ANZEIGE
Genau dort hatten die Mitarbeiter doch erst kürzlich gesagt, dass es bei jedem Login nötig sein wird.
-
Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.
Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.
Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.
User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.
ANZEIGE
Ich denke eher, das läuft in der aktuellen App genau so ab wie bei Verified by Visa. Also Koppelung an ein bestimmtes Smartphone und in dem dann die Bestätigung oder vielleicht auch der direkte Login (so wie bei der ING Banking to go App - da kommt man ja durch die Gerätebindung auch zukünftig mit einem Fingerabdruck direkt rein).
Zuletzt bearbeitet:
Ein Beitrag der ING (Kommentare auf ING Homepage: https://www.ing.de/ueber-uns/wissenswert/psd2/) zum Thema Umsatz-Auslesung via HBCI ab September:
"ING
31.07.2019
Hallo Andreas, im ersten Stepp arbeiten wir an einem sog. lesenden Zugriff. Das bedeutet, dass Sie zukünftig Ihre Umsätze und den Kontostand des Girokontos in Ihrer Finanzsoftware sehen. Der 2. Faktor wird so geregelt sein, dass Sie sich alle 90 Tage im Internetbanking anmelden müssen, damit die Umsätze in die Software eingelesen werden können.
Ob wir wieder einen vollumfänglichen Zugriff anbieten können und wie dann die Freigaben laufen würden, können wir zurzeit noch nicht sagen. Viele Grüße, Ihr Social Media Team"
Der Beitrag ist insofern sehr interessant, als dass bei der ING zwar bei jedem Login ins Online-Banking eine TAN eingegeben werden muss, jedoch anscheinend nicht bei jeder Umsatzabholung via HBCI. Wenn es andere Banken auch so machen, bedeutet die PSD2 vielleicht doch noch nicht das Ende der Multibanking-Apps.
"ING
31.07.2019
Hallo Andreas, im ersten Stepp arbeiten wir an einem sog. lesenden Zugriff. Das bedeutet, dass Sie zukünftig Ihre Umsätze und den Kontostand des Girokontos in Ihrer Finanzsoftware sehen. Der 2. Faktor wird so geregelt sein, dass Sie sich alle 90 Tage im Internetbanking anmelden müssen, damit die Umsätze in die Software eingelesen werden können.
Ob wir wieder einen vollumfänglichen Zugriff anbieten können und wie dann die Freigaben laufen würden, können wir zurzeit noch nicht sagen. Viele Grüße, Ihr Social Media Team"
Der Beitrag ist insofern sehr interessant, als dass bei der ING zwar bei jedem Login ins Online-Banking eine TAN eingegeben werden muss, jedoch anscheinend nicht bei jeder Umsatzabholung via HBCI. Wenn es andere Banken auch so machen, bedeutet die PSD2 vielleicht doch noch nicht das Ende der Multibanking-Apps.
Zuletzt bearbeitet:
In der Consorsbank Community hat der Community Manager Michael Herbst sogar mitgeteilt, dass die Intervalle zur Abfrage Sache des Anfragenden ist. Natürlich aber trotzdem min. alle 90 Tage. Darüber hinaus können Banken sogar eine Whitelist erstellen, womit überhaupt keine starke Authentifizierung nötig wäre. So eine Whitelist ist allerdings momentan nicht geplant.
Was nützt es, wenn es bei einigen Banken geht und bei anderen dann doch nicht. m.E. sind Multi-Banking-Apps ohne die entsprechende PSD2-Kontenabfrage-Zulassung tot. Wer kann/will denn schon zig TANs bei einer Abfrage eingeben.
Ich hoffe mal die Multi-Banking-App Anbieter kommen auch zu diesem Schluss. 20€ im Jahr oder so wäre mir das auch Wert.
Auch bei einer PSD2-Abfrage muss doch so oft eine TAN eingegeben werden, wie es die Bank verlangt. Hier gibt es doch keinen Unterschied zwischen HBCI und PSD2-Schnittstelle. Der Zwanni bringt dir also nicht viel.
Ich bin mir nicht sicher, ob wir hier nicht aneinander vorbei schreiben. Es gibt bei PSD2 eine gesonderte Regelung für den Zugang für 3. Zahlungsdienstleister. Die müssen aber entsprechend zertifiziert sein. In dem Fall würde man meinen, dass der Zugang über die Multi-Banking-App dann auch über TAN noch mal zusätzlich autorisiert werden muss ... aber dann nur einmal und nicht zig mal.
Ich muss.mich mal outen, habe weder e Banking noch TAN und eigentlich bin ich bis jetzt auch ohne dem klar gekommen. Aber ab 14.09. kann ich nichts mehr online kaufen. Schmerzt mich kaum, Flüge entweder über Reisebüro oder Hotline das gleiche bei Hotels. Aber was mache ich in Zukunft mit ESTA etc.?
Weltenbummler
Weltenbummler
Zuletzt bearbeitet:
Meines Wissens eben nicht. Zertifizierte Dritte legen den Intervall innerhalb der gesetzlichen Bestimmungen (min alle 90 Tage) selbst fest.
Für die Generation 80+ wird es bestimmt entsprechende Dienstleistungsangebote geben, damit sie sich auch in der Restlebenszeit nicht mit diesem neumodischen Kram beschäftigen müssen.
Für die Generation 80+ wird es bestimmt entsprechende Dienstleistungsangebote geben, damit sie sich auch in der Restlebenszeit nicht mit diesem neumodischen Kram beschäftigen müssen.
So alt bin ich noch nicht..
Wb
ESTA wird ja von einem US-amerikanischen Anbieter, einem Dienstleister der US-Regierung, angeboten. Es kann gut sein, dass denen dort PSD2 total egal ist und sich dort nichts ändert. Sie nehmen übrigens auch Paypal, wobei das ja nicht besser sein dürfte.
Insgesamt hängt es bei Online-Einkäufen davon ab, wie der jeweilige Kreditkartenherausgeber jeweils 3D Secure 2 implementiert.
Zuletzt bearbeitet:
Aktuell meistgelesen auf SPON: https://www.spiegel.de/netzwelt/web...ndert-sich-beim-onlineshopping-a-1279982.html
V.a. die Kommentare sind mal wieder herrlich...
V.a. die Kommentare sind mal wieder herrlich...
Aktuell meistgelesen auf SPON: https://www.spiegel.de/netzwelt/web...ndert-sich-beim-onlineshopping-a-1279982.html
V.a. die Kommentare sind mal wieder herrlich...
Der Artikel beschreibt gut, wieso SMS-TAN eben doch sicherer ist als TAN per App. Denn bei einer TAN per App darf, damit es sicher wäre, das Banking nicht auf dem gleichen Gerät stattfinden. Aber genau das wird von vielen Bankapps sogar direkt befördert und somit die 2FA torpediert und ad absurdum geführt, weil es eben gerade keine 2 Faktoren mehr sind, wenn etwaige Hacker nur das Smartphone hacken müssten.
Demgegenüber ist die angeblich niedrigere Sicherheit von SMS-TAN hauptsächlich theoretisch, denn auch wenn der SMS-Inhalt nicht verschlüsselt ist, müsste ein Hacker Konto UND SMS-Server gleichzeitig hacken.
Daher ist es genau richtig, dass Mastercard SMS-TAN empfiehlt, eigentlich sollte das sogar für alle verbindlich vorgeschrieben werden.
Eine primäre Angriffslinie gegen SMS-TAN besteht in der betrügerischen Beschaffung einer Ersatz- bzw. Multi-SIM für die betreffende Rufnummer. Dies ist freilich nicht Schuld der Kreditwirtschaft, sondern der Mobilfunkanbieter, von denen einige solche SIM-Karten anscheinend ohne hinreichende Legitimationsprüfung vergeben. Bei PushTAN und anderen App-basierten Verfahren ist ein solcher Angriff hingegen ausgeschlossen.
Weiters ist der Diebstahl des Empfangsgerätes zu betrachten: SMS-TAN ist in dem Moment bereits ausgehebelt, während bei PushTAN etc. zusätzlich das Passwort bzw. ein biometrischer Zugang für die TAN-App benötigt wird.
Eben gerade nicht. Wer Zugang zu dem betreffenden Smartphone und zur Banking-App hat, kann bei SMS-TAN bereits Transaktionen auslösen, bei PushTAN benötigt er zusätzlich Zugang zur TAN-App. Daher gestatten z.B. die Sparkassen und VR-Banken ausdrücklich die Verwendung von Banking- und TAN-App auf dem gleichen Gerät, während SMS-TAN z.B. mit der VR-Banking-App nicht funktioniert.
'nur'
Tatsächlich ist es absolut nicht trivial. zB um die interne Kommunikation zwischen Banking- und TAN-App abzufangen braucht man zwingend Xposed oder ein modifiziertes Framework, beides installiert ein Angreifer nicht mal eben unbemerkt und ohne Benutzerinteraktion. Und dann verweigert sogar photoTAN den Dienst...
Wenn ich das alles lese, merke ich das ich doch schon am bin.
Man wollte, es sicherer machen... Aber sind das nicht nur neue Herrausforderungen für die Hacker..
Finde es zu kompliziert..
Wb
.Man wollte, es sicherer machen... Aber sind das nicht nur neue Herrausforderungen für die Hacker..
Finde es zu kompliziert..
Wb
Eine Lösung wären ja auch die Hardware Tokens, z.b. von Yubikey. Das hilft zwar bei Mobilgeräten nur bedingt (obwohl es ja auch NFC Tokens gibt), aber am Computer ist es super. Ich nutze solche für mein Email Login. Wenn man z.B. Fido 2 unterstützt, dann könnte man einen Token für mehrere Dienste nutzen, mit PIN gesichert. Aber das wäre wohl zu einfach, so kocht jeder sein eigenes Süppchen.
J
jsm1955
Guest
Paypal hat 2FA und aus persönlicher Erfahrung kann ich nur jedem empfehlen. diese Funktion zu aktivieren (parallel mTAN und Authenticator)
In dem einzig, mir bekannten Fall wurde der Browser manipuliert, nicht die SIM. Und daher bezweifle ich auch, dass die neuen TAN-Verfahren sicherer sein sollen als mTAN. Denn es ist immer ein Browser/App involviert. Einfach mal beim CCC googeln, wie leicht diese manipulierbar sind.
Was die zwei Geräte betrifft, ist die Anforderung verständlich aber völlig am Leben vorbei! Wie soll ich von unterwegs eine Überweisung machen?
Warum die Fiunanzwirtschaft nicht einfach bestehende, sichere Verfahren aus der IT-Branche nutzt (Google-, MS,- ... Authenticator), sondern auf individuelle Lösungen setzt, ist auch ganz gewiss nicht mit Sicherheit zu erklären.
Letztendlich ist die SMS auch nur in einer App, die genauso wie die TAN-App "manipuliert" bzw ausgelesen werden könnte
Man kommt also als Kunde vom Regen in die Traufe ..
Eigentlich will ich das alles gar nicht.
Vielleicht lässt sich manche Reise auch als Überweisung bezahlen..
Wb
J
jsm1955
Guest
Nur auf einem Smartphone. Mein altes Nokia kann auch SMS. Ohne App!
Ich habe immer noch nicht verstanden, wieso eine TAN aus einem Generator als 2. Faktor sicherer ist als eine iTan. Bei einer Man-in-the-Middle-Attacke würde ja die Website im Browser (etwa über Phishing) manipuliert werden und dann die TAN abgefangen. Warum sollte das nicht auch mit einer Photo-, SMS, App-Tan gehen?
Moderiert:
ANZEIGE
![]()
Das ist richtig. Ich dachte, es geht in diesem Fall um Banking und TAN auf einem Gerät nutzen. Das ist nun wahrlich mit einem alten Nokia nicht möglich