Forum: Offtopic Smartphone SIM Identitaetsdiebstahl

Weshalb Banken hierzulande von 2FA per SMS abgekommen sind.

Alter Hut, es gibt sogar schon einen Wikipedia-Artikel.
https://de.wikipedia.org/wiki/SIM-Swapping

> Weshalb Banken hierzulande von 2FA per SMS abgekommen sind.

Dafür 2FA per Passwortgeschützter Handy-App-Transaktion. Bis auf das 
zusätzliche Passwort ist es das selbe wie reine SMS.

SMS mit Code versenden bleibt IMHO weiter verbreitet (Krankenkassen, 
Paypal, etc. pp.)

> Alter Hut, es gibt sogar schon einen Wikipedia-Artikel.
Eben, >10 Jahre alt.

(prx) A. K. schrieb:
> Weshalb Banken hierzulande von 2FA per SMS abgekommen sind.

Und daher Smartphone-Apps anbieten die noch viel einfacher zu 
kompromittieten sind ?

Michael B. schrieb:
> Und daher Smartphone-Apps anbieten die noch viel einfacher zu
> kompromittieten sind ?

Ist viel schwieriger zu kompromittieren. Dafür musst du erstmal an das 
Telefon rankommen, und je nach Sicherheitspatch-Status eine 
Hintertür-App installieren, den  User auf eine Webseite locken, in 
Bluetooth-Reichweite kommen, etwas am USB-Port anstöpseln usw.

Beim Sim-Swapping/Portieren geh ich 500km entfernt in einen 
Telekom/O2/Vodaphone-Shop, sag dem Mitarbeiter dass ich meine SIM 
verloren hab/gerne einen neuen Vertrag mit Rufnummernmitnahme 
abschließen will, zeig dem einen schlechten Farbausdruck von einem 
Fake-Ausweis oder schieb einen Fuffi als "Identitätsnachweis" rüber, und 
bin am Ziel.

Michael B. schrieb:
> Und daher Smartphone-Apps anbieten die noch viel einfacher zu
> kompromittieten sind ?

Wie macht man das bei diesen Apps?

Bradward B. schrieb:
> Dafür 2FA per Passwortgeschützter Handy-App-Transaktion. Bis auf das
> zusätzliche Passwort ist es das selbe wie reine SMS.

Auch QR/Photo-TAN Verfahren?

Bradward B. schrieb:
> Dafür 2FA per Passwortgeschützter Handy-App-Transaktion. Bis auf das
> zusätzliche Passwort ist es das selbe wie reine SMS.

Nö, der Transportweg ist ein komplett anderer, die "Handy-App" 
funktioniert nämlich auch ohne SIM (wenn das Smartphone in einem WLAN 
eingebucht ist).

Warum senden die Anbieter eigentlich so leicht eine Ersatzsim? Bei einer 
"defekten" oder "verlorenen" Sim könnte man ja prüfen, ob die Sim auch 
mindestens 48 Stunden nicht im Netz eingeloggt ist. Und bei allen 
anderen Begründungen könnte man ja einfach mal per Anruf und SMS 
nachfragen.

Matthias X. schrieb:
> Warum senden die Anbieter eigentlich so leicht eine Ersatzsim?

Weil ein Mobilfunkkunde seinen Anschluß genauso schnell entstört haben 
möchte wie ein Forenopi seinen Festnetzanschluß, den viele 
Mobilfunkkunden ja auch nicht mal mehr haben.

> Bei einer "defekten" oder "verlorenen" Sim könnte man ja prüfen, ob die Sim
> auch mindestens 48 Stunden nicht im Netz eingeloggt ist.

Dann ist man 48h telefonisch nicht erreichbar, kann u.U. unterwegs nicht 
arbeiten, da man ja kein Internet hat usw. usf.

Matthias X. schrieb:
> Warum senden die Anbieter eigentlich so leicht eine Ersatzsim?

Wenn ein Angreifer keinen Zugriff auf den Postweg hat, ist das bei den 
üblicherweise darüber versendeten physischen SIMs und dazu gehörenden 
PINs/PUKs nicht so leicht.

Weshalb Ernst vorhin beschrieb, wie man das über einen Handyshop 
deichselt. Der hat vielleicht privilegierten Zugang und kann Leerkarten 
Nummern zuordnen. Auch manche Unternehmen mit eigener Kartenausgabe 
können das zumindest für ihre Nummernkreise. Profigauner könnten bei 
solchen Wegen ansetzen.

Interessanter ist es bei eSIMs, weil da der Postweg nicht zwingend ist, 
es u.U. mit einfacher Anmeldung beim Anbieter erfolgen kann. Man könnte 
sicherheitshalber auch da den Postweg erzwingen, per ausgedrucktem 
QR-Code statt SIM, aber dann fragt sich mancher Kunde, ob der Anbieter 
noch im Fax-Zeitalter stecken geblieben ist, ob der Umständlichkeit. Wo 
es doch rein digital so einfach wäre.

Der Weg über Neuvertrag mit Rufnummernmitnahme wurde ebenfalls erwähnt. 
Was ja keine Ersatz-SIM ist. Auch hier besteht eine Balance zwischen 
Missbrauchsprävention und als Kundenschikanierung wahrgenommener 
Umständlichkeit.

Michael B. schrieb:
> (prx) A. K. schrieb:
>> Weshalb Banken hierzulande von 2FA per SMS abgekommen sind.
>
> Und daher Smartphone-Apps anbieten die noch viel einfacher zu
> kompromittieten sind ?

Ganz so einfach nicht. Bei mir sind die Banking-Apps im "Secure Folder" 
abgelegt. Da kommen Betrüger nicht ran.



(prx) A. K. schrieb:
> Matthias X. schrieb:
>> Warum senden die Anbieter eigentlich so leicht eine Ersatzsim?
>
> Weshalb Ernst vorhin beschrieb, wie man das über einen Handyshop
> deichselt. Der hat vielleicht privilegierten Zugang und kann Leerkarten
> Nummern zuordnen. Auch manche Unternehmen mit eigener Kartenausgabe
> können das zumindest für ihre Nummernkreise. Profigauner könnten bei
> solchen Wegen ansetzen.

Bei der Telekom dürfte das eigentlich nicht gehen, da die Shops eine PIN 
brauchen, die an das Handy des Kunden gesendet wird. Da bleibt dann nur 
der Postweg.


Εrnst B. schrieb:
> Michael B. schrieb:
>> Und daher Smartphone-Apps anbieten die noch viel einfacher zu
>> kompromittieten sind ?
>
> [...] und je nach Sicherheitspatch-Status eine
> Hintertür-App installieren {...]
>

Bei Samsung "Secure Folder" kann das ein Angreifer nicht, da da 
Side-Load nicht funktioniert. Und ein Samsung-Smartphone bekommt das 
mit, dann wird das "Knox warranty Void" auf 1 gesetzt, weshalb dann der 
Secure-Folder unwiederbringlich deaktiviert wird, ebenso die 
Bimoetrie-Funktionen (Fingerabdruck und Gesichtserkennung). Künftige 
Android-Smartphones sollen von haus aus einen "Secure Folder" haben. Man 
kann sich also schützen.

Matthias X. schrieb:
> könnte man ja einfach mal per Anruf und SMS
> nachfragen.

Obiger Fall betrifft die USA, und wie ja auch im Artikel steht, tut sich 
da was. Identitätsdiebstahl ist dort bisher ein deutlich heisseres Thema 
als in D. Trotzdem hat es ziemlich gedauert, bis sich was rührte, und 
das wurde nun wieder aufgeschoben.

"The rules were scheduled to take effect on July 8, but the FCC on July 
5 granted phone companies a waiver that delays implementation until the 
White House Office of Management conducts a further review."

(prx) A. K. schrieb:
> Identitätsdiebstahl ist dort bisher ein deutlich heisseres Thema
> als in D.

Was unter anderem daran liegt, daß dort die wenigsten einen Ausweis oder 
Pass haben. Zur Identifikation werden Führerscheine* oder ähnliches 
verwendet.

https://en.wikipedia.org/wiki/Driver%27s_license#North_America

Money Quote:

In Canada, Mexico, and the United States, driving permits are issued by 
the provinces or states, respectively, (or either country's 
territories),
and do not look the same nationwide. They are also used as a de facto 
or government-issued identification document for the holder.

D.h. die sehen selbst innerhalb eines Landes nicht einheitlich aus, was 
das Fälschungspotential erheblich erhöht.

Das Konzept der Meldepflicht (Staat kennt die aktuelle Wohnadresse jedes 
Staatsangehörigen) ist dort vollkommen unbekannt. Staatliche 
Ausweispapiere (Reisepass) brauchts nur, wenn man das Land verlassen 
will.

Das ist in Großbritannien übrigens auch so.

Michael B. schrieb:
> (prx) A. K. schrieb:
>> Weshalb Banken hierzulande von 2FA per SMS abgekommen sind.
>
> Und daher Smartphone-Apps anbieten die noch viel einfacher zu
> kompromittieten sind ?

Ist das dein gesundes Volksempfinden oder hast du dafür handfeste 
Sachargumente?
Ansonsten Unsinn!
Unsinn den ahnungslose technikfeindliche Opas den ganzen Tag absondern.

Cyblord -. schrieb:
> Ist das dein gesundes Volksempfinden oder hast du dafür handfeste
> Sachargumente?
> Ansonsten Unsinn!
> Unsinn den ahnungslose technikfeindliche Opas den ganzen Tag absondern.

Es ist schon wichtig, die 3 bis 4 Jahre alte Steinzeittechnik 
baldmöglichst durch noch schludriger konzipierten und programmierten 
Kram mit noch mehr Manipulationsmöglichkeiten zu ersetzen.

Dieter W. schrieb:
> Es ist schon wichtig, die 3 bis 4 Jahre alte Steinzeittechnik
> baldmöglichst durch noch schludriger konzipierten und programmierten
> Kram mit noch mehr Manipulationsmöglichkeiten zu ersetzen.

selbiges sehe ich bei Arztbesuchen auch.
Bei einem Rezept in Papierausführung konnte ich
per Foto beweisen was drauf stand.

Jetzt wird alles viel "einfacher" gemacht
und ich hab keinen richtigen Einblick mehr.

Naja und dass ich beim Arzt mal was zu unterschreiben hätte...
Bis DAS vorkommt hab ich für mein Auto 20 Unterschriften geleistet.
Bei einer Reparatur schon gleich 3 mal.

Da wird im Hintergrund gemauschelt was nur geht.

pfft, und da regt Ihr Euch übers Händy auf, bei dem Ihr das alles noch
selbst in der Kontrolle hättet, ob Ihr damit Bankgeschäfte macht oder 
nicht.

●DesIntegrator ●. schrieb:

> selbiges sehe ich bei Arztbesuchen auch.
> Bei einem Rezept in Papierausführung konnte ich
> per Foto beweisen was drauf stand.
>
> Jetzt wird alles viel "einfacher" gemacht
> und ich hab keinen richtigen Einblick mehr.

Man hat Einblick per App.

Willst du ewig und 3 Tage irgendwelche Ausdrucke von A nach B tragen?
Arzt hat alles im PC, muss aber Wisch ausdrucken.
Apotheke tippt Rezept wieder in PC.
Großes Kino.
Das E-Rezept war Überfällig.

> pfft, und da regt Ihr Euch übers Händy auf, bei dem Ihr das alles noch
> selbst in der Kontrolle hättet, ob Ihr damit Bankgeschäfte macht oder
> nicht.

Wer regt sich auf? Ich kenne da ein paar Spezis die gehen jede Woche zum 
Kontoauszugsdrucker weil die Onlinebanking nicht trauen. Beim Handy sind 
die noch nicht mal angekommen.
Sind dann die Gleichen die Betrügern 100k in Bar geben weil sie eine 
Story am Telefon erzählen. Safety first.

●DesIntegrator ●. schrieb:
> selbiges sehe ich bei Arztbesuchen auch.
> Bei einem Rezept in Papierausführung konnte ich
> per Foto beweisen was drauf stand.

Muss man das? Hast Du einen so merkwürdigen Arzt oder Apotheker?

Harald K. schrieb:
> ●DesIntegrator ●. schrieb:
>> selbiges sehe ich bei Arztbesuchen auch.
>> Bei einem Rezept in Papierausführung konnte ich
>> per Foto beweisen was drauf stand.
>
> Muss man das? Hast Du einen so merkwürdigen Arzt oder Apotheker?

Er ist der typische Problemkunde bzw. Problempatient.

Jeder will ihn Abzocken und reinlegen. Der Staat verfolgt ihn. Finstere 
Mächte beeinflussen sein Leben. Deshalb muss er alles Belegen, Beweisen 
und Fotografieren.

Harald K. schrieb:
> ●DesIntegrator ●. schrieb:
>> selbiges sehe ich bei Arztbesuchen auch.
>> Bei einem Rezept in Papierausführung konnte ich
>> per Foto beweisen was drauf stand.
>
> Muss man das? Hast Du einen so merkwürdigen Arzt oder Apotheker?

wenn Dir z.B. der Begriff "Aut Idem" etwas sagt...

Cyblord -. schrieb:
> Deshalb muss er alles Belegen, Beweisen
> und Fotografieren.

Hoffentlich nicht mit einem Smartphone, wo DIE über das Internet 
nachträglich die Bilder manipulieren.
Besser: alte Analog-Kamera. Und sicherheitshalber die Filme in der 
eigenen Dunkelkammer entwickeln.

Εrnst B. schrieb:
> Und sicherheitshalber die Filme in der
> eigenen Dunkelkammer entwickeln.

Aber nur wenn mit Alufolie ausgekleidet. Sonst verändern die Strahlen 
IHRER Chemtrail Flugzeuge die Bilder.

●DesIntegrator ●. schrieb:
> wenn Dir z.B. der Begriff "Aut Idem" etwas sagt...

Das hast du sonst mühsam vom Papier-Rezept runtergekratzt, damit du 
nichts von Ratiopharm bekommst?

Und deine Sorge ist jetzt, dass du elektronische Rezepte nicht mehr 
manipulieren kannst?

●DesIntegrator ●. schrieb:
> wenn Dir z.B. der Begriff "Aut Idem" etwas sagt...

Und? Hast Du ein Problem mit Generika?

haha interessant, was Ihr wieder alles über mich zu wissen glaubt

Euch ich SCHON klar,
dass Apotheken die Verschreibung des Arztes
nach Gutdünken abwandeln dürfen,
zumindest solange der gleiche Wirkstoff verabreicht wird?

Aber eine Pille besteht mehr als nur aus dem Wirkstoff.

●DesIntegrator ●. schrieb:
> Aber eine Pille besteht mehr als nur aus dem Wirkstoff.

Deswegen erklärst du deinem Arzt warum du dringend das Original-Präparat 
brauchst, dann landet das passend am Rezept, und in der Apotheke musst 
du halt 1-2 Tage warten bis das Mittelchen bestellt ist.

●DesIntegrator ●. schrieb:
> Euch ich SCHON klar,
> dass Apotheken die Verschreibung des Arztes
> nach Gutdünken abwandeln dürfen,
> zumindest solange der gleiche Wirkstoff verabreicht wird?

Ja und das wird meist auch kommuniziert. Man du kannst auch sagen dass 
du das nicht willst.
Reden statt merkwürdig sein. Ach kannst du nicht.

> Aber eine Pille besteht mehr als nur aus dem Wirkstoff.

Natürlich. Aus Erdstrahlen, Mana und Steinsalzenergien.

Weiß doch jeder, das ist irrer Verschwörungstheoretiker 101 sozusagen.

Meine Güte, was seid Ihr doch alle für kompetente Schlauberger.
Und Der hier ganz besonders:

Cyblord -. schrieb:
>> Aber eine Pille besteht mehr als nur aus dem Wirkstoff.
>
> Natürlich. Aus Erdstrahlen, Mana und Steinsalzenergien.

●DesIntegrator ●. schrieb:
> Meine Güte, was seid Ihr doch alle für kompetente Schlauberger.

Ach was. Wir lachen dich auch gar nicht aus, sondern lachen eher über 
dich...

Εrnst B. schrieb:
> Deswegen erklärst du deinem Arzt warum du dringend das Original-Präparat
> brauchst, dann landet das passend am Rezept, und in der Apotheke musst
> du halt 1-2 Tage warten bis das Mittelchen bestellt ist.

Das ist echt Unsinn. So würden sich ja normale Menschen verhalten. Nein 
dieser Spezialist hier, poltert in die Apotheke und beschimpft die Leute 
dort erstmal dass sie ihn mit Generika vergiften wollen und der Staat 
mit dem E-Rezept den Weg dafür frei macht.
Dann ist Atmosphäre gelockert und bereit für konstruktive Gespräche. Und 
natürlich Chemtrail geschwängert. Selbstredend.

Cyblord -. schrieb:
> ●DesIntegrator ●. schrieb:
>> Meine Güte, was seid Ihr doch alle für kompetente Schlauberger.
>
> Ach was. Wir lachen dich auch gar nicht aus, sondern lachen eher über
> dich...

Du solltest langsam aufpassen was Du schreibst, Freundchen

●DesIntegrator ●. schrieb:
> Cyblord -. schrieb:
>> ●DesIntegrator ●. schrieb:
>>> Meine Güte, was seid Ihr doch alle für kompetente Schlauberger.
>>
>> Ach was. Wir lachen dich auch gar nicht aus, sondern lachen eher über
>> dich...
>
> Du solltest langsam aufpassen was Du schreibst, Freundchen

Und warum genau sollte ich das?

●DesIntegrator ●. schrieb:
> Aber eine Pille besteht mehr als nur aus dem Wirkstoff.

Hat Dir das der nette Herr aus der Pharmareklame erzählt?

Cyblord -. schrieb:
>> Du solltest langsam aufpassen was Du schreibst, Freundchen
>
> Und warum genau sollte ich das?

weil Du schon mal wieder ziemlich beleidigend wirst.

●DesIntegrator ●. schrieb:
> Cyblord -. schrieb:
>>> Du solltest langsam aufpassen was Du schreibst, Freundchen
>>
>> Und warum genau sollte ich das?
>
> weil Du schon mal wieder ziemlich beleidigend wirst.

Denke nicht.
Und ich denke es ist erlaubt Verschwörungstheoretiker auszulachen wo 
immer man sie findet.

Weil ich, ja ich, sonst den 'Beitrag melden'-Button mehrfach betätige 
😆😆😅

Der eine mag halt sein Papierrezept, weil er das

1. selbst vor Einlösung lesen kann,

2. es in die Apotheke seiner Wahl tragen kann

Der Andere kommt ihm mit "chemtrails".

Argumentativ unterste Schublade.
Die eigene Arztwahl ist ebenso eine höchst private Angelegenheit, eine 
Geschichte von gegenseitigem Vertrauen, wie eben auch die Wahl des 
Apothekers. Immerhin heisst es "..fragen Sie ihren Arzt oder Apotheker". 
Manch Patient findet dort Gehör, eine zweite Meinung, eine 
Interessensabwägung zwischen erwartbarem Nutzen eines Medikaments und 
möglichen Nebenwirkungen.

Immerhin haben hier die Beitragsmillionäre sachlich gefestigte und 
moralisch überlegene Kommentare abgegeben, von universalgebildeter 
Qualität.

Tatsächlich hätte der Patient "gleich" hier fragen können.

25.000 oder 70.000 Beiträge lügen nicht. Es MUSS sich um Universalgenies 
handeln, grösstenteils Ü60.

Heinrich K. schrieb:
> 2. es in die Apotheke seiner Wahl tragen kann

Das E-Rezept kann ich jeder Apotheke der Wahl eingelöst werden.
Es ist nicht an eine Apotheke gebunden.

Erstmal die Fakten korrekt hin bekommen, dann über die Soft Skills 
schwadronieren.

> 25.000 oder 70.000 Beiträge lügen nicht. Es MUSS sich um Universalgenies
> handeln, grösstenteils Ü60.

In jedem Beitrag von dir mockierst du dich über die Beitragsanzahl 
anderer User. Da muss dich ja schwer mitnehmen. Willst du darüber reden?

Heinrich K. schrieb:
> Der Andere kommt ihm mit "chemtrails".

und das zeigt, dass einige einfach nur krank im Kopf sind,
wenn man immer gleich nur noch mit solchen Dingen antworten kann.

25.048 "Beiträge" um genau zu sein. Gerne auch über chemtrails, Aluhüte, 
faule Ossis, Forenrentner.

"Jetzt" "erklärt" er, daß man auch E-Rezepte überall hintragen kann. Er 
erklärt Selbstverständlichkeiten.

Die Steigerung:

Cyblord -. schrieb:
> In jedem Beitrag von dir mockierst du dich über die Beitragsanzahl
> anderer User

"In jedem ...", soso, also bereits 2000 mal?

Seine Lordschaft is not amused about Kritik?
Sowas aber auch.
Schnell was schwurbeln von Flugzeugen, oder, wie der andere Spinner von 
Dunkelkammer, Alufolie, etc.

Cyblord -. schrieb:
> Denke nicht.
> Und ich denke es ist erlaubt Verschwörungstheoretiker auszulachen wo
> immer man sie findet.

und Forenbeitragsmillionäre erst, hahaaahahaaaaa 😆😆😆😂😂😂😂😆😆

Heinrich K. schrieb:
> Cyblord -. schrieb:
>> Denke nicht.
>> Und ich denke es ist erlaubt Verschwörungstheoretiker auszulachen wo
>> immer man sie findet.
>
> und Forenbeitragsmillionäre erst, hahaaahahaaaaa 😆😆😆😂😂😂😂😆😆

Natürlich. Sei mein Gast.

Aber btw: Du warst in Mathe immer die Kreide holen richtig?

Heinrich K. schrieb:
> "Jetzt" "erklärt" er, daß man auch E-Rezepte überall hintragen kann. Er
> erklärt Selbstverständlichkeiten.

Ja sollte jeder Wissen. Du hast jedoch etwas anderes behauptet. Daher 
habe ich dich korrigiert. Gern geschehen.

Beweist Du nun auch noch, daß...

Cyblord -. schrieb:
> In jedem Beitrag von dir mockierst du dich über die Beitragsanzahl
> anderer User.

?

Bitte gleich erledigen!

Cyblord -. schrieb:
> Aber btw: Du warst in Mathe immer die Kreide holen richtig?

Stammtischparole, ganz flach.

Heinrich K. schrieb:
> Stammtischparole, ganz flach.

Für dich reichts.

Das meinst halt Du Stammtischschwätzer.

mit Deinen mittlerweile 25.051 "Beiträgen" 😆😆😆😆

Da inzwischen weit, weit ab vom eigentlichen Thema könnte hier 
eigentlich zugemacht werden.

Nur so 'ne Idee...

Michael W. schrieb:
> Da inzwischen weit, weit ab vom eigentlichen Thema könnte hier
> eigentlich zugemacht werden.
>
> Nur so 'ne Idee...

Dabei hat es gerade diesen µC-Forumstypischen heimeligen Umgangston 
erreicht...

Michael W. schrieb:
> Da inzwischen weit, weit ab vom eigentlichen Thema könnte hier
> eigentlich zugemacht werden.
>
> Nur so 'ne Idee...

und fortan gewisse Subjekte einfach nur ignorieren

●DesIntegrator ●. schrieb:
> haha interessant, was Ihr wieder alles über mich zu wissen glaubt
>
> Euch ich SCHON klar,
> dass Apotheken die Verschreibung des Arztes
> nach Gutdünken abwandeln dürfen,
> zumindest solange der gleiche Wirkstoff verabreicht wird?
>
> Aber eine Pille besteht mehr als nur aus dem Wirkstoff.

Und manche sogar NUR aus Zuckerkügelchen, die bei Mondschein gewendet 
wurden... ;-))

noch einer, der sich einreihen möchte?

Thomas U. schrieb:
> ●DesIntegrator ●. schrieb:
>> haha interessant, was Ihr wieder alles über mich zu wissen glaubt
>>
>> Euch ich SCHON klar,
>> dass Apotheken die Verschreibung des Arztes
>> nach Gutdünken abwandeln dürfen,
>> zumindest solange der gleiche Wirkstoff verabreicht wird?
>>
>> Aber eine Pille besteht mehr als nur aus dem Wirkstoff.
>
> Und manche sogar NUR aus Zuckerkügelchen, die bei Mondschein gewendet
> wurden... ;-))

Ach - es gibt GLÄUBIGE dieser 'Wirkstoffe' hier im Kreis?

> Weshalb Banken hierzulande von 2FA per SMS abgekommen sind.

Da war doch gerade etwas zu lesen, mal den Goldesel besuchen.

Nachdem ich den Threadverlauf überflogen habe, sind doch einige 
interessante Beiträge aus verschiedenen Blickwinkeln zusammengekommen. 
Auf jeden Fall ist das hier ergiebiger und kostet weniger Zeit die rund 
50 Beiträge durchzugehen als ein paar der Suchmaschinen mit 
KI-Unterstützung anzuwerfen.

●DesIntegrator ●. schrieb:
> und fortan gewisse Subjekte einfach nur ignorieren

Zu lesen war mal, das 20% der digitalen Medien Nutzenden über 50 Posts 
pro Tag absetzen. Das wären bei 365 Tagen x 50 Stück = 18250 Posts/Jahr. 
Das Fazit ist, trotz Corona, bei weitem auch nicht während der 
Ausgangssperren nur annäherungsweise geschafft.

Cyblord -. schrieb:
> ●DesIntegrator ●. schrieb:

>> Aber eine Pille besteht mehr als nur aus dem Wirkstoff.
>
> Natürlich. Aus Erdstrahlen, Mana und Steinsalzenergien.

Desintegrator hat recht.

Zurück zum Thema:
Kann ich trotz Verlusts des Smartphones, mit welchem ich per App 
Bankgeschäfte mache, trotzdem weiter Bankgeschäfte machen (per PC, 
anderes Smartphone, oä) ?

Martin L. schrieb:
> Kann ich trotz Verlusts des Smartphones, mit welchem ich per App
> Bankgeschäfte mache, trotzdem weiter Bankgeschäfte machen (per PC,
> anderes Smartphone, oä) ?

Dazu müssen beim Bankzugang mehrere Geräte mit einer 
Authentifizierungs-App eingerichtet sein. Ist nur eines eingerichtet, 
geht bis zur Wiedereinrichtung eines solchen zweiten Weges nur Filial- 
oder Telefonbanking. Diese Fragen richtest du aber besser an die Bank, 
ggf auch per Telefon. Die sind nicht alle gleich. Es ist nicht einmal 
alle Sparkassen gleich.

Diese Authentifizierungs-Apps sind mit der Einrichtung sinnvollerweise 
an exakt dieses eine Gerät gebunden, nicht kopierbar. Wie die 
Einrichtung genau abläuft, sagt dir deine Bank.

Sicherheitsregel: Das Gerät, mit dem Du die Interaktion mit der Bank 
machst, sollte nicht auch das Gerät sein, mit dem Du diese Interaktion 
bestätigst. Also beispielsweise die Geschäfte mit dem PC-Browser 
verrichten, und per Authentifizierungs-App auf dem Handy bestätigen. 
Aber nicht beides auf dem gleichen Gerät.

Martin L. schrieb:
> Desintegrator hat recht.

Starkes Argument.

(prx) A. K. schrieb:
> Sicherheitsregel: Das Gerät, mit dem Du die Interaktion mit der Bank
> machst, sollte nicht auch das Gerät sein, mit dem Du diese Interaktion
> bestätigst. Also beispielsweise die Geschäfte mit dem PC-Browser
> verrichten, und per Authentifizierungs-App auf dem Handy bestätigen.
> Aber nicht beides auf dem gleichen Gerät.

Ja, nur propagieren einige Banken ja nun ausdrücklich Banking per Handy, 
und niemand wird dafür mit zwei Handys rumlaufen.

Ist also auch wieder praxisfremd.

Oliver

Oliver S. schrieb:
> Ja, nur propagieren einige Banken ja nun ausdrücklich Banking per Handy,
> und niemand wird dafür mit zwei Handys rumlaufen.
>
> Ist also auch wieder praxisfremd.

Und unnötig. Es gibt keinen erfolgreichen Angriffsvektor auf diese Art 
von Online-Banking.

Wenn du heute von jemandem Geld stehlen willst, reicht ein Telefonanruf 
und ne Story von einem Enkel in Not.

Martin L. schrieb:
> Kann ich trotz Verlusts des Smartphones, mit welchem ich per App
> Bankgeschäfte mache, trotzdem weiter Bankgeschäfte machen (per PC,
> anderes Smartphone, oä) ?

Hintergrund meiner Frage:
Bei Verlust des Handys beschränkt es sich bisher auf Verlust von Fotos 
und gewissem Komfort. Dabei soll es bleiben. Ich möchte nicht regeltecht 
'handlungsunfähig' werden, wenn ich das Handy verliere oder es kaputt 
geht. Daher habe ich die BankingApp bisher nicht genutzt bzw. eine 
Authentifizierung möglichst per e-Mail durchführen lassen.

Martin L. schrieb:
> Bei Verlust des Handys beschränkt es sich bisher auf Verlust von Fotos
> und gewissem Komfort. Dabei soll es bleiben. Ich möchte nicht regeltecht
> 'handlungsunfähig' werden, wenn ich das Handy verliere oder es kaputt
> geht. Daher habe ich die BankingApp bisher nicht genutzt bzw. eine
> Authentifizierung möglichst per e-Mail durchführen lassen.

Inwiefern würde die Nutzung einer Banking-App, deine offensichtlich 
bereits vorhandene Möglichkeit Banking per PC und E-Mail zu machen 
einschränken?

Nur welche Bank bietet eigentlich Authentifizierung per E-Mail an?

Es ist ja eher so auch und gerade für Banking über PC braucht man das 
Handy als Zweiter Faktor.
TAN Listen sind wohl überall abgeschafft.

Daher finde ich, macht deine Frage nicht so viel Sinn.

Bei meiner Bank gab's dafür einen QR Code auf Papier, mit dem man sich 
die QR TAN App auf einem neuen Handy wieder einrichten kann. Den Brief 
sollte man sicher verwahren. Ansonsten muss man das ganze Prozedere neu 
starten mit Anrufen und so weiter...

Die Postbank hat einen Einmalcode, der danach verbrannt ist. Ist dem 
Prinzip nach sicherer, weil der nicht hochsicher aufbewahrt werden muss.

Martin L. schrieb:
> Martin L. schrieb:
>> Kann ich trotz Verlusts des Smartphones, mit welchem ich per App
>> Bankgeschäfte mache, trotzdem weiter Bankgeschäfte machen (per PC,
>> anderes Smartphone, oä) ?
>
> Hintergrund meiner Frage:
> Bei Verlust des Handys beschränkt es sich bisher auf Verlust von Fotos
> und gewissem Komfort. Dabei soll es bleiben. Ich möchte nicht regeltecht
> 'handlungsunfähig' werden, wenn ich das Handy verliere oder es kaputt
> geht. Daher habe ich die BankingApp bisher nicht genutzt bzw. eine
> Authentifizierung möglichst per e-Mail durchführen lassen.

Dann frag halt Deine Bank, wie die das hält. Jede Bank hat ihre eigenen 
Verfahren und wenn die Banking App mit der Hardware des Handy verdongelt 
ist, dann kann man sich bei Verlust durchaus vom Banking ausschließen. 
Wenn man aber einen funktionierenden weiteren Account hat, sei es nun PC 
oder Handy/Tablet via Browser, sollte man über diesen ein neues Gerät 
autorisieren können.

Im Prinzip ist es eine Kette, bei der man aus einem verifizierten Zugang 
den nächsten autorisieren kann.

Ich habe selbst jemanden in der Familie. der einen 2. alternativen 
Zugang zum Konto ablehnt, sich andererseits aber selbst gerne aussperrt. 
Da ist dann regelmäßig schriftlicher Kontakt zur Bank angesagt. Dauert 
dann in Summe so eine Woche bis zur nächsten Freigabe zum Konto.

Cyblord -. schrieb:
> Es ist ja eher so auch und gerade für Banking über PC braucht man das
> Handy als Zweiter Faktor.
> TAN Listen sind wohl überall abgeschafft.
>
> Daher finde ich, macht deine Frage nicht so viel Sinn.

Bei meiner Bank geht es noch mit einem TAN-Generator, in dem man zur 
TAN-Erzeugung eine seitens der Bank-hp angezeigte PIN (erzeugt für den 
aktuellen Auftrag) eingeben muss. Das läuft aber offenbar über kurz oder 
lang aus.

Martin L. schrieb:
> Bei meiner Bank geht es noch mit einem TAN-Generator, in dem man zur
> TAN-Erzeugung eine seitens der Bank-hp angezeigte PIN (erzeugt für den
> aktuellen Auftrag) eingeben muss. Das läuft aber offenbar über kurz oder
> lang aus.

Und was machst Du, wenn Dein TAN-Generator bei der nächsten Kontoaktion 
einfach nicht mehr startet?

a) Warum sollte er das tun? Also, "nicht mehr starten"?

b) Dann nimmt man halt einen anderen. Die Dinger kann man kaufen.

https://shop.reiner-sct.com/tan-generatoren-fuer-sicheres-online-banking

Und man muss da seine Banking-Karte reinstecken.

Genau so ein Teil ist das.

Im Übrigen sehe ich auch nicht ein, dass jeder Dienstleister scheinbar 
nur noch an mir dienstleisten kann, wenn ich seine App installiere. 
Falls es irgendwie geht, versuche ich das zu vermeiden. Wer weiß, was da 
beim nächsten Handywechsel alles wieder schief geht und unnötig 
Lebenszeit wegfrisst.

Martin L. schrieb:
> Bei meiner Bank geht es noch mit einem TAN-Generator, in dem man zur
> TAN-Erzeugung eine seitens der Bank-hp angezeigte PIN (erzeugt für den
> aktuellen Auftrag) eingeben muss. Das läuft aber offenbar über kurz oder
> lang aus.

Ich nutze noch Flacker-TAN, ein Bekannter Photo-TAN. Ich habe keine 
Idee, wie das gehen soll, wenn das Verfahren abgeschafft wird. Muss wohl 
weg, weil es zu sicher ist.

Michael L. schrieb:
> Und was machst Du, wenn Dein TAN-Generator bei der nächsten Kontoaktion
> einfach nicht mehr startet?

Nachdem die Firma Reiner-SCT den Tausch auf Gewährleistung nicht 
geregelt bekam, habe ich ein Stück Papier* ausgefüllt und bin damit zu 
meinem Heizölhändler gefahren.

*) Nur ältere Leute kennen das noch, nennt sich "Scheck".

(prx) A. K. schrieb:
> Dazu müssen beim Bankzugang mehrere Geräte mit einer
> Authentifizierungs-App eingerichtet sein. Ist nur eines eingerichtet,
> geht bis zur Wiedereinrichtung eines solchen zweiten Weges nur Filial-
> oder Telefonbanking. [...]
>
> Diese Authentifizierungs-Apps sind mit der Einrichtung sinnvollerweise
> an exakt dieses eine Gerät gebunden, nicht kopierbar. [...]

Man kann auch Foto-TAN nutzen (Kommt mir jetzt bitte nicht mit "Dann hat 
man ja noch ein Gerät rumliegen"). Funktioniert natürlich nur, wenn der 
Zugang nicht mit 2FA abgesichert wird (das haben die meisten Banken bis 
heute nicht) und/oder man für 2FA kein zusätzliches Gerät hat (z.B. den 
"Reiner SCT Authenticator mini").