Klar, absolut. Nun aber die Masterfrage: Wer zahlt bzw. trägt den Schaden, wenn du z. B. eine unseriöse 2FA-App nutzt und dein Account bei Facebook, Google, Wasauchimmer kompromittiert wird?Auf diese so genannten „fremden Apps“ vertraut die gesamte IT Sicherheitsbranche.
youtu.be
Seriöse Banking Apps?
34C3 - Die fabelhafte Welt des Mobilebankings
https://media.ccc.de/v/34c3-8805-die_fabelhafte_welt_des_mobilebankingsBisher wurden Angriffe gegen App-basierte TAN-Verfahren und Mobilebanking von betroffe...
Aber ja, natürlich verstehe ich deine Argumente, dass am Ende ein komplexes, proprietären Verfahren mit Snail-Mail die Wahl der Bank sein kann, um sich zu schützen. Kundenfreundlich ist das nicht. Aber solange es ein zweites gültiges Verfahren ((Chip TAN) gibt, ist es aus meiner Sicht ok.
Es geht nicht um das Alter des Beitrages. Am grundsätzlichen Sicherheitsproblem der Apps und des ganzen App Tan Verfahrens hat sich absolut gar nichts geändert. Das scheint aber ja fast niemanden zu stören, wie deine Reaktion auf den Beitrag von ro2020 zeigt!
Leider!!!1
Stimmt,Es geht nicht um das Alter des Beitrages. Am grundsätzlichen Sicherheitsproblem der Apps und des ganzen App Tan Verfahrens hat sich absolut gar nichts geändert. Das scheint aber ja fast niemanden zu stören, wie deine Reaktion auf den Beitrag von ro2020 zeigt!
In Ordbung. Du willst mir also ernsthaft erklären, dass der "technische Fortschritt" das absolute Grundproblem der Konfiguration, nämlich zwei Faktoren (Onlinebanking und TAN auf einem Gerät) gelöst hätte? Jeder IT Experte wird dir erklären, dass nun einmal Sicherheit und Bequemlichkeit leider grundsätzlich im Widerspruch stehen und jede Lösung im Zweifel den Schwerpunkt auf eines der beiden Ziele legen wird!
Apple wird dir dafür keinen Zugriff auf die NFC-Schnittstelle geben.
Jede vernünftige IT-Security sollte ein nicht unter deren Kontrolle stehendes System als potentiell unsicher ansehen. Und das ist damit jedes Handy eines Kunden. Die App der Bank kann das auf der fremden Hardware und OS-Umgebung auch nicht sicherstellen. Darum ist es eigentlich total egal, ob es ein Beta- oder Jailbreak-OS ist. Sämtliche Daten die vom Kunden übermittelt werden sind erstmal auf Gültigkeit etc. zu verifizieren.
Ah ja. Welche Angaben/Daten übermittelt der Kunde denn innerhalb der PushTan App?
auch wenn ich der Schlussfolgerung recht gebe, so möchte ich doch darauf hinweisen, dass der Besitz eines ChipTAN-Geräts ausdrücklich kein Sicherheitsmerkmal ist. Auch hat das ChipTAN-Gerät kein Passwort (und die PIN der Karte wird nicht benötigt).
Auch dafür muss sich die App bei der Bank bemerkbar machen und z. B. ein Authentifizierungstoken erhalten. Die Kommunikation dafür und danach sollte kryptographisch für die Anforderungen passend gewählt sein.
Ja, das ChipTAN Gerät ist nur ein User Interface für die ChipTAN App auf der Karte und enthält keinerlei geheime oder sonstwie personalisierte Daten. Das Gerät kann jederzeit gewechselt werden. Ich finde es daher irreführend, dieses Gerät "ChipTAN Generator" zu nennen - der Generator ist die App auf der Karte.
Ja, das ist in der Tat möglich. Kannst du unter dem Menüpunkt "Service" einrichten.