anzeigen, da sie diese nicht kennen.

 

[sk9]

Aber wenn ich meine persönliche Begrüßung nicht angezeigt bekomme, gebe ich mein Passwort doch erst gar nicht ein? Und eine Phising Seite kann mir meine persönliche Begrüßung nicht anzeigen, da sie diese nicht kennen.

Mögliches Angriffszenario:
1. Du landest auf der Phishingseite und gibst Kartennummer, Gültigkeit etc. ein
2. Die Angreiferseite startet im Hintergrund eine Transaktion mit deinen Kartendaten, landet auf der 3D-Secure-Seite deines Issuers und sieht dort die persönliche Begrüßung.
3. Du bekommst sie auf der gefälschten Seite angezeigt.

 

[Escorpio]

Mögliches Angriffszenario:
1. Du landest auf der Phishingseite und gibst Kartennummer, Gültigkeit etc. ein
2. Die Angreiferseite startet im Hintergrund eine Transaktion mit deinen Kartendaten, landet auf der 3D-Secure-Seite deines Issuers und sieht dort die persönliche Begrüßung.
3. Du bekommst sie auf der gefälschten Seite angezeigt.

Ok, dass wäre möglich. Gibt es so etwas realistisch gesehen den? Es scheitert doch oftmals schon an der Übersetzung.

 

[sk9]

Ok, dass wäre möglich. Gibt es so etwas realistisch gesehen den? Es scheitert doch oftmals schon an der Übersetzung.

War nur die Darstellung einer Sicherheitslücke.
Irgendwo gibt es dann doch einen Phisher, der Deutsch kann.
Die "PayPal-Kontoverifikation"-Mails z.B. kamen bei mir schon immer ziemlich gut gefälscht daher.

 

[kumpel64]

Die Passwörter für 3D-Secure sind einfach extrem unsicher.

Da für Transaktionen mit 3D-Secure meistens der Issuer haftet (ohne 3D-Secure liegt das Risiko ja beim Händler oder Acquirer), haben die Banken einfach keine Lust mehr, durch unsichere Passwörter unnötig Geld zu verlieren.

Hatte diesbezüglich schon heiße Diskussionen mit der DKB. Angeblich käme der Wunsch von den Händlern, was ich aber aus den von Dir genannten Gründen nicht glaube.

 

[Amino]

Ursprünglich wurde 3D-Secure erfunden, um den Händlern eine Absicherung zu bieten. Aber ob die Bank nun ein Passwort oder eine Tan abfragt, macht für den Händler keinen Unterschied mehr.

 

[VBird]

Da anscheinend kaum jemand anderer mal erlebt hat (hier hat dies bisher nur genau 1 User bestätigt), dass seine Visa-Karte von der DKB beim offline-Einsatz abgelehnt wurde, muss ich wohl akzeptieren, dass das Schicksal es mal wieder supercremig mit mir meint.
Weil aber die "professionelle" DKB nach nun schon vollen 5 Arbeitstagen immer noch keine Interesse an meinen Problemen mit ihrer Karte gezeigt hat, wollte ich mal fragen, ob jemand hier solche Spezialkenntnisse hat, dass er mir sagen kann welche Abrechnungsmodalitäten oder Abfragewege bei folgenden Firmen auftreten:

Aldi Spanien
Lidl Spanien
Carrefour Spanien

sowie

Tesco UK
Lidl UK
Morrisons UK

Danke !

 

[DerSimon]

Da anscheinend kaum jemand anderer mal erlebt hat (hier hat dies bisher nur genau 1 User bestätigt), dass seine Visa-Karte von der DKB beim offline-Einsatz abgelehnt wurde, muss ich wohl akzeptieren, dass das Schicksal es mal wieder supercremig mit mir meint.
Weil aber die "professionelle" DKB nach nun schon vollen 5 Arbeitstagen immer noch keine Interesse an meinen Problemen mit ihrer Karte gezeigt hat, wollte ich mal fragen, ob jemand hier solche Spezialkenntnisse hat, dass er mir sagen kann welche Abrechnungsmodalitäten oder Abfragewege bei folgenden Firmen auftreten:

Welche alternative Karte nutzt du denn, die dann funktioniert? Wann wird abgelehnt, nach PIN-Eingabe? Welches Land?

Tesco UK
Lidl UK
Morrisons UK

Offline PIN

 

[Flp]

Ich setze die DKB-Visa kaum zum bezahlen ein, fast nur zum Geld abheben. Aber bei Hertz am LAX wurde die mir abgelehnt. Die Damen dort meinten allerdings, das hätten sie öfters bei Visa-Karten, sie wüssten auch nicht warum.

Tesco UK

Hab ich bisher nur mit Amex bezahlt. Da gleich eine Umsatzbenachrichtigung per E-Mail kam, vermute ich online-PIN.

 

[E190]

Da anscheinend kaum jemand anderer mal erlebt hat (hier hat dies bisher nur genau 1 User bestätigt), dass seine Visa-Karte von der DKB beim offline-Einsatz abgelehnt wurde, muss ich wohl akzeptieren, dass das Schicksal es mal wieder supercremig mit mir meint.
Weil aber die "professionelle" DKB nach nun schon vollen 5 Arbeitstagen immer noch keine Interesse an meinen Problemen mit ihrer Karte gezeigt hat, wollte ich mal fragen, ob jemand hier solche Spezialkenntnisse hat, dass er mir sagen kann welche Abrechnungsmodalitäten oder Abfragewege bei folgenden Firmen auftreten:

Aldi Spanien
Lidl Spanien
Carrefour Spanien

sowie

Tesco UK
Lidl UK
Morrisons UK

Danke !

Tesco UK, funktioniert die DKB Card bei mir tadellos. Ich bin nun wahrlich kein Kartenexperte, aber besorge dir doch einfach eine neue - die muss irgendeinen Defekt haben.

 

[MaxBerlin]

Ich setze die DKB-Visa kaum zum bezahlen ein, fast nur zum Geld abheben. Aber bei Hertz am LAX wurde die mir abgelehnt. Die Damen dort meinten allerdings, das hätten sie öfters bei Visa-Karten, sie wüssten auch nicht warum.



Hab ich bisher nur mit Amex bezahlt. Da gleich eine Umsatzbenachrichtigung per E-Mail kam, vermute ich online-PIN.

Offline PIN ist natürlich auch bei Online-Autorisierung der Zahlung selbst möglich. Kommt sogar öfter vor, dass das Terminal anzeigt, "PIN verified, authorising transaction" o.ä.
Nach wie vor wird Online PIN bei der Kartenzahlung (im Gegensatz zur Barabhebung am Automaten) in UK kaum unterstützt.

 

[VBird]

ANZEIGE

Tesco UK, funktioniert die DKB Card bei mir tadellos. Ich bin nun wahrlich kein Kartenexperte, aber besorge dir doch einfach eine neue - die muss irgendeinen Defekt haben.

Ich habe ja nicht gesagt, dass meine Karte bei ALLEN sechs genannten nicht funktioniert.
Also, offline PIN war bei mir noch nie ein Problem. Sonst hätte ich ja auch selber den Verdacht, dass die Karte nicht ok ist.

Wie ich schon an anderer Stelle hier in diesem Thread erwähnt habe, gebe ich die PIN ein, und dann sehe ich auf dem Apparillo "PIN ok" oder so ähnlich. IMMER!
Dann geht es aber weiter. Und manchmal kommt dann der Quittungsstreifen, und manchmal kommt eben die Ablehnung. Heute habe ich zum ersten Mal auf so einem Monitor NACH Akzeptieren der PIN gelesen "Verbindung mit der DKB Bank" oder so ähnlich, Und DANN kam die Ablehnung.

Den Liter Bombay Gin für 7 GBP bei Morrisons am frühen Abend hat die Karte dann aber problemlos bezahlt.