DKB überarbeitet ihr TAN-Verfahren

[cim]

ANZEIGE

Ich würde wetten, dass die Programmierer da keine Aktie haben sondern irgendwelche Haftungsfragen.

Also ich weiss wie man die App programmieren müsste, das sie auch auf gerooten Geräten sicher läuft.
Das das Fehlen der richtigen Software-Architektur etwas mit der Haftung zutun hätte, halte ich für komplett abwegig- es wird um Kosten gehen: Verschlüsselung und Userverwaltung zu implementieren dauert halt länger. IMHO ist die Wette verloren.

 

[pmeye]

Also ich weiss wie man die App programmieren müsste, das sie auch auf gerooten Geräten sicher läuft.
Das das Fehlen der richtigen Software-Architektur etwas mit der Haftung zutun hätte, halte ich für komplett abwegig- es wird um Kosten gehen: Verschlüsselung und Userverwaltung zu implementieren dauert halt länger. IMHO ist die Wette verloren.

Also meine Mitarbeiter erzählen mir auch immer, dass sie wüssten, wie etwas sicher ginge. Am Ende entscheidet aber fast immer ein verantwortlicher Nicht-Entwickler, was sicher ist und was nicht. Und genau so wird es dann auch gemacht. IT-Compliance – Wikipedia
EDIT: Dabei kommt es durchaus vor, dass der Manager Unrecht hat. Deshalb wollte ich die DKB-Etwickler in Schutz nehmen.

 

[cim]

Also meine Mitarbeiter erzählen mir auch immer, dass sie wüssten, wie etwas sicher ginge. Am Ende entscheidet aber fast immer ein verantwortlicher Nicht-Entwickler, was sicher ist und was nicht. Und genau so wird es dann auch gemacht. IT-Compliance – Wikipedia
EDIT: Dabei kommt es durchaus vor, dass der Manager Unrecht hat. Deshalb wollte ich die DKB-Etwickler in Schutz nehmen.

Hahahaha, sorry wenn ich lache, wir reden von der DKB, einer Bank die für ihr Online-Banking-Passwort fünf (5) Stellen vorgesehen hat, ich bezweifele das da irgendwer grossartig über "Sicherheit" nachdenkt (Fraud-Prevention funktioniert ja im Gegenzug sehr gut, wie hier bestätigt)- abgesehen von der Tatsache das du in deinem Beitrag ausschliesslich von Haftung, und nicht Sicherheit geschrieben hast.

Und natürlich waren mit meinem "Programmierer" alle für die App verantwortlichen Leute gemeint, nicht nur die, die den App-Code zusammen dengeln. Da hat keiner seine Hausaufgaben gemacht, wenn sie denken das ein gerootes Telefon eine vernachlässigbare Platform sei.
Das die App offensichtlich nicht mal richtig erkennen kann, ob ein Gerät "gerootet" ist oder nicht, ist da nur das i-Tüpfelchen...

 

[phil8900]

Ich denke, seine Aussage "Unsinn" bezieht sich nicht darauf, dass gerootete Geräte ausgeschlossen sind, sondern dass er die Meldung bekommt, sein Gerät sei gerootet, obwohl das nicht der Fall ist.

So ist es - die DKB-App setzt anscheinend auf ähnliche Methoden wie die App der Sparkasse, die laut Hotline mein DualSIM-Handy von vornherein verdächtig findet.
Ein Sicherheitskonzept einer App sollte sich nicht darauf verlassen, was die App sehen und wissen kann - das kann ich vor ihr auch sehr gut verstecken, indem ich z.B. XPrivacy oder sonstige Scherze laufen lasse.
Ob das dann zielführend ist wage ich dann doch zu bezweifeln.

Edit: Grade im PlayStore geschaut, 1000 Downloads, 157 Bewertungen und ein Rating von 1.7/5 spricht auch eine deutliche Sprache..

 

[seebart]

Ich kriege bei mTan auch die tatsächlichen Überweisungsdaten angezeigt

Nur läuft mTAN auf dem Handy und nicht auf einem speziellen TAN-Generator. Deshalb ist es auch bei weitem nicht so sicher, da z.B. bei Smartphones versucht wird diese parallel zum PC zu infizieren und bei normalen Handys versuchen die Betrüger sich beim Mobilfunk-Anbieter eine zweite SIM-Karte zu besorgen:

Angriffe auf deutsche mTAN-Banking-User | heise Security

Online-Banking: Neue Betrugsserie mit der mTan - Geld - S

und natürlich lässt sich mit Trojanern bzw Systemübernahmen jedes System knacken. Ohne Social Engineering.

Wie willst du das bei ChipTAN bitte bewerkstelligen? Die Geräte haben nichtmal eine Schnittstelle für Firmware-Updates und machen nichts anderes als Überweisungen abzusichern.

 

[Individualurlauber]

Hahahaha, sorry wenn ich lache, wir reden von der DKB, einer Bank die für ihr Online-Banking-Passwort fünf (5) Stellen vorgesehen hat, ich bezweifele das da irgendwer grossartig über "Sicherheit" nachdenkt

Nach wie vielen Fehlversuchen wird der Online-Zugang gesperrt? Nach drei oder fünf? Sofern nicht jemand 12345 als Passwort nimmt, ist es wohl nahezu unmöglich dieses zu erraten. Also warum soll man den Nutzer mit komplizierten Passwörtern nerven? Und wenn das Passwort wie auch immer ausgespäht wird, nutzt auch ein 100stelliges Passwort nichts mehr.

 

[chillhumter]

Übersehe ich irgendwas ?
Selbst wenn jemand Zugang zu meinem Konto hätte könnte er schön meine Konto- oder Depostände sehen, und dann ?

Dann kommen ihm die Tränen und er überweist mir was

 

[phil8900]

Selbst wenn jemand Zugang zu meinem Konto hätte könnte er schön meine Konto- oder Depostände sehen, und dann ?

Das dürfte schon einige Rückschlüsse zulassen, die mir persönlich nicht so angenehm wären, wenn sie eine fremde Person ziehen kann. Auch wenns nicht problemlos ans Geld überweisen geht.

 

[wizzard]

Da hat keiner seine Hausaufgaben gemacht, wenn sie denken das ein gerootes Telefon eine vernachlässigbare Platform sei.

Wieso? Wie hoch ist denn der Prozentsatz der Smartphonebesitzer, die ihr Gerät rooten? 1%? 2%? 5%? Mehr werden es nicht sein. Die ganzen Nerds, die ihr Gerät rooten, müssen wissen was sie tun. Die Eier legende Wollmilchsau gibt's halt nicht. Ich würde mich als Firma mit solchen Randerscheinungen auch nicht beschäftigen und auf die gängigen drei Betriebssysteme, die auf ca. 99% aller Smartphons installiert sind, konzentrieren.

 

[chillhumter]

Das dürfte schon einige Rückschlüsse zulassen, die mir persönlich nicht so angenehm wären, wenn sie eine fremde Person ziehen kann. Auch wenns nicht problemlos ans Geld überweisen geht.

Haha, soviele Leute wie über deine und meine Kontostände Bescheid wissen, da kommt es auf einen mehr oder weniger auch nicht an

 

[phil8900]

Wieso? Wie hoch ist denn der Prozentsatz der Smartphonebesitzer, die ihr Gerät rooten? 1%? 2%? 5%? Mehr werden es nicht sein. Die ganzen Nerds, die ihr Gerät rooten, müssen wissen was sie tun. Die Eier legende Wollmilchsau gibt's halt nicht. Ich würde mich als Firma mit solchen Randerscheinungen auch nicht beschäftigen und auf die gängigen drei Betriebssysteme, die auf ca. 99% aller Smartphons installiert sind, konzentrieren.

Okay...was für Randerscheinungen? Ein gerootetes Android-Smartphone bleibt weiterhin ein Android-Smartphone - also ist dein Argument nicht haltbar, weil die App durchaus lauffähig wäre, wenn es denn gewollt wäre.

Haha, soviele Leute wie über deine und meine Kontostände Bescheid wissen, da kommt es auf einen mehr oder weniger auch nicht an

Ich muss das ja nicht auch noch fördern

 

[vantom]

Ich habe gestern zum ersten Mal die pushTAN App ausprobiert - alles funktionierte einwandfrei. Falsch machen kann man bei der Bedienung auch nichts. Von mir gibt's nen Daumen hoch.

 

[XT600]

Ich habe weder iOS noCh Android aber DKB sagt, ich solle mir doch für 15€ so ein Tan Generator holen... Auf meine Frage wieso sie denn ein kostenloses Konto anbieten, das aber entweder 15€ "Startgebühr" oder 2 Smartphone Betriebssysteme voraussetzt wollten die mich anrufen... Irgendwo ist das unlauterer Wettbewerb....

 

[XT600]

Die Liste war die letzten 10 Jahre sicher, bei mir jedenfalls... Natürlich muss man die klauen aber es soll aich Genossen geben, die die Liste fotografiert haben und dann rumgeschickt....

 

[iphone08]

Ich verstehe gerade dein Problem nicht: für Altkunden bleibt das iTan-Verfahren doch bestehen, zwingt dich doch niemand, das Verfahren zu wechseln.
Und zu deiner Argumentation von wegen unlauterer Wettbewerb: für dieses kostenlose Konto brauchst du zur Nutzung einen Computer, den du auch nicht von der DKB bekommst. Wo bleibt da dein Aufschrei?

 

[Sid]

Ich habe weder iOS noCh Android aber DKB sagt, ich solle mir doch für 15€ so ein Tan Generator holen... Auf meine Frage wieso sie denn ein kostenloses Konto anbieten, das aber entweder 15€ "Startgebühr" oder 2 Smartphone Betriebssysteme voraussetzt wollten die mich anrufen... Irgendwo ist das unlauterer Wettbewerb....

Du hast absolut Recht, ich würde Dir raten das zum Anwalt zu geben! Solche Geschäftsgebaren darf es einfach nicht geben.

 

[FlyC]

Don't feed... Ach lassen wir's!

XT sollte doch inzwischen jeder kennen!

 

[XT600]

Ich verstehe gerade dein Problem nicht: für Altkunden bleibt das iTan-Verfahren doch bestehen, zwingt dich doch niemand, das Verfahren zu wechseln.
Und zu deiner Argumentation von wegen unlauterer Wettbewerb: für dieses kostenlose Konto brauchst du zur Nutzung einen Computer, den du auch nicht von der DKB bekommst. Wo bleibt da dein Aufschrei?

lt. DKB wird auch das iTAN Verfahren bei Altkunden irgendwann abgeschafft

Ja stimmt, man braucht einen PC, trotzdem finde ich, daß es sich eine Bank schon recht einfach macht, einfach zu sagen "Aifone" geht, Android ja wohl nicht (wenn ich den Appbewertungen glauben schenken soll) und alles andere ist mir doch egal, wie du zu seinen TAN kommst... finde ich einfach nicht ok! Dann sollen sie bei der Eröffnung des Kontos eindeutig sagen, "sie benötigen dies und das, was zusätzliche Kosten verursacht" und nicht mit "kostenlosem Konto" werben! Andere Banken geben die TAN Generatoren umsonst aus (Verkaufspreis 15€ heisst Einkaufspreis bei zig tausend Kunden nur 5€, Herstellkosten ca. 2€, aber das glaubt mir ja wieder niemand hier von euch Jünglingen)

 

[Individualurlauber]

Du kannst das Konto jederzeit kündigen und zu einer Bank gehen, welche den Generator gratis aushändigt.

 

[XT600]

Leudde, eure Antworten sind korrekt, aber ich empfinde es illegitim (ungleich illegal!), ein Konto als "kostenlos" anzubieten und vorauszusetzen, daß ALLE Kunden Aifone oder Android Geräte haben - wobei letztere App ja wohl gar nicht funktioniert?

Hier muss es zumindest für Kunden,die kein Smartphone haben bzw. die app nicht funzt eine Lösung geben, die für beide Seiten akzeptabel ist. Und die kann nicht lauten "kaufen Sie sich doch eine TAN Generator"

 

[Sid]

Du vermischt hier einfach völlig verschiedene Punkte. Es wird ein Konto mit kostenloser Kontoführung beworben und das bekommst Du auch. Nur weil Du einzelne kostenfreie Leistungen mangels nicht vorhandener Endgeräte nicht nutzen kannst, solltest Du mit deinen (unbegründeten) Vorwürfen vorsichtig sein. Bitte dazu einfach in die AGB, Preis- & Leistungsverzeichnisse schauen, dort steht alles klar und transparent drin. Aber lieber berieselst Du uns auf 6 Seiten mit Deinen weltfremden Ansichten. Such Dir doch mal ein Hobby, zeichnen oder so.

Die TAN bzw. der Nutzungscode für die elektronische Signaturkönnen dem Nutzer auf folgenden Authentifizierungsinstrumentenzur Verfügung gestellt werden:- auf einer Liste mit einmal verwendbaren TAN,- mittels eines TAN-Generators, der Bestandteil einer Chipkarteoder eines anderen elektronischen Geräts zur Erzeugungvon TAN ist,- mittels eines mobilen Endgeräts (z. B. Mobiltelefon) zumEmpfang von TAN,- auf einer Chipkarte mit Signaturfunktion oder- auf einem sonstigen Authentifizierungsinstrument, auf demsich Signaturschlüssel befinden.

Sofern die DKB AG für einzelne hier aufgeführte Leistungen einEntgelt verlangt, ist dies im Preis- und Leistungsverzeichnisder DKB AG ausgewiesen.

 

[XT600]

Eine Girokonto ohne Möglichkeiten zu überweisen ist nutzlos

 

[Individualurlauber]

Lass gut sein

Don't feed... Ach lassen wir's!

XT sollte doch inzwischen jeder kennen!

 

[jodost]

Eine Girokonto ohne Möglichkeiten zu überweisen ist nutzlos

Mindest-nein.

 

[XT600]

ANZEIGE

hurra ich habe ein Konto, aber kann nichts überweisen, nur Kohle holen und mit Karte bezahlen.... na ja, kann man so sehen!