• Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.

    Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
    Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.

    Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.

    User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.

DKB Sammelthread

ANZEIGE
T

Tord

Erfahrenes Mitglied
22.08.2018
1.258
254
ANZEIGE
ro2020 meinte:
:idea:Auf diese so genannten „fremden Apps“ vertraut die gesamte IT Sicherheitsbranche.
Zum Vergrößern anklicken....
Klar, absolut. Nun aber die Masterfrage: Wer zahlt bzw. trägt den Schaden, wenn du z. B. eine unseriöse 2FA-App nutzt und dein Account bei Facebook, Google, Wasauchimmer kompromittiert wird?
 
R

ro2020

Erfahrenes Mitglied
01.10.2020
711
719
Seriöse Banking Apps?
www.google.com

CCC: Banking-Apps sind eine regelrechte Einladung für Hacker - WELT

Auf dem Chaos Communication Congress zeigt ein Sicherheitsforscher, wie die Schutzmechanismen des Tan-Verfahrens bei Apps ausgehebelt werden. Auch viele Smart-Home-Geräte haben große Sicherheitsprobleme.
www.google.com www.google.com
youtu.be

34C3 - Die fabelhafte Welt des Mobilebankings

https://media.ccc.de/v/34c3-8805-die_fabelhafte_welt_des_mobilebankingsBisher wurden Angriffe gegen App-basierte TAN-Verfahren und Mobilebanking von betroffe...
youtu.be youtu.be

Aber ja, natürlich verstehe ich deine Argumente, dass am Ende ein komplexes, proprietären Verfahren mit Snail-Mail die Wahl der Bank sein kann, um sich zu schützen. Kundenfreundlich ist das nicht. Aber solange es ein zweites gültiges Verfahren ((Chip TAN) gibt, ist es aus meiner Sicht ok.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: zednatix und mattes77
N

netzfaul

Erfahrenes Mitglied
31.12.2015
3.770
2.327
Tan2go auf neuem iPhone. Link in SMS öffnet sich im Browser mit Fehlermeldung, App sei nicht da. Zig mal neu installiert und neu gestartet.

Es ist so grottig, dass es nicht mal einen Fallback gibt, die challenge anderweitig in die App zu bekommen.
 
Zuletzt bearbeitet:
Frank N. Stein

Frank N. Stein

Erfahrenes Mitglied
04.04.2020
8.091
10.497
der Ewigkeit
ro2020 meinte:
Seriöse Banking Apps?
www.google.com

CCC: Banking-Apps sind eine regelrechte Einladung für Hacker - WELT

Auf dem Chaos Communication Congress zeigt ein Sicherheitsforscher, wie die Schutzmechanismen des Tan-Verfahrens bei Apps ausgehebelt werden. Auch viele Smart-Home-Geräte haben große Sicherheitsprobleme.
www.google.com www.google.com
youtu.be

34C3 - Die fabelhafte Welt des Mobilebankings

https://media.ccc.de/v/34c3-8805-die_fabelhafte_welt_des_mobilebankingsBisher wurden Angriffe gegen App-basierte TAN-Verfahren und Mobilebanking von betroffe...
youtu.be youtu.be

Aber ja, natürlich verstehe ich deine Argumente, dass am Ende ein komplexes, proprietären Verfahren mit Snail-Mail die Wahl der Bank sein kann, um sich zu schützen. Kundenfreundlich ist das nicht. Aber solange es ein zweites gültiges Verfahren ((Chip TAN) gibt, ist es aus meiner Sicht ok.
Zum Vergrößern anklicken....

Warum ein 4 Jahre alter WELT-Beitrag heute noch zielführend bzw. informativ sein soll, erschliesst sich mir nicht.
Auch/selbst die Banken-Apps haben sich seitdem sicherheitstechnisch weiterentwickelt.
 
M

mattes77

Erfahrenes Mitglied
14.06.2016
3.064
1.562
Frank N. Stein meinte:
Warum ein 4 Jahre alter WELT-Beitrag heute noch zielführend bzw. informativ sein soll, erschliesst sich mir nicht.
Auch/selbst die Banken-Apps haben sich seitdem sicherheitstechnisch weiterentwickelt.
Zum Vergrößern anklicken....
Es geht nicht um das Alter des Beitrages. Am grundsätzlichen Sicherheitsproblem der Apps und des ganzen App Tan Verfahrens hat sich absolut gar nichts geändert. Das scheint aber ja fast niemanden zu stören, wie deine Reaktion auf den Beitrag von ro2020 zeigt!(n)
Beitrag automatisch zusammengeführt:

ro2020 meinte:
:idea:Auf diese so genannten „fremden Apps“ vertraut die gesamte IT Sicherheitsbranche.
Zum Vergrößern anklicken....
Leider!!!1 (n)
 
  • Like
Reaktionen: netzfaul
Frank N. Stein

Frank N. Stein

Erfahrenes Mitglied
04.04.2020
8.091
10.497
der Ewigkeit
mattes77 meinte:
Es geht nicht um das Alter des Beitrages. Am grundsätzlichen Sicherheitsproblem der Apps und des ganzen App Tan Verfahrens hat sich absolut gar nichts geändert. Das scheint aber ja fast niemanden zu stören, wie deine Reaktion auf den Beitrag von ro2020 zeigt!(n)
Zum Vergrößern anklicken....
Stimmt,
denn ich lebe im hier und jetzt und ein Status Quo Bericht von vor 4 Jahren mag für Dich aktuell sein, für mich und meine Kontenverbindungen definitiv nicht.
by the way: Wie oft bist Du denn schon gehackt worden, welche astronomischen Summen wurden verschoben und wie reagierte Deine Bank?
Aber ich bin dankbar, dass es Mahner gibt, die immer fiktiv und im Konjunktiv darauf hinweisen, was alles passieren könnte.
 
  • Like
  • Haha
Reaktionen: Markus_1978 und vlugangst
M

mattes77

Erfahrenes Mitglied
14.06.2016
3.064
1.562
wizzard meinte:
Doch, natürlich. Und in technischen Fragen schon drei Mal.
Zum Vergrößern anklicken....
In Ordbung. Du willst mir also ernsthaft erklären, dass der "technische Fortschritt" das absolute Grundproblem der Konfiguration, nämlich zwei Faktoren (Onlinebanking und TAN auf einem Gerät) gelöst hätte? Jeder IT Experte wird dir erklären, dass nun einmal Sicherheit und Bequemlichkeit leider grundsätzlich im Widerspruch stehen und jede Lösung im Zweifel den Schwerpunkt auf eines der beiden Ziele legen wird!:idea:
 
  • Like
Reaktionen: netzfaul, ro2020 und zednatix
Z

zednatix

Erfahrenes Mitglied
28.07.2019
2.222
1.583
Es wurde in dem Artikel u.a. das grundsätzliche Problem angesprochen, dass alles auf einem Gerät läuft und man somit potenziell die Kontrolle über die Banking-App und die TAN-App gleichzeitig erhält, sobald man am Smartphone angemeldet ist. Das Problem gibt es ja aktuell weiterhin und wird es immer geben, solange alles auf dem selben Gerät läuft - und genau dieses Problem kann eben mit Chiptan sehr gut gelöst werden, da man dazu drei voneinander unabhängige "Dinge" benötigt: das Chiptan-Gerät, die Bankkarte und das Passwort für das Chiptan-Gerät und zusätzlich auch noch den Zugang zum Smartphone oder Onlinebanking. Die Hürde ist - und das ist für jeden einfach erkennbar - deutlich höher und somit viel sicherer als App-TANs - auch wenn das System schon ein paar Jahre alt ist.
 
  • Like
Reaktionen: geos, Kartenzahler007, herbert60 und eine andere Person
Z

zednatix

Erfahrenes Mitglied
28.07.2019
2.222
1.583
Mir fällt gerade ein, dass die Smartphones ja einen NFC-Leser haben. Könnte man da nicht etwas Chiptan-ähnliches bauen, das kontaktlos funktioniert?
Dann wäre zumindest zusätzlich die Karte notwendig, um eine Freigabe zu machen, auch wenn immer noch alles auf demselben Gerät ist.
 
M

Micha1976

Erfahrenes Mitglied
09.07.2012
5.644
3.598
zednatix meinte:
Mir fällt gerade ein, dass die Smartphones ja einen NFC-Leser haben. Könnte man da nicht etwas Chiptan-ähnliches bauen, das kontaktlos funktioniert?
Dann wäre zumindest zusätzlich die Karte notwendig, um eine Freigabe zu machen, auch wenn immer noch alles auf demselben Gerät ist.
Zum Vergrößern anklicken....
Apple wird dir dafür keinen Zugriff auf die NFC-Schnittstelle geben.
 
  • Like
Reaktionen: Markus_1978 und zednatix
S

selaf

Erfahrenes Mitglied
24.08.2018
1.860
1.518
Es gibt von ReinerSCR den TanJack Bluetooth, welcher ChipTAN per Bluetooth macht. Die BankingApp überträgt dabei die Daten, die sonst im Flicker- oder QR-Code wären, per Bluetooth an den TanJack. Dort prüft man auf dessen Display IBAN und Betrag und klick auf OK, damit geht die TAN per Bluetooth zurück an die App. Leider ist mir außer Banking4 und deren Whitelabel-Clone keine App bekannt, die das unterstützt.
ChipTAN nur per NFC - also "Karte ans Handy halten" wäre nicht PSD2-konform, weil du dann nicht unabhängig von der BankingApp IBAN und Betrag prüfen könntest.
 
L

LordNibbler

Reguläres Mitglied
09.03.2018
68
51
WOB
daukind meinte:
Sorry, keine vernünftige IT-Security sollte zulassen, dass (s)eine Banking-App mit welcher Transaktionen legitimiert werden, unter einem Beta-Betriebssystem der Öffentlichkeit zugänglich gemacht wird. Von daher, alles richtig gemacht.
Zum Vergrößern anklicken....
Jede vernünftige IT-Security sollte ein nicht unter deren Kontrolle stehendes System als potentiell unsicher ansehen. Und das ist damit jedes Handy eines Kunden. Die App der Bank kann das auf der fremden Hardware und OS-Umgebung auch nicht sicherstellen. Darum ist es eigentlich total egal, ob es ein Beta- oder Jailbreak-OS ist. Sämtliche Daten die vom Kunden übermittelt werden sind erstmal auf Gültigkeit etc. zu verifizieren.
Sich darauf zu verlassen, dass das OS sicher ist oder die App Abweichungen feststellt ist naiv.
 
  • Like
Reaktionen: selaf
D

daukind

Erfahrenes Mitglied
03.02.2012
2.219
905
LordNibbler meinte:
ämtliche Daten die vom Kunden übermittelt werden sind erstmal auf Gültigkeit etc. zu verifizieren.
Sich darauf zu verlassen, dass das OS sicher ist oder die App Abweichungen feststellt ist naiv.
Zum Vergrößern anklicken....
Ah ja. Welche Angaben/Daten übermittelt der Kunde denn innerhalb der PushTan App?
 
G

geos

Erfahrenes Mitglied
23.02.2013
12.022
6.229
zednatix meinte:
und genau dieses Problem kann eben mit Chiptan sehr gut gelöst werden, da man dazu drei voneinander unabhängige "Dinge" benötigt: das Chiptan-Gerät, die Bankkarte und das Passwort für das Chiptan-Gerät und zusätzlich auch noch den Zugang zum Smartphone oder Onlinebanking. Die Hürde ist - und das ist für jeden einfach erkennbar - deutlich höher und somit viel sicherer als App-TANs - auch wenn das System schon ein paar Jahre alt ist.
Zum Vergrößern anklicken....
auch wenn ich der Schlussfolgerung recht gebe, so möchte ich doch darauf hinweisen, dass der Besitz eines ChipTAN-Geräts ausdrücklich kein Sicherheitsmerkmal ist. Auch hat das ChipTAN-Gerät kein Passwort (und die PIN der Karte wird nicht benötigt).
Das einzige Sicherheitsmerkmal ist der Besitz der Chip-Karte (also hier Girocard). Es sind nicht "drei Dinge".
Der entscheidende Vorteil von ChipTAN ist dass schlicht die Angriffsfläche erheblich geringer ist als bei einem extrem komplexen Gerät wie einem Smartphone, das mit dem Internet verbunden und mit Software zu zig unterschiedlichen Zwecken und von unterschiedlichen Autoren bestückt ist.
Mich wundert, dass man auch nach den "Enthüllungen" zu Pegasus noch Diskussionen führt, ob ChipTAN oder Smartphones sicherer wären (nein, ich sage damit nicht, dass die NSO-Group Banking-Trojaner anbietet; aber das Beispiel zeigt, dass es technisch möglich ist).
 
Zuletzt bearbeitet:
  • Like
Reaktionen: DerOecher
L

LordNibbler

Reguläres Mitglied
09.03.2018
68
51
WOB
daukind meinte:
Ah ja. Welche Angaben/Daten übermittelt der Kunde denn innerhalb der PushTan App?
Zum Vergrößern anklicken....
Auch dafür muss sich die App bei der Bank bemerkbar machen und z. B. ein Authentifizierungstoken erhalten. Die Kommunikation dafür und danach sollte kryptographisch für die Anforderungen passend gewählt sein.

Sich auf die Integrität des Betriebssystems oder der eigenen App zu verlassen ist kein Securitykonzept.
 
  • Like
Reaktionen: netzfaul
Z

zednatix

Erfahrenes Mitglied
28.07.2019
2.222
1.583
Bei meinem Chiptan-Gerät konnte ich eine PIN festlegen. Wird der im Gerät oder auf der Karte gespeichert? Wenn er auf dem Gerät ist, bringt es nicht so viel, da man ja ein baugleiches anderes ohne PIN nehmen könnte.
 
antwort

antwort

Erfahrenes Mitglied
05.12.2010
2.785
151
Bei chipTAN kann ich doch jederzeit das Gerät wechseln, oder? Problemlos. Also einfach Girocard in irgendein chipTAN-Gerät und gut. Oder?
Oder liege ich hiermit komplett falsch und der chipTAN-Kartenleser muß jeweils irgendwie registriert werden, bevor er verwendet werden kann?
 
S

selaf

Erfahrenes Mitglied
24.08.2018
1.860
1.518
antwort meinte:
Bei chipTAN kann ich doch jederzeit das Gerät wechseln, oder?
Zum Vergrößern anklicken....
Ja, das ChipTAN Gerät ist nur ein User Interface für die ChipTAN App auf der Karte und enthält keinerlei geheime oder sonstwie personalisierte Daten. Das Gerät kann jederzeit gewechselt werden. Ich finde es daher irreführend, dieses Gerät "ChipTAN Generator" zu nennen - der Generator ist die App auf der Karte.
 
  • Like
Reaktionen: antwort, NarutoUzumaki, Tord und 5 weitere...
herbert60

herbert60

Erfahrenes Mitglied
18.02.2019
2.444
1.071
Oberfranken
Ich habe TAN2go auf einem weiteren Gerät eingerichtet und auf dem bisherigen Gerät wurde diese gelöscht! :eek:
Was habe ich falsch gemacht?
 
antwort

antwort

Erfahrenes Mitglied
05.12.2010
2.785
151
ANZEIGE
antwort meinte:
Bei chipTAN kann ich doch jederzeit das Gerät wechseln, oder? Problemlos. Also einfach Girocard in irgendein chipTAN-Gerät und gut. Oder?
Oder liege ich hiermit komplett falsch und der chipTAN-Kartenleser muß jeweils irgendwie registriert werden, bevor er verwendet werden kann?
Zum Vergrößern anklicken....
selaf meinte:
Ja, das ChipTAN Gerät ist nur ein User Interface für die ChipTAN App auf der Karte und enthält keinerlei geheime oder sonstwie personalisierte Daten. Das Gerät kann jederzeit gewechselt werden. Ich finde es daher irreführend, dieses Gerät "ChipTAN Generator" zu nennen - der Generator ist die App auf der Karte.
Zum Vergrößern anklicken....
Danke. Dann lag ich mit meiner Vermutung ja richtig.
 
Um antworten zu können musst
du eingeloggt sein.
Oben Unten