Abo
  1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Online-Banking: In 150 Tagen…

gerootete Telefone

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. gerootete Telefone

    Autor: Lady Fartalot 18.04.19 - 07:28

    Die werden dann natürlich wieder ausgeschlossen von den "sicheren" Apps. Ganz toll. Das wars dann also mit Überweisungen von unterwegs. Willkommen im Jahr 1998.

    Ich habe meine iTAN-Liste immer im Geldbeutel und konnte damit unterwegs direkt eine Überweisung anstoßen. Dass mir jemand mein entsperrtes Telefon (oder Laptop, oder PC :D) gleichzeitig mit meinem Geldbeutel klaut und dazu auch noch die Login-Daten für die Banking-Seite kennt, das Risiko stufte ich doch immer als sehr gering ein. Nach der Umstellung ist es dann für mich nicht mehr möglich, den zweiten Faktor mit mir herumzutragen. Ich kann dann mein Telefon entrooten und den zweiten Faktor auf dem ersten Faktor haben (SMS-TAN), was komplett unsicher ist. Oder ich kann ein Lesegerät mit mir rumschleppen (Chip-TAN), was absolut praxisuntauglich ist. Oder ich kann auf mobile Überweisungen verzichten.

    Mal ehrlich, das ist doch alles komplett am Interesse des Kunden vorbei.

    Ich hätte auch übrigens gern mal Zahlen, wie groß das Problem mit MITM-Attacken bei iTAN wirklich war (in EUR). Ich vermute einfach mal, das war kein wirkliches Problem bzw. wird sich mit SMS-TAN nicht verbessern.

  2. Re: gerootete Telefone

    Autor: bmaehr1 18.04.19 - 07:46

    Zum Glück gibt es ja noch die Möglichkeit die Apps so zu modifizieren, dass sie auch auf gerooteten Telefonen laufen.

    Ansonsten kann ich dem Beitrag nur zustimmen: Es wird für alle Kunden deutlich umständlicher, nur weil eine gewisse Menschengruppe von ihrer eigenen Dummheit auf alle anderen schließt und die anderen mit ihren wunderbaren Ergüssen bereichern will. Freiheit ist denen ein Dorn im Auge und muss ausgerottet werden. Und deshalb hat man auch als Kunde mit der Fähigkeit selbst zu Denken nicht mehr die Möglichkeit die iTAN weiter zu nutzen, sondern wird zu anderen umständlicheren Verfahren gezwungen, die eine Pseudo-Erhöhung der Sicherheit vorgaukeln.

  3. Re: gerootete Telefone

    Autor: LinuxMcBook 18.04.19 - 08:00

    Nochmal, und ich frage mich, wie oft das in einem IT-Forum noch wiederholt werden muss:

    iTANs sind KEIN zweiter Faktor!

    Wenn das Gerät an dem du dein Banking machst kompromittiert wurde - und dabei ist es egal ob es Handy oder PC ist - dann hast du keine Ahnung, ob du mit der iTAN eine legitime Überweisung frei gibst oder die eines Hackers.

    Nur überweisungsbezogene TANs bieten einen Sicherheitsgewinn. Das ist bestenfalls Photo-TAN mit einem zweiten Gerät oder SMS-TAN, wo teilweise auch zwei unterschiedliche Sicherheitsprobleme notwendig sind, damit der Angriff klappt.

    Bei iTANs reicht IMMER ein Sicherheitsproblem!

  4. Re: gerootete Telefone

    Autor: bmaehr1 18.04.19 - 08:08

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------
    > Nochmal, und ich frage mich, wie oft das in einem IT-Forum noch wiederholt
    > werden muss:
    >
    > iTANs sind KEIN zweiter Faktor!

    Das hat auch niemand behauptet.

    > Wenn das Gerät an dem du dein Banking machst kompromittiert wurde ...

    und Weihnachten und Neujahr zusammenfallen und ....

    > Nur überweisungsbezogene TANs bieten einen Sicherheitsgewinn. Das ist
    > bestenfalls Photo-TAN mit einem zweiten Gerät oder SMS-TAN, wo teilweise
    > auch zwei unterschiedliche Sicherheitsprobleme notwendig sind, damit der
    > Angriff klappt.

    Also statt sicher ist es dann sichererererer?

    > Bei iTANs reicht IMMER ein Sicherheitsproblem!

    mit vielen Nebenbedingungen ...

  5. Re: gerootete Telefone

    Autor: LinuxMcBook 18.04.19 - 08:12

    bmaehr1 schrieb:
    --------------------------------------------------------------------------------
    > Also statt sicher ist es dann sichererererer?
    Ist es denn so abwegig, dass es verschieden starke Sicherheitsmechanismen fürs Onlinebanking gibt?
    Im Endeffekt sieht es doch so aus:

    TAN<iTAN<SMS-TAN<<Photo-TAN<=chipTAN


    > > Bei iTANs reicht IMMER ein Sicherheitsproblem!
    > mit vielen Nebenbedingungen ...

    Zumindest weniger Nebenbedingungen, als bei SMS-TAN womit das Ende der iTANs ein Sicherheitsgewinn ist.

  6. Re: gerootete Telefone

    Autor: bmaehr1 18.04.19 - 08:36

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------
    > bmaehr1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Also statt sicher ist es dann sichererererer?
    > Ist es denn so abwegig, dass es verschieden starke Sicherheitsmechanismen
    > fürs Onlinebanking gibt?
    > Im Endeffekt sieht es doch so aus:
    > TAN<iTAN<SMS-TAN<<Photo-TAN<=chipTAN

    Nein. Ich finde es nur abwegig allen die iTAN zu verbieten, weil manche ihre private IT nicht im Griff haben bzw dumm genug sind, auf sozial Engeneering reinzufallen

    Geschwindigkeitsbeschränkungen auf der Autobahn können auch sicherer sein als unbeschränkte Geschwindigkeit. Und Beschränkung der Geschwindigkeit auf 50 auf der Autobahn ist sicherlich sicherer als auf 120. Und Beschränkung auf 30 nochmal sicherer. Und mit einem Fahrverbot von Kfzs auf der Autobahn sind wir am sichersten. Trotzdem bin ich für unbeschränkte Geschwindigkeit auf der Autobahn.

  7. Re: gerootete Telefone

    Autor: LinuxMcBook 18.04.19 - 08:40

    Nur mit dem Unterschied, dass auch die Leute, die auch mit TAN-Listen sicher unterwegs waren realistisch gesehen mit den neuen Methoden keine Nachteile haben.

    Wohingegen 30 km/h auf der Autobahn tatsächlich einschränkt.

  8. Re: gerootete Telefone

    Autor: throgh 18.04.19 - 08:41

    Argumentation mit Denkfehler: Je mehr Teilnehmer vorhanden sind - und das ist nachweislich so bei den Kraftfahrzeugen - desto höher die Möglichkeit von sehr schweren Unfällen mit umso mehr Teilnehmern weil nur ein Teilnehmer / eine Teilnehmerin rücksichtslos oder auch unaufmerksam gefahren ist. Gleiches also insofern mit den Sicherheitsstandards selbst!

  9. Re: gerootete Telefone

    Autor: Localhorst86 18.04.19 - 09:00

    bmaehr1 schrieb:
    --------------------------------------------------------------------------------

    > Geschwindigkeitsbeschränkungen auf der Autobahn können auch sicherer sein
    > als unbeschränkte Geschwindigkeit. Und Beschränkung der Geschwindigkeit auf
    > 50 auf der Autobahn ist sicherlich sicherer als auf 120. Und Beschränkung
    > auf 30 nochmal sicherer. Und mit einem Fahrverbot von Kfzs auf der Autobahn
    > sind wir am sichersten. Trotzdem bin ich für unbeschränkte Geschwindigkeit
    > auf der Autobahn.

    Schlägst du einen Test vor über den ermittelt wird ob jemand für iTAN (oder Tempo > 30 km/h) geeignet ist? Wie soll dieser Test aussehen?

    Wenn das nach eigener Einschätzung gemacht wird kannst du aber davon ausgehen dass jeder der Ansicht sei er/sie wäre geeignet iTANs zu verwenden (oder 150+ auf der Autobahn zu platzen).

  10. Re: gerootete Telefone

    Autor: 1ras 19.04.19 - 01:03

    Und hier die aktuellen Beliebtheitswerte der Banking Apps für das TAN-Verfahren aus dem Google Play Store:

    Faszinierende 2 Sterne (von 5 möglichen):
    - SecureGo (Banken welche die Fiducia Infrastruktur nutzen)
    - VR-SecureGo (Volksbanken und Raiffeisenbanken)

    Sagenhafte 2,5 Sterne:
    - VR-SecureSIGN (Volksbanken und Raiffeisenbanken)
    - Postbank BestSign (Postbank)

    Atemberaubende 3 Sterne:
    - S-pushTAN (Sparkassen)
    - DKB-TAN2go (DKB)
    - comdirect photoTAN App (comdirect)

    Nein, dies sind keine Scam-Apps zur Abzocke, dies sind die Originale!

  11. Re: gerootete Telefone

    Autor: crazypsycho 19.04.19 - 01:20

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------
    > Im Endeffekt sieht es doch so aus:
    > TAN<iTAN<SMS-TAN<<Photo-TAN<=chipTAN

    Du hast Banking per App vergessen.
    Das würde ich noch als unsicherer als TAN ansehen. Da braucht man meist nur einen 5-stelligen PIN und kann ohne weiteres Überweisungen ausführen.

  12. Re: gerootete Telefone

    Autor: LinuxMcBook 19.04.19 - 02:28

    Die Bewertungen im Google Play Store sind doch mittlerweile noch sinnloser geworden, als die Rezensionen bei Amazon.

    Hast du dir mal ein paar Beispielbewertungen durchgelesen?
    Da werden z.B. Berechtigungen beklagt, die aber zwingend für die Funktion der App nötig sind.
    Leider hat Google bei Android viele Schnittstellen unter ganz wenigen Berechtigungen zusammen gefasst. Bestes Beispiel ist die Berechtigung Zugriff auf Standort/Ortungsdienst für Bluetoothverbindungen. Da haben doch die meisten Leute direkt das P im Gesicht :D

    Bei der Sparkasse war z.B. lange das Problem, dass man die App nicht mit dem Fingerabdruck entsperren konnte. Zugrecht abgestraft, aber natürlich hat kaum einer seine alte Bewertung nun geändert, ich bis eben auch nicht...

    Und dann die ganzen Leute, die sich wie hier auch im Forum einfach nur darüber beklagen, dass ihre alten TAN-Listen nicht funktionieren oder dass die TAN-App irgendwie erst freigeschaltet werden muss...

  13. Re: gerootete Telefone

    Autor: LinuxMcBook 19.04.19 - 02:30

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Im Endeffekt sieht es doch so aus:
    > > TAN<iTAN<SMS-TAN<<Photo-TAN<=chipTAN
    >
    > Du hast Banking per App vergessen.
    > Das würde ich noch als unsicherer als TAN ansehen. Da braucht man meist nur
    > einen 5-stelligen PIN und kann ohne weiteres Überweisungen ausführen.

    Zumindest bei Revolut kommt z.B. hin und wieder eine SMS-TAN an. Ich würde Apps irgendwo knapp unter "SMS-TAN" einordnen.

    Bei der Sparkassen-App kann ich aber auch ganz klassisch meinen chipTAN-Generator nutzen.

  14. Re: gerootete Telefone

    Autor: 1ras 19.04.19 - 11:26

    Wenn nicht einmal jeder zweite Kunde mit dem TAN-Generator welche ihm seine Bank bereitstellt zufrieden ist, würde ich dies nicht mit Anomalien im Bewertungssystem begründen wollen.

  15. Re: gerootete Telefone

    Autor: LinuxMcBook 19.04.19 - 18:40

    Du hast verstanden, was ich geschrieben habe?
    Es ist keine simple Anomalie im Bewertungssystem. Die Leute sind tatsächlich unzufrieden mit den Apps.

    Aber eben oft oder sogar hauptsächlich, weil Wissen fehlt.
    Und bei einer TAN-App steht nun mal eben leider die Sicherheit im Vordergrund und nicht die "User Experience"...

  16. Re: gerootete Telefone

    Autor: 1ras 19.04.19 - 19:28

    Wissenlücken der Nutzer über das Rechtesystem sind kein Alleinstellungsmerkmal von TAN-Apps und folglich nicht als Rechtfertigung für deren unterdurchschnittlich schlechtes Abschneiden geeignet. Ebenso verhält es sich mit Altbewertungen.

    Sicherheit steht bei TAN-Apps sicher nicht im Forderung, sonst würden z.B. Banken nicht ihre Zwei-Faktor-Authentifizierung aufbrechen und Überweisungen auf dem selben Gerät durchführen.

  17. Re: gerootete Telefone

    Autor: qq1 19.04.19 - 23:26

    Ich habe meine iTAN fotografiert auf die sd-Karte im Smartphone. Das ist angenehmer.

    iTAN? *kotz* Ich hasse es, Papier zu sammeln.

  18. Re: gerootete Telefone

    Autor: treysis 20.04.19 - 17:50

    qq1 schrieb:
    --------------------------------------------------------------------------------
    > Ich habe meine iTAN fotografiert auf die sd-Karte im Smartphone. Das ist
    > angenehmer.

    Ach super, wer also dein Gerät kompromittiert, der bekommt gleich die TAN-Liste mitgeliefert :)

  19. Re: gerootete Telefone

    Autor: qq1 21.04.19 - 01:19

    AUF DEN KOMMENTAR HABE ICH GEWARTET :D

  20. Re: gerootete Telefone

    Autor: Olliar 22.07.19 - 16:28

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------
    > Nochmal, und ich frage mich, wie oft das in einem IT-Forum noch wiederholt
    > werden muss:
    >
    > iTANs sind KEIN zweiter Faktor!
    >
    > Wenn das Gerät an dem du dein Banking machst kompromittiert wurde - und
    > dabei ist es egal ob es Handy oder PC ist - dann hast du keine Ahnung, ob
    > du mit der iTAN eine legitime Überweisung frei gibst oder die eines
    > Hackers.

    Ja. Dennoch ist das nicht das Zeichen von "2FA".

    > Nur überweisungsbezogene TANs bieten einen Sicherheitsgewinn.

    Ja. Zusätzlichen, weiteren.

    > Das ist
    > bestenfalls Photo-TAN mit einem zweiten Gerät oder SMS-TAN, wo teilweise
    > auch zwei unterschiedliche Sicherheitsprobleme notwendig sind, damit der
    > Angriff klappt.
    >
    > Bei iTANs reicht IMMER ein Sicherheitsproblem!

    Hm, und warum kann ich dann, wenn der Flickercode nicht funktioniert, "einfach so" eine TAN per Chip-Tan erzeugen lassen, die nicht weiß, was ich wohin überweise?

    Wieso das das kein 2FA?

    War 2FA nicht definert als:
    Das was ich weiß und das was ich besitze.
    ?

    Die iTAN-Liste "besitzt" der Angreifer nicht, sondern ich muß so blöde sein,
    ihm die zugeben oder per Foto zuzuschicken.
    Das ist genauso blöde wie eine Chip-TAN ohne Flickercode, ohne Überweisungsparmeter erzeugen zu lassen, aber nicht blöder.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Bonn
  2. Landeshauptstadt München, München
  3. BWI GmbH, München, Rheinbach, Nürnberg, Berlin
  4. operational services GmbH & Co. KG, Berlin, Frankfurt am Main, Wolfsburg, Braunschweig, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-55%) 44,99€
  2. 4,99€
  3. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minecraft Earth angespielt: Die Invasion der Klötzchen
Minecraft Earth angespielt
Die Invasion der Klötzchen

Kämpfe mit Skeletten im Stadtpark, Begegnungen mit Schweinchen im Einkaufszentrum: Golem.de hat Minecraft Earth ausprobiert. Trotz Sammelaspekten hat das AR-Spiel ein ganz anderes Konzept als Pokémon Go - aber spannend ist es ebenfalls.
Von Peter Steinlechner

  1. Microsoft Minecraft hat 112 Millionen Spieler im Monat
  2. Machine Learning Facebooks KI-Assistent hilft beim Bau von Minecraft-Werken
  3. Nvidia Minecraft bekommt Raytracing statt Super-Duper-Grafik

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

Akku-FAQ: Vergesst den Memory-Effekt - vorerst!
Akku-FAQ
Vergesst den Memory-Effekt - vorerst!

Soll man Akkus ganz entladen oder nie unter 20 Prozent fallen lassen - oder garantiert ein ganz anderes Verhalten eine möglichst lange Lebensdauer? Und was ist mit dem Memory-Effekt? Wir geben Antworten.
Von Frank Wunderlich-Pfeiffer

  1. Müll Pfand auf Fahrrad-Akkus gefordert
  2. Akku-FAQ Wo bleiben billige E-Autos?
  3. Echion Technologies Neuer Akku soll sich in sechs Minuten laden lassen

  1. Blade 15 Advanced: Razer baut optomechanische Switches in Gaming-Notebook
    Blade 15 Advanced
    Razer baut optomechanische Switches in Gaming-Notebook

    Als erster Hersteller verwendet Razer eine Tastatur mit optomechanischen Switches in einem Notebook: Das Blade 15 Advanced wird optional damit ausgeliefert, wobei die Tasten - typisch für ein Gaming-Modell - schon nach 1 mm auslösen. Vorteil der Switches könnte ihre Haltbarkeit sein.

  2. Browser: Mozilla härtet Firefox gegen Code-Injection
    Browser
    Mozilla härtet Firefox gegen Code-Injection

    Das Security-Team von Mozilla will den Firefox-Browser besser gegen Code-Injection-Lücken härten, verzichtet dafür auf Inline-Aufrufe in den eigenen About-Seiten und hat die Nutzung der eval()-Funktion überarbeitet.

  3. Blizzard: Community macht Overwatch-Heldin zum Hongkong-Symbol
    Blizzard
    Community macht Overwatch-Heldin zum Hongkong-Symbol

    Die chinesische Heldin Mei soll als "Symbol der Demokratie" und Befürworterin des Hongkong-Konflikts herhalten. Auf Reddit haben viele Nutzer bereits Fotomontagen der fiktiven Chinesin erstellt. Ein Ziel ist es wohl, China zum Verbot von Blizzard-Spielen zu animieren.


  1. 15:00

  2. 14:13

  3. 13:57

  4. 12:27

  5. 12:00

  6. 11:57

  7. 11:51

  8. 11:40