Thema "Re: Endlich sicheres Banking - FIDO2, Yubikey und co" in Anregungen

FIDO2, WebAuthN, Security Key, Yubikey und co

DAX — Tue, 21 Dec 2021 15:09:53 GMT

Liebe Comdirect,

wenn mir jemand mein Smartphone stiehlt und es schafft meinen Fingerabdruck abzufotografieren oder aber mittels Trojaner auf dem Smartphone o.Ä. - dann kann er mit nur einem Gerät problemlos auf meine Konten zugreifen und nach belieben Geld überweisen. Ähnliches Problem: Via Phishing am Computer, o.Ä.

Leider sind die von der Comdirect angebotenen 2FA Lösungen nicht ausreichend sicher. Insbesondere Hacking/Phishing bleibt ein unlösbares Problem. Sagen wir: Die Methoden sind ok, aber bei weitem nicht der Goldstandard.

Der Goldstandard nennt sich Yubikey (oder allgemein "Security Key", aber hier hat sich eine Firma ziemlich durchgesetzt). Ein Security Key ist ein Hardware-Schlüssel, den man per USB-A/C, Lightning oder NFC nutzen kann, um als zweiter Faktor beim Login zu dienen.

Vorteile?:

- Unmanipulierbar

- Einzige unphishbare Login-Methode

- komfortabel/schnell

- am sichersten

Ich finde es irgendwie bezeichnend, dass Gmail, alle bekannten Passwort-Manager, Twitter, Reddit, Github, Windows, Microsoft, Twitch, Insta, Dropbox, +hunderte weitere Services ... und selbstverständlich praktisch jede(s) einzelne Börse bzw. Unternehmen im Krypto-Sektor, 2FA mittels Security Key über standardisierte Verfahren wie FIDO2 oder WEBAuthn unterstützen - aber bei Banken sucht man vergeblich.

Selbst jene Dienste, die 2FA mittels Security Token nicht unmittelbar, sondern nur indirekt (über TOTP, z.B. Google Authenticator) unterstützen - beispielsweise Paypal - kann man über einen entsprechenden Authenticator mittels Security Key nutzen und damit praktisch auf dasselbe Sicherheitsniveau hieven, denn das One Time Password wird tatsächlich physisch auf dem (nicht manipulierbaren) Security Key generiert und nicht in der App am Smartphone! ich weiß allerdings nicht, ob das für alle Security Keys gilt oder nur für besagte marktdominierende Firma.

Sucht man allerdings im Bankensektor, was moderne 2FA Methoden angeht, wird es einfach nur düster. Hier setzt man lieber auf Verfahren, die schon gestern veraltet waren. Ich muss irgendwie immer kopfschüttelnd an den Zahldienst Paydirekt denken, den die Deutschen Banken 20(?) Jahre nach der Gründung von Paypal zum laufen bekommen haben. Bezeichnend: Der Gründer/Erfinder von Paypal unterstützt mit seinem erfolgreichsten Unternehmen Tesla übrigens auch den Security Key zum 2FA-Login...

Liebe Comdirect: Kommt da irgendwann mal Support für Security Keys und vergleichbare moderne und sehr sehr sichere 2FA Login-Methoden nach standardisierten Verfahren (FIDO2, WebAuthN)?

Viele Grüße,

Dax.

Re: Endlich sicheres Banking - FIDO2, Yubikey und co

SMT_Jessica — Tue, 21 Dec 2021 07:10:13 GMT

Guten Morgen @dax und vielen Dank für deine ausführliche Anregung.

Wir freuen uns sehr, dass du das Thema Sicherheit so ernst nimmst.

Ob und wenn ja, wann hier Anpassungen vorgenommen werden, kann ich dir an dieser Stelle nicht sagen. Deine Ausführungen gebe ich sehr gerne weiter an den Fachbereich.

Viele Grüße

Jessica

Betreff: Endlich sicheres Banking - FIDO2, Yubikey und co

Glücksdrache — Tue, 21 Dec 2021 10:39:13 GMT

Lieber @DAX,

bei jeder Verkomplizierung der Sicherheitsverfahren sind zusätzlich zwei Aspekte zu berücksichtigen:

1.) Auslieferung der für den einzelnen Kunden und die Volkswirtschaft wesentlichen Finanzprozesse an einen oder mehrere Monopolisten. Die von Dir angesprochenen Probleme gab es zu Zeiten der iTAN-Liste auf keinen Fall. Erst der politisch motivierte Aktivismus einer Zentralregierung hat die unternehmerische Freiheit hier eingeschränkt.

Die iTAN-Liste war barrierefrei, räumlich und zeitlich unbegrenzt nutzbar und verschlang keine monatlichen Gebühren.

2.) Im Gegensatz zu dem was interessierte Kreise kund tun, ist der Anteil der erfolgreichen Betrugsversuche verschwindend gering. Ein bisschen Intelligenz und Wachsamkeit der Nutzer vorausgesetzt. Du würdest Deinen Geldbeutel ja auch nicht offen in der Nacht auf edr Straße liegen lassen und Dich dann wundern wenn einige Scheine fehlen.

Deshalb kann ich leider nur sagen, daß Dein Beitrag interessant erscheinen mag. Im Wesentlichen sehe ich keinen Handlungsbedarf zumal es ja schon vor über zwölf (!) Jahren Lösungen mit einem Hardwareschlüssel gab.

Dieses Verfahren wurde aus Kostengründen verworfen.

Liebe Grüße

Gluecksdrache

Betreff: Endlich sicheres Banking - FIDO2, Yubikey und co

DAX — Tue, 21 Dec 2021 12:10:00 GMT

@Glücksdrache schrieb:
Lieber @DAX,

bei jeder Verkomplizierung der Sicherheitsverfahren sind zusätzlich zwei Aspekte zu berücksichtigen:
1.) Auslieferung der für den einzelnen Kunden und die Volkswirtschaft wesentlichen Finanzprozesse an einen oder mehrere Monopolisten. Die von Dir angesprochenen Probleme gab es zu Zeiten der iTAN-Liste auf keinen Fall. Erst der politisch motivierte Aktivismus einer Zentralregierung hat die unternehmerische Freiheit hier eingeschränkt.
[...]
Deshalb kann ich leider nur sagen, daß Dein Beitrag interessant erscheinen mag. Im Wesentlichen sehe ich keinen Handlunsgbedarf zumal es ja schon vor über zwölf (!) Jahren Lösungen mit einem Hardwareschlüssel gab.
[...]

Es geht nicht darum, dass den Kunden hier Hardware-Schlüssel aufgedrängt werden sollen. Phishing und Identitätsdiebstahl machen 90% aller Internetkriminalität aus und dafür wiederum sind zu 99% unsichere Passwörter und Verfahren schuld. Inzwischen gibt es so perfide Phishing Mails, die so perfekt auf einen zugeschnitten sind, dass es wirklich schwierig ist.

Es geht darum, dass die Comdirect ein im Gegensatz zu vor 12 Jahren standardisiertes und extrem fortschrittliches Stand der Technik Protokoll (zB. WebAuthN oder FIDO2) implementiert, welches einen defacto Industrie-Standard repräsentiert. Comdirect soll eben keinesfalls damit anfangen Hardware-Keys oder sonst was für Kunden zu empfehlen oder aufzudrängen wie es die Sparkasse einst tat. Das ist nämlich ein Fass ohne Boden und dann zieht auch dein Argument, dass es aus Kostengründen verworfen wurde. Schuster bleib bei deinen Leisten sag ich nur. Es geht nur um die Implementierung der Schnittstelle und ggf. minimale Anpassung von App und Webinterface im Hintergrund, um dem Rechnung zu tragen.

Meine Wunschvorstellung fürs Handy: Fingerprint, um App öffnen zu können => Und dann optional einstellnbar: Security Key, um Transaktion zu bestätigen.

Meine Wunschvorstellung fürs Webinterface: Pin/Passwort zum Login (wie gehabt) => Security Key mit Finger berühren (der via USB im PC steckt), um Transaktion zu bestätigen oder eben um das zu tun, wo sonst nach der PushTan gefragt würde. Das mit dem Key mit dem Finger berühren geht nämlich praktischer Weise 100 mal schneller und einfacher als jedes Mal das Smartphone rauskramen usw.

Alles, was die CoDi dafür tun muss, ist es eben die Standardverfahren/Schnittstelle FIDO2 bzw. WebAuthn zu implementieren... den Rest erledigen andere Firmen (Microsoft, Apple, Yubikey, Google...).

Betreff: Endlich sicheres Banking - FIDO2, Yubikey und co

Morgenmond — Tue, 21 Dec 2021 10:36:57 GMT

@DAX schrieb:
...

Meine Wunschvorstellung fürs Handy: Fingerprint, um App öffnen zu können => Und dann optional einstellnbar: Yubikey (oder anderen Security Key), um Transaktion zu bestätigen.
Meine Wunschvorstellung fürs Webinterface: Pin/Passwort zum Login (wie gehabt) => Yubikey mit Finger berühren (der via USB im PC steckt), um Transaktion zu bestätigen oder eben um das zu tun, wo sonst nach der PushTan gefragt würde. Das mit dem Key mit dem Finger berühren geht nämlich praktischer Weise 100 mal schneller und einfacher als jedes Mal das Smartphone rauskramen usw.

...

Hi @DAX

das was für dich Wunschvorstellung ist, ist für mich Alptraum ☹️

Ich kann diesen Sicherheitswahn nicht nachvollziehen und finde die Beschränkungen und Autorisierungen jetzt schon abartig.

Gewisse Sicherheitsvorkehrungen sind sicher sinnvoll aber man sollte auch bedenken: "Freiheit stirbt mit Sicherheit" Es sollte also im Rahmen bleiben.

@Glücksdrache

ich vermisse die, ach so unsicheren 🙄, TAN-Listen die dem bürokratischen Sicherheitswahn zum Opfer gefallen sind.

In einigen Jahren muss man wohl eine DNA-Probe bei der Bank hinterlegen und dann seine DNA scannen um das elektronische Postfach zu öffnen 🤢

Gruß Morgenmond

Betreff: Endlich sicheres Banking - FIDO2, Yubikey und co

DAX — Tue, 21 Dec 2021 12:05:26 GMT

@Morgenmond schrieb:
das was für dich Wunschvorstellung ist, ist für mich Alptraum ☹️
Ich kann diesen Sicherheitswahn nicht nachvollziehen und finde die Beschränkungen und Autorisierungen jetzt schon abartig.
Gewisse Sicherheitsvorkehrungen sind sicher sinnvoll aber man sollte auch bedenken: "Freiheit stirbt mit Sicherheit" Es sollte also im Rahmen bleiben.

Mit dem FIDO2/WebAuthn Standard ginge es einfacher, schneller UND sicherer als so wie es jetzt ist. Es geht auch nicht darum, irgendjemandem zusätzliche Sicherheiten aufzuzwingen. Es soll ja nicht obligatorisch werden. Es geht darum eine standardisierte, etablierte und professionell umgesetzte IT-Schnittstelle/Protokoll zu ergänzen, so wie das sämtliche modernen IT-Unternehmen haben (Google, GitHub, Dropbox, ... selbst Tesla hat es, obwohl es da wahrscheinlich kaum einer braucht.). Wer weiter so wie bisher machen will, könnte das danach ja auch weiterhin tun... nur dass jemand, der einen Security Key besitzt, um sich überall zu authentifizieren, sich dann auch komfortabler, schneller und deutlich sicherer als alle anderen Verfahren der Welt, bei der Comdirect einloggen/authentifizieren könnte... das ist alles, worum es geht.

Im Übrigen sind es EU-Vorschriften, die dafür sorgen, dass es so ist, wie es derzeit ist (wie auch bei der größten Lästigkeit auf dem Planeten: Die Cookie-Meldung auf jeder Webseite...). Nur die CoDi hat die EU-Richtlinien leider übertrieben umgesetzt: Beispielsweise, dass ich mich jede Session gefühlt für jeden zweiten Klick erneut 2FA-authentifizieren muss, anstelle, dass es eine Session Authentifizierung einmalig am Anfang gibt und dann kann man machen was man will für 60 Minuten oder so. Andere Banken in Europa haben das viel besser gelöst.

Und genau deswegen gibt es Kunden wie dich, die die alten Zeiten vermissen..., weil man beim Thema Sicherheit halt viel verschlimmbessern kann, zum Beispiel, wenn man keine standardisierten und etablierten Sicherheitsschnittstellen, sondern irgendeine Individuallösung umsetzt [Oder wenn man Leute zwingt alle 3 Monate ihr Passwort zu ändern, selbst, wenn es hunderte Studien gibt, die belegen, dass dadurch alles viel unsicherer wird]. Ich glaube nirgends wird so viel verschlimmbessert wie bei IT-Sicherheit.

Und genau deshalb rufe ich ja dazu auf, lieber das umzusetzen (bzw. als Option zu ergänzen), was kompetente Firmen in einen Standard gegossen haben...

Einfach mal auf Youtube ein Video zu Security Keys ansehen, wie geil das in der Praxis ist, wenn man sich damit beispielsweise passwordless bei GMail anmeldet. Und wenn man sich dabei sogar noch sicher fühlt, weil man weiß, dass es eine unphishbare Methode ist, gibt es überhaupt keine Argumente dagegen.

Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Produktwer

Glücksdrache — Tue, 21 Dec 2021 11:54:30 GMT

Hallo @DAX,

jetzt übertreibt Du es ein bisschen mit der Produktwerbung und/oder dem Pushen eines Videos.

@DAX schrieb:
@Morgenmond schrieb:
das was für dich Wunschvorstellung ist, ist für mich Alptraum ☹️
Ich kann diesen Sicherheitswahn nicht nachvollziehen und finde die Beschränkungen und Autorisierungen jetzt schon abartig.
Gewisse Sicherheitsvorkehrungen sind sicher sinnvoll aber man sollte auch bedenken: "Freiheit stirbt mit Sicherheit" Es sollte also im Rahmen bleiben.
Mit dem FIDO2/WebAuthn Standard ginge es einfacher, schneller UND sicherer als so wie es jetzt ist. Es geht auch nicht darum, irgendjemandem zusätzliche Sicherheiten aufzuzwingen. Es soll ja nicht obligatorisch werden. Es geht darum eine standardisierte, etablierte und professionell umgesetzte IT-Schnittstelle/Protokoll zu ergänzen, so wie das sämtliche modernen IT-Unternehmen haben (Google, GitHub, Dropbox, ... selbst Tesla hat es, obwohl es da wahrscheinlich kaum einer braucht.). Wer weiter so wie bisher machen will, könnte das danach ja auch weiterhin tun... nur dass jemand, der einen Yubikey besitzt, um sich überall zu authentifizieren, sich dann auch komfortabler, schneller und deutlich sicherer als alle anderen Verfahren der Welt, bei der Comdirect einloggen/authentifizieren könnte... das ist alles, worum es geht.

Im Übrigen sind es EU-Vorschriften, die dafür sorgen, dass es so ist, wie es derzeit ist (wie auch bei der größten Lästigkeit auf dem Planeten: Die Cookie-Meldung auf jeder Webseite...). Nur die CoDi hat die EU-Richtlinien leider übertrieben umgesetzt: Beispielsweise, dass ich mich jede Session gefühlt für jeden zweiten Klick erneut 2FA-authentifizieren muss, anstelle, dass es eine Session Authentifizierung einmalig am Anfang gibt und dann kann man machen was man will für 60 Minuten oder so. Andere Banken in Europa haben das viel besser gelöst.

Und genau deswegen gibt es Kunden wie dich, die die alten Zeiten vermissen..., weil man beim Thema Sicherheit halt viel verschlimmbessern kann, zum Beispiel, wenn man keine standardisierten und etablierten Sicherheitsschnittstellen, sondern irgendeine Individuallösung umsetzt [Oder wenn man Leute zwingt alle 3 Monate ihr Passwort zu ändern, selbst, wenn es hunderte Studien gibt, die belegen, dass dadurch alles viel unsicherer wird]. Ich glaube nirgends wird so viel verschlimmbessert wie bei IT-Sicherheit.

Und genau deshalb rufe ich ja dazu auf, lieber das umzusetzen (bzw. als Option zu ergänzen), was kompetente Firmen in einen Standard gegossen haben...

Einfach mal auf Youtube ein Video zum Yubikey ansehen, wie geil das in der Praxis ist, wenn man sich damit beispielsweise passwordless bei GMail anmeldet. Und wenn man sich dabei sogar noch sicher fühlt, weil man weiß, dass es eine unphishbare Methode ist, gibt es überhaupt keine Argumente dagegen.

Bitte werfe doch mal einen Blick in die Community-Richtlinien oder wie die Menschen hier miteinander umgehen. Es gibt selten einen so deutlichen Beitrag, der ein einzelnes Produkt oder Dienstleistung pusht.

Die Kosten von Sicherheitsmaßnahmen dürfen niemals den Nutzen übersteigen und müssen die Wahrscheinlichkeit einbeziehen. Wer sein Smartphone ungesperrt liegen läßt ist selber schuld.

Das Abonnenten-Identitäts-Modul (SIM-Karte) ist ebenso nicht für den Gelegenheitsdieb fälschbar, wie er auch nicht ein Gerät gleicher IMEI klonen kann.

Liebe Grüße

Gluecksdrache

RE: FIDO2, WebAuthN, Security Key, Yubikey und co

DAX — Tue, 21 Dec 2021 15:14:15 GMT

Du kannst Yubikey auch mit Google Titan oder Ähnlichem ersetzen. Nur dass Security Key und Yubikey sich halt einfach so verhält wie Taschentücher zu Tempo. Die haben sich halt durchgesetzt und führen den Markt an.

Wenn ich hier Tempo schreiben würde, käme keiner auf die Idee an Schleichwerbung zu denken.

Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Produktwer

Glücksdrache — Tue, 21 Dec 2021 12:11:24 GMT

Hallo @DAX,

anbei meine abschließende Würdigung.

@DAX schrieb:
Du kannst Yubikey auch mit Google Titan oder Ähnlichem ersetzen. Nur dass Security Key und Yubikey sich halt einfach so verhält wie Taschentücher zu Tempo. Die haben sich halt durchgesetzt und führen den Markt an.

Wenn ich hier Tempo schreiben würde, käme keiner auf die Idee an Schleichwerbung zu denken.

Die ganze Struktur der Kommunikation inkl. Aufstellen unbewiesener Tatsachen-Behauptungen sieht schon sehr nach einem hard-selling Ansatz aus. Wenn Du es freundlicher formulieren möchtest: Mängel erfinden und pro-aktives Verkaufen. 😊

Dazu ist aber diese Community zu schade. Bitte die allgemein übliche Netiquette einhalten, die sich durchgesetzt hat. Danke!

Liebe Grüße

Gluecksdrache

Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Produktwer

DAX — Tue, 21 Dec 2021 12:23:41 GMT

Ich habe Yubikey durch Security Key in allen Beiträgen ersetzt, wo es Sinn macht.

Du kannst deine nervigen Tags jetzt wieder wegnehmen, genauso wie den Kommentar: "Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Produktwerbung"

Google einfach mal Security Key und teile dann bitte mit, was die ersten 20 Hits und Bilder sind. Ups? Hab ich da gerade Werbung für Google gemacht? Ich meinte natürlich "Binge mal Security Key" oder "DuckDuckGoe mal Security Key". Googlen steht sogar im Duden. Der Duden macht Schleichwerbung für Google!!

Wie bereits gesagt: Yubikey verhält sich zu Security Key, wie Tempo zu Taschentuch. Es war nicht meine Intention irgendwelche Produktwerbung zu machen, sondern ich habe schlicht und ergreifend das gemacht, was jeder tut: Alltagssprache ohne Zensur. Wenn sich eine Firma ähnlich dominant durchgesetzt hat, wie Google bei den Suchmaschinen, dann ist es keine Schleichwerbung, sondern schlicht und ergreifend Alltagssprache, die man hier verwendet.

Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Produktwer

Wüstensand — Tue, 21 Dec 2021 12:59:03 GMT

Ich kann @Morgenmond nur zustimmen. Das ganze Sicherheitsgedöns geht mir inzwischen auch auf die Nerven. Wer seinerzeit die Papierlisten nicht abfotographiert und auf dem Handy gespeichert hat, war auf der sicheren Seite.

Wenn mein Handy geklaut wird und jemand meinen Fingerabdruck kopieren kann - schön. Nützt aber nichts ohne Zugangsdaten, die sich selbstverständlich nicht auf dem Handy befinden. Eine der besten Schutzmassnahmen ist in meinen Augen, das Smartphone nicht für Banktransaktionen einzusetzen (abgesehen von der TAN-App).

Das größte Sicherheitsrisiko ist nach wie vor die Pappnase, die sich 60 Zentimeter vor dem Bildschirm befindet und das Programm Brain 2.0 nicht installiert hat.

FIDO2, WebAuthN, Security Key, Yubikey und co

DAX — Tue, 21 Dec 2021 15:13:19 GMT

Einfach nur nervig, dass hier von der Kernaussage des Themas, nämlich liebe comdirect, bitte integriert die Anbindung einer in den letzten 10 Jahren entwickelten Standard-Schnittstelle/Protokoll/Methode, um moderne Security Keys zu unterstützen und die Welt gleichzeitig einfacher, schneller und sicherer zu machen abgelenkt wird. Ja richtig, das "sicherer" kann man sogar als netten Nebenaspekt betrachten. Es wird vor allem einfacher, komfortabler und schneller.

Aber man merkt, dass sich hier noch keiner der Ewiggestrigen mit dem Thema auseinandergesetzt hat und die Diskussion hier nur noch in gegenseitige Beweihräucherung der Bargeldversender ausufert.

@Wüstensand Auch bei dir bemerke ich, dass du im Grunde [genau wie ich] davon genervt bist, wie die Comdirect die 2FA umgesetzt hat, obwohl es ausländische Direktbanken gibt (z.B. Niederlande), wo man nicht gefühlte 25 mal pro Session eine 2FA-Aufforderung bekommt. Dazu habe ich übrigens auch einen Topic erstellt, in dem ich die Comdirect bitte, doch endlich davon abzusehen bei jedem Kinkerlitzchen eine erneute 2FA-Aufforderung anzufordern, sondern stattdessen eine einzige Session Aufforderung und fertig. Aber wenn die Leute nicht mehr lesen und alles immer gleich im Spam diverser "Mir geht das ganze mit dieser blöden Sicherheit auf die Nerven"-Kommentare untergeht, wird daraus halt nie etwas.

Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Produktwer

t.w. — Tue, 21 Dec 2021 13:30:43 GMT

Worum geht's denn hier eigentlich noch? Du wolltest die Mitarbeiter der comdirect auf Deinen Wunsch aufmerksam machen. @SMT_Jessica hat diesen Wunsch aufgenommen und an die zuständige Stelle weitergetragen. Das Thema ist doch erledigt, oder?

Schnappt euch alle einen Lebkuchen, eine Orange und genießt einen entspannten Nachmittag 🙂

Re: Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Pro...

SMT_Jessica — Tue, 21 Dec 2021 14:05:33 GMT

Moin noch mal in die Runde.

Wir freuen uns immer wieder über Anregungen und geben diese auch an die Fachbereiche.

Mehr können wir hier leider nicht machen, aber was wir tun können, machen wir für euch gerne weiter.

Viele Grüße

Jessica

Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Produktwer

Wüstensand — Tue, 21 Dec 2021 14:20:16 GMT

Ich bekomme lediglich eine PIN-Anfrage, wenn ich eine Transaktion tätigen will. Insofern hat sich nichts geändert. Die 2FA-Geschichte ist lästig, aber kein Problem. Und wenn ich @DAX richtig verstehe, soll ich mir weitere Hardware anschaffen. Dazu sage ich nein.

Re: Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Pro...

Forstmann — Tue, 21 Dec 2021 14:22:16 GMT

Ich benutze den Reiner SCT Authenticator für 2FA und wäre auch dafür so ein Gerät zu nutzen statt der Comdirect App.

Endlich mal jemand der nicht kategorisch dagegen ist.

DAX — Tue, 21 Dec 2021 15:12:19 GMT

Endlich mal jemand der nicht kategorisch dagegen ist. 👍

Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Produktwer

DAX — Tue, 21 Dec 2021 15:47:45 GMT

@Wüstensand schrieb:
Ich bekomme lediglich eine PIN-Anfrage, wenn ich eine Transaktion tätigen will. Insofern hat sich nichts geändert. Die 2FA-Geschichte ist lästig, aber kein Problem. Und wenn ich @DAX richtig verstehe, soll ich mir weitere Hardware anschaffen. Dazu sage ich nein.

Erst lesen, dann schreiben. 😀

Nein, du sollst dir gar keine Hardware anschaffen. Es geht nur darum, dass diejenigen, die entsprechende Hardware haben, diese auch [bei Comdirect] nutzen können, um ihr passwortloses, komfortableres und sichereres Leben zu genießen. Dafür gibt es eine Implementierung / ein Protokoll bzw. eine Schnittstelle von der FIDO Alliance, welche in Webseiten bzw. Apps integriert werden muss - also quasi ein paar Zeilen Code. Und diese Schnittstelle haben viele fortschrittliche Unternehmen der Welt implementiert (siehe erster Post). Aber so gut wie keine Bank unterstützt den Standard.

Betreff: FIDO2, WebAuthN, Security Key, Yubikey und co

GetBetter — Tue, 21 Dec 2021 16:06:38 GMT

@DAX schrieb:
[...] wo man nicht gefühlte 25 mal pro Session eine 2FA-Aufforderung bekommt.

Ich habe allen ernstes keinen blassen Dunst wovon Du redest.

Ich kriege pro Session maximal eine 2FA-Aufforderung, that's it.

Was ist eigentlich der Punkt?

Betreff: Kann schlecht getarnte Produkt Werbung enthalten, sicheres Banking - bitte keine Produktwer

Glücksdrache — Tue, 21 Dec 2021 16:13:54 GMT

Hallo @SMT_Jessica,

liebe Community,

das Unterbringen von Werbung wird leider nicht besser, wenn man statt eines Unternehmens auf einen Marketingverband FIDO hinweist. Die Beteiligten haben das unternehmerische Ziel möglichst viel und komplexe Technik zu verkaufen.

https://fidoalliance.org/members/

Ich bitte um komplette Löschung dieses Beitragsbaums in Anlehnung an den Beitrag "Unsere Community-Richtlinien" i. d. F. vom 28.09.2020.

@SMT_Chris schrieb:
Hallo und herzlich willkommen in der comdirect community.
[...]
Mit der comdirect community bieten wir dir einen virtuellen Ort, an dem du dich mit anderen über das Thema Finanzen und natürlich auch über andere Themen austauschen kannst. Und jetzt kommst du ins Spiel, denn eine Community lebt von den Beiträgen ihrer Mitglieder – also auch deinen.
[...]
Keine Werbung. Sowohl im Netz als auch in der Welt dort draußen gibt es schon genug Werbung. Diese Community soll im Interesse aller Mitglieder davon verschont bleiben. Das gilt im Übrigen auch, wenn andere Finanzdienstleister in einem werblichen Kontext genannt werden.
[...]
[Neu] Bei Verstößen gegen unsere Regeln behalten wir uns das Recht vor, Beiträge zu editieren, ganz oder teilweise zu löschen. Bei schwerwiegenden und/oder wiederholten Verstößen kann eine temporäre Sperrung des Nutzeraccounts oder sogar die Löschung des Profils erfolgen.

Das Social-Media-Team agiert in der Community ähnlich einem Schiedsrichter und achtet darauf, dass die Regeln auch eingehalten werden. Natürlich können wir nicht jederzeit überall sein. Daher sind wir auch auf dich angewiesen. Sage uns ruhig Bescheid, wenn du unsere Hilfe benötigst. Wir werden gemeinsam eine Lösung finden. Darauf kannst du dich verlassen.

Ok, genug der Worte. Wir wünschen dir viel Spaß und spannende Diskussionen in der comdirect community.

Euer Social-Media-Team

Ich fühle mich persönlich durch die Art und Weise, wie @DAX hier agiert, gestört und persönlich belästigt. Bloß weil ich hier keinen hemmungslosen Produktverkauf wünsche, muß ich Dinge lesen wie "Ewiggestriger" etc..

Dies sind abwertende Bewertungen anderer Menschen wie sie lediglich im Strukturvertrieb üblich sind. Dies wünsche ich mir in einer Community der an Geldanlage interessieren Menschen, in der ich viel lernen darf, nicht.

Es gibt diverse Technik-Zeitschriften, Blogs etc. wo diese Thema an der richtigen Stelle wäre.

Liebe Grüße

Gluecksdrache