DKB überarbeitet ihr TAN-Verfahren

[Olaf Berlin]

ANZEIGE

Vielleicht liegt das daran dass ich gerade keine Sau bin denn ich finde es interessant. Dass Säue es nicht interessant finden mag ja sein.

War ja auch nicht mal am Topic vorbei, hier geht es ja um TAN-Verfahren, die haben nun Mal mit IT-Sicherheit zutun und das wiederum ist ein komplexes Thema. Wenn einige so ein wichtiges Thema nicht interessiert oder es ihnen zu nerdig ist okay, aber die Diskussionsinhalte lasse ich mir von anderen Usern nicht diktieren. Ich kenne übrigens Boards da werden Hobbymods gekickt - zu Recht wie ich finde.

 

[XT600]

also ich habe letzte Woche nochmals eine TAN-Nummer Liste zugeschickt bekommen, scheint noch nicht zu Ende zu sein?

Was soll bitte an einer Liste, die nur mir zur Verfügung steht sicherheitskritisch sein? Falls man sie mir stiehlt, dann braucht der Dieb immer noch meine Zugangscode zum online Banking. Ja hätte hätte Fahrradkette

Ehrlich gesagt gehen mir die zig Verfahren echt auf den Keks: das 3D-Verfahren muss man jedes Mal komplett neu einrichten, wenn man z.B. das Gerät, wo man die App drauf hat, zurückgesetzt hat. Natürlich sagt einem das niemand und man merkt es erst, wenn man wieder mal eine Flug bezahlen möchte. Die Bezahlung hat aber keine 3 Tage Zeit (man muss einen code eingeben, der "1-2 Tage" nach Antrag auf dem Giro-Konto (nicht Kreditkartenkonto) des Antragstellers zu finden ist)

SMS TAN geht doch auch (DKB-Mastercard M&M, wieso dort und nicht bei der Visa vom gleichen Institut ausgegeben)

 

[Xer0]

Back-to-topic: Ehrlich gesagt nutze ich bei der DKB noch ChipTAN. Habe Probleme mit der App. Liegt eventuell daran, dass mein Smartphone gerootet ist. Wenn ich Zeit und Muße habe, muss ich das mal angehen. Auf die Schnelle habe ich es trotz Umkonfiguration in Magisk nicht zum Laufen gekriegt.

DKB pushTAN ist neben Pokemons wohl die zickigste App die es gibt, was Root angeht. Du musst sie unter Magisk Hide eintragen, Manager verstecken -und- alle Apps deaktivieren/deinstallieren, die Root nutzen. So zB auch Link2SD und Titanium, das auch ohne Root nutzbar und sinvoll ist... egal, muss trotzdem weg. Oh und Google Talkback, eine Barrierefreiheitshilfe auch, die oft vorinstalliert ist, einfrieren.

 

[danchel]

also ich habe letzte Woche nochmals eine TAN-Nummer Liste zugeschickt bekommen, scheint noch nicht zu Ende zu sein?

Was soll bitte an einer Liste, die nur mir zur Verfügung steht sicherheitskritisch sein? Falls man sie mir stiehlt, dann braucht der Dieb immer noch meine Zugangscode zum online Banking. Ja hätte hätte Fahrradkette

Weil du bei iTAN einer "Man in the Middle" Attacke vollkommen schutzlos ausgeliefert bist?! Der Dieb muss dir dafür nich einmal deine iTAN Liste entwenden.

 

[Kartenzahler]

Könnt ihr eure Nerd-Themen, die keine Sau hier interessieren, bitte per PN diskutieren?

Verstehe das Problem nicht. Es geht doch weiterhin um das Thema.

Edit: @OlafBerlin hat es auch schon geschrieben. Erst beim Umblättern gesehen.

 

[Kartenzahler]

das 3D-Verfahren muss man jedes Mal komplett neu einrichten, wenn man z.B. das Gerät, wo man die App drauf hat, zurückgesetzt hat. Natürlich sagt einem das niemand und man merkt es erst, wenn man wieder mal eine Flug bezahlen möchte. Die Bezahlung hat aber keine 3 Tage Zeit (man muss einen code eingeben, der "1-2 Tage" nach Antrag auf dem Giro-Konto (nicht Kreditkartenkonto) des Antragstellers zu finden ist)

Oh ja, treffend beschrieben. Das ganze 3D-Secure-Verfahren geht mir schon ziemlich auf die Nerven, aber die Zustellung des Aktivierungscodes ist dann echt der Gipfel.

 

[Olaf Berlin]

SMS TAN geht doch auch

SMS TAN gilt aber leider auch nicht als sonderlich sicher, jedenfalls nicht wenn der Kunde nicht 2 getrennte Endgeräte (eins für Banking, eins für TAN-Empfang) nutzt. Im App Banking ist mTAN daher bei den meisten Banken gesperrt und da muss halt eine Alternative her. Und da App Banking auf dem Vormarsch ist wird mTAN von vielen Banken abgeschafft.

 

[phil_strom]

Weil du bei iTAN einer "Man in the Middle" Attacke vollkommen schutzlos ausgeliefert bist?! Der Dieb muss dir dafür nich einmal deine iTAN Liste entwenden.

Korrekt. Um es genauer zu beschreiben...

Die abgefragte iTAN gilt bei der Bank für die aktuelle Buchung, die durch die „Man in the middle“-Attacke aber manipuliert sein kann, dem Nutzer wird dies aber nicht angezeigt. Zack ist der 10-fache Betrag auf einem ganz anderen Konto.

Die neueren Verfahren beziehen in die frisch generierte TAN ein Prüfzifferverfahren ein, so dass die TAN nur für das vom Nutzer angegebene Zielkonto mit dem richtigen Betrag gilt. Der „Man in the middle“ kann vielleicht mitlesen, für eine Manipulation ist die TAN jedoch wertlos.

 

[alex42]

DKB pushTAN ist neben Pokemons wohl die zickigste App die es gibt, was Root angeht.

Genau das ist ja so lächerlich: Wer sein Gerät rootet, weiß in der Regel, was er tut und kümmert sich auch um aktuelle ROMs (mein LineageOS zum Beispiel bringe ich normalerweise alle sieben Tage auf den neuesten Stand). Aber genau solche Juser sperrt die DKB aus (oder versucht es zumindest), während Erna Kalupke mit ihrem ungepatchten Altsystem munter darauflosbanken kann.

 

[wizzard]

..., aber die Diskussionsinhalte lasse ich mir von anderen Usern nicht diktieren. Ich kenne übrigens Boards da werden Hobbymods gekickt - zu Recht wie ich finde.

Kein Mensch hat dir etwas diktiert. Ich habe höflich gefragt, ob "Ihr" (nicht du alleine) das Thema nicht per PN klären könnt. Da du das nicht willst, hätte ein simples "Nein" als Antwort gereicht.

Jetzt zum Thema: Natürlich ist die Thematik, in der Art und Weise, wie ihr Nerds sie diskutiert, offtopic, aber das merkt ihr wohl nicht; nicht einmal, wenn man höflich fragt, ob ihr es gut sein lassen könnt.

Ich werde dann jetzt einmal zwei Wochen DKB-Thread-Pause einlegen und warten, bis ihr eure Doktorarbeiten abgehandelt hat und es hier wieder um Dinge geht, die für den "Normal"-Kunden in der Praxis im Umgang mit dem, was die DKB anbietet, wirklich relevant sind, denn warum die DKB etwas macht und ob das sicherheitstechnisch sinnvoll ist oder nicht, interessiert mich nicht die Bohne, weil ich es als Kunde sowieso nicht beeinflussen kann. Ich muss mit dem eigenwilligen Süppchen, das die DKB in Sachen TAN-Verfahren kocht, leben, ob ich will oder nicht (oder halt kündigen).

 

[netzfaul]

Genau das ist ja so lächerlich: Wer sein Gerät rootet, weiß in der Regel, was er tut und kümmert sich auch um aktuelle ROMs (mein LineageOS zum Beispiel bringe ich normalerweise alle sieben Tage auf den neuesten Stand). Aber genau solche Juser sperrt die DKB aus (oder versucht es zumindest), während Erna Kalupke mit ihrem ungepatchten Altsystem munter darauflosbanken kann.

Nur, dass wenn sich ihr Altsystem einen Schädling einfängt, wird der das System auch erstmal rooten. Das hat schon seinen Grund, warum die Apps bei root den Dienst verweigern...

 

[Olaf Berlin]

Kein Mensch hat dir etwas diktiert. Ich habe höflich gefragt, ob "Ihr" (nicht du alleine) das Thema nicht per PN klären könnt. Da du das nicht willst, hätte ein simples "Nein" als Antwort gereicht.

Jetzt zum Thema: Natürlich ist die Thematik, in der Art und Weise, wie ihr Nerds sie diskutiert, offtopic, aber das merkt ihr wohl nicht; nicht einmal, wenn man höflich fragt, ob ihr es gut sein lassen könnt.

Ich werde dann jetzt einmal zwei Wochen DKB-Thread-Pause einlegen und warten, bis ihr eure Doktorarbeiten abgehandelt hat und es hier wieder um Dinge geht, die für den "Normal"-Kunden in der Praxis im Umgang mit dem, was die DKB anbietet, wirklich relevant sind, denn warum die DKB etwas macht und ob das sicherheitstechnisch sinnvoll ist oder nicht, interessiert mich nicht die Bohne, weil ich es als Kunde sowieso nicht beeinflussen kann. Ich muss mit dem eigenwilligen Süppchen, das die DKB in Sachen TAN-Verfahren kocht, leben, ob ich will oder nicht (oder halt kündigen).

Mensch, musst du immer das letzte Wort haben? Und wie höflich es wohl ist zu sagen "euer nerdgequatsche interessiert keine Sau."... Was daran Offtopic ist müsstest du mir auch noch erklären. Genauso wie du darauf kommst für die Allgemeinheit sprechen zu können oder auch warum andere, weil ein Thema dich nicht interessiert, den Kanal wechseln sollen. Abe fühl dich bitte nicht genötigt und gönne dir deinen Thread-Urlaub. Ich spare mir mal meine Adjektive...

 

[madkai]

DKB pushTAN ist neben Pokemons wohl die zickigste App die es gibt, was Root angeht. Du musst sie unter Magisk Hide eintragen, Manager verstecken -und- alle Apps deaktivieren/deinstallieren, die Root nutzen. So zB auch Link2SD und Titanium, das auch ohne Root nutzbar und sinvoll ist... egal, muss trotzdem weg. Oh und Google Talkback, eine Barrierefreiheitshilfe auch, die oft vorinstalliert ist, einfrieren.

Magisk Hide und Manager verstecken reicht bei mir aus. Titanium Backup und andere root Apps sind ganz normal installiert und in Benutzung ohne Probleme für die pushTan App

 

[wizzard]

Mensch, musst du immer das letzte Wort haben? Und wie höflich es wohl ist zu sagen "euer nerdgequatsche interessiert keine Sau."...

Ich überlasse gern dir das letzte Wort (interessant, dass derjenige, der gerade das letzte Wort geführt hat, das "letzte Wort" ins Spiel bringt ... Projektion?), aber wenn du mich falsch zitierst, kann ich das (leider) nicht widerspruchslos hinnehmen.

Was daran Offtopic ist müsstest du mir auch noch erklären.

Muss ich nicht. Wenn du es nicht selbst merkst, ... so what?

Genauso wie du darauf kommst für die Allgemeinheit sprechen zu können oder auch warum andere, weil ein Thema dich nicht interessiert, den Kanal wechseln sollen.

Auch das muss ich nicht erklären. Im übrigen habe nie behauptet, für die Allgemeinheit zu sprechen und nur eine Frage gestellt; von Kanal wechseln SOLLEN war auch nie die Rede. Wenn du gerne Themen von der Ebene der praktischen Relevanz in eine akademische Diskussion überführen willst und - das natürlich alles rein theoretisch, weil es ja so viel Spaß macht - mit ein paar Kollegen bis zum Erbrechen durchdiskutieren willst, tu dir keinen Zwang an.

Ich bin dann raus hier ... und überlasse gerne dir das letzte Wort (sofern nicht wieder falsche Zitate in den Raum geworfen werden).

 

[bandito007]

"Wer unter euch ohne Sünde ist, der werfe den ersten Stein."

 

[Olaf Berlin]

Ich bin dann raus hier ... und überlasse gerne dir das letzte Wort (sofern nicht wieder falsche Zitate in den Raum geworfen werden).

Ich könnte jetzt noch'ne Menge sagen, aber ich versuchs mal so: Wunderbar, Tschö, bis bald! Ich freue mich bald wieder informatives von dir zu lesen.

 

[Individualurlauber]

Kindergarten

 

[janetm]

Weil du bei iTAN einer "Man in the Middle" Attacke vollkommen schutzlos ausgeliefert bist?! Der Dieb muss dir dafür nich einmal deine iTAN Liste entwenden.

Ist es dann sicherer bei Paypal ganz ohne TANs? Das scheint bei deren Milliardenumsätzen ja keine Probleme zu machen, oder zumindest zu so einem geringen Anteil, dass zusätzlicher Aufwand teurer wäre.

 

[schraederboy]

Kindergarten

Der aber längst die Türen geschlossen hätte wenn nicht dauernd irgendjemand neues Öl in das Feuer schütten würde.

Ich fand die Sicherheitsiskussion übrigens hochinterressant. Viele Dinge wusste ich gar nicht und es hat mich motiviert mal meine eigene Onlinesicherheit auf den Prüfstein zu stellen.

 

[DerSimon]

Ist es dann sicherer bei Paypal ganz ohne TANs? Das scheint bei deren Milliardenumsätzen ja keine Probleme zu machen, oder zumindest zu so einem geringen Anteil, dass zusätzlicher Aufwand teurer wäre.

Nein, weswegen PayPal in Zukunft eigentlich auch TAN bei Kreditkartenzahlungen verlangen müsste (3D-Secure), wenn es nicht die Ausnahmeregelung für „trusted Händler“ gäbe.

 

[Xer0]

PayPal hat einen anderen Ansatz und schützt stattdessen den Account

 

[Du bist Deutschland!]

Der Wegfall der iTan ist schon relativ nervig. Mangels Smartphone fällt Tan2Go bei mir weg und für ChipTAN wird die Girocard der DKB benötigt, die habe ich bisher noch nie gebraucht und liegt seit Jahren ungeöffnet im Ordner. Insofern fand ich iTan eigentlich sehr angenehm. Und mTan kostet 0,07 Euro/SMS.

Ich habe die DKB gefragt, wie ich mit der Problematik umgehen soll bzw. ob da noch eine Alternative ohne Smartphone und Girocard kommen wird.
Hier die aussagekräftige Antwort:

Sehr geehrter "Du bist Deutschland",

Ihre Verunsicherung verstehe ich gut.

Voraussichtlich wird die iTAN (papierhafte TAN-Liste) aufgrund einer EU-Richtlinie nach Ablauf des Jahres 2018 nicht mehr zulässig sein. Wenn es hierzu einen konkreten Termin gibt, werden wir Sie umgehend informieren.

Im Fall der Deaktivierung betrifft dies neben der DKB auch alle anderen Banken.

Schon jetzt bieten wir Ihnen mit chipTAN und TAN2go zwei tolle Alternativen, welche die Auflagen der oben genannten PSD2-Richtlinie erfüllen. Alle Informationen zu den Verfahren und deren Einrichtung finden Sie auf unserer Homepage unter TAN-Verfahren.

Weitere Alternativen kann ich Ihnen nicht anbieten.


Ich bitte um Ihr Verständnis und wünsche Ihnen einen angenehmen Tag.

Mit freundlichen Grüßen

 

[Amic]

- iTAN für Onlinebanking mit Anmeldename und fünfstelliger PIN (1)
- chipTAN für Onlinebanking mit separatem Anmeldename und fünfstelliger separater PIN (2) und vierstelliger Karten-PIN (3), Registrierungsdaten per Briefpost
- TAN2go für Onlinebanking mit separatem Anmeldename und fünfstelliger separater PIN (4) und achtstelligem App-Passwort (5), Sonderzeichen zwingend, Registrierungsdaten per Briefpost
- TAN2go mit zweitem Gerät mit ... (?) und wieder separatem achtstelligen App-Passwort (8)

- DKB-Card-Secure App für Verified by VISA mit vierstelliger separater PIN (6), Registrierungsdaten per Überweisung, Registrierung aber auf öffentlich zugänglicher Webseite
- mTAN für Verified by VISA per SMS, Registrierung auf öffentlich zugänglicher Webseite

- DKB Visa Card mit vierstelliger nicht änderbarer PIN (7)
- DKB girocard mit vierstelliger nicht änderbarer PIN (siehe oben)

Macht bis zu 5 unterschiedliche TAN-Verfahren, 3 (oder 4?) separate Anmeldenamen und bis zu 8 unterschiedliche PIN/Passwörter in drei unterschiedlichen PIN-Formaten. Wenn ich mich nicht irre.
Ach ja, die PIN für die Kontoführung ist per E-Mail zurücksetzbar, unter blosser Angabe des Geburtsorts.

Wer denkt sich den Mist eigentlich aus?


PS: Ich vergass die separate Registrierung eines zweiten TAN2go-Geräts, das wiederum ein eigenes (achtes) Passwort hat. Bekommt man dafür eigentlich wieder einen separaten Anmeldenamen, oder nutzt man denselben wie für das TAN2go-Erstgerät?

PPS: ...und funktionieren tut die Einrichtung von TAN2go bei mir auch nicht, neu zugesendeter Anmeldename und PIN werden nicht akzeptiert

 

[Xer0]

Ach ja, die PIN für die Kontoführung ist per E-Mail zurücksetzbar, unter blosser Angabe des Geburtsorts.

und dieser muss nicht mal stimmen

 

[danchel]

ANZEIGE

Und dazu kommt: Über Giropay kann man mittlerweile Überweisungen mit einem geringen Betrag ohne jegliche TAN ausführen (nur Benutzername/Passwort erforderlich). Witzigerweise handelte es sich bei meiner Giropay-Zahlung um eine Testzahlung zur Identifizierung nach dem Geldwäschegesetz (über verify-u).