Abo
  1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Betrug: Kriminelle nutzen…

wie erwartet!

  1. Thema

Neues Thema Ansicht wechseln


  1. wie erwartet!

    Autor: jake 12.09.19 - 11:18

    psd2 macht nicht nur alles viel komplizierter - sondern vor allem auch viel unsicherer! früher wurde extra davor gewarnt, dass beim login keine tan eingegeben werden muss, jetzt ist es pflicht. das ist doch eine steilvorlage für phisher, welche nur den dialog login/überweisung nachbauen müssen.

    völlig abstrus wird es auf dem handy: hier reicht weiterhin die app und eine 5stellige pin, um aufs konto zuzugreifen. einige banken sind noch so smart und verbinden eine handy-app mit einer authentifizierung via mtan - aufs gleiche handy!

    und beim online-konto gibt es jetzt nur noch "super-user": wer sich einloggen will, braucht beispielsweise eine phototan. aber wenn ich die generieren kann, darf ich auf dem konto direkt alles, also auch überweisen, limits oder pin ändern usw. bisher konnte ich wenigstens meine buchhalterin per einfachem login aufs konto lassen, während ich die wichtigen vorgänge nur selber machen durfte.

    insgesamt ist psd2 ein kompletter blödsinn!

  2. Re: wie erwartet!

    Autor: gaelic 12.09.19 - 11:46

    jake schrieb:
    --------------------------------------------------------------------------------
    > psd2 macht nicht nur alles viel komplizierter - sondern vor allem auch viel
    > unsicherer! früher wurde extra davor gewarnt, dass beim login keine tan
    > eingegeben werden muss, jetzt ist es pflicht. das ist doch eine
    > steilvorlage für phisher, welche nur den dialog login/überweisung nachbauen
    > müssen.

    Nachdem es keine TAN Listen auf Papier mehr gibt ist dein Szenario unmöglich.

    > völlig abstrus wird es auf dem handy: hier reicht weiterhin die app und
    > eine 5stellige pin, um aufs konto zuzugreifen. einige banken sind noch so
    > smart und verbinden eine handy-app mit einer authentifizierung via mtan -
    > aufs gleiche handy!
    >

    Stimmt, manche Banken haben hier einfach abstruse Entscheidungen getroffen.

    > und beim online-konto gibt es jetzt nur noch "super-user": wer sich
    > einloggen will, braucht beispielsweise eine phototan. aber wenn ich die
    > generieren kann, darf ich auf dem konto direkt alles, also auch überweisen,
    > limits oder pin ändern usw. bisher konnte ich wenigstens meine buchhalterin
    > per einfachem login aufs konto lassen, während ich die wichtigen vorgänge
    > nur selber machen durfte.
    >

    Wieder: kommt auf die Bank an, manche haben soetwas verbrochen, manche nicht.

    > insgesamt ist psd2 ein kompletter blödsinn!

    Nein, es lässt anscheinend zuviel Spielraum für die Banken.

  3. Re: wie erwartet!

    Autor: Olliar 12.09.19 - 11:47

    jake schrieb:
    --------------------------------------------------------------------------------

    > völlig abstrus wird es auf dem handy: hier reicht weiterhin die app und
    > eine 5stellige pin, um aufs konto zuzugreifen. einige banken sind noch so
    > smart und verbinden eine handy-app mit einer authentifizierung via mtan -
    > aufs gleiche handy!

    Auf's "gleiche Handy" wäre ja noch OK, wenn es nicht "dasselbe Handy" sein *müsste*.

    Wie krank ist dieses System?

  4. Re: wie erwartet!

    Autor: flyhigh79 12.09.19 - 13:02

    jake schrieb:
    --------------------------------------------------------------------------------
    > und beim online-konto gibt es jetzt nur noch "super-user": wer sich
    > einloggen will, braucht beispielsweise eine phototan. aber wenn ich die
    > generieren kann, darf ich auf dem konto direkt alles, also auch überweisen,
    > limits oder pin ändern usw. bisher konnte ich wenigstens meine buchhalterin
    > per einfachem login aufs konto lassen, während ich die wichtigen vorgänge
    > nur selber machen durfte.

    Onlinebanking bei geschäftlicher Nutzung macht man nicht über ein Privatkunden-Webinterface!
    Nimm' doch einfach eine Software wie S-Firm mit EBICS, da kannst du dann von der Bank für deine Buchhalterin einen Nutzer bekommen, der zwar Umsätze abholen kann, aber nichts alleine Überweisen oder ähnliches. Und dein Benutzer hat dann die Berechtigung "Einzelunterschrift", kann also weiterhin alles. Dann kann deine Buchhalterin die Zahlungen ins System eingeben und du brauchst nur noch kontrollieren&freigeben.
    So machen wir das hier in der Firma seit über 10 Jahren, früher mit FTAM über ISDN, seit einigen Jahren bequem per EBICS über TCP/IP.

    Harry

  5. Re: wie erwartet!

    Autor: _mbr 13.09.19 - 01:11

    gaelic schrieb:
    --------------------------------------------------------------------------------
    > jake schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > psd2 macht nicht nur alles viel komplizierter - sondern vor allem auch
    > viel
    > > unsicherer! früher wurde extra davor gewarnt, dass beim login keine tan
    > > eingegeben werden muss, jetzt ist es pflicht. das ist doch eine
    > > steilvorlage für phisher, welche nur den dialog login/überweisung
    > nachbauen
    > > müssen.
    >
    > Nachdem es keine TAN Listen auf Papier mehr gibt ist dein Szenario
    > unmöglich.
    >

    Wo ist der Unterschied, ob die TAN auf Papier steht oder generiert wird? Eine "Proxyseite" zu bauen, die die TAN abfragt und bei einer Bankseite eingibt, ist in ein paar Mittagspausen gebaut. Die Abfrage und Weiterleitung, kann jederzeit Nachgebaut werden.
    Einzig das brute forcing auf Bank Logins wird minderen Erfolg haben. Aber Phishing bleibt weiterhin einfach. Während die meisten Bankbenutzer denken "jetzt ist es sicher", fallen sie erst recht drauf rein.



    1 mal bearbeitet, zuletzt am 13.09.19 01:12 durch _mbr.

  6. Re: wie erwartet!

    Autor: elcaron 13.09.19 - 07:13

    Weil es jetzt nur noch TAN-Methoden geben sollte, bei denen unabhängig angezeigt wird, wofür die TAN ist. Deswegen gibt es ja auch kein ITAN mehr.

  7. Re: wie erwartet!

    Autor: elcaron 13.09.19 - 07:26

    > Stimmt, manche Banken haben hier einfach abstruse Entscheidungen
    > getroffen.

    Nö, es geht ja nur darum, dass die Logindaten nicht problemlos digital kopierbar sind. Das ist mit mTAN gegeben, vor Diebstahl soll das nicht schützen. Der second faktor ist dabei die SIM.
    Bei der DKB hat sich mobil nichts geändert und auf dem Desktop kann ich mit dem Smartphone authorisieren. Ich DENKE, die benutzen irgendwie die Krypto- und Securestoragefunktionen im Smartphone als zweiten, hardwaregebundenen Faktor.

  8. Re: wie erwartet!

    Autor: fox82 13.09.19 - 08:57

    _mbr schrieb:

    > Wo ist der Unterschied, ob die TAN auf Papier steht oder generiert wird?
    > Eine "Proxyseite" zu bauen, die die TAN abfragt und bei einer Bankseite
    > eingibt, ist in ein paar Mittagspausen gebaut. Die Abfrage und
    > Weiterleitung, kann jederzeit Nachgebaut werden.

    Früher war eine TAN zeitlich unbegrenzt und für alle Transaktionen gültig.

    Heute wird eine TAN fix mit der Transaktion "verheiratet", und ist nur dafür nutzbar.

    Wenn ich auf meinem TAN Generator die TAN für den Login generiere (mit Start-Code) dann kann ich mich damit nur einloggen (jetzt, nicht später...).

    Wenn ich eine TAN für eine Überweisung generiere (mit Flickercode) dann kann ich damit nur genau diese Überweisung freigeben (am Display des TAN Generators zu kontrollieren).

    --

    Völlig idiotisch:
    1) Banken Apps am Smartphone, die auch als 2. Faktor das Smartphone verwenden. Da kommt dann eine TAN SMS am Gerät an, die praktischerweise jede App mit dem Recht dafür mitlesen kann.
    Und das auf jahrelang nicht aktualisierten Android Geräten.
    Dümmer geht kaum.

    2) Online Banking am Windows PC - mit "Security App" die auf ebendiesem Windows PC (!) läuft.
    Weil Windows ja für Sicherheit geradezu bekannt ist *hust*

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Vorwerk Services GmbH, Wuppertal
  2. Freie und Hansestadt Hamburg, Behörde für Inneres und Sport, Landesamt für Verfassungsschutz, Hamburg
  3. Wirecard Technologies GmbH, Aschheim near Munich
  4. Hays AG, Leipzig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 39,99€ (Release am 3. Dezember)
  2. (aktuell u. a. Corsair Glaive RGB Gaming-Maus für 32,99€, Microsoft Office 365 Home 1 Jahr für...
  3. (u. a. HP 34f Curved Monitor für 389,00€, Acer 32 Zoll Curved Monitor für 222,00€, Seasonic...
  4. (u. a. Star Wars Battlefront 2 für 9,49€, PSN Card 20 Euro für 18,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Banken: Die Finanzbranche braucht eine neue Strategie für ihre IT
Banken
Die Finanzbranche braucht eine neue Strategie für ihre IT

Ob Deutsche Bank, Commerzbank oder DKB: Immer wieder wackeln Server und Anwendungen bei großen Finanzinstituten. Viele Kernbanksysteme sind zu alt für aktuelle Anforderungen. Die Branche sucht nach Auswegen.
Eine Analyse von Manuel Heckel

  1. Bafin Kunden beklagen mehr Störungen beim Online-Banking
  2. PSD2 Giropay soll bald nahezu allen Kunden zur Verfügung stehen
  3. Klarna Der Schrecken der traditionellen Banken

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

  1. Quartalsbericht: Netflix erneut mit rückläufigem Kundenwachstum
    Quartalsbericht
    Netflix erneut mit rückläufigem Kundenwachstum

    Netflix kann ein weiteres Mal die selbstgesteckten Ziele bei der Gewinnung neuer Abonnenten nicht ganz erreichen. Doch Gewinn und Umsatz legen stark zu.

  2. Ex-Mars Cube: LED-Zauberwürfel bringt Anfängern das Puzzle bei
    Ex-Mars Cube
    LED-Zauberwürfel bringt Anfängern das Puzzle bei

    Der Ex-Mars Cube hat wie ein herkömmlicher Zauberwürfel sechs Seiten mit je neun Farbkacheln - das System kann allerdings auch als Brettspielwürfel oder Dekolicht genutzt werden und Anfängern die Logik dahinter erklären.

  3. FWA: Huawei verspricht schnellen Glasfaserausbau ohne Spleißen
    FWA
    Huawei verspricht schnellen Glasfaserausbau ohne Spleißen

    Huawei hat Komponenten für den Glasfaserausbau entwickelt, die das Spleißen überflüssig machen sollen. Statt in 360 Minuten könne mit End-to-End-Plug-and-Play der Prozess in nur 36 Minuten erfolgen.


  1. 22:46

  2. 17:41

  3. 16:29

  4. 16:09

  5. 15:42

  6. 15:17

  7. 14:58

  8. 14:43