Bei der Zwei-Faktor-Authentisierung (2FA), erfolgt der Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Die Betonung liegt hier auf "unabhängig". Eine 2FA über ein und dasselbe Gerät (bspw. Smartphone) ist keine echte 2FA, sondern Security-Murks.
Stardenver
@kuketzblog Siehe Volksbank Banking App. Und auch andere Banken.
@stardenver Mein Konto bei einer Volksbank ist mit einem optischem TAN-Generator verknüpft. Das ist mittlerweile so gut integriert, dass ich den Generator auf Telefondisplay halte.
Also bitte nicht für alle Volksbanken sprechen. In der Software von dem IT-Dienstleister hinter den Volksbanken Raiffeisenbanken ist das alles ordentlich gemacht. Wenn die Filialen das ihren Kunden nicht verkauft bekommen, ist nicht die Technik schuld.
@txt_file Ich meinte eben mTAN und PushTAN. Hatte mich vertippt. Sorry
@stardenver wenn das mit TAN-App + Bank-App beworben wird, ist das wirklich Rotz. Wenn beide Apps dann noch miteinander reden, finde ich das Doppelrotz.
Auf der anderen Seite sehe ich, wie Menschen lieber Paypal nutzen, weil es einfacher und schneller ist.
Sicherheit bringt halt nichts, wenn sie niemand nutzen möchte.
Ich weiß leider keine Lösung für den Spagat zwischen Sicherheit & Benutzbarkeit.
@txt_file Also grundsätzlich halte ich dein Vorgehen fur bedeutend sicherer. Ich kann jedoch aus eigener Erfahrung bestätigen, dass die Volksbank bzw VR Banking App so aufgebaut ist, dass ich am selben Gerät, ohne jemals ein Passwort oder einen Code eingeben zu müssen, eine Transaktion einleiten und dann auch ausführen kann.
Über Face ID wird das Banking gestartet, dann eine Transaktion eingeleitet, die PushTAN bezogen und dann an die Banking App übergeben.
@txt_file All dies geschieht, ohne dass ich auch nur einmal einen Code oder Passwort eingeben muss. Ich bin dabei selbstverständlich nicht gezwungen, es so zu machen. Ich kann auch deine Methode verwenden. Aber ermöglicht wird es.
Meine eigene Methode war ja eigentlich immer die SMS auf ein Billig-Handy ohne Internet. Optisch mit eigener EC-Karte war aufwändiger, aber auch sicherer.
