ANZEIGE
Finde ich eine sinnvolle Einschränkung. Wäre auch betroffen, hatte aber nicht vor das einzusetzen.
-
Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.
Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.
Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.
User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.
DKB überarbeitet ihr TAN-Verfahren
- Starter*in wizzard
- Datum Start
ANZEIGE
Finde ich eine sinnvolle Einschränkung. Wäre auch betroffen, hatte aber nicht vor das einzusetzen.
Findest du?
Du kannst die pushTAN-App nur auf einem Gerät nutzen = negativ (weil ich im Ausland ein anderes Smartphone verwende als im Inland)
Ich kann das Konto meiner Mutter und mein eigenes nicht auf dem selben Gerät verwalten = negativ (weil ich nun, DKB sei Dank, sage und schreibe drei Android-Geräte mit ins Ausland nehmen muss: Eins zum Telefonieren, Eins mit meiner pushTAN-App und eins mit der pushTAN-App für meine Mutter. Sehr spaßig.)
Ich finde, es gibt nichts komfortableres als mTAN, aber davon hat die DKB wohl noch nie etwas gehört. Ich bin Kunde bei über zehn Banken; alle Konten und die meiner Mutter kann ich mit mTAN über ein einziges altes Nokia-Handy verwalten, bloß die DKB schert mal wieder aus.
Na, das hört sich ja zumindest nicht so schlecht an
Weiter Infos hier:
https://www.dkb.de/info/tan-verfahren/index.html
Weiter Infos hier:
https://www.dkb.de/info/tan-verfahren/index.html
Und hier mal wieder eine offene IE-Lücke: Microsoft-Patchday: Drei kritische Updates, IE-Lücke weiter offen | heise Security
Freund cim scheint den Thread verlassen zu haben (vielleicht ent-vir-t auch gerade seinen Computer).
Ziemlich schlecht umgesetzt von der DKB, die könnten sich von der CoBa ne Scheibe abschneiden. Denn dort läuft es perfekt.
-> Ein Gerät kann man nur verwenden
-> neuer Benutzername (Alter Benutzername mit einem "_p" hinten)
-> Das Einrichten war ein totaler Krampf, schlecht beschrieben alles...
-> Die App läuft auf meinem S5 hakelig.
-> Ein Gerät kann man nur verwenden
-> neuer Benutzername (Alter Benutzername mit einem "_p" hinten)
-> Das Einrichten war ein totaler Krampf, schlecht beschrieben alles...
-> Die App läuft auf meinem S5 hakelig.
P
pmeye
Guest
Bauer Anton scheint nicht in der Lage einfache Zusammenhänge/Beiträge zu verstehen, und spamt (deshalb?) bezuglose "Wortwitze" und Webseitenverweise (Reminder: es geht um ein neues DKB-TAN-Verfahren)?
Und damit das nicht so ein off-topic Beitrag wieder deiner wird, lies mal was hier steht:
Sicherheit - Deutsche Kreditbank AG
und überlege wie das mit dem von dir verlinktem in Einklang zu bringen ist.
Hat CoBa irgendwas mit der DKB zutun oder erwartest du deren "Standard", weil ausgerecht du bereits die CoBa nutzt?
P
pmeye
Guest
Keine Ahnung, ob DKB was mit Coba zu tun hat. Der Begriff Push TAN ist zu mindestens keine Spezialität von DKB.
Da wäre es ja zumindest möglich gewesen, dass nicht jede Bank eine eigene Implementierung des Verfahrens auflegt. Von daher finde ich den Gedanken nicht so abwegig.
Und wie gesagt, bei der Commerzbank funktioniert es hervorragend. Ich wüsste nicht, was man da besser machen sollte.
Warum dann offenbar doch jede Bank eine eigene Anwendung aufbaut entzieht sich meiner Kenntnis.
Da wäre es ja zumindest möglich gewesen, dass nicht jede Bank eine eigene Implementierung des Verfahrens auflegt. Von daher finde ich den Gedanken nicht so abwegig.
Und wie gesagt, bei der Commerzbank funktioniert es hervorragend. Ich wüsste nicht, was man da besser machen sollte.
Warum dann offenbar doch jede Bank eine eigene Anwendung aufbaut entzieht sich meiner Kenntnis.
Wieso? Sein Beitrag passte doch perfekt zum Thema. Die zuerst genannte OLE-Lücke wurde in der Folge sogar nachweislich zum verteilen von Online-Banking-Trojanern benutzt:
Ausnutzung der Windows-Sandworm-Lücke eskaliert | heise Security
Wobei iTAN eben gegen Trojaner keinerlei Schutz bietet, weshalb eigentlich alle Banken (außer bis vor kurzem noch die DKB) mindestens auf mTAN oder noch besser ChipTAN oder PhotoTAN aufgerüstet haben.
Die Commerzbank verwendet PhotoTAN, das hat mit PushTAN nichts zu tun:
Transaktionsnummer – Wikipedia
P
pmeye
Guest
Ahh, das war mir nicht klar, dass das noch ein anderes Verfahren ist. CoBa ist bei mir schon ein Jahr her.
Du zitierst falsch, lies doch einfach mal alle Beiträge und das was die DKB tatsächlich zur Sicherheit schreibt.
Wer "eine Mail mit einer angeblichen Rechnung, die in Form einer Powerpoint-Datei angehängt ist. Beim Öffnen nutzt diese dann die "Windows OLE Remote Code Execution Vulnerability" aus MS14-060 (CVE-2014-4114)." erhalten hat und diese öffnet (und sein Windows nicht geupdated hat), hat sicher nicht gelesen was die DKB u.a. dazu schreibt:
Öffnen Sie zu keiner Zeit E-Mails oder Dateianhänge von Absendern, die Ihnen nicht bekannt sind. Achten Sie darauf, dass Sie den Spam-Filter in Ihrem E-Mail-Programm aktiviert haben.
Deshalb könnten man jetzt diese off-topic Hinweisen auf irgendwelche Zero-Day-Exploit in einem Thread, in dem es um das NEUE DKB-TAN-Verfahren geht, beenden.
Wer sich einen Trojaner fängt, hat im Zweifel ganz andere Probleme und dessen Banking-Account kann im Zweifel auch ohne iTan missbraucht werden.
Im übrigen geht sowohl DKB- als auch unzählige andere Bankinstitute- davon aus, das iTan mit den entsprechenden Sicherheitshinweisen (siehe letzter Link, das geschriebene dort gilt übrigens für alle TAN-Verfahren!) ausreichend sicher ist (Fraud-Protection noch on top, wie hier ja ein User bereits bestätigt hat), sonst würde man es nicht anbieten
Moderationshinweis:
Ein guter Vorschlag! Bleiben wir doch einfach beim Thema DKB. Solltet ihr allgemein über Trojaner, Phishing und Ähnliches diskutieren wollen dann macht dafür doch bitte einfach einen neuen Thread auf.
Nein, bei neueren Verfahren wie ChipTAN oder PhotoTAN kann der Trojaner gar nichts machen, da der Nutzer eben zur Kontrolle gegen Manipulationen durch Trojaner die tatsächlichen Überweisungsdaten noch einmal gesondert auf dem Display des TAN-Generators angezeigt bekommt. Alles was da noch möglich ist, sind irgendwelche Social Engineering Sachen, wie angebliche "Test-" oder "Rücküberweisungen", bei denen der Nutzer selbst das Geld verschicken soll.
Im übrigen geht sowohl DKB- als auch unzählige andere Bankinstitute- davon aus, das iTan mit den entsprechenden Sicherheitshinweisen (siehe letzter Link, das geschriebene dort gilt übrigens für alle TAN-Verfahren!) ausreichend sicher ist (Fraud-Protection noch on top, wie hier ja ein User bereits bestätigt hat), sonst würde man es nicht anbieten
iTAN wird deshalb weiterhin angeboten, weil die Umstellung auf neuere Verfahren natürlich Geld kostet oder es, wie man hier sieht, tatsächlich noch Kunden gibt, die auf Teufel komm raus an den alten Verfahren festhalten wollen (deshalb wird bei der DKB wohl im Gegensatz zu den Sparkassen und Volksbanken auch iTAN nach wie vor parallel angeboten).
Abgesehen davon hat etwa die Europäische Agentur für Netz- und Informationssicherheit bereits vor 2 Jahren allen Banken empfohlen die alten Papier-Listen auszumustern:
ENISA rät: "Betrachten Sie alle PCs als infiziert" | heise Security
Ich finde es gut umgesetzt und die Freischaltung war schnell erledigt (inkl. einer PW Änderung).
Auf dem iPhone läuft es auch vollkommen Fehlerfrei und nicht hakelig.
Zum Benutzernamen mit _p am Ende:
Du hast jetzt zwei TAN Verfahren und kannst per Benutzername umschalten, mit _p läuft es über die App von unterwegs und ohne _p mit TAN per Zettel
P
pmeye
Guest
Nachdem ich es jetzt in Betrieb genommen habe, finde ich es auch ok. Das mit dem neuen Benutzernamen und der Passwort-Overkill sind ärgerlich. Aber es funktioniert tadellos.Ich finde es gut umgesetzt und die Freischaltung war schnell erledigt (inkl. einer PW Änderung).
Auf dem iPhone läuft es auch vollkommen Fehlerfrei und nicht hakelig.
Zum Benutzernamen mit _p am Ende:
Du hast jetzt zwei TAN Verfahren und kannst per Benutzername umschalten, mit _p läuft es über die App von unterwegs und ohne _p mit TAN per Zettel
Meine Mutter hätte aber keine Chance, das mit der Beschreibung in Betrieb zu nehmen.
EDIT: Das Scannen des Barcodes dauerte ewig. Ich wollte schon aufgeben.
Zuletzt bearbeitet:
Weil bei PhotoTAN so wie bei ChipTAN die tatsächlichen Überweisungsdaten, die mit der TAN-Nummer verknüpft werden, noch einmal auf dem Display des PhotoTAN-Geräts angezeigt werden. Nur werden die Daten bei PhotoTAN statt über einen blinken Barcode über eine mehrfarbige statische Grafik übertragen.
Ich wollte das heute auch mal testen - naja, es ist beim Versuch geblieben, weil mein Telefon angeblich gerootet ist. So ein Unsinn
Das gerootete Geräte ausgeschlossen werden hat denke ich sicherheitstechnische Gründe, um es zu erschweren, dass ein Virus sowohl PC als auch Smartphone übernimmt.
Ich kriege bei mTan auch die tatsächlichen Überweisungsdaten angezeigt und natürlich lässt sich mit Trojanern bzw Systemübernahmen jedes System knacken. Ohne Social Engineering. Es geht nur um den Aufwand den man dafür betreiben muss, aber wie gesagt: lies einfach den ganzen Thread, das ist bereits eine Wiederholung.
Das die DKB ihre App nicht auf gerooten (bzw fälschlicherweise als solchen erkannten) Geräten laufen lässt ist lächerlich, die Programmierer haben offensichtlich keinen Plan von der Realität.
P
pmeye
Guest
ANZEIGE
![]()
Ich würde wetten, dass die Programmierer da keine Aktie haben sondern irgendwelche Haftungsfragen.