PSD II Sammelthread (ab 09/2019)

[justAnotherUser]

ANZEIGE

Nur auf einem Smartphone. Mein altes Nokia kann auch SMS. Ohne App!

Ich habe immer noch nicht verstanden, wieso eine TAN aus einem Generator als 2. Faktor sicherer ist als eine iTan. Bei einer Man-in-the-Middle-Attacke würde ja die Website im Browser (etwa über Phishing) manipuliert werden und dann die TAN abgefangen. Warum sollte das nicht auch mit einer Photo-, SMS, App-Tan gehen?

Bei den meisten anderen Tan-Verfahren werden die Überweisungsdaten auf einem i.d.R. zweiten und unabhängigen Faktor angezeigt, sodass man Manipulationen an den Überweisungsdaten sicher erkennen kann. Bei der iTan ist das nicht möglich.

 

[jsm1955]

Das macht mTan auch.

 

[Gustl]

Bei den photoTan-Varianten diverser Privatbanken (DB, Coba, ING, etc.) besteht dieser Vorteil nicht.

Selbstverständlich werden beim Verfahren der DB und Coba die ausgelesenen Überweisungsdaten in der photoTAN-App nochmals angezeigt.

Zu dem bisher noch nicht gestarteten Verfahren der ING kann ich nichts sagen.

 

[Weltenbummler42]

Wollte eben buchen.. einen asiatischen Inlandsflug
Bei Kreditkartendetails wollte sie ausser 3stellige Sicherheitsnr.noch eine TAN haben.
Zur Buchung, ging nicht zu umgehen.
Stand zwar Mastercard hat eine TAN geschickt an hinterlegte Handynr., aber ich habe keine Handynr hinterlegt. Wahrscheinlich automatisch.
Buchung abgebrochen..

Wb

---

 

[geos]

Der Artikel beschreibt gut, wieso SMS-TAN eben doch sicherer ist als TAN per App.

mTAN und AppTAN bieten unterschiedliche Angriffsflächen (speziell wenn man für ersteres kein Smartphone einsetzt). Was nun sicherer ist, hängt davon an, welche Angriffsszenarien man als wahrscheinlicher ansieht.
in beiden Fällen stellt der Empfang der TAN auf dem selben Gerät wie das Online-Banking eine deutliche Schwächung der gesamten Sicherheit dar.

Die Abschaffung von mTAN bei manchen Banken hat übrigens nichts mit Sicherheit, sondern allein mit Kostengründen und dem besseren Kundenbindungs-/Upsellingpotenzial per App zu tun.

 

[geos]

Ich habe immer noch nicht verstanden, wieso eine TAN aus einem Generator als 2. Faktor sicherer ist als eine iTan. Bei einer Man-in-the-Middle-Attacke würde ja die Website im Browser (etwa über Phishing) manipuliert werden und dann die TAN abgefangen. Warum sollte das nicht auch mit einer Photo-, SMS, App-Tan gehen?

weil dann entweder die TAN die Manipulation anzeigen würde (und der Kunde, der dies ja aufmerksam prüft, es bemerken) oder ungültig wäre.

 

[geos]

Das macht mTan auch.

und genau deswegen ist es ja auch nach PSD2 ein zulässiges Verfahren.

 

[geos]

Bei Kreditkartendetails wollte sie ausser 3stellige Sicherheitsnr.noch eine TAN haben.
Zur Buchung, ging nicht zu umgehen.
Stand zwar Mastercard hat eine TAN geschickt an hinterlegte Handynr., aber ich habe keine Handynr hinterlegt. Wahrscheinlich automatisch.
Buchung abgebrochen..

welcher Kreditkartenherausgeber ist das?
Es ist übrigens keineswegs neu, dass 3D Secure verwendet wird. Das gibt es schon seit Jahren. Und eine ganze Reihe von Banken verwenden dafür schon seit geraumer Zeit SMS-TANs. Manchmal wurde das m.W. auch ohne große Kommunikation eingeführt, und wenn keine Mobilfunknummer hinterlegt ist, scheitert es dann eben. Kann sein, dass die Nutzerschnittstelle diesen Fehlerfall nicht sauber abfängt und anzeigt. Ist wie gesagt ein Versagen der kartenausgebenden Bank.

 

[geos]

Die Commerzbank hat schreibt unter https://www.commerzbank.de/portal/d...services/psd2_digitalbanking_bedingungen.html
"Nummer 3 Absatz 2 – Starke Kundenauthentifizierung
Neu ist Folgendes: Beim Zugriff auf Kontoinformationen im Online Banking müssen Sie künftig zwei Authentifizierungselemente – beispielsweise Online Banking-PIN und –TAN - einsetzen, wie Sie es bereits von der Erteilung von Zahlungsaufträgen im Online Banking gewohnt sind."

 

[Weltenbummler42]

welcher Kreditkartenherausgeber ist das?
Es ist übrigens keineswegs neu, dass 3D Secure verwendet wird. Das gibt es schon seit Jahren. Und eine ganze Reihe von Banken verwenden dafür schon seit geraumer Zeit SMS-TANs. Manchmal wurde das m.W. auch ohne große Kommunikation eingeführt, und wenn keine Mobilfunknummer hinterlegt ist, scheitert es dann eben. Kann sein, dass die Nutzerschnittstelle diesen Fehlerfall nicht sauber abfängt und anzeigt. Ist wie gesagt ein Versagen der kartenausgebenden Bank.

Ich habe nur eine KK von DKB/M&M/ SEN.
WB

 

[geos]

Dann siehe hier: https://www.miles-and-more-kreditka...e-funktioniert-der-mastercard-identity-check/

Zum Hintergrund steht auch hier was:

https://meilenoptimieren.com/aenderungen-miles-and-more-kreditkarten/ "Die Registrierung für dieses Verfahren erfolgt automatisch, wenn der Karteninhaber im Rahmen der Vertragsbeziehung zur Kreditkarte seine Handynummer hinterlegt und sich so zum SMS-TAN-Verfahren anmeldet."

und wo das nicht der Fall war, klappt 3D Secure dann nicht.

 

[HAM76]

q

Ich habe immer noch nicht verstanden, wieso eine TAN aus einem Generator als 2. Faktor sicherer ist als eine iTan. Bei einer Man-in-the-Middle-Attacke würde ja die Website im Browser (etwa über Phishing) manipuliert werden und dann die TAN abgefangen. Warum sollte das nicht auch mit einer Photo-, SMS, App-Tan gehen?

Bei einem TAN Generator brauchst Du eine Chipkarte, die nicht kopiert werden kann. Den Diebstahl bemerkst Du als Anwender bei der nächsten Überweisung oder Kartenzahlung. Bei der iTAN Liste kannst Du eine Kopie erstellen, etwa durch fotografieren. Den Missbrauch bemerkst Du erst, wenn das Geld schon von Deinem Konto abgezogen wurde.

Man-in-the-Middle Attacken werden beim TAN Generator dadurch abgefangen, dass auf der Basis der Zahlung eine Zahl generiert wird, für die Karte eine TAN generiert. Das heißt, Du kannst zwar die TAN abfangen, aber damit nur innerhalb der nächsten Minuten genau die Zahlung autorisieren, die der Anwender sowieso freigeben wollte. Änderst Du die Zahlung, wird eine neue Nummer generiert und die TAN passt nicht mehr.

 

[ponyhofinsasse]

Alles völlig überzogen, ich mache Online Banking seit den BTX Kinderschuhen
und bis dato ist nichts, aber auch gar nichts passiert

Ich weine jetzt schon meiner iTAN Liste hinterher, die in Kürze nicht mehr funktionieren wird
und dafür irgendein Gerät mitschleppen oder mein Handy mit einer weiteren App zumüllen muss

 

[sparfux]

Alles völlig überzogen, ich mache Online Banking seit den BTX Kinderschuhen
und bis dato ist nichts, aber auch gar nichts passiert

Ich weine jetzt schon meiner iTAN Liste hinterher, in in Kürze nicht mehr funktionieren wird
und dafür irgendein Gerät mitschleppen oder mein Handy mit einer weiteren App zumüllen muss

... und wenn man mehrere Konten/Karten nutzt, schleppt man nun entweder mehrere Geräte mit sich rum oder muss zig Apps auf seinem Handy installiern/nutzen. Außerdem geht Multi-Banking egal welcher Ausprägung nicht mehr.

Tolle neue Welt. ... aber alles super sicher. Als ob es derzeit massig Probleme gegeben hätte. Das sind doch Lösungen für Probleme, die es praktisch garnicht gibt.

Mein Gott ich habe nun wirklich zig Konten und habe über Jahrzehnte iTAN und SMS-TAN genutzt ... Ich hatte nie auch nur im Ansatz ein Problem.

Auch statistisch betrachtet: Es gab hier und da mal Problemfälle mit iTAN und auch einige wenige mit SMS-TAN, aber auf die Anzahl der Transaktionen betrachtet ist das doch alles vernachlässigbar.

Da haben sich wieder mal irgendwelche super-smarten EU-Bürokraten tolle Sachen überlegt und klopfen sich jetzt gegenseitig auf die Schulter, was für tolle Hechte sie doch sind.

 

[jsm1955]

Hier stand Unsinn.

 

[br403]

Naja, ganz so unsinnig sehe ich das nicht. Auch für Logins in Internetaccounts (AppleID, Google Account, Microsoft Account usw.) gibt es ja 2 FA. Ich kann nur jeden raten sowas zu verwenden. Wie ich und andere ja schon geschrieben haben verstehe ich aber nicht warum man nicht bestehende Systeme wie OTP oder FIDO Keys verwendet. Und natürlich gibt es auch sonst Möglichkeiten sich an Apps nicht immer anmelden zu müssen. Wenn ich Emails auf meinem Smartphone abrufe muss ich trotz 2FA nicht immer zusätzlich einloggen.

 

[Anonym53868]

Naja, ganz so unsinnig sehe ich das nicht. Auch für Logins in Internetaccounts (AppleID, Google Account, Microsoft Account usw.) gibt es ja 2 FA. Ich kann nur jeden raten sowas zu verwenden. Wie ich und andere ja schon geschrieben haben verstehe ich aber nicht warum man nicht bestehende Systeme wie OTP oder FIDO Keys verwendet.

Weil "2FA" ein missverständliches Kürzel ist.

Die von Dir angesprochenen bestehenden Systeme wie OTP oder U2F (Fido) oder WebAuthn (Fido2) dienen der Authentifizierung einer Person oder eines Computers. Anschließend vertraut die Bank darauf, dass Du bist, wer Du zu sein vorgibst, oder zumindest über seine geheimen Schlüssel verfügst. Das ist hilfreich bei jeder Art von Login.

Mit PSD2 braucht die Bank zusätzlich aber noch eine an Mindestanforderungen geknüpfte digitale Signatur für von Dir autorisierte Buchungen. In der knappen und maschinenlesbaren Form, wie es für massenhafte Buchungen wünschenswert ist, leisten das die gängigen Authentifizierungssysteme nicht. Es gibt dafür zwar einen "Standard" der DK (die ChipTAN mit ihren verschiedenen Marketingnamen), aber selbst ich muss offen einräumen, dass es sich dabei um ein lokales Eigengewächs handelt, das eben keine internationale Verbreitung gefunden hat.

 

[br403]

Aber würde es nicht für Logins reichen?

 

[Anonym53868]

Aber würde es nicht für Logins reichen?

Klar! Aber dann bräuchte man ein zusätzliches System für die digitale Signatur. Vermittle das mal den Chefs, Kunden und Supportmitarbeitern ...

 

[br403]

OK, das stimmt natürlich. Schade.

 

[Kathze]

Einer der DKB-Leute bei Twitter hat jetzt bestätigt, dass bei jedem Login eine 2FA gefordert wird, dies aber explizit keine TANs sein sollen. Wahrscheinlich also so eine Fingerabdruck-App-Geschichte a la ING.
Ich verstehe einfach nicht, warum es keine Bank hin bekommt, den in der PSD 2 vorgesehenen 90 Tage Intervall auszunutzen.

 

[espresso]

Weil sie das nicht wollen.

 

[Markus_1978]

Ich verstehe einfach nicht, warum es keine Bank hin bekommt, den in der PSD 2 vorgesehenen 90 Tage Intervall auszunutzen.

Die gibt es doch: Einige Sparkassen (wenn nicht sogar fast alle)

 

[geos]

Ein ganz netter Artikel nebst Übersicht zu PSD2: https://www.finanz-szene.de/digital-banking/die-psd2-strategien-aller-grossen-deutschen-banken/
Auf Kreditkartenherausgeber wird leider nicht eingegangen.

 

[Individualurlauber]

ANZEIGE

Wahrscheinlich also so eine Fingerabdruck-App-Geschichte a la ING.
(

Ich kann mir echt noch nicht vorstellen, wie Outbank oder Money Money mit diesem PSD-Schrott weiterhin funktionieren soll.