Forum: Offtopic Sollte man von TAN auf photoTAN umsteigen?

J. Ad. schrieb:
> Die Bank bietet nun photoTAN an, wo man mit einem Smartphone eine
> Graphik vom Bildschirm abliest und dann die TAN erstellt wird.
>
> Das Verfahren soll sicherer sein.

Für meinen Geschmack klingt das nach einem ziemlichen Schmarrn:

Sobald Du ein frei programmierbares Gerät, wie hier Dein Smartphone, im 
Spiel hast, kann das durch einen Trojaner geknackt werden. Du ersetzt 
also die Gefahr, daß Dein PC vom Trojaner infiziert wird, durch die 
Gefahr daß Dein Smartphone vom Trojaner infiziert wird. Wenn man sich 
dann mal anschaut wie häufig es Sicherheitsupdates für PCs 
veröffentlicht werden und wie die verbreitet werden und das mit 
Smartphones vergleicht, vor allem bei Android, dann halte ich die Gefahr 
einer Infektion beim Smartphone für höher.

Auch das M-Tan wurde schon geknackt, da gibt es Trojaner die erst den PC 
infizieren und dann von da aus dann das Smartphone infizieren.

Das einzig wirklich sicherere Verfahren sind die 
Hardware-TAN-Generatoren: die haben keine von außen erreichbare 
Programmierschnittstelle und können somit nicht infiziert werden.

Gerd E. schrieb:
> J. Ad. schrieb:

>
> Das einzig wirklich sicherere Verfahren sind die
> Hardware-TAN-Generatoren: die haben keine von außen erreichbare
> Programmierschnittstelle und können somit nicht infiziert werden.

ok, also Finger weg vom Smartphone wenn es ums banking geht. Diese 
Dinger senden ja ohnehin jedem und allen alles mögliche aus meinem 
Gerät. Habe nur das notwendigste drauf.

Bei der Sparkasse habe ich eine kleine rote Schachtel, in die ich meine 
EC-Karte reinstecken muss und die ich dann über einen flackernden 
Barcode auf der Tastatur halten muss. Dann werden Daten übertragen und 
mir wird eine TAN angezeigt, zusammen mit der Kontonummer und dem 
Betrag. Ist so etwas sicherer?

Am sichersten ist chipTAN.
Die Entschlüsselung erfolgt im Chip auf der EC-Karte.
Solange Du die EC-Karte nicht verlierst und der "Finder" Dein Login zum 
Banking nicht kennt, kommt kein anderer an ein gültige TAN ran.

Beim photoTAN mußt Du eine App installieren und die könnte gehackt 
werden.

J. Ad. schrieb:

> Die Bank bietet nun photoTAN an, wo man mit einem Smartphone eine
> Graphik vom Bildschirm abliest und dann die TAN erstellt wird.

Wie machst du das, wenn du unterwegs bist, aber eine Überweisung auf den 
Weg bringen musst?

J. Ad. schrieb:
> Bei der Sparkasse habe ich eine kleine rote Schachtel, in die ich meine
> EC-Karte reinstecken muss und die ich dann über einen flackernden
> Barcode auf der Tastatur halten muss. Dann werden Daten übertragen und
> mir wird eine TAN angezeigt, zusammen mit der Kontonummer und dem
> Betrag. Ist so etwas sicherer?

Ja genau, das ist ein Hardware-TAN-Generator mit Anzeige der Kontonummer 
und Betrag. Das Ding ist deutlich sicherer als itan, mtan, phototan, 
murxtan,...

Der Klasse 2 Chipkartenleser, also der mit eigenem Display für Anzeige 
von Kontonummer und Betrag, ist auf dem selben Niveau. Allerdings haben 
die sich nicht so durchgesetzt.

Karl Heinz schrieb:
> J. Ad. schrieb:
>
>> Die Bank bietet nun photoTAN an, wo man mit einem Smartphone eine
>> Graphik vom Bildschirm abliest und dann die TAN erstellt wird.
>
> Wie machst du das, wenn du unterwegs bist, aber eine Überweisung auf den
> Weg bringen musst?

Ja, das ist dann blöde, denn wenn man von iTan auf photo umgestellt hat 
gibt es keinen Weg zurück.

Die TANs muss ich aber auch dabei haben bzw. dieses Kästchen von der 
Sparkasse. Das Kästchen (kleiner als eine Zigarettenschachtel) scheint 
jedoch nicht speziell für mich programmiert worden sein: Als die Anzeige 
mal Ausfälle zeigte und ich hin bin, hat mir der Sparkassenmann einfach 
ein neues Kästchen gegeben - im Austausch. Da  wurde nix personalisiert 
und so.

J. Ad. schrieb:
> Da  wurde nix personalisiert und so

Das Gerät dient nur der Anzeige/Datenübermittlung, die TAN Generierung 
findet durch die EC-Karte statt. Solange du also ein Gerät hast welches 
den "Sparkassencode" Versteht und mit dem Chip deiner EC Karte 
kommunizieren kann ist das egal was auf dem Gerät draufsteht.

Marek N. schrieb:
> Aber wenn ich mit dem Handy eine Überweisung tätigen will, sieht die App
> natürlich nicht den Farbcode der anderen App.

Das solltest Du auch nicht tun, denn dann ist all' die durch die App 
o.ä. gewonnene Sicherheit verloren, wie sie es auch ist, wenn Du mit dem 
gleichen Smartphone mTANs empfängst, mit dem Du auch Überweisungen 
veranlassen willst.

In beiden Fällen genügt etwas geschickt programmierte Schadsoftware, und 
Dein Kontostand wird sich ohne Dein Zutun ändern.

Achtung: es gibt 2 Photo-Tan-Verfahren, die nicht kompatibel sind. 
Gemeinsamkeit: Es werden 2-dimensionale QR-Code-ähnlich Grafiken 
gescannt, teils farbig, teils SW.

Davon zu unterscheiden ist das Chip-Tan-Verfahren, damit werden bewegte 
Balkengrafiken gescannt.

Bei der Deutschen Bank z.B. bekommt man das Gerät von der Bank (das gilt 
als sicher), (oder eine App für das Handy, das dürfte dann deutlich 
unsicherer sein), das ist dann nur für diese passend.

Und es gibt ein Photo-Tan-Gerät von ReinerSCT (nicht das Chip-Tan, das 
ist wieder was anders), das ist für diverse andere Banken.

Also unbedingt die Bank fragen.

VG S.

Marek N. schrieb:
> Aber wenn ich mit dem Handy eine Überweisung tätigen will, sieht die App
> natürlich nicht den Farbcode der anderen App.

Eine ungemein positive Eigenschaft von PhotoTAN und QR-TAN ist, dass man 
schon ziemlich im die Ecke denken muss, um den Fehler zu machen, es auf 
dem gleichen Gerät zu versuchen.

Habe damals auch iTans genutzt, später kurz sms Tans. Nun nutze ich am 
Iphone FaceID und einen eigenen Pin. Würde ich jedoch auch auf Androids 
nicht empfehlen (unsicher).

Wenn ich am PC etwas autorisieren muss, läuft es auch über FaceID an 
meinem Handy.

Bin soweit zufrieden damit.

A. K. schrieb:
> Marek N. schrieb:
>> Aber wenn ich mit dem Handy eine Überweisung tätigen will, sieht die App
>> natürlich nicht den Farbcode der anderen App.
>
> Eine ungemein positive Eigenschaft von PhotoTAN und QR-TAN ist, dass man
> schon ziemlich im die Ecke denken muss, um den Fehler zu machen, es auf
> dem gleichen Gerät zu versuchen.

Nicht wirklich. Weil es TAN Systeme gibt welche das aktiv unterstützen. 
Die Deutsche Bank hat so was: Die Banking App kann sich von der PhotoTan 
App die TAN holen. Alles auf einem Gerät.

Das ganze mutet in der Tat unsicher an. Ist aber dann sicher genug, 
falls die PhotoTan App sich nicht dazu bewegen lässt (z.B. von einem 
Trojaner auf dem Smartphone), eine TAN zu generieren ohne 
Benutzeraktion. D.h. ohne dem Benutzer Ziel IBAN und Betrag anzuzeigen 
und sich das OK zu holen.
Ist das sichergestellt, ist es nicht unsicherer als ein separater TAN 
Generator.

Denn die Sicherheit beim TAN Generator basiert ja nicht darauf dass 
alles getrennt ist, sondern auf der Tatsache dass man etwas körperliches 
braucht (z.B. das registrierte Smartphone) und dass die Daten aus denen 
die TAN generiert wird, vom Benutzer vorher abgesegnet werden.

Denn auch ein befallener PC kann einfach eine Überweisung fälschen. 
Achtet der Nutzer dann beim ChipTan Generator nicht auf das Display, 
sondern drückt einfach weiter, ist die Sicherheit dahin.

Bei dieser Betrachtung spielt es keine Rolle ob nun zwei Geräte 
involviert sind, oder nur eines.

Man muss aber bedenken dass die TANs in erster Linie verhindern sollen, 
dass jemand ohne aktiven Kontakt zum Nutzer sich am Konto bedient. Also 
einfach einloggt weil er die PIN errät oder per Sozialen Medien abgeift.

Eine gezielte Infektion von PC oder Smartphone ist die sehr seltene 
Hardcore Variante die man bisher mit TAN oder iTan Liste gar nicht 
abfangen konnte und mit ChipTan/PhotoTan sich auf die Aufmerksamkeit des 
Nutzers verlassen muss. Wer prüft die IBAN auf dem Display des Tan 
generators wirklich?

Cyblord -. schrieb:
> Wer prüft die IBAN auf dem Display des Tan generators wirklich?

Ich! Immer!
Auch um nochmal zu kontrollieren, ob ich selber die richtige IBAN 
eingetragen hatte.

Cyblord -. schrieb:
> Nicht wirklich. Weil es TAN Systeme gibt welche das aktiv unterstützen.
> Die Deutsche Bank hat so was: Die Banking App kann sich von der PhotoTan
> App die TAN holen. Alles auf einem Gerät.

Ist das wirklich Photo/QR-TAN, oder etwas anderes? Es gibt 
Banking-Systeme, die technisch auf dem gleichen Gerät arbeiten können, 
oder sogar in der Banking-App drin sind, wie Postbank BestSign. Aber das 
ist eine völlig andere Baustelle.

A. K. schrieb:
> Cyblord -. schrieb:
>> Nicht wirklich. Weil es TAN Systeme gibt welche das aktiv unterstützen.
>> Die Deutsche Bank hat so was: Die Banking App kann sich von der PhotoTan
>> App die TAN holen. Alles auf einem Gerät.
>
> Ist das wirklich Photo/QR-TAN, oder etwas anderes? Es gibt
> Banking-Systeme, die technisch auf dem gleichen Gerät arbeiten können,
> oder sogar in der Banking-App drin sind, wie Postbank BestSign. Aber das
> ist eine völlig andere Baustelle.

Das ist PhotoTan der Deutschen Bank. Die App scannt normalerweise das 
bunte Punktmuster vom Bildschirm. Kann die Daten aber offensichtlich 
auch auf direktem Weg von der Banking App bekommen.

Ist das Postbank System auch TAN basiert?
Ein TAN Generator arbeitet im Prinzip immer gleich. Nur wie er an seine 
Daten bekommt ist unterschiedlich.

> Auch um nochmal zu kontrollieren, ob ich selber die richtige IBAN
> eingetragen hatte.

Dafür ist es allerdings unnötig, gegen Tippfehler ist die mit einer 
Prüfziffer abgesichert. Was das auslassen der Überprüfung nur noch 
verlockender macht

Cyblord -. schrieb:
>> Auch um nochmal zu kontrollieren, ob ich selber die richtige IBAN
>> eingetragen hatte.
>
> Dafür ist es allerdings unnötig, gegen Tippfehler ist die mit einer
> Prüfziffer abgesichert.

Das hilft aber nicht, wenn ich aus Dummheit die IBAN einer anderen 
Person eingetragen habe ;-((

Dietrich L. schrieb:
> Cyblord -. schrieb:
>>> Auch um nochmal zu kontrollieren, ob ich selber die richtige IBAN
>>> eingetragen hatte.
>>
>> Dafür ist es allerdings unnötig, gegen Tippfehler ist die mit einer
>> Prüfziffer abgesichert.
>
> Das hilft aber nicht, wenn ich aus Dummheit die IBAN einer anderen
> Person eingetragen habe ;-((

Fände ich aber jetzt nicht schlimm, wenn es z.B. meine wäre ;-)

Marek N. schrieb:
> Früher konnte ich mit dem Handy eine Überweisung von Unterwegs tätigen.
> Jetzt soll das nicht mehr gehen dürfen?
> Das ist schade!

Sicherheit und Bequemlichkeit sind leider meist Gegensätze. So bequem es 
für dich ist, so bequem ist es für jene, die an dein Geld wollen.

Mir erschließt sich bis heute nicht, warum man (regelmäßig völlig 
überraschend) unterwegs eine Überweisung tätigen sollte. Zu Hause gibt's 
die iTAN-Liste.

Für unterwegs gibt es Kredit-/EC-Karte...

Man hat also wieder erfolgreich ein virtuelles Problem konstruiert und 
zur Normalität erhoben um dann Lösungen dagegen zu verkaufen...

Roland E. schrieb:
> Mir erschließt sich bis heute nicht, warum man (regelmäßig völlig
> überraschend) unterwegs eine Überweisung tätigen sollte. Zu Hause gibt's
> die iTAN-Liste.
>
> Für unterwegs gibt es Kredit-/EC-Karte...
>
> Man hat also wieder erfolgreich ein virtuelles Problem konstruiert und
> zur Normalität erhoben um dann Lösungen dagegen zu verkaufen...

Nicht von dir auf andere schließen. Ich will heute alles mobil machen 
können. Das versteht der Opa mit der Tan Liste in der Schublade halt 
nicht.

A. K. schrieb:
> Marek N. schrieb:
>> Früher konnte ich mit dem Handy eine Überweisung von Unterwegs tätigen.
>> Jetzt soll das nicht mehr gehen dürfen?
>> Das ist schade!
>
> Sicherheit und Bequemlichkeit sind leider meist Gegensätze. So bequem es
> für dich ist, so bequem ist es für jene, die an dein Geld wollen.

Ist das tatsächlich so? Gibt es denn eine Schadsoftware auf dem 
Smartphone die sich da erfolgreich zwischenhängt, die TAN mit 
gefälschten Werten aus der TAN Generator APP erzeugt und somit dann 
unbemerkt vom Nutzer Geld überweisen kann?

Im Gegensatz dazu, waren Social Engineering Angriffe in der 
Vergangenheit auf normale TAN Listen eine Zeit lang sehr lukrativ.

Und grade die Altchen die meinen mit dem Internet wird ihr Konto 
geplündert haben dann meist EC Karte und Pin im Geldbeutel deponiert. 
Oder geben direkt einem Wildfremden ihr Geld auf Nachfrage (Enkeltrick).

Also man vergleiche hier bitte mal die Vorfälle bezüglich Häufigkeit.

Cyblord -. schrieb:
> Ich will heute alles mobil machen können. Das versteht der Opa mit der
> Tan Liste in der Schublade halt nicht.

Und Du kapierst nicht, daß Du ein elementares Sicherheitselement 
aufgibst, indem Du sowohl die Überweisungen als auch deren Absicherung 
mit ein und demselben Gerät durchführst.

Daß genau das ein hochinteressantes anzugreifendes Objekt ist, wissen 
zig Skript-Kiddies und andere freundliche Menschen. Und es ist ja nicht 
so, daß Android dafür bekannt wäre, daß es darauf noch nie irgendwelche 
Schadsoftware o.ä. gegeben hätte.

Warum Du Menschen, die ihr Geld behalten wollen, statt es freizügig an 
irgendwelche Skript-Kiddies auszuschütten, unbedingt als "Opas" 
bezeichnen musst, entzieht sich meinem Verständnis, aber vielleicht 
spricht da auch einfach nur Dein bekannter umwerfender Charme, der es 
einem so schwer macht, Dich irgendwie ernstzunehmen.

Rufus Τ. F. schrieb:

> Und Du kapierst nicht, daß Du ein elementares Sicherheitselement
> aufgibst, indem Du sowohl die Überweisungen als auch deren Absicherung
> mit ein und demselben Gerät durchführst.

Auch für dich: Erkläre mir bitte wo da das Sicherheitsproblem ist. Ich 
habe das Für und Wieder weiter oben bereits ausgeführt. Es wäre nett 
wenn du darauf eingehen würdest, anstatt einfach irgendwas zu 
wiederholen was schon öfters hier genannt wurde.

> Warum Du Menschen, die ihr Geld behalten wollen, statt es freizügig an
> irgendwelche Skript-Kiddies auszuschütten, unbedingt als "Opas"
> bezeichnen musst, entzieht sich meinem Verständnis, aber vielleicht
> spricht da auch einfach nur Dein bekannter umwerfender Charme, der es
> einem so schwer macht, Dich irgendwie ernstzunehmen.

Mir fällt es schwer Leute ernst zu nehmen die absolut frei von Wissen 
sind, aber dann Sätze wie "Früher ging doch auch die Tan liste in der 
Schublade, warum muss ich unterwegs Überweisungen ausführen".
Also das immer gleiche ewig gestrige Gelabere.

Wo sind deine ganzen Script Kiddies die die Konten leer räumen. Nochmal: 
Die Leute lassen sich viel einfacher um ihr Geld bringen, als über 
gehackte TAN Apps.
Und solange du nicht einen praktikablen Angriff gegen eine aktuelle TAN 
App nachweisen kannst, ist das alles sowieso Theorie.

Cyblord -. schrieb:
> A. K. schrieb:
>> Marek N. schrieb:
>>> Früher konnte ich mit dem Handy eine Überweisung von Unterwegs tätigen.
>>> Jetzt soll das nicht mehr gehen dürfen?
>>> Das ist schade!
>>
>> Sicherheit und Bequemlichkeit sind leider meist Gegensätze. So bequem es
>> für dich ist, so bequem ist es für jene, die an dein Geld wollen.
>
> Ist das tatsächlich so? Gibt es denn eine Schadsoftware auf dem
> Smartphone die sich da erfolgreich zwischenhängt, die TAN mit
> gefälschten Werten aus der TAN Generator APP erzeugt und somit dann
> unbemerkt vom Nutzer Geld überweisen kann?

Der Punkt ist dass es möglich ist, so eine Software zu bauen. Ob es die 
gibt oder nicht kriegst du im Zweifel nicht mit, ich vermute auch dass 
es hier eine hohe Dunkelziffer gibt, weil die Banken mit solchem Betrug 
meiner Vermutung nach recht kulant umgehen. Zumindest würde ich das tun, 
wenn ich eine Bank wäre.

Der Chip-TAN-Generator als Kästchen was die Karte liest bietet diesen 
Angriffsvektor nicht.

Das ganze Mobil-Argument kann ich persönlich auch nicht nachvollziehen. 
Ich sitze nie in der Bahn und denke "boah, jetzt müsste ich wirklich 
dringend diese Überweisung machen die dann eh 2 Tage dauert, ich kann 
nicht 2h warten bis ich daheim bin" ...

Sven B. schrieb:

> Der Punkt ist dass es möglich ist, so eine Software zu bauen.

Nein das ist nicht der Punkt. Möglich ist alles. Damit wäre kein Stück 
Software auf der Welt sicher genug für irgendwas. Man müsste alles 
abschalten. Weil es ja möglich wäre. Gehackte Flugzeuge, gehackte Züge, 
gehackte AKW usw. usw. Tut man aber nicht. Weil es auf 
Wahrscheinlichkeiten ankommt.

Und in der Theorie ist der Angriff so einfach, dass man den schon lange 
flächendeckend sehen müsste, wenn die Sicherheit der Apps wirklich 
schlecht wäre.
Einfach eine verseuchte App übern PlayStore verbreiten, die auf gängige 
Banking Apps und Tan Generatoren lauscht und wartet bis der Nutzer eine 
Überweisung tätigen will. Dann wird der Pin bei Eingabe abgehört, 
mittels Tan App dann eine Tan für die eigene IBAN erstellen und 
Überweisung auslösen.
Das das noch nicht passiert zeigt mir, dass die Banken bei den Apps 
bisher irgendwas richtig machen.

> Das ganze Mobil-Argument kann ich persönlich auch nicht nachvollziehen.

Das ist ein weit verbreitetes Problem: Was ich persönlich nicht mache 
oder brauche gönne ich auch niemand anderem. Weg mit dem Quatsch. 
Verbieten und gut ist.

Cyblord -. schrieb:
> Sven B. schrieb:
>
>> Der Punkt ist dass es möglich ist, so eine Software zu bauen.
>
> Nein das ist nicht der Punkt. Möglich ist alles. Damit wäre kein Stück
> Software auf der Welt sicher genug für irgendwas. Man müsste alles
> abschalten. Weil es ja möglich wäre. Gehackte Flugzeuge, gehackte Züge,
> gehackte AKW usw. usw. Tut man aber nicht. Weil es auf
> Wahrscheinlichkeiten ankommt.

Diese Argumentationsweise ist unsinnig. Natürlich ist es ein 
Unterschied, ob eine bestimmte Klasse von Angriffen funktioniert oder 
nicht. Das hat auch nichts mit Wahrscheinlichkeiten zu tun, weil eben 
eine ganze Klasse von Problemen konzeptionell ausgeschlossen wird. Diese 
Klasse von Angriffen  (in dem Fall Tätigen von Überweisungen ohne 
Vorliegen der Karte) kann in dem Konzept nicht stattfinden.

>> Das ganze Mobil-Argument kann ich persönlich auch nicht nachvollziehen.
>
> Das ist ein weit verbreitetes Problem: Was ich persönlich nicht mache
> oder brauche gönne ich auch niemand anderem. Weg mit dem Quatsch.
> Verbieten und gut ist.

Kannst du ja haben, nichts dagegen. Ich brauch's nicht.

Roland E. schrieb:
> Zu Hause gibt's die iTAN-Liste.

Nicht mehr lange.

Sven B. schrieb:
> Diese
> Klasse von Angriffen  (in dem Fall Tätigen von Überweisungen ohne
> Vorliegen der Karte) kann in dem Konzept nicht stattfinden.

Wobei du jetzt hier zwei Dinge vermischst: Man kann den ChipTan 
Generator durch ein Smartphone ersetzen oder die Überweisung komplett 
auf dem SmartPhone durchführen. Das sind zwei verschiedene Aspekte.

In letzterem liegt natürlich die höhere Gefahr über die ich hier rede.
In ersterem sehe ich kein Problem, weil man statt der GiroCard eben sein 
Smartphone benötigt. Das gibt sich nichts.

Cyblord -. schrieb:
> In letzterem liegt natürlich die höhere Gefahr über die ich hier rede.
> In ersterem sehe ich kein Problem, weil man statt der GiroCard eben sein
> Smartphone benötigt. Das gibt sich nichts.

Doch, gibt sich was, weil beim einen der Key in einem 
Hardware-Sicherheitsmodul gespeichert ist und nicht kopiert werden kann 
und beim anderen nicht.

Cyblord -. schrieb:
> Auch für dich: Erkläre mir bitte wo da das Sicherheitsproblem ist

Du siehst kein Sicherheitsproblem, wenn sowohl die "App", die die 
Überweisung durchführt als auch die "App", die die dafür nötigen TANs 
generiert, auf dem gleichen System laufen?

> Und solange du nicht einen praktikablen Angriff gegen eine aktuelle TAN
> App nachweisen kannst, ist das alles sowieso Theorie.

Kannst Du solche Angriffe sicher ausschließen?



Cyblord -. schrieb:
> oder die Überweisung komplett auf dem SmartPhone durchführen. Das sind
> zwei verschiedene Aspekte.
>
> In letzterem liegt natürlich die höhere Gefahr über die ich hier rede.

Hey, Du scheinst was verstanden zu haben! Chapeau!

Cyblord -. schrieb:
> Nicht von dir auf andere schließen. Ich will heute alles mobil machen
> können. Das versteht der Opa mit der Tan Liste in der Schublade halt
> nicht.

Das muss der Opa mit den TAN_Listen endlich kapieren, dass überall 
überweisen zu können ein wesentliches Element des Lifestyle des mobilen 
Digitaldeppen ist, genauso wie dauernd gegen Laternenmasten prallen, 
beim Pokemon-Fangen von der Klippe stürzen oder sich eine Nacht lang vor 
dem Applestore anstellen.

Rufus Τ. F. schrieb:

> Du siehst kein Sicherheitsproblem, wenn sowohl die "App", die die
> Überweisung durchführt als auch die "App", die die dafür nötigen TANs
> generiert, auf dem gleichen System laufen?

Doch, wie gesagt, habe ich weiter oben bereits alles erörtert. Es hängt 
an der Sicherheit der TAN App und ob von dieser im Hintergrund unbemerkt 
eine TAN bezogen werden kann.
Eine komplett eigenständige Generierung der TAN durch einen Angreifer 
schließe ich als unrealistisch sowieso aus.

> Hey, Du scheinst was verstanden zu haben! Chapeau!

Ausgerechnet vom Mod kommen immer die unsachlichsten Pöbeleien. 
Unglaublich.
Bist du so gar nicht mehr an einer sachlichen Diskussion hier 
interessiert oder was ist der Grund? Lass mal hören!

Cyblord -. schrieb:
> Doch, wie gesagt, habe ich weiter oben bereits alles erörtert.

Deine Reaktion vorhin auf meinen Beitrag lässt das nicht erkennen.

> Ausgerechnet vom Mod kommen immer die unsachlichsten Pöbeleien.

Gerade Du solltest sehr vorsichtig sein, wenn Du irgendjemandem 
Unsachlichkeit oder gar Pöbeleien vorwirfst, denn gerade Du brillierst 
hier in diesem Forum durch genau das: Unsachliche Pöbeleien.

Schraub' Deine künstliche Empörung also mal wieder 'ne Stufe 'runter.

Rufus Τ. F. schrieb:
> Cyblord -. schrieb:
>> Doch, wie gesagt, habe ich weiter oben bereits alles erörtert.
>
> Deine Reaktion vorhin auf meinen Beitrag lässt das nicht erkennen.

Meine Reaktion war, dich auf gerade diesen Umstand hinzuweisen.
Hast du meinen Beitrag inzwischen gelesen? Dann könntest du diesen als 
Ausgangspunkt für deine (dann vielleicht sachliche) Kritik nutzen und 
was zur Diskussion beitragen. Immer dasselbe zu wiederholen bringt einen 
nicht weiter.
Beitrag "Re: Sollte man von TAN auf photoTAN umsteigen?"

>
>> Ausgerechnet vom Mod kommen immer die unsachlichsten Pöbeleien.
>
> Gerade Du solltest sehr vorsichtig sein, wenn Du irgendjemandem
> Unsachlichkeit oder gar Pöbeleien vorwirfst,

Überhaupt nicht. Es stimmt. Du pöbelst mich hier nur unsachlich an und 
zerstörst hier eine sachliche Diskussion zum Thema.

>  denn gerade Du brillierst
> hier in diesem Forum durch genau das: Unsachliche Pöbeleien.

Musst du hier als Mod private Rache gegen User führen? Muss ich jetzt in 
jedem Thread damit rechnen grundlos von dir angemacht zu werden?

Würde es dir besser gehen, wenn ich einfach deinen Standpunkt teile und 
mich hier zurückziehe und wir einigen uns darauf dass alles unsicher 
ist.

Cyblord -. schrieb:
> Das ganze mutet in der Tat unsicher an. Ist aber dann sicher genug,
> falls die PhotoTan App sich nicht dazu bewegen lässt (z.B. von einem
> Trojaner auf dem Smartphone), eine TAN zu generieren ohne
> Benutzeraktion. D.h. ohne dem Benutzer Ziel IBAN und Betrag anzuzeigen
> und sich das OK zu holen.
> Ist das sichergestellt, ist es nicht unsicherer als ein separater TAN
> Generator.

Diese Argumentation ist prinzipiell Unfug. Der Punkt ist, dass die 
Secrets,  die zum Generieren der TAN benötigt werden, auf dem Smartphone 
gespeichert sind. Die App an sich und wozu sie sich bewegen lässt spielt 
überhaupt keine Rolle, es geht um den Key. Habe ich den, kann ich die 
Anwendung drum herum die sich nicht um den Benutzer schert notfalls 
komplett selbst nachbauen.

> Denn die Sicherheit beim TAN Generator basiert ja nicht darauf dass
> alles getrennt ist, sondern auf der Tatsache dass man etwas körperliches
> braucht (z.B. das registrierte Smartphone) und dass die Daten aus denen
> die TAN generiert wird, vom Benutzer vorher abgesegnet werden.

Letzteres kannst du aber nicht garantieren, wenn das System, auf dem der 
Key liegt, nicht komplett kontrolliert ist.

> Bei dieser Betrachtung spielt es keine Rolle ob nun zwei Geräte
> involviert sind, oder nur eines.

Jo. Wenn der Benutzer die Sicherheitsmaßnahme ignoriert, hat er Pech 
gehabt. Ich prüfe aber immer den Betrag und bei mindestens mittleren 
Beträgen auch die IBAN auf dem Display. So viel Zeit kostet das nun auch 
nicht.

Sven B. schrieb:
> Der Punkt ist, dass die
> Secrets,  die zum Generieren der TAN benötigt sind, auf dem Smartphone
> gespeichert sind.

Das ist in der Tat ein valider Punkt. Es wäre interessant zu erfahren 
welche Sicherheitsvorkehrungen hier getroffen wurden.

> es geht um den Key.

Klar, falls es die Möglichkeit gibt an den Key zu kommen und der Algo 
zur TAN Generierung überhaupt bekannt ist. Letzteres erhöht zwar formal 
nicht die Sicherheit kostet aber auch (einmaligen) Aufwand.

Eine APP welche aber bereits eine "Inter-App" Schnittstelle zur TAN 
Generierung bereitstellt ist ein viel offensichtlicherer und einfacherer 
Angriffsvektor.

> Jo. Wenn der Benutzer die Sicherheitsmaßnahme ignoriert, hat er Pech
> gehabt.

Genau. Darauf zu spekulieren ist aber bestimmt hundert mal 
erfolgversprechender als den Key aus der App zu bekommen und die TAN 
selbst zu generieren.

Cyblord -. schrieb:
>> es geht um den Key.
>
> Klar, falls es die Möglichkeit gibt an den Key zu kommen und der Algo
> zur TAN Generierung überhaupt bekannt ist.

Die Möglichkeit an den Key zu kommen gibt es -- die App kann es ja auch. 
Der Rest ist Security by Obscurity ;)

> Letzteres erhöht zwar formal
> nicht die Sicherheit kostet aber auch (einmaligen) Aufwand.

Naja. Da haben Leute schon für erheblich weniger erheblich größeren 
Aufwand betrieben. Ist wirklich kein Argument. Vermutlich ist die App 
sogar in Java geschrieben und sehr leicht disassemblierbar.

> Eine APP welche aber bereits eine "Inter-App" Schnittstelle zur TAN
> Generierung bereitstellt ist ein viel offensichtlicherer und einfacherer
> Angriffsvektor.

Joa, aber wie du sagst formal und damit in diesem Fall real kein 
Unterschied. Ein einzelner Typ der sich mal ein paar Wochen hinsetzt und 
es ist für Millionen von Anwendern kaputt.

>> Jo. Wenn der Benutzer die Sicherheitsmaßnahme ignoriert, hat er Pech
>> gehabt.
>
> Genau. Darauf zu spekulieren ist aber bestimmt hundert mal
> erfolgversprechender als den Key aus der App zu bekommen und die TAN
> selbst zu generieren.

Wenn ich die TANs selbst generieren kann, hat das ganz andere Ausmaße 
als der andere Angriff.
Wenn der Angriff mit dem TAN-Generator bekannt wird, kannst du den 
Leuten sagen "das Verfahren ist immer noch sicher, ihr müsst nur bitte 
mal drauf achten was da steht". In dem Smartphone-Fall, also ein Wurm 
o.ä. mit entsprechender Verbreitung (wie es das in den letzten Jahren 
dutzendfach gab), der TANs generiert, kannst du direkt mal mehr oder 
weniger das ganze System abschalten.

Was ich nicht weiß, ist ob das Foto evtl. serverseitig verifiziert wird, 
kennt da jemand Details?

Sven B. schrieb:

> Joa, aber wie du sagst formal und damit in diesem Fall real kein
> Unterschied. Ein einzelner Typ der sich mal ein paar Wochen hinsetzt und
> es ist für Millionen von Anwendern kaputt.

> Wenn ich die TANs selbst generieren kann, hat das ganz andere Ausmaße
> als der andere Angriff.

Natürlich hast du recht. Und genau darum wundert es mich ja, warum 1.) 
Banken so was explizit erlauben bzw. vorsehen und 2.) warum es dazu 
recht wenig Sicherheitsforschung gibt und nicht schon lange jemand einen 
Trojaner gebaut hat der den Schlüssel aus einer Banking/Tan Apps 
ausliest und dann quasi jederzeit auf diesem Smartphone Überweisungen 
tätigen kann.

> Die Möglichkeit an den Key zu kommen gibt es -- die App kann es ja auch.

Bleibt die Frage ob es für eine Schad-App auf einem nicht gerooteten 
Smartphone möglich ist.

> Was ich nicht weiß, ist ob das Foto evtl. serverseitig verifiziert wird,
> kennt da jemand Details?

Leider nicht- Ist allerdings unerheblich da ja eine TAN auch ohne Foto 
erstellt werden kann. Letzlich transportiert das Foto nur ein paar 
Transaktionsdaten. Sicher nicht mehr als die blinkenen Barcodes der 
Sparkasse. Ich glaube nicht dass es Sicherheitsrelevant ist.

Cyblord -. schrieb:
> Natürlich hast du recht. Und genau darum wundert es mich ja, warum 1.)
> Banken so was explizit erlauben bzw. vorsehen

Weil die Hipster die aus der Bahn ihre Bananen per Überweisung bezahlen 
müssen es haben wollen! :D

> und 2.) warum es dazu
> recht wenig Sicherheitsforschung gibt und nicht schon lange jemand einen
> Trojaner gebaut hat der den Schlüssel aus einer Banking/Tan Apps
> ausliest und dann quasi jederzeit auf diesem Smartphone Überweisungen
> tätigen kann.

Ich könnte mir vorstellen, dass das hauptsächlich mit der Hemmschwelle 
zusammenhängt so eine Bank zu targetten. Anderer Betrug ist einfacher, 
es ist mit viel weniger (juristischer, etc) Gegenwehr zu rechnen. Dazu 
ist es hier schwierig, das Geld irgendwo nicht-nachverfolgbar hin zu 
überweisen ...

Bitteschön, alles schon gelöst, äh geknackt:
https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking

Sven B. schrieb:
> Cyblord -. schrieb:
>> Natürlich hast du recht. Und genau darum wundert es mich ja, warum 1.)
>> Banken so was explizit erlauben bzw. vorsehen
>
> Weil die Hipster die aus der Bahn ihre Bananen per Überweisung bezahlen
> müssen es haben wollen! :D

Dazu nimmt der sowieso PayPal oder Apple Pay. Überweisung ist ja an sich 
schon old school, ob mit Smartphone oder nicht.

Trotzdem glaube ich nicht an riesige derart offensichtliche 
Sicherheitslücke die bisher unentdeckt ist weil noch keiner Bock hatte 
sich damit zu beschäftigen.

> Ich könnte mir vorstellen, dass das hauptsächlich mit der Hemmschwelle
> zusammenhängt so eine Bank zu targetten. Anderer Betrug ist einfacher,
> es ist mit viel weniger (juristischer, etc) Gegenwehr zu rechnen. Dazu
> ist es hier schwierig, das Geld irgendwo nicht-nachverfolgbar hin zu
> überweisen ...

Allein sportlich/akademisch wäre es schon ein Coup.

vn n. schrieb:
> Bitteschön, alles schon gelöst, äh geknackt:
> 
https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking

Auch da geht es wohl um gerootete Smartphones.

Cyblord -. schrieb:
> Natürlich hast du recht. Und genau darum wundert es mich ja, warum 1.)
> Banken so was explizit erlauben bzw. vorsehen und 2.) warum es dazu
> recht wenig Sicherheitsforschung gibt und nicht schon lange jemand einen
> Trojaner gebaut hat der den Schlüssel aus einer Banking/Tan Apps
> ausliest und dann quasi jederzeit auf diesem Smartphone Überweisungen
> tätigen kann.

Gibts ja schon als Proof of Concept.
Warum Banken sowas trotzdem machen? Weils ihnen egal ist, den Benutzer 
interessier Komfort, nicht Sicherheit.

Für mich war das Ersetzen der (i)TAN Liste durch PhotoTan oder 
(kostenpflichtige) SMSTan ein (weiterer) Grund mir eine neue Bank zu 
suchen.

Mir fehlt a) dass für die App notwendige Android/iOS basierende 
Smartphone noch halte ich b) diese Lösung für sicher. Angeblich soll die 
App und das Verfahren jeweils auf genau ein Smartphone personalisiert 
sein und dadurch das Sicherheitselement "Besitz" erfüllt sein. Dumm nur 
das es anscheinend schon gelungen ist solche eine personalisierte App 
komplett zu kopieren so das einfach mit einem weiteren Smartphone die 
TANs generiert werden konnten:

http://www.heinz-schmitz.org/index.php/nachrichtenleser/it-experten-hacken-phototan-verfahren-in-echtzeit.html

Lt. dem Artikel ist der Aufwand wohl aufgrund anderer Probleme der Apps 
aber gar nicht nötig, man kann dem Nutzer einfach Dummydaten anzeigen...

Zur Kombination von Banking App und TanApp auf dem selben Handy:

https://www.computerweekly.com/de/meinung/Mobile-Banking-So-funktioniert-der-photoTAN-Hack

Ob der bei der DB zu kaufenden PhotoTan Generator sicherer ist weis ich 
nicht, aber noch obigen traue ich denen nicht mehr viel zu.

Ich habe die Bank gewechselt und nutze jetzt einfach den ChipTan 
Generator von der Sparkasse meiner Frau mit, der geht auch mit der 
Volksbank. Und um den zu Nutzen braucht man zwingend die zum Konto 
passende EC-Karte. Ich gehe davon aus (hoffe) das es weit aufwändiger 
ist den EC-Kartenchip zu kopieren als ein Handy, zumal eine Ec-Karte 
weniger Angrifssmöglichkeiten als ein Smartphone bietet. Und CHIPTan 
kann man natürlich auch von Unterwegs benutzen, einfach den Generator 
mitnehmen, die EC-Karte hat man ja eh dabei...

Ich sehe gerade, beide Links zeigen auf das gleiche Thema...

Andreas M. schrieb:
> Für mich war das Ersetzen der (i)TAN Liste durch PhotoTan oder
> (kostenpflichtige) SMSTan ein (weiterer) Grund mir eine neue Bank zu
> suchen.

iTan ist auch nicht besonders sicher, weil du nicht weißt wofür die TAN 
verwendet wird. Eine umgebogene Überweisung merkst du somit nicht.

> Lt. dem Artikel ist der Aufwand wohl aufgrund anderer Probleme der Apps
> aber gar nicht nötig, man kann dem Nutzer einfach Dummydaten anzeigen...

Dieses Problem hat jeder TAN Generator. Der Nutzer muss aufpassen und 
die Daten auf dem Display auch wirklich prüfen. Prinzipiell kann man dem 
Generator beliebige Daten schicken und dafür dann eine TAN bekommen.

Die Commerzbank nutzt ebenfalls das FotoTAN system und man kann damit 
auch vom Handy aus überweisen. Und ja: ich habe es und werde es wieder 
nutzen.

Warum? erstens: Bequemlichkeit, 2.: Vergesslichkeit.
wenn ich z.B. Rechnungen bekomme (Was sehr selten vorkommt, da vieles 
über Kreditkarte oder Bankeinzug automatisch bezahlt wird), wenn ich nun 
also eine Rechnung bekomme so ist diese normalerweise im Flur hinter der 
Eingangstür deponiert wenn ich heim komme. (Keine Ahnung, wer die da hin 
bringt g)
Nun kann ich dort den üblicherweise angehangen Überweisungsvordruck mit 
der App einfach abscannen, starte die Fototan App, kontrolliere die 
IBAN, (aber nur die ersten 4 Stellen nach dem DE, beim Rest verlasse ich 
mich auf die Rüfziffer), den Betrag, Verwendungszweck und Empfänger und 
drücke auf absenden. Fertig.
Das Dauert keine 30 Sekunden.
Wenn ich die Überweisung mit dem PC machen würde müsste ich diesen 
zuerst aufsuchen und Einschalten. Mich Einloggen beim Onlinebanking 
(geht in der App mittels Fingerabdrucksensor) und dort die 
Überweisungsdaten eingeben. Anschließend das Handy holen um die Tan zu 
generieren.

Das dauert alles sehr viel länger.
Nächstes Beispiel: Wir machen des öfteren Sammelbestellungen unter 
Kollegen. Da ist es auch kein Problem einfach schnell den Betrag zu 
überweisen anstatt mich hier wieder abends an den PC zu setzen. Das 
vergesse ich nämlich dann auch gern mal und man möchte einfach nicht 
mehrmals auf die noch ausstehende Zahlung angesprochen werden.

Für mich hat das somit ganz klare Vorteile.

Um das Risiko zu minimieren schaue ich mehrmals Wöchentlich aufs Konto. 
Unklare Überweisungen fallen so schnell auf und ich könnte sie 
entsprechend Schnell bei der Bank reklamieren. Musste ich bisher aber 
noch nie.

Christian B. schrieb:
> aber nur die ersten 4 Stellen nach dem DE

Du prüfst also die Prüfziffer und die ersten 2 Stellen der Bankleitzahl.

Ich sehe mir die letzten 6 Ziffern an - das ist der variabelste Teil der 
Kontonummer.

https://de.wikipedia.org/wiki/Internationale_Bankkontonummer#Zusammensetzung

Cyblord -. schrieb:
> iTan ist auch nicht besonders sicher, weil du nicht weißt wofür die TAN
> verwendet wird. Eine umgebogene Überweisung merkst du somit nicht.

Ja das stimmt. Da muss man sich dann auf SSL/Zertifikatsprüfne des 
Browsers und sein System verlassen.

Cyblord -. schrieb:
> Dieses Problem hat jeder TAN Generator. Der Nutzer muss aufpassen und
> die Daten auf dem Display auch wirklich prüfen. Prinzipiell kann man dem
> Generator beliebige Daten schicken und dafür dann eine TAN bekommen.

In dem Artikel steht, das bei dem Angriff die PhotoTan APP die vom 
Nutzer zur Überweisungen eingebenen Daten zur Verifikation korrekt 
angezeigt hat, im Hintergrund dann aber aber eine andere Überweisung 
durchgeführt wurde...

Christian B. schrieb:
> Um das Risiko zu minimieren schaue ich mehrmals Wöchentlich aufs Konto.
> Unklare Überweisungen fallen so schnell auf und ich könnte sie
> entsprechend Schnell bei der Bank reklamieren. Musste ich bisher aber
> noch nie.

Du kannst eine SEPA-Überweisung nicht so einfach wie eine 
SEPA-Lastschrift reklamieren. Wenn die Bank eine wie auch immer 
legitimierte SEPA-Überweisung für Dein Konto ausgeführt hat, dann ist 
das Geld erst mal Weg. Die Bank kann das nicht ohne weiteres von der 
Empfängerbank zurückholen, wird Dir daher eine ganze Menge Fragen und 
sich erstmal quer stellen. Im Bekanntenkreis hat das Jemand schon hinter 
sich: Falsche, aber gültige Empfängerkontonummer benutzt -> Geld war 
weg, die Bank hat da nichts erstattet.

Warum wird hier eigentlich immer das Zeitargument angeführt? Ist es so 
schlimm sich alle zwei Wochen mal vor den PC zu setzen und 5 Minuten in 
eine Überweisung zu investieren?

Andreas M. schrieb:

> Ja das stimmt. Da muss man sich dann auf SSL/Zertifikatsprüfne des
> Browsers und sein System verlassen.

Aber unter der Prämisse eines sauberen Systems (egal ob PC oder 
Smartphone) ist jedes TAN Verfahren sicher. Weil dann nur noch Angriffe 
von Remote in Betracht kommen, die mit der vom User verwendeten HW und 
SW nichts mehr zu tun haben.


> In dem Artikel steht, das bei dem Angriff die PhotoTan APP die vom
> Nutzer zur Überweisungen eingebenen Daten zur Verifikation korrekt
> angezeigt hat, im Hintergrund dann aber aber eine andere Überweisung
> durchgeführt wurde...

DAS wiederum spricht wirklich nicht für die Tan App. Kann aber sicher 
als Bug betrachtet und recht einfach abgestellt werden.

Cyblord -. schrieb:
> vn n. schrieb:
>> Bitteschön, alles schon gelöst, äh geknackt:
>>
> 
https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking
>
> Auch da geht es wohl um gerootete Smartphones.

Ach ne, sag bloß? Und Schadsoftware kann natürlich nie, nie, niemals 
nicht Rootrechte über Sicherheitslücken, erlangen, niiiiieeeemals!11!1 
Hat es auch in der Vergangenheit auch noch nie gegeben.

Äh, genau das ist der dort angesprochene Angriffsvektor. Aber zum Glück 
haben die Bankingapps ja jede Menge leicht zu umgehendes Schlangenöl 
eingebaut, das zwar bestenfalls Usern mit gerrotetem Gerät auf die 
Nerven geht, für Angreifer aber leicht zu umgehen ist, wie in Livedemos 
bereits gezeigt.

Cyblord -. schrieb:
> Aber unter der Prämisse eines sauberen Systems (egal ob PC oder
> Smartphone) ist jedes TAN Verfahren sicher.

Tja, und genau die Prämisse ist grundfalsch, denn ein TAN-System hat man 
ja genau deswegen, damit ein einzelnes angegriffenes Gerät nicht 
ausreicht, um das Konto leerzuräumen.

Cyblord -. schrieb:
> DAS wiederum spricht wirklich nicht für die Tan App. Kann aber sicher
> als Bug betrachtet und recht einfach abgestellt werden.

Wie genau soll man das abdrehen? Ein kompromittiertes System ist nicht 
vertrauenswürdig, Punkt. Deshalb hat man ja Multifaktorauthentifizierung 
vulgo TAN erfunden, um nicht an ein einziges System gebunden zu sein.

Andreas M. schrieb:
> In dem Artikel steht, das bei dem Angriff die PhotoTan APP die vom
> Nutzer zur Überweisungen eingebenen Daten zur Verifikation korrekt
> angezeigt hat, im Hintergrund dann aber aber eine andere Überweisung
> durchgeführt wurde...

Andreas M. schrieb:
> Du kannst eine SEPA-Überweisung nicht so einfach wie eine
> SEPA-Lastschrift reklamieren. Wenn die Bank eine wie auch immer
> legitimierte SEPA-Überweisung für Dein Konto ausgeführt hat, dann ist
> das Geld erst mal Weg. Die Bank kann das nicht ohne weiteres von der
> Empfängerbank zurückholen, wird Dir daher eine ganze Menge Fragen und
> sich erstmal quer stellen. Im Bekanntenkreis hat das Jemand schon hinter
> sich: Falsche, aber gültige Empfängerkontonummer benutzt -> Geld war
> weg, die Bank hat da nichts erstattet.

Meine Überweisungsapp hat eine Liste der zuletzt überwiesenen Beträge 
und Empfänger. Wenn die nicht mit den Daten auf dem Kontoauszug 
übereinstimmt ist das schon ein recht gutes Argument, wie ich meine. Wie 
gesagt, ich habe sehr selten Überweisungen, vielleicht 3-5 im Jahr, 
weshalb ich die auch vergesse, wenn ich es nicht gleich erledige.

Uhu U. schrieb:
> Du prüfst also die Prüfziffer und die ersten 2 Stellen der Bankleitzahl.
>
> Ich sehe mir die letzten 6 Ziffern an - das ist der variabelste Teil der
> Kontonummer.

Gutes Argument, dann werde ich ab sofort die letzten 6 Stellen 
überprüfen, wenn die Checksumme nicht stimmt meldet das die 
Überweisungsapp bei Eingabe sowieso direkt.

vn n. schrieb:
> Äh, genau das ist der dort angesprochene Angriffsvektor. Aber zum Glück
> haben die Bankingapps ja jede Menge leicht zu umgehendes Schlangenöl
> eingebaut, das zwar bestenfalls Usern mit gerrotetem Gerät auf die
> Nerven geht, für Angreifer aber leicht zu umgehen ist, wie in Livedemos
> bereits gezeigt.

nunja, auch hier gilt wie beim PC: Nicht jede kostenlose Demo muss man 
installieren. Wenn man das nämlich schonmal unterbindet siehts da 
schonmal schlecht aus. Wobei ich das gar nicht muss. Google sei dank 
belegen die nicht löschbaren und nicht benutzten standardmitbringsel 
zusammen mit den wirklich genutzten apps soviel Speicher, daß nichts 
neues mehr installiert werden kann. Auch ne Art sich zu schützen.

Christian B. schrieb:
> nunja, auch hier gilt wie beim PC: Nicht jede kostenlose Demo muss man
> installieren.

Was redest du da? Eine Livedemonstration, auch Vorführung genannt, kann 
man nicht installieren....
Unglaublich, wie man Unfug laut, falsch und begeisterung hinausposaunen 
kann, nur weil man um jeden Preis recht haben und sein Unwissen nicht 
eingestehen will...

Christian B. schrieb:
> Wenn man das nämlich schonmal unterbindet siehts da schonmal schlecht
> aus.

Ja ne, ist klar. Träumer.

Christian B. schrieb:
> Google sei dank belegen die nicht löschbaren und nicht benutzten
> standardmitbringsel zusammen mit den wirklich genutzten apps soviel
> Speicher, daß nichts neues mehr installiert werden kann.

Ich weiß zwar nicht, was deiner Meinung nach Google viel mitliefern 
soll, aber für einem Trojaner findet sich immer Platz...

vn n. schrieb:
> Ich weiß zwar nicht, was deiner Meinung nach Google viel mitliefern
> soll

Dann hast du kein Android handy und bist raus...

Außerdem zwingt dich ja auch niemand, die Überweisungen vom Handy aus zu 
machen wenn dir das zu unsicher erscheint. Mir ist in den 3 Jahren, in 
welchen ich dies nun tue noch kein einziger Cent abhanden gekommen. Ich 
habe auch noch nicht von einem greifbaren Fall gehört. Solange sich das 
nicht ändert überwiegen für mich einfach die Vorteile.

Christian B. schrieb:
> Dann hast du kein Android handy und bist raus...

Bestechend Argumentation. Äh ne, doch nicht so.

Christian B. schrieb:
> Außerdem zwingt dich ja auch niemand, die Überweisungen vom Handy aus zu
> machen wenn dir das zu unsicher erscheint.

Ach? Und das ändert jetzt was genau an der Tatsache, dass APP-TAN 
unsicher sind, und eigentlich das ganze TAN-Verfahren ad absurdum 
führen?

Christian B. schrieb:
> Mir ist in den 3 Jahren, in welchen ich dies nun tue noch kein einziger
> Cent abhanden gekommen.

Wow. Ganz toll.

Christian B. schrieb:
> Ich habe auch noch nicht von einem greifbaren Fall gehört.

Eine Bank wäre wohl auch blöd, sowas zu publizieren... wenn Mutti Geld 
abgezweigt wurde, wird sie das nach etwas hin und her halt 
zurückbekommen mit verweis darauf, dass sie ja eigentlich selbst schuld 
ist.


Unfassbar, wie fahrlässig manche mit ihrem Geld umgehen: ist zwar 
erwiesenermaßen höchst unsicher,aber egal, machma trotzdem.

vn n. schrieb:
> Unfassbar, wie fahrlässig manche mit ihrem Geld umgehen: ist zwar
> erwiesenermaßen höchst unsicher,aber egal, machma trotzdem.

Andere Leute legen ihr Geld unters Kopfkissen oder verstecken es in 
Keksdosen.
Irgendeinen Tod muss man sterben. Wenn man das TAN Verfahren nicht will 
muss man es ja nicht verwenden. Alle Banken, durch die Bank, bieten 
Schalterüberweisungen an. Indeß die meisten lassen sich diesen Service 
gut bezahlen. Entweder man lebt damit oder man nutzt Alternativen. Wie 
immer im Leben hat man diese beiden Optionen.

Tan Generatoren auf Basis der EC Karte wurden bereits genannt. Auch 
diese bieten viele Banken an. ist möglicherweise eine Alternative für 
die, denen Fototan zu unsicher ist.

Christian B. schrieb:
> Andere Leute legen ihr Geld unters Kopfkissen oder verstecken es in
> Keksdosen.

Schön. Und was hat das nun mit dem Thema zu tun?

Christian B. schrieb:
> Irgendeinen Tod muss man sterben.

Nö. Gibt ja genug sichere TAN-Verfahren, da muss man kein unsicheres 
anbieten.

Christian B. schrieb:
> ist möglicherweise eine Alternative für
> die, denen Fototan zu unsicher ist.

photoTAN ist nicht unsicher, es ging um diese komischen Apps, die 
Banking und "TAN" in einem anbieten. photoTAN im herkömlichen Sinne ist 
(relativ) sicher, da ich ja zwei Geräte brauche, eines auf dem ich 
überweise, und eines, mit dem ich den Code abfotografiere.
Herrgott, liest hier auch jemand?

Christian B. schrieb:
> Wenn man das TAN Verfahren nicht will
> muss man es ja nicht verwenden.

Lächerliches Argument, das Banken und andere Dienstanbieter immer wieder 
bringen, wenn sie ihren kapuuten Müll auf den Markt werfen. Woher soll 
Mutti wissen, dass Single-App-PseudoTANs unsicher sind? Aber natürlich, 
immer brav dem User die Verantwortung für die kaputten Konzepte in die 
Schuhe schieben.

https://futurezone.at/digital-life/hack-wie-bei-n26-geld-abgezweigt-werden-konnte/237.973.645
https://www.gruenderszene.de/allgemein/n26-ccc-vincent-haupert-kundenservice
https://blog.fefe.de/?ts=a3f881bd

Oh, wer hätte das gedacht, Bankingapps mit kaputtem Konzept dahinter 
sind unsicher!!11!1

Dann ist das ja jetzt umfassend geklärt.

Auch ohne die vielen "!".

Christian B. schrieb:
>
>
> Tan Generatoren auf Basis der EC Karte wurden bereits genannt. Auch
> diese bieten viele Banken an. ist möglicherweise eine Alternative für
> die, denen Fototan zu unsicher ist.

Das "Problem" hier sind dann Banken, die unbedingt das Rad per App neu 
erfinden wollen, und diese bestehende Infrastruktur nicht nutzen wollen. 
Betreffende Bank wurde schon genannt.

Wenn die iTAN-Liste nicht mehr geht, wird das Chip-Tan Verfahren kommen. 
Ob mit oder ohne die betreffende Bank...

iTan gibt es bald nicht mehr, bei einigen Banken schon jetzt.
Dann MUSS man gezwungenermaßen wechseln.
Ich nutze dafür keine Smartphone App, sondern einen Kartenleser.

Ist es an euch vorbeigegangen, dass da ein Gesetz geändert wurde und 
daher die itan nicht mehr ausreicht?

https://www.tagesspiegel.de/verbraucher/abschied-von-der-tan-liste-das-sind-die-alternativen-tan-verfahren/24362676.html

---
Mit dem Aus der Papier-Tanliste setzen die Banken eine Vorgabe der EU 
um, die verlangt, dass Tan dynamisch generiert werden: dass also eine 
App oder ein Gerät sie erst in dem Moment erzeugt, in dem der Nutzer sie 
braucht.
---

Hier wird diese EU Richtlinie nochmal erklärt:
https://www.tagesspiegel.de/verbraucher/mehr-schutz-im-netz-darum-wird-das-onlineshoppen-kompliziert/24474480.html

Mit krassen Dingen wie:
---
Banken verlieren die alleinigen Rechte auf die Daten ihrer Kunden und 
müssen Drittanbietern künftig einen Zugriff aufs Konto gewähren – so 
diese es erlauben.
---
Natüüüüürlich kann man das abschalten, aber dann find ma ne Wohnung...
(Der hat ja was zu verbergen!)

Mw E. schrieb:
> Ist es an euch vorbeigegangen, dass da ein Gesetz geändert wurde und
> daher die itan nicht mehr ausreicht?

Wurde hier schon oft im Thread angesprochen. Vielleicht ist das an DIR 
vorbeigegangen?