-
Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.
Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.
Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.
User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.
ANZEIGE
Wie wird Amex die PSD2 bei online Zahlungen umsetzen? TAN per SMS oder über die App? Habe zu meiner Amex bisher noch keine Infos erhalten.
SMS. Kannst aber eine Whitelist erstellen, so wie es die PSD2 auch vorsieht.
Früher war auch ein Bestätigungscode per E-Mail möglich, ist das nicht mehr möglich? Das war im Ausland (andere SIM) oder Flugzeug (WLAN, aber kein Handyempfang) immer ganz praktisch.
Doch, das ist noch möglich.
Ich bekomme immer parallel sowohl eine SMS als auch eine E-Mail mit Code. Keine Ahnung, wann und wo ich das so eingestellt habe, aber es ist bei jeder Online-Zahlung so, wenn der Empfänger nicht auf meiner Whitelist steht.
Ich bekomme immer parallel sowohl eine SMS als auch eine E-Mail mit Code. Keine Ahnung, wann und wo ich das so eingestellt habe, aber es ist bei jeder Online-Zahlung so, wenn der Empfänger nicht auf meiner Whitelist steht.
Ich dachte nach der Erfahrung mit der Consorsbank, wo beim Einloggen in die App per TouchID auch eine TAN nötig ist und auch per TouchID generiert wird, es kann nicht schlimmer werden.
Falsch, die HVB hat sich auch was tolles einfallen lassen, für online Zahlungen mit der Kreditkarte wird man künftig eine SMS TAN _und_ einen zusätzlichen E-Code brauchen.
Falsch, die HVB hat sich auch was tolles einfallen lassen, für online Zahlungen mit der Kreditkarte wird man künftig eine SMS TAN _und_ einen zusätzlichen E-Code brauchen.
Ich dachte nach der Erfahrung mit der Consorsbank, wo beim Einloggen in die App per TouchID auch eine TAN nötig ist und auch per TouchID generiert wird, es kann nicht schlimmer werden.
Falsch, die HVB hat sich auch was tolles einfallen lassen, für online Zahlungen mit der Kreditkarte wird man künftig eine SMS TAN _und_ einen zusätzlichen E-Code brauchen.
Ist bei Diners Club auch so (und leider ohne Alternative).
Der Hintergrund ist, dass eine SMS alleine nur ein Besitzfaktor ist (verknüpftes Mobiltelefon), aber kein Wissens- oder Inhärenzfaktor.
Das zeigt umso mehr, wie ungeeignet SMS als 2FA-Methode ist.
Wenn die Mobilfunknummer nicht über eSIM läuft, bezieht sich der Besitz auf die SIM-Karte und nicht auf das Mobiltelefon. Neben den von dir aufgeführten Gründen halte ich SMS auch wegen des eingesetzten SS7-Protokolls für nicht besonders sicher.
Stimmt, präziser wäre es zu sagen, Besitz der SIM-Karte. (Oder auch nicht: Ich verwende z.B. in vielen Fällen Google Voice. Wenn ich das meiner Bank erzähle, muss sie mich dann sperren, da ein Google-Account weder Besitz noch Wissen darstellt? Und was besitze ich eigentlich genau bei einer Festnetznummer, die von manchen Banken explizit als Möglichkeit erwähnt wird?)
Die Sicherheit der Telefonnetzwerke ist zwar auch problematisch, aber die meisten Angriffe in der Praxis finden wohl über eine unerlaubte Portierung der hinterlegten Rufnummer statt, wie z.B. zuletzt sehr öffentlichkeitswirksam bei Jack Dorsey von Twitter.
Kam es in der Realität überhaupt schonmal vor, dass ohne grob fahrlässiges Handeln des Karteninhabers die 2FA via SMS ausgehebelt wurde? Das ist doch hier eher theoretisch.
Und 2FA ist übrigens Kreditkarten-Daten (Faktor 1) und Besitz der SIM-Karte (Faktor 2), das reicht also.
Denn es ist einfach so, dass die TAN per SMS oder per Email die einzige wirklich stabile Methode ist und dabei definitiv ausreichend sicher. Denn Apps funktionieren seeehr oft nicht so wie sie sollen, auch weil diese Banking-Apps oft Hintergrund-Sicherheitschecks haben (wo dann gerootete Handys blockiert werden, ebenso LineageOS oder andere Custom ROMs) oder gleich so ein Schildbürgerstreich wie bei den Sparkassen (Registrierung des Handys per Brief mit der Post).
Und 2FA ist übrigens Kreditkarten-Daten (Faktor 1) und Besitz der SIM-Karte (Faktor 2), das reicht also.
Denn es ist einfach so, dass die TAN per SMS oder per Email die einzige wirklich stabile Methode ist und dabei definitiv ausreichend sicher. Denn Apps funktionieren seeehr oft nicht so wie sie sollen, auch weil diese Banking-Apps oft Hintergrund-Sicherheitschecks haben (wo dann gerootete Handys blockiert werden, ebenso LineageOS oder andere Custom ROMs) oder gleich so ein Schildbürgerstreich wie bei den Sparkassen (Registrierung des Handys per Brief mit der Post).
Das mit der SIM-Karte als Besitzfaktor habe ich nie verstanden. Die meisten EU-Länder lassen jetzt die SIM-Karten zwar registrieren, aber etwa in den Niederlanden gibt es keinen Registrierungszwang. Wie ist es dort mit 2FA per SMS?
Nein, die EBA hat vor kurzem klargestellt, dass (statische) Kartendaten weder Besitz-, noch Wissensfaktor darstellen können.
Ein Besitzfaktor muss nicht personengebunden sein. Ein Yubikey ist das ja zum Beispiel auch nicht.
Noch eine Anmerkung zum Faktor SMS: Insbesondere unter Android ist es relativ leicht, für Apps unbemerkt Zugriff auf eingehende SMS-Nachrichten zu erhalten.
Wer oder was ist die EBA?
Die Klarstellung ist in jedem Fall Unsinn, weil es dadurch ne 3FA wird, denn dann bräuchte man doch auch bei ner App bspw. Fingerabdruck UND Gerätebesitz neben den Kartendaten. Wer ein Smartphone ohne Fingerabdrucksensor hat schaut dann halt einfach in die Röhre, und wer gar kein Smartphone hat sowieso. Die haben halt Pech gehabt.
Wieso eigentlich nicht gleich für jede Zahlung persönliches Vorsprechen beim Rathaus oder der Polizei, das wäre noch sicherer!
Und, kam das jemals in der Praxis vor dass so eine Zahlung illegal ausgelöst wurde?
Die European Banking Association, die die technischen Klarstellungen zur (juristischen) PSD2-Verordnung herausgibt.
Nein.
Ein Smartphone ohne Biometrie ist erstmal nur ein Besitzelement. Dann braucht es noch einen zweiten Faktor. Das kann entweder Wissen in Form einer PIN oder eines Passwortes sein, oder eben ein biometrisches Merkmal (Inhärenz).
Ohne Smartphone kommen z.B. Chipkarte (Besitz) und PIN (Wissen) in Frage, auch das gibt es schon länger.
Bankingtrojaner, die TAN-SMS auf Android abfangen und zusammen mit einem PC-Trojaner illegale Überweisungen auslösen, gab es bereits. Insofern: Ja.
Ob die EU jetzt überreguliert hat oder nicht ist eine andere Frage, aber in sich schlüssig sind die Vorgaben irgendwo schon.
Smartphone-Hüllen mit Fach für Kreditkarten sehe ich durchaus öfters; wenn man diese dann mit Kreditkarte und Smartphone verliert, wären nur mit SMS-TAN und Karte bereits Zahlungen möglich (SMS werden oft auf dem Sperrbildschirm angezeigt).
Ist durchaus schon passiert über Portierungen oder Bestellungen einer Ersatz-SIM durch Kriminelle und auch über SS7.
Bsp. für SS7: https://www.zdnet.de/88353155/britische-bank-von-ss7-attacke-betroffen/amp/
Alles was hier durch PSD2 verhindert wird sind Vorkomnisse im Nachkomma Promillebereich
Das übliche Euro Bürokartiemonster wälzt sich halt nun durch die Finanzwelt
Leidtragende sind die Kunden
Ich glaube ich eröffne wieder ein Konto bei unserer Dorf VB
und bringe die Überweisungen wieder persönlich vorbei,
hat vor 30 Jahren ja auch funktioniert.
Und bei Online-Bestellungen in DE kann man dann wieder auf Lastschrift umstellen.
... aber erstmal abwarten, wie sich so alles entwickelt.
Der Plan hätte mal vor 10 Jahren mit einer EU Kreditkarte starten sollen. Naha, mal abwarten, was alles noch so kommt.
Das wäre ja durchaus zu begrüßen, wenn man sich weniger abhängig vom Einfluss der USA machen würde.
Ob man das noch erleben darf?
Allerdings stellt sich dann die Frage, welche Großmacht das Machtvakuum füllen soll, welches die USA auf ihrem Rückzug hinterlassen.
Wem kann man dann eine Führungsrolle zugestehen?
China? Wohl eher nicht. Denen kann man noch weniger trauen als den USA (obwohl die dem Ansehen des Westens bzw. dem Demokratiegedanken schon mehr als genug geschadet haben).
Wäre m.E. schon begrüßenswert, wenn sich die EU stärker als global player positionieren würde.
Ob man das noch erleben darf?
Allerdings stellt sich dann die Frage, welche Großmacht das Machtvakuum füllen soll, welches die USA auf ihrem Rückzug hinterlassen.
Wem kann man dann eine Führungsrolle zugestehen?
China? Wohl eher nicht. Denen kann man noch weniger trauen als den USA (obwohl die dem Ansehen des Westens bzw. dem Demokratiegedanken schon mehr als genug geschadet haben).
Wäre m.E. schon begrüßenswert, wenn sich die EU stärker als global player positionieren würde.
So lange die Europäer wie Lemminge blind hinter Apple, AMEX, Starbucks und Konsorten her laufen,
wird sich da nichts dran ändern
So lange die Europäer wie Lemminge blind hinter Apple, AMEX, Starbucks und Konsorten her laufen,
wird sich da nichts dran ändern
Z.T. fehlen einfach die entsprechenden Alternativen.
ANZEIGE
![]()
Leider richtig, aber wenn es welche gibt sollte man die auch nutzen
Apple und Starbucks zB lassen sich sehr einfach vermeiden