Follow

Bei der Zwei-Faktor-Authentisierung (2FA), erfolgt der Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Die Betonung liegt hier auf "unabhängig". Eine 2FA über ein und dasselbe Gerät (bspw. Smartphone) ist keine echte 2FA, sondern Security-Murks.

@kuketzblog Siehe Volksbank Banking App. Und auch andere Banken.

@stardenver @kuketzblog Richtig schlimm finde ich ja, dass die sogar damit werben, Banking- und TAN-APP auf einem Gerät zu nutzen, da dann die Banking-APP automatisch die Freigabe in der TAN-APP auslesen kann und man sich um nichts mehr kümmern muss. Wer auch immer dann dieses Gerät in die Finger bekommt, muss sich allerdings auch um nichts mehr kümmern. 🤦‍♂️

@l0calhorst @stardenver @kuketzblog Aber diese neue Sicherheit ist doch so schrecklich kompliziert und umständlich...

@stardenver Mein Konto bei einer Volksbank ist mit einem optischem TAN-Generator verknüpft. Das ist mittlerweile so gut integriert, dass ich den Generator auf Telefondisplay halte.
Also bitte nicht für alle Volksbanken sprechen. In der Software von dem IT-Dienstleister hinter den Volksbanken Raiffeisenbanken ist das alles ordentlich gemacht. Wenn die Filialen das ihren Kunden nicht verkauft bekommen, ist nicht die Technik schuld.

@txt_file Darum geht es mir ja auch gar nicht. Wenn du es sicher benutzt ändert das ja nichts daran, dass es Volksbanken (und andere) ihren Kunden dennoch ermöglichen, das Ganze unsicher zu verwenden. Wenn sowohl die Banking App, als auch die mTAN App auf dem selben Gerät laufen können und beides mit der selben Sperrmethode gesichert wird, ist die gesamte Idee dahinter einfach kaputt. Und die Volksbanken ermöglichen ja sogar die automatiche Übergabe von Secure an die Banking-App.

@txt_file Ich finde also nicht, dass das ordentlich gemacht ist, wenn man den Nutzern aus Bequemlichkeit ermöglicht, das Ganze so unsicher zu verwenden.

mTAN und Desktop wäre sicher. Per SMS und Desktop sicher auch. Oder mobile App und optischer Generator. All diese Kombinationen wären - wie du sagst - gut gemacht. Aber Banking-App und mTAN auf dem selben Gerät und mit den selben Zugangsbeschränkungen (Fingerabdruck, Face-ID) ist es mMn eben nicht.

@txt_file Ich meinte eben mTAN und PushTAN. Hatte mich vertippt. Sorry

@stardenver wenn das mit TAN-App + Bank-App beworben wird, ist das wirklich Rotz. Wenn beide Apps dann noch miteinander reden, finde ich das Doppelrotz.

Auf der anderen Seite sehe ich, wie Menschen lieber Paypal nutzen, weil es einfacher und schneller ist.
Sicherheit bringt halt nichts, wenn sie niemand nutzen möchte.
Ich weiß leider keine Lösung für den Spagat zwischen Sicherheit & Benutzbarkeit.

@txt_file Also grundsätzlich halte ich dein Vorgehen fur bedeutend sicherer. Ich kann jedoch aus eigener Erfahrung bestätigen, dass die Volksbank bzw VR Banking App so aufgebaut ist, dass ich am selben Gerät, ohne jemals ein Passwort oder einen Code eingeben zu müssen, eine Transaktion einleiten und dann auch ausführen kann.

Über Face ID wird das Banking gestartet, dann eine Transaktion eingeleitet, die PushTAN bezogen und dann an die Banking App übergeben.

@txt_file All dies geschieht, ohne dass ich auch nur einmal einen Code oder Passwort eingeben muss. Ich bin dabei selbstverständlich nicht gezwungen, es so zu machen. Ich kann auch deine Methode verwenden. Aber ermöglicht wird es.

Meine eigene Methode war ja eigentlich immer die SMS auf ein Billig-Handy ohne Internet. Optisch mit eigener EC-Karte war aufwändiger, aber auch sicherer.

@txt_file Was PayPal betrifft: Ich muss gestehen, dass ich es selbst gerne nutze. Der Käuferschutz scheint einige Händler abzuschrecken und so geben die sich wirklich Mühe.

Ich nutze Paypal jedoch ausschließlich auf dem Desktop und jede Transaktion oder Interaktion erfordert einen Code, den mir ein Generator auf einem zweiten Gerät bereitstellt.

Ich bezahle damit aber in der Regel nur Kleinstbeträge. Netflix, einen VPS, emby. Große Anschaffungen wären mir damit dann eher nichts.

@kuketzblog Würdest du also auch 2FA mit KeePass unsicher finden? KeePass ist glaube nicht so leicht zu tampern, aber wenn es auf der gleichen Kiste läuft, ist nichts unmöglich.

@mupan @kuketzblog ist nicht ideal, mache ich aber auch. Du hast dennoch den Vorsprung, dass sehr viele Attacken ins Leere laufen. Aber wenn dein Computer kompromittiert ist bist Du halt völlig im Eimer (wäre man bei strikter Trennung nicht).
Bist aber immerhin gegen reuse, replay-attacken, shoulder-surfing und einfache keylogger etwas sicherer.

@mupan @kuketzblog banking halte ich aber zB per ChipTan komplett getrennt, weil das einfach ein anderes Szenario ist als "kann auf Discord zugreifen"

@claudius @kuketzblog Klar, wobei ich Discord gar nicht nutze. Meine Bank bietet zwar chipTAN gar nicht mehr an, aber der optische oder manuelle HBCI-TAN-Generator funktioniert nur mit Bank-Karte, und alle in Hibiscus möglichen Transaktionen (alles außer bankspezifischer Konfiguration) mache ich mit Hibiscus auf Jameica.

willuhn.de/

@mupan @kuketzblog du meinst die 2FA in keypaas abzulegen? Jetzt brauchst du nur einen kleinen Trojaner, der keepass Passwort und Datenbank klaut, ist also wieder nur ein Faktor, weil über einen Kanal stehlbar.

@Moepmoep @kuketzblog Ja. KeePass mit PW und Zertifikatsdatei ist nur eine unwesentliche Komplikation mehr, deshalb bleibt es doch eine Maschine.

@kuketzblog aBEr MobIlfUNk-TAnS sInd DOch NoCh viEL sChLimmer!11!

@kubikpixel @kuketzblog Insbesondere bei der Postbank-Drecksbank hat mich das richtig derbe abgefuckt. Ich musste letztendlich mein Geld bei denen per Telefonbanking (man liest eine PIN laut vor, TANs gibt es nicht) zu meinem Konto bei einer anderen Bank übertragen

@waweic whuaaat?!?! OK da habe ich es bei meiner Bank besser. Ein Device wo ich meine Bankkarte hineinschiebe und ein temp. Pin bekomme nach dem eingeben des Kartenpins und nachdem ich User & PW online eingab. Dann kann ich erst auf der Website mein Onlinebanking ausführen. @kuketzblog

@kubikpixel @kuketzblog Das gibt es bei der Postbank (theoretisch) auch, aber nachdem die die Funktion deaktiviert hatten, wie ich meine TANs bekommen habe, hätte ich erwartet, dass ich keine 20 Euro für ein Gerät ausgeben muss, um auf mein Konto mit 50€ drauf zugreifen zu können. Zumal die mich am Telefon angelogen und beleidigt haben

@waweic da hatte ich Glück, meine Bank hat dies gefördert und kostenlos den Kunden überlassen. Die hatten dies Regelrecht gepuscht und mittlerweile kostet die Überweisung am Schalter einen Aufschlag. Die rechneten richtig: Der Kunde macht ihre Arbeit und sie sparen ungemein an Geld das sich positiv in deren Bilanz auswirkt. (Ihre üblichen krumme Geschäfte / Finanzierungen ignoriere ich einfach hier mal) @kuketzblog

@kuketzblog Ich stimme zu, dass das Murks ist - aber 2FA ist es immer noch (Besitz + Wissen(Passwort)/Sein (Biometrie) -> PSD2 erfüllt
....und mehr als 'Anforderung erfüllt' steht bei den Banken leider nicht im Lastenheft ...

Aber immernoch deutlich besser, als das was die Banken vor PSD2 angeboten habe: meine boten nur 4-, bzw. 8-stellige PIN als maximale Sicherheit zum Onlinebanking und absolutes Unverständnis, wenn man mit denen versucht hat, dieses zu disktutieren.

@Ar @kuketzblog darf man im Pin wenigstens Buchstaben benutzen oder dürfen das nur Zahlen sein? Das ist so lächerlich die so in der Länge zu begrenzen. 1000 Zeichen wären wirklich unnötig, aber max 8 Zeichen? 🤨 Das kann ich ebenfalls beim besten Willen nicht nachvollziehen.

@duco

@kuketzblog
Wie gesagt: inzwischen 2FA auch fuer den Login zum Account, weil die Banken es anbieten muessen.
PIN ist bei der Commerzbank inwischen 5-8 Zeichen alphanumerisch ohne Sonderzeichen.
Für meinen Sicherheitsbedarf reicht es durch 2FA.
Vor PSD2 gab es bei Consors jahrelang nicht mehr als 4 Ziffer - auch nicht gegen Geld, gute Worte oder Drohungen.

@kuketzblog naja die Faktoren können ja sein was du weißt (pin/passwort/…), wer du bist (Biometrie/…) oder was du besitzt (Handy/Yubikey/…). Wenn eine App also auf ein Handy gepinnt ist (man muss das Handy besitzen) und eine PIN eingeben muss (Wissen), hat man zwei Faktoren korrekt geprüft. Wie sicher das ist, ist ja eine andere Frage.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!