1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Online-Banking: In 150 Tagen…
  6. Th…

Ich finde es beschissen

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4

Neues Thema Ansicht wechseln


  1. Re: Ich finde es beschissen

    Autor: _Winux_ 17.04.19 - 16:41

    Na dann sollten sie noch mal ganz genau nachlesen.

    Auch die Targobank schafft iTan ab: https://www.targobank.de/service/psd2/index.html

  2. Quatsch

    Autor: treysis 17.04.19 - 16:43

    Hotohori schrieb:
    --------------------------------------------------------------------------------
    > Sehe ich auch so, mir ist die gedruckte TAN Liste auch lieber. An die kommt
    > man nur ran, wenn man physischen Zugriff darauf hat.
    >
    > Das ist wieder so ein typischer Fall von: "Weil wir es nicht schaffen
    > Technik DAUs davon abzuhalten TANs wo anders als auf der Bankseite
    > einzugeben, dürfen nun alle darunter leiden."

    Jo, außer dein Endgerät ist kompromittiert und du merkst nicht, dass du die TAN gar nicht auf der Bankseite eingibst. Oder vielleicht doch, aber Empfänger und Summe werden dir falsch angezeigt, weil die Seite im Browser manipuliert wurde. Alles kein Hexenwerk.

    > So zumindest empfinde ich die Argumentation gegen die herkömmlichen TAN
    > Listen. Zumal ich die Alternativen alle für unsicherer halte. Sicherer
    > vielleicht für DAUs, aber allgemein für alle unsicherer. Solche Kompromisse
    > mag ich nicht.

    Nö. iTAN ist einfach unsicher, weil du keine abgesicherte Info darüber hast, wofür die TAN jeweils verwendet wird.

  3. Re: Ich finde es beschissen

    Autor: Quantium40 17.04.19 - 16:45

    treysis schrieb:
    > Ja, super. Bei welchem Geschäft kann ich denn in Aktien zahlen?!

    Diese Frage klingt doch nach einer echten Marktlücke.
    Man stelle sich vor, ein Großbankenkonsortium oder die Sparkassen brächten ein Wertpapier mit festgelegtem Tauschwert zum Euro und europaweiter Akzeptanz heraus, um damit weiterhin iTAN für Zahlungen zu ermöglichen.
    Wobei eigentlich gibt es ja solche unregulierten Nebenwährungen schon, wenn ich an Pfandflaschen oder Payback denke.

  4. Re: Ich finde es beschissen

    Autor: fuzzy 17.04.19 - 16:51

    Die meisten Banking-Apps (TAN-Apps inklusive) haben irgendwelche irren Manipulations-Erkennungen. Das geht sogar so weit, dass die auf Handys von Nischen-Herstellern eventuell nicht laufen, weil das ab Werk installierte Android als gerootet/gehackt/was auch immer erkannt wird.

    Ich glaube kaum, dass das im Emulator einfacher wird, die Dinger zum Laufen zu bringen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  5. Re: Ich finde es beschissen

    Autor: fuzzy 17.04.19 - 16:53

    flow77 schrieb:
    --------------------------------------------------------------------------------
    > Wie wärs mit einem TAN-Generator? Den könntest du dann auch zu Hause lassen
    > und kann wohl eher auch nicht manipuliert werden.

    Streng genommen wird das schwierig, außer man ist Bargeld-Fanatiker. Denn der Generator steckt in der Bankkarte. Das Terminal ist austauschbar.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  6. Re: Ich finde es beschissen

    Autor: treysis 17.04.19 - 17:10

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > flow77 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie wärs mit einem TAN-Generator? Den könntest du dann auch zu Hause
    > lassen
    > > und kann wohl eher auch nicht manipuliert werden.
    >
    > Streng genommen wird das schwierig, außer man ist Bargeld-Fanatiker. Denn
    > der Generator steckt in der Bankkarte. Das Terminal ist austauschbar.

    Kommt auf das System drauf an? Bei photoTAN braucht der TAN-Generator keine Chipkarte.

  7. Re: Ich finde es beschissen

    Autor: elcaron 17.04.19 - 17:42

    ... oder sie werden per Flickercode übertragen und sind auf dem Display verifizierbar.
    Meiner Ansicht nach ist das die einzig wahre Variante.

  8. Re: Ich finde es beschissen

    Autor: elcaron 17.04.19 - 17:44

    Deine TAN-Liste ist nicht sicher. Damit kannst Du alles Mögliche freigeben, während Dein kompromittierter Rechner Dir das anzeigt, was Du sehen willst.
    Und wer glaubt, seinem Rechner könne das nicht passieren, dem ist eh nicht mehr zu helfen.

  9. Re: Ich finde es beschissen

    Autor: treysis 17.04.19 - 18:40

    elcaron schrieb:
    --------------------------------------------------------------------------------
    > Und wer glaubt, seinem Rechner könne das nicht passieren, dem ist eh nicht
    > mehr zu helfen.

    Naja, es gibt so Spezialisten, die haben extra fürs Online-Banking einen eigenen Rechner, der jedes Mal per Linux-Live-CD gebootet wird. Da ist dieses Risiko schon sehr gering. Aber alltagstauglich ist das auch nicht wirklich. Mir ist in >10 Jahren Online-Banking noch nie etwas passiert, und für die Grenzfälle verlasse ich mich halt auf die Versicherung. 100%ige Sicherheit gibt es niemals.

  10. Re: Quatsch

    Autor: The Insaint 17.04.19 - 19:16

    treysis schrieb:
    --------------------------------------------------------------------------------
    > Jo, außer dein Endgerät ist kompromittiert und du merkst nicht,

    Wenn das Endgerät ein Smartphone ist, durchaus möglich. Deswegen macht man das dort auch nicht.
    Es ist eher wahrscheinlich, daß ein Smartphone kompromittiert wird, als ein PC.

    > dass du die TAN gar nicht auf der Bankseite eingibst.

    Wieso? Wo sollte ich die sonst eingeben?

    > Oder vielleicht doch, aber Empfänger und Summe werden dir falsch angezeigt, weil die Seite im Browser
    > manipuliert wurde. Alles kein Hexenwerk.

    Dann hat aber die Bank-Website ein schweres Problem und dann ist man als User ohnehin nicht haftbar oder schuld daran. Auch kein Hexenwerk.


    > Nö. iTAN ist einfach unsicher, weil du keine abgesicherte Info darüber
    > hast, wofür die TAN jeweils verwendet wird.

    Doch, hat man. Für genau diese Transaktion, die man gerade tätigt. Und die Bank weiß es auch, weil sie dir die Nummer für den TAN vorgibt. Für eben diese eine Transaktion.

  11. Re: Ich finde es beschissen

    Autor: The Insaint 17.04.19 - 19:19

    elcaron schrieb:
    --------------------------------------------------------------------------------
    > Deine TAN-Liste ist nicht sicher. Damit kannst Du alles Mögliche freigeben,
    > während Dein kompromittierter Rechner Dir das anzeigt, was Du sehen
    > willst.

    Wird nicht passieren.

    > Und wer glaubt, seinem Rechner könne das nicht passieren, dem ist eh nicht
    > mehr zu helfen.

    Tja, wer sich nicht mit dem Gerät beschäftigt, welches er benutzt, der wird eben Probleme bekommen.
    Ich persönlich weiß aber ganz genau, was auf meinem Rechner passiert und alles verdächtige wird sofort bemerkt.
    Hatte auch noch niemals ein Problem mit meinem Rechner.

  12. Re: Ich finde es beschissen

    Autor: treysis 17.04.19 - 19:26

    The Insaint schrieb:
    --------------------------------------------------------------------------------
    > Tja, wer sich nicht mit dem Gerät beschäftigt, welches er benutzt, der wird
    > eben Probleme bekommen.
    > Ich persönlich weiß aber ganz genau, was auf meinem Rechner passiert und
    > alles verdächtige wird sofort bemerkt.
    > Hatte auch noch niemals ein Problem mit meinem Rechner.

    Jo, ist bei DIR der Fall. Bei MIR auch. Aber für/wegen UNS wird die iTAN-Liste auch nicht abgeschafft.

  13. Re: Quatsch

    Autor: treysis 17.04.19 - 19:34

    The Insaint schrieb:
    --------------------------------------------------------------------------------
    > treysis schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Jo, außer dein Endgerät ist kompromittiert und du merkst nicht,
    >
    > Wenn das Endgerät ein Smartphone ist, durchaus möglich. Deswegen macht man
    > das dort auch nicht.
    > Es ist eher wahrscheinlich, daß ein Smartphone kompromittiert wird, als ein
    > PC.

    Echt? Ich kenne mehr PCs die virenverseucht sind, als Smartphones. Ehrlich gesagt habe ich noch kein einziges kompromittiertes Smartphone gesehen (was nicht heißt, dass es die nicht gibt, aber naja..)

    > > dass du die TAN gar nicht auf der Bankseite eingibst.
    >
    > Wieso? Wo sollte ich die sonst eingeben?

    Na in der Eingabemaske der Betrüger, die dir vorgaukelt, die Bankseite zu sein.

    > > Oder vielleicht doch, aber Empfänger und Summe werden dir falsch
    > angezeigt, weil die Seite im Browser
    > > manipuliert wurde. Alles kein Hexenwerk.
    >
    > Dann hat aber die Bank-Website ein schweres Problem und dann ist man als
    > User ohnehin nicht haftbar oder schuld daran. Auch kein Hexenwerk.

    Nein, da wird nix bei der Bank manipuliert. Die Manipulation erfolgt auf deinem Rechner in deinem Browser. DAS ist kein Hexenwerk. Total easy. Wird auch gerne für gefälschte Screenshots verwendet.
    Wer haftet, muss man dann sehen. Aber um die Haftungsrisiken zu minimieren, werden unsichere Verfahren eben abgeschafft. Das macht man jetzt endlich mit iTAN.

    > > Nö. iTAN ist einfach unsicher, weil du keine abgesicherte Info darüber
    > > hast, wofür die TAN jeweils verwendet wird.
    >
    > Doch, hat man. Für genau diese Transaktion, die man gerade tätigt. Und die
    > Bank weiß es auch, weil sie dir die Nummer für den TAN vorgibt. Für eben
    > diese eine Transaktion.

    Nö, hat man nicht. Da steht nur "Gib TAN-Nr. soundso ein". Dann tippst du die aus deiner Liste ab. Was im Hintergrund im Browser läuft, siehst du nicht. Dann zeigt der Browser dir eben legitime Daten an, indem er die Webseite manipuliert. Die Bank kriegt aber eine ganz andere Überweisungsaufforderung. Bei photoTAN o.Ä. wird dir hingegen auf dem Lesegerät nochmal angezeigt, was diese TAN, die angefordert wird, denn auslösen soll.

  14. Re: Ich finde es beschissen

    Autor: _mbr 17.04.19 - 19:51

    Ich finde es auch beschissen. App installiert und die ist abgeschmiert auf Lineage. Die Papierliste ist für mich auch das sicherste. Zumindest sicherer, als eine App aufm Smartphone.
    Man hätte alternativ auch allen Online Banking Teilnehmen ausdrücklich mitteilen können, dass sie sicherstellen sollen, dass sie auf der echten Bankseite sind. Immer nur eine TAN und nie per Telefon heraus geben. Und dann zeigt die Bank dem Kunden beim eingeben der TAN etwas an, was sonst niemand erschleichen kann, damit er weiß, dass die Seite echt ist.

    Ich könnte mir trotz allem eben eine Proxy-Seite vorstellen die im Hintergrund die echte Bankingseite bedient und den Code zum Scannen abgreift und anzeigt und die Überweisung wo anders hin tätigt. Man muss nur die Leute auf die Seite bekommen. Die Leichtgläubigen bekommt man so oder so reingelegt. Mit ohne ohne Super TANGenerator.

    Was da jetzt sicherer wird, ist mir nicht klar. Wenn die Unsicherheit der Mensch ist, dann bleibt er es auch nach dem Wechsel des TAN-Ablesemediums.

  15. Re: Ich finde es beschissen

    Autor: treysis 17.04.19 - 20:04

    _mbr schrieb:
    --------------------------------------------------------------------------------
    > Ich finde es auch beschissen. App installiert und die ist abgeschmiert auf
    > Lineage. Die Papierliste ist für mich auch das sicherste. Zumindest
    > sicherer, als eine App aufm Smartphone.
    > Man hätte alternativ auch allen Online Banking Teilnehmen ausdrücklich
    > mitteilen können, dass sie sicherstellen sollen, dass sie auf der echten
    > Bankseite sind. Immer nur eine TAN und nie per Telefon heraus geben. Und
    > dann zeigt die Bank dem Kunden beim eingeben der TAN etwas an, was sonst
    > niemand erschleichen kann, damit er weiß, dass die Seite echt ist.
    >
    > Ich könnte mir trotz allem eben eine Proxy-Seite vorstellen die im
    > Hintergrund die echte Bankingseite bedient und den Code zum Scannen
    > abgreift und anzeigt und die Überweisung wo anders hin tätigt. Man muss nur
    > die Leute auf die Seite bekommen. Die Leichtgläubigen bekommt man so oder
    > so reingelegt. Mit ohne ohne Super TANGenerator.
    >
    > Was da jetzt sicherer wird, ist mir nicht klar. Wenn die Unsicherheit der
    > Mensch ist, dann bleibt er es auch nach dem Wechsel des TAN-Ablesemediums.

    Dein Beitrag zeigt halt sehr schön, dass dir die Angriffsvektoren nahezu unbekannt sind, und es deshalb sinnvoll ist, die iTAN-Liste zu verbannen.

    Mit den TAN-Generatoren ist es nämlich egal, ob eines der Systeme kompromittiert ist. Und selbst wenn beide kompromittiert wären, müssten sie noch zusammenarbeiten. Bei iTAN gibt es hingegen einen Single-Point-of-Failure.

  16. Re: Ich finde es beschissen

    Autor: elcaron 17.04.19 - 20:37

    > Ich persönlich weiß aber ganz genau, was auf meinem Rechner passiert und
    > alles verdächtige wird sofort bemerkt.

    Nein, weißt Du nicht. Niemand weiß das. Reine Hybris. Deswegen ist ja auch mit den teuersten Experten auf kritischen Systemen Airgap angesagt. Und selbst das wird angegriffen.

  17. Re: Ich finde es beschissen

    Autor: crazypsycho 17.04.19 - 20:45

    rafterman schrieb:
    --------------------------------------------------------------------------------
    > Statt meiner sicheren Tanliste die zu Hause liegt, muss ich nun einer App
    > vertrauen auf einem Gerät das manipuliert werden kann. Erstklassig.

    Es bringt dem Hacker aber nichts, wenn nur das eine Gerät manipuliert wird.
    Er muss auf PC und Smartphone Zugriff haben.

    Und die Tanliste verliert ihre Sicherheit, wenn jemand in ein Haus einbricht. PC ohne Passwortschutz, Pin im Browser gespeichert, Tanliste liegt griff parat da.
    Da lass ich mir die Tans lieber aufs Smartphone schicken, denn das hab ich immer dabei.

  18. Re: Ich finde es beschissen

    Autor: Apfelbaum 17.04.19 - 22:54

    Du bist wohl noch nicht lange im Neuland unterwegs ;).

  19. Re: Ich finde es beschissen

    Autor: whitbread 17.04.19 - 23:09

    Tja - mein Smartfon liegt zuhause, bekommt keine Updates mehr und ich habe zuhause keinen Empfang. Grossartig! Der totale Sicherheitsgewinn ;-)

  20. Re: Ich finde es beschissen

    Autor: treysis 17.04.19 - 23:23

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > Tja - mein Smartfon liegt zuhause, bekommt keine Updates mehr und ich habe
    > zuhause keinen Empfang. Grossartig! Der totale Sicherheitsgewinn ;-)

    Muss der Einbrecher zumindest noch das Handy entsperren :)

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Elektrobit Automotive GmbH, Erlangen
  2. CeMM, Wien (Österreich)
  3. W&W Informatik GmbH, Ludwigsburg
  4. Zühlke Engineering GmbH, München, Frankfurt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 10,99€
  3. (u. a. Doom Eternal für 37,99€, Doom für 9,99€, Rage 2 für 16,99€, Skyrim Special Edition...


Haben wir etwas übersehen?

E-Mail an news@golem.de


SpaceX: Die Raumfahrt ist im 21. Jahrhundert angekommen
SpaceX
Die Raumfahrt ist im 21. Jahrhundert angekommen

Das Crew-Dragon-Raumschiff von SpaceX ist gestartet und hat einen Namen bekommen. Golem.de verfolgt den Rest der Reise zur ISS.
Von Frank Wunderlich-Pfeiffer

  1. Satelliteninternet SpaceX schießt 60 weitere Starlink-Satelliten ins All
  2. SpaceX Vierter Starship-Prototyp explodiert in gewaltigem Feuerball
  3. SpaceX Crew Dragon erfolgreich gestartet

Space Force: Die Realität ist witziger als die Fiktion
Space Force
Die Realität ist witziger als die Fiktion

Über Trumps United States Space Force ist schon viel gelacht worden. Steve Carrell hat daraus eine Serie gemacht. Die ist allerdings nicht ganz so lustig geworden.
Von Peter Osteried

  1. Videostreaming Netflix deaktiviert lange nicht genutzte Abos
  2. Corona und Videostreaming Netflix beendet Drosselung der Bitrate, Amazon nicht
  3. Streaming Netflix-Comedyserie zeigt die Anfänge der US Space Force

Zhaoxin KX-U6780A im Test: Das kann Chinas x86-Prozessor
Zhaoxin KX-U6780A im Test
Das kann Chinas x86-Prozessor

Nicht nur AMD und Intel entwickeln x86-Chips, sondern auch Zhaoxin. Deren Achtkern-CPU fasziniert uns trotz oder gerade wegen ihrer Schwächen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. KH-40000 & KX-7000 Zhaoxin plant x86-Chips mit 32 Kernen