-
Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.
Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.
Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.
User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.
DKB überarbeitet ihr TAN-Verfahren
- Starter*in wizzard
- Datum Start
ANZEIGE
Nun pluster Dich hier mal nicht so auf. Es war nur als nett gemeinter Hinweis gedacht.
Zuletzt bearbeitet:
Wer plustert sich auf? Ich fragte, wer "man" ist. Das ist alles. Ich bin's jedenfalls nicht. Ich bin kein Netzwerktechniker und weiß nicht wie so etwas geht. Ich bin auch der festen Überzeugung, dass ich das als Bankkunde nicht wissen muss.
Ihr "Technikfreaks" glaubt immer, dass so etwas normal ist. Ist es aber nicht. Ob ich so eine Box für kleines Geld bekomme, ist ja gar nicht die Frage. Die Frage ist, ob ich in der Lage bin, so etwas anzuschließen bzw. ob ich mir das zumuten muss, so ein Teil mit mir herum zu schleppen, nur weil die Bank kein mTAN-Verfahren anbietet.
Ihr "Technikfreaks" glaubt immer, dass so etwas normal ist. Ist es aber nicht. Ob ich so eine Box für kleines Geld bekomme, ist ja gar nicht die Frage. Die Frage ist, ob ich in der Lage bin, so etwas anzuschließen bzw. ob ich mir das zumuten muss, so ein Teil mit mir herum zu schleppen, nur weil die Bank kein mTAN-Verfahren anbietet.
Zuletzt bearbeitet:
Es stimmt alles, was du sagst. Trotzdem ist mir unklar, weswegen du so loslegen musst, wenn jemand --- ohne dich anzugreifen oder angreifen zu wollen --- die durchaus interessante Information en passant ins Forum schreibt, dass es mittlerweile für wenig Geld LAN-WLAN-Brücken gibt.
Wo habe ich denn "losgelegt"? Ich hatte zu dem Hinweis zwei weiterführende Fragen:
1. Wer ist "man"?
... weil ich wissen wollte, ob es wirklich stimmt, dass "man" das kann.
2. Bin ich Bankkunde oder Netzwerktechniker?
... um zu erörtern, dass es ein Unterschied ist, in welcher Rolle sich derjenige, um den es geht, befindet.
Was Worte wie "aufplustern" und "loslegen" mit meinen Fragen zu tun haben, erschließt sich mir nicht. Tut mir leid.
1. Wer ist "man"?
... weil ich wissen wollte, ob es wirklich stimmt, dass "man" das kann.
2. Bin ich Bankkunde oder Netzwerktechniker?
... um zu erörtern, dass es ein Unterschied ist, in welcher Rolle sich derjenige, um den es geht, befindet.
Was Worte wie "aufplustern" und "loslegen" mit meinen Fragen zu tun haben, erschließt sich mir nicht. Tut mir leid.
Nun haben wir gelernt, dass es Dich technisch überfordert ein Kabel in eine Buchse zu stecken, die sich nicht an einem Notebook befindet.
Aber vielleicht sind ja andere Foristen hier technisch etwas versierter und können mit dem Hinweis was anfangen. Wen es nicht interessiert, soll es einfach ignorieren.
Und damit soll es dann auch gut sein, was dieses Teil betrifft.
Aber vielleicht sind ja andere Foristen hier technisch etwas versierter und können mit dem Hinweis was anfangen. Wen es nicht interessiert, soll es einfach ignorieren.
Und damit soll es dann auch gut sein, was dieses Teil betrifft.
Es geht doch nicht darum, dass es mich nicht interessiert. Aber wenn ich mir die Beschreibung auf der von dir geposteten Seite anschaue, scheint es nicht damit getan zu sein, einfach ein Kabel in eine Buchse zu stecken, damit das funktioniert. Im übrigen überfodert mich das Einstecken von Kabeln in eine Wandbuchse nicht; sonst hätte ich ja kein Internet auf dem Notebook. Aber mehr kann ich nicht, das stimmt. Von Technik erwarte ich, dass ich ein Kabel einstecke und es funktioniert, sprich, ich Internet habe. Wenn nicht, rufe ich an der Rezeption an.
Schlimm wenn sich die Experten untereinander nicht einig sind.
Mal wieder zurück zur Normalität auf Erden.
Seit ca. 3-4 Jahren verwende ich den Tan generator von der Sparkasse, den ich damals für 10 Euro im Rahmen der Umstellung erworben habe. Damals habe ich mich für das Chip verfahren entschieden und gegend as mTan Verfahren.
Das deshalb, dass wenn ich mal wirklich bei einem längeren Auslandsaufenthalt eine Überweisung tätigen müsste lieber den wirklich nicht platzraubenden Tan Generator mit mir rumschleppe, als auf eine Tel nr. angwiesen bin unter der ich per SMS erreichbar bin. ob ich jetzt den Tan genaerator extra mit rumschleppe oder eine extra alt Nokia macht ja nun wirklich keinen Unterschied. Das Nokia sollte sogar Unhandlicher udns schwerer sein.
Mein Nutzungsprofil ist allerdings auch, dass eine Überweisung aus dem Ausland die absolute Ausnahme ist. 99,xx % aller Überweisungen laufen vom heimischen Notebook aus, und von da aus hat sich das Chip Verfahren als weiteus sicherer erwiesen als das mobile Tan Verfahren. Im Falle eines weiteren Auslandsassignments müsste man das zwar überdenken, aber mein Tan generator (und vielleicht ein im Büro galagertes Zweitgerät) würde dann das Transfergepäck (das aus einem Seekontainer besteht) nicht wirklich einschränken.
Gruss
Flyglobal
der chipTan Nutzer.
Mal wieder zurück zur Normalität auf Erden.
Seit ca. 3-4 Jahren verwende ich den Tan generator von der Sparkasse, den ich damals für 10 Euro im Rahmen der Umstellung erworben habe. Damals habe ich mich für das Chip verfahren entschieden und gegend as mTan Verfahren.
Das deshalb, dass wenn ich mal wirklich bei einem längeren Auslandsaufenthalt eine Überweisung tätigen müsste lieber den wirklich nicht platzraubenden Tan Generator mit mir rumschleppe, als auf eine Tel nr. angwiesen bin unter der ich per SMS erreichbar bin. ob ich jetzt den Tan genaerator extra mit rumschleppe oder eine extra alt Nokia macht ja nun wirklich keinen Unterschied. Das Nokia sollte sogar Unhandlicher udns schwerer sein.
Mein Nutzungsprofil ist allerdings auch, dass eine Überweisung aus dem Ausland die absolute Ausnahme ist. 99,xx % aller Überweisungen laufen vom heimischen Notebook aus, und von da aus hat sich das Chip Verfahren als weiteus sicherer erwiesen als das mobile Tan Verfahren. Im Falle eines weiteren Auslandsassignments müsste man das zwar überdenken, aber mein Tan generator (und vielleicht ein im Büro galagertes Zweitgerät) würde dann das Transfergepäck (das aus einem Seekontainer besteht) nicht wirklich einschränken.
Gruss
Flyglobal
der chipTan Nutzer.
Das Problem beim TAN-Generator ist halt, dass (fast) jedes Institut seinen eigenen herausbringt. Hast du Konten bei z.B. sechs verschiedenen Banken, musst du auf Reisen u.U. 4 TAN-Generatoren und 6 EC-Karten, die du für nichts anderes brauchst, mit dir herum führen. Und wenn die wegkommen, hast du gelitten.
Das habe ich nicht, danon wo ich Überweisungen Tätige ist mein Hauptkonto und da reicht halt ein Generator. Ich verstehe aber, dass das bei Multi Konten Usern ein Thema ist.
Ich dachte die Dinger sind im Wesentlichen Komptibel und es kommt nur auf die Karte an die man reinsteckt. Aber gerne darf mir mal jemand erklären wieviel verschiedene Generatoren es gibt und ob nicht einige doch kompatibel sind.
Wo sind die Bankexperten?
mein Kobil Tan generator hat übrigens die Spezifikation V1.4 falls das wichtig ist.
Gruss
Flyglobal
Zuletzt bearbeitet:
bei den Smart-TAN-Systemen (oder Chip-TAN oder wie auch immer, also die mit ec-Karte und blinkender Grafik am Bildschirm) sind sie das auch (zumindest ist mit in der Praxis noch keine Kombination aus Gerät + Karte/Bank aufgefallen, die nicht funktioniert hätte). Allerdings gibt's auch noch andere TAN-Systeme (ich habe von einer Bank einen Token-TAN-Generator (den zieht man auf, dann errechnet er eine TAN ganz ohne Chipkarte und an-den-Bildschirm-halten). Also tatsächlich mehrere Geräte...
Zum eigentlichen Thema: Das TAN-Verfahren alleine sagt noch nichts über die Sicherheit aus. Auch iTAN geht sicherer als so, wie die meisten Banken gemacht haben (Commerzbank z.B. hat bei der TAN-Abfrage nochmal die Überweisungsdaten angezeigt und als Wasserzeichen einen Drei-Buchstaben-Code hinterlegt, den man wiederum auf der TAN-Liste wiedergefunden hat -> damit konnte man also halbwegs sicher(er) sein, dass man die TAN zur richtigen Überweisung eintippt.
Allerdings funktionieren alle Verfahren nur, wenn der Kunde auch mitdenkt (und stutzig wird, wenn etwas nicht stimmt), und die Bank natürlich auch ansonsten alles dafür tut, dass der Kunde stutzig werden KANN.
Beispiel:
- Online-Banking-Seiten, die unter irgendwelchen seltsamen Domains laufen. Bei einer Kölner VR-Bank war bis zu ihrem Relaunch die Online-Banking-URL ernsthaft noch "irgendwas.gad.de" oder so (also der IT-Dienstleister dahinter), kein Hinweis auf das eigentliche Geldinstitut. Wie wollen unbedarfte Kunden denn dann ernsthaft erkennen können, dass sowas wie raiffeisenbank-koeln.com (womöglich noch mit echtem SSL-Zertifikat) dann aber statt dessen eine Phishing-Seite ist?
- Falsche Kontroll-Meldungen im SmartTAN-Dialog. Ich lege einen Dauerauftrag an, der TAN-Generator sagt mir aber "Typ: Einzelauftrag". Ok, der Kunde denkt sich also "das ist unsauber programmiert" und wird beim nächsten Mal (wenn wirklich was durch einen Trojaner manipuliert wurde) auch nicht stutzig, wenn der TAN-Generator etwas anderes anzeigt.
- Smart-TAN-Inkompatiblität mit dem Browser. Ein Kölner Geldinstitut und der Chrome-Browser "verrechnen" sich in 1 von 3 Fällen (d.h. ich muss sehr oft einen zweiten Versuch machen). Das führt dazu, dass mir vielleicht nicht unbedingt auffallen würde, wenn ich versehentlich gleich eine böse Überweisung mit autorisiere (weil ich ja zwei richtige TANs eingegeben habe, nur eben dachte, die erste wäre wieder falsch errechnet)
- SMS-TAN, die aber wirklich nur die TAN rausschicken (keinerlei Details zu der Überweisung, die ich damit autorisiere). Chance auf Kontrolle vertan!
- SMS-TAN über ein offenbar günstiges SMS-Gateway im Internet rausgeschickt (jedes Mal eine andere Handynr. als Absender). Neben Sicherheits-Bauchschmerzen (Abhörrisiko auf dem Weg zum bzw. beim Gateway-Anbieter) wird der Kunde auch dazu erzogen, dass es "normal" ist, dass seine Bank von "irgendwelchen" Absender-Nummern mit ihm kommuniziert.
Und wenn sowas alles passiert, dann kann das TAN-Verfahren alleine das auch nicht mehr retten
Vor 2 Wochen diskutierten wir hier rum, hier gleich mal wieder eine Zero-Day-Geschichte für Windows, bislang ohne Patch (allerdings mit Workaround):
Zero-Day-Lücke in Windows | heise online
Zero-Day-Lücke in Windows | heise online
Sind z.B. 1,6 Millionen Euro Schaden graue Theorie genug?
Katusha: LKA zerschlägt Ring von Online-Betrügern
Das die DKB iTAN durch moderne Verfahren, bei denen man die Überweisungsdaten noch einmal unabhängig vom PC gegen Manipulationen überprüfen kann, ersetzt hat war längst überfällig!
Wirklich sicher vor Viren ist HBCI auch nur mit Secoder:
Kartenlesegerät – Wikipedia
Secoder wird von der DKB allerdings nicht unterstützt.
P
pmeye
Guest
Meines Wissens reicht ein Lesegerät Sicherheitsklasse 3 (mit Anzeige). Sind irgendwelche Fälle bekannt, wo HBCI mit Chipkarte und Klasse 3 Lesegerät angegriffen/gahackt wurden? Gibt es deutsche Banken, die Secoder unterstützen?
Ich benutze zwar zwar ein entsprechendes Gerät REINER SCT - Chipkartenleser - cyberJack RFID komfort , aber ich wüsste nicht, dass eine meiner Banken Secoder unterstützt.
EDIT: Gerade nochmal die Protokolle beim Onlinebanking nachgelesen: Mein Gerät unterstützt Secoder und mindestens eine meiner Banken auch. Die DKB leider nicht.
Zuletzt bearbeitet:
Die Anzeige herkömmlicher Klasse 3 Geräte ist nur eine Komfortfunktion, die vom PC aus gesteuert werden kann. Erst Secoder erlaubt die manipulationssichere Anzeige der Signaturdaten. Im Prinzip hättest du deine HBCI-Software genauso gut per "HBCI+" mit einer iTAN-Liste nutzen können.
Bislang haben sich die Virenautoren nur auf das Browserbanking konzentriert, das kann sich aber natürlich jederzeit ändern.
Mir sind bislang nur die VR-Banken bekannt, die Secoder unterstützen.
Das die DKB hier nachzieht halte ich für unwahrscheinlich, wenn man sich ansieht wie lange es alleine gedauert hat, bis die DKB iTAN ersetzt hat und die HBCI-Nutzer nur einen winzigen Teil der Kundschaft ausmachen. Was du aber machen könntest, wäre deine HBCI-Software mit ChipTAN (wird die DKB ja jetzt anbieten) zu kombinieren. Dort kannst du wie bei Secoder im Display des TAN-Generators noch einmal die Überweisungsdaten gegen Manipulationen überprüfen:
Transaktionsnummer – Wikipedia
Las mich raten, es ist eine VR-Bank.
PS: Deine HBCI-Software muss zur Verwendung der Secoder-Funktion übrigens ebenfalls Secoder-fähig sein.
Auf der Website der DKB hieß es im Oktober:
"Detaillierte Informationen sowie Fragen und Antworten zur Erstanmeldung und Freischaltung stellen wir Ihnen vor Einführung im Dezember zur Verfügung."
Ich habe seitdem nichts mehr gehört. Einer von euch vielleicht?
"Detaillierte Informationen sowie Fragen und Antworten zur Erstanmeldung und Freischaltung stellen wir Ihnen vor Einführung im Dezember zur Verfügung."
Ich habe seitdem nichts mehr gehört. Einer von euch vielleicht?
Seit heute kann man sich im Onlinebanking für beide Verfahren registrieren und bekommt die neuen Zugangsdaten per Post. Die dazugehörige App gibt es auch schon im Apple-Store.
Wenn ich das ganze richtig verstanden habe, gibt es für jedes TAN-Verfahren einen eigenen Anmeldenamen, so dass man sich beim Login für das zu verwendende TAN-Verfahren bei der aktuelle Session entscheiden muss (korrigiert mich, wenn ich das falsch verstanden habe).
Außerdem scheint es noch bald eine DKB-Banking App (iOS/Android?) zu geben, bei der die in der pushTAN-App erzeugte TAN automatisch in die DKB-Banking App übernommen wird.
Wenn ich das ganze richtig verstanden habe, gibt es für jedes TAN-Verfahren einen eigenen Anmeldenamen, so dass man sich beim Login für das zu verwendende TAN-Verfahren bei der aktuelle Session entscheiden muss (korrigiert mich, wenn ich das falsch verstanden habe).
Außerdem scheint es noch bald eine DKB-Banking App (iOS/Android?) zu geben, bei der die in der pushTAN-App erzeugte TAN automatisch in die DKB-Banking App übernommen wird.
Da bin ich ja gespannt wie lange es dauert bis ein findiger Hacker dies geknackt hat. Würde ich mich nicht trauen dies zu verwenden.
Die Android App findet man hier: https://play.google.com/store/apps/details?id=com.starfinanz.mobile.android.dkbpushtan
Ich lass da aber lieber die Finger von.
Ich lass da aber lieber die Finger von.
Vielen Dank für die Info, habe pushtan nun beantragt. Nutze das bei der CoBa schon ewig und es gibt nichts komfortabeleres...