Thema "Re: Betreff: Änderung bei Online-Zahlungen mit Visa-Karten" in Konto, Depot & Karte

Änderung bei Online-Zahlungen mit Visa-Karten

jms — Wed, 16 Dec 2020 09:56:48 GMT

Ist bei einer Kartenzahlung bei einem Online-Händler eine starke Kundenauthentifizierung erforderlich, wird vor der Eingabe einer mTAN oder photoTAN zukünftig Ihre 6-stellige Online-Banking-PIN von uns abgefragt. Die Eingabe Ihrer PIN an dieser Stelle ist unbedenklich. Sie wird nur zur Authentifizierung benötigt und daher verschlüsselt übertragen und nicht an den Händler übermittelt.

Das ist ja wohl ein Witz! In Zukunft werden massenhaft Fake-Shops auftauchen, die zur Eingabe der PIN auffordern und diese dann weiterverkaufen. Und die Kunden werden dazu erzogen, irgendwo im Internet einfach so ihre PIN einzugeben.

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

Fips — Wed, 16 Dec 2020 10:23:09 GMT

Ich finde das ebenfalls sehr befremdlich! Bisher galt die Faustregel, dass die Online-Banking-PIN niemals auf einer bankfremden Seite eingegeben werden darf!! Ich persönlich werde mich auch weiterhin an diese Faustregel halten... Dann muss eben für Online-Shopping eine andere Zahlungsart herhalten. Die comdirect Visa Karte ist dann wohl für Online-Einkäufe nicht mehr nutzbar.

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

Ihr Nickname — Wed, 16 Dec 2020 10:30:17 GMT

Hallo @jms !

Hast Du eine Quelle für den "zitierten" Text? Für welchen Zahlungsweg/Zahlungsdienstleister soll das gelten?

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

HH_82 — Wed, 16 Dec 2020 10:34:37 GMT

Liebe comdirect, dies sehe ich auch als eine ganz ganz schlechte Idee an. Meine Onlinebanking-PIN sollte ausschließlich zum Login im Banking verwendet werden müssen. Alles andere fühlt sich nicht gut an. Die Zweifaktorauthorisierung mag für Sie auf diesem Weg am einfachsten und schnellsten umzusetzen sein. Aber aus von Sicht von IT-Sicherheit ist das unprofessionell und auch unüblich. Ein Passwort für genau einen Zweck. Ansonsten fühlt es sich für mich nach Kontrollverlust über meine Passwörter an, auch wenn sie es als sicher bezeichnen.

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

baha — Wed, 16 Dec 2020 10:34:55 GMT

Dieser Text kam gerade als Newsletter von der Comdirect.

Genau das war mein erster Gedanke beim Lesen: "Es wird garantiert direkt einen Thread dazu geben". Bald wissen IT-technisch unbedarfte User überhaupt nicht mehr, was sie online tun sollen und was nicht... es ist zum Heulen 😕

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

Fips — Wed, 16 Dec 2020 10:35:37 GMT

Hallo,

diese Nachricht kam heute von comdirect per Mail. Stichwort: "PSD2 Freigabeprozess bei Online-Zahlungen". Das haben vermutlich alle Kreditkartennutzer erhalten.

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

Aloha-ole — Wed, 16 Dec 2020 10:48:55 GMT

Sehe ich genauso.

Als ich eben die mail erhielt, dachte ich zuerst, das sei ein Witz.

Ich werde sicherlich nie meine PIN für Zahlungsfreigaben benutzen.

Re: Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

SMT_Erik — Wed, 16 Dec 2020 10:53:13 GMT

Hallo zusammen,

vielen Dank für eure Hinweise. Wir klären gerne den Hintergrund der Information und melden uns wieder bei euch.

Gruß

Erik

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

Ihr Nickname — Wed, 16 Dec 2020 11:22:39 GMT

Ok, ich habe die Nachricht gefunden. Wie üblich ist die Panik vollkommen unnötig.

Wichtig ist dieser Satz aus der Nachricht:

Hierfür kommt das bewährte Visa Secure Verfahren, ehemals Verified by Visa, zum Einsatz.

Ersten kommt das nicht bei allen Zahlungen zum Einsatz, wie bisher auch. Zweitens und wichtigstens: Dort, wo man seine TAN eingibt, gibt man die PIN ein. Ist euch schonmal vorgekommen, dass Ihr eine TAN bei einem Händler irgendwo eingegeben habt? Oder bei Paypal? Nein?

Das liegt daran, dass für Verified by Visa eine Seite speziell bei der comdirect angesurft wird durch den Browser. In der Adresszeile und im Layout der Seite ist es dann offensichtlich, dass es sich um eine Authorisierung der Zahlung gegenüber der eigenen Bank handelt. Wisst Ihr, wo das noch vorkommt? Bei Giropay!

Ich bin immer wieder erstaunt, wenn ich "aber die Sicherheit!!1" von Leuten lese, die keinen blassen Schimmer haben.

Seid Ihr auch gegen Airbags, weil die mit kleinen Sprengladungen in Eurem Auto arbeiten?

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

ae — Wed, 16 Dec 2020 12:23:33 GMT

@Ihr Nickname :

das mag alles seine Richtigkeit haben, so richtig wohl dabei ist mir jedenfalls auch nicht.

Ich muss mir mal die Haftungsbedingungen für den Fall anschauen. Vielleicht kann da das ausgefuxte @SMT_Service Team was dazu sagen.

gruss ae

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

baha — Wed, 16 Dec 2020 12:43:29 GMT

@Ihr Nickname schrieb:
Ersten kommt das nicht bei allen Zahlungen zum Einsatz, wie bisher auch. Zweitens und wichtigstens: Dort, wo man seine TAN eingibt, gibt man die PIN ein. Ist euch schonmal vorgekommen, dass Ihr eine TAN bei einem Händler irgendwo eingegeben habt? Oder bei Paypal? Nein?

Das liegt daran, dass für Verified by Visa eine Seite speziell bei der comdirect angesurft wird durch den Browser. In der Adresszeile und im Layout der Seite ist es dann offensichtlich, dass es sich um eine Authorisierung der Zahlung gegenüber der eigenen Bank handelt. Wisst Ihr, wo das noch vorkommt? Bei Giropay!

Das ist schön für dich, dass du das so gut unterscheiden kannst. Ich kann das auch, bin ja schließlich vom Fach. Aber der gemeine Endanwender ist da mittlerweile hoffnungslos überfordert. Und fairerweise kann ich ihm das auch nicht verübeln.

Erst wird ihm jahr(zehnt)elang eingebläut, die PIN nur beim Login auf der Bankenwebsite zu benutzen, und eines schönen Tages kommt die Bank mit einer Mail um die Ecke, dass es aber an der einen oder anderen Stelle doch plötzlich "unbedenklich" ist, seine PIN dort einzugeben.

Allein schon die Wortwahl "unbedenklich" - in einer Mail, bei der wieder ein normaler Anwender kaum erkennen kann, ob es sich um einen Phishing-Versuch handelt, oder die Mail wirklich von der Bank kommt. Da fängt das Problem ja schon an. Wenn man diese Info wenigstens über die PostBox verteilt hätte, aber so?!

Andere Banken bekommen das doch auch hin, Visa Secure anderweitig (via App, eigenem Visa Secure Passwort, etc.) umzusetzen. Warum also Comdirect nicht?

Auf den Rest gehe ich nicht ein, das war reine Polemik.

baha

PS: Ich nutze meine VISA Karte von Comdirect nichtmal, aber trotzdem finde ich das hier absolut nicht gut!

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

mister — Wed, 16 Dec 2020 13:21:18 GMT

Mein erster Gedanke war Phishing - deshalb habe ich auch gleich gesucht.

Finde ich einfach eine schlechte Lösung, das ist alles was ich dazu sagen kann.

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

Ihr Nickname — Wed, 16 Dec 2020 13:32:19 GMT

@baha schrieb:
Wenn man diese Info wenigstens über die PostBox verteilt hätte, aber so?!

Also bei mir war die Nachricht in der Postbox. Ich habe die E-Mail-Benachrichtigungen dazu ausgeschaltet.

Deine Argumentation kann ich ansonsten gut nachvollziehen – aber sie geht meiner Meinung nach an meiner Kritik vorbei: Ich kritisiere, dass sich Menschen ohne fachlichen Hintergrund anmaßen, die Aussage der Bank direkt anzuzweifeln bis zu "ich werde dann nicht mehr mit der Karte bezahlen", was ein Ausdruck der absoluten Zurückweisung der vorliegenden Information ist.

"Das was mir hier gesagt wurde deckt sich nicht mit meinem Weltbild, kann also nicht stimmen!"

Das schlägt für mich in die Kerbe "Corona ist nur eine Grippe" und hilft einfach mal niemandem weiter, auch nicht einem selbst.

Ich kann verstehen, dass die eigene Einschätzung für viele Personen nicht leicht ist. Aber das erwarte ich eben auch nicht, das Gegenteil ist der Fall, die eigene Einschätzung sollte man nicht einfach so machen!

Stattdessen einfach auf die Diskrepanz hinweisen und abwarten, ob das jemand erklären kann.

Wenn die eigentlich Frage wäre "Mir wurde immer gesagt, das soll man nicht, jetzt wird was anderes gesagt, wer kann mir das genauer erklären?", dann wäre meine Antwort darauf auch nicht so patzig ausgefallen.

Ich mag kritisches Hinterfragen. Ich mag keine unsachlichen Bewertungen.

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

HH_82 — Wed, 16 Dec 2020 16:25:17 GMT

@Ihr Nickname

1. "Hierfür kommt das bewährte Visa Secure Verfahren, ehemals Verified by Visa, zum Einsatz.". Solche Namen sind oft auch Marketing, wie z.B. TÜV-Siegel. Es ändert auch nichts daran, dass man sein Login für das Online-Banking nicht gleichzeitg noch für die Abischerung von Transaktionen herausgeben sollte.

2. "Ersten kommt das nicht bei allen Zahlungen zum Einsatz, wie bisher auch.". Das Argument verstehe ich nicht. Sie meinen, wenn ich mein Passwort nicht immer, sondern nur hin und wieder auf diese Art nutze, ist das ganze sicherer ?

3. Zweitens und wichtigstens: Dort, wo man seine TAN eingibt, gibt man die PIN ein. Ich habe mir gedacht, dass dieses Argument kommt. Ich glaube dass es sich um eine Weiterleitung auf die Seite einer Bank / Kreditkartengesellschaft etc. handelt ist manchem hier klar. Aber auch das ändert nichts daran, dass man sicherheitstechnisch etwas so (Nutzung von Passwort als 2. Faktor) nicht implementieren sollte.

4. Ich bin immer wieder erstaunt, wenn ich "aber die Sicherheit!!1" von Leuten lese, die keinen blassen Schimmer haben. Ich glaube das hier mancher durchaus vom Fach ist, Sie aber das Problem nicht verstehen, dass die Leute meinen.

Alles in allem kommen derartige Diskussionen in Foren ja gerne so vor. An den Adminstrator: keine Sorge, ich schreibe hierzu keine weiteren Beiträge, am Ende ist das Forum voll von Streit, der die Sache verfehlt. Aber diese eine Stellungsnahme wollte ich doch noch posten.

Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

Ihr Nickname — Wed, 16 Dec 2020 17:58:39 GMT

@HH_82 schrieb:
1. "Hierfür kommt das bewährte Visa Secure Verfahren, ehemals Verified by Visa, zum Einsatz.". Solche Namen sind oft auch Marketing, wie z.B. TÜV-Siegel. Es ändert auch nichts daran, dass man sein Login für das Online-Banking nicht gleichzeitg noch für die Abischerung von Transaktionen herausgeben sollte.

Wie ist denn das genau gemeint, man solle etwas nicht "herausgeben"?

Die Bank erwartet, dass Du eine angestoßene Zahlung ihr gegenüber legitimierst.

Das ist keine "Herausgabe" von irgendetwas.

Wenn Du Deine Wohnungstür mit Deinem Schlüssel aufschließt, ist das auch keine Herausgabe des Schlüssels an die Tür, sondern Du legitimierst Dich mit dem Faktor "Besitz" als Zutrittsberechtigter.

@HH_82 schrieb:
2. "Ersten kommt das nicht bei allen Zahlungen zum Einsatz, wie bisher auch.". Das Argument verstehe ich nicht. Sie meinen, wenn ich mein Passwort nicht immer, sondern nur hin und wieder auf diese Art nutze, ist das ganze sicherer?

Aktuell ist es so, dass nicht alle Zahlungen mit Visa Secure/Verified by Visa abgesichert sind. Ich gebe zu, dass ich nicht sicher bin, wie das ab 1.1.21 sein wird – vielleicht ändert es sich auch.

Das Argument zielt natürlich darauf ab, dass dadurch weniger Eingaben erforderlich sind und damit weniger Möglichkeiten, dass die PIN kompromittiert wird. Neben der Sicherheit des Verfahrens selbst gibt es ja noch andere Möglichkeiten, wie die PIN bei der Eingabe kompromittiert werden könnte (z.B. beobachtete Eingabe, nicht-vetrauensvolles Gerät).

Du hast aber natürlich recht, dass es für die Beurteilung der Sicherheit des Verfahrens keine Rolle spielt! Von daher war das Argument schlecht gewählt und ich ziehe es zurück. Danke, dass Du das angesprochen hast.

@HH_82 schrieb:
3. Zweitens und wichtigstens: Dort, wo man seine TAN eingibt, gibt man die PIN ein. Ich habe mir gedacht, dass dieses Argument kommt. Ich glaube dass es sich um eine Weiterleitung auf die Seite einer Bank / Kreditkartengesellschaft etc. handelt ist manchem hier klar. Aber auch das ändert nichts daran, dass man sicherheitstechnisch etwas so (Nutzung von Passwort als 2. Faktor) nicht implementieren sollte.

Warum nicht? Ich finde an dem Verfahren nichts bedenklich.

Statt einfach das Gegenteil zu behaupten, beschreibe bitte mal genauer, in welchem Aspekt die Implementierung schlecht ist und wie genau Du Dir eine Nutzung mit zwei Faktoren (gesetzliche Anforderung!) vorstellst, die sicherer ist.

Wenn Du möchtest, dass ich meinerseits erläutere, weshalb das Verfahren OK ist, sag Bescheid.

@HH_82 schrieb:
4. Ich bin immer wieder erstaunt, wenn ich "aber die Sicherheit!!1" von Leuten lese, die keinen blassen Schimmer haben. Ich glaube das hier mancher durchaus vom Fach ist, Sie aber das Problem nicht verstehen, dass die Leute meinen.

Ich hatte meine eigene Einschätzung, woran sich die Menschen stören, ja schon geäußert. Ich kann mir durchaus vorstellen, dass ich damit falsch liege oder zumindest nicht den Kern getroffen habe. Meine Behauptung, dass sich hauptsächlich fachfremde Personen geäußert haben, entnehme ich aus dem Inhalt der Argumentation. Einer Person, welche sich mit Authentifizierung auskennt, unterstelle ich, dass sie das vorgebrachte Argument (man soll die PIN nirgendwo anders eingeben) eben nicht machen würde, weil sie es als falsch ansieht.

Das Problem der Menschen ist meiner Meinung nach, dass Sie zwei einfache Handlungsanweisungen haben, die sich in Ihrer Wahrnehmung wiedersprechen. Der Grund für diesen empfundenen Widerspruch ist eine Vereinfachung der Erklärung.

Ich kritisiere, wenn jemand aus diesem Widerspruch folgert "Kann nicht sein, die anderen müssen falsch liegen" anstelle von "Mir liegen entweder nicht alle relevanten Informationen vor oder die Situation hat sich geändert, seit ich meine Informationen erhalten habe".

Ich kritisiere das im übrigen, weil das mein Problem ist, nicht das der anderen Kommentatoren hier im Thread.

Wenn Du immer noch meinst, ich würde einem Missverständnis unterliegen, kannst Du mir dann vielleicht weiterhelfen?

Bisher gab es nur einen anderen Kommentar dazu (Danke @baha !), dem ich bereits geantwortet habe. In Deinem Beitrag hast Du leider inhaltlich nicht viel mitgeteilt, aus dem ich nachvollziehen könnte, woraus das Misverständnis besteht.

Falls es da noch einen unberücksichtigten Faktor gibt oder ich noch etwas übersehen habe, korrigiere mich bitte, damit wir nicht auf Basis eines Missverständnisses diskutieren! Das gilt natürlich für alle anderen auch.

Re: Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

SMT_Erik — Thu, 17 Dec 2020 12:00:16 GMT

Hallo zusammen,

sorry, dass ich mich erst jetzt wieder bei euch melde, denn inzwischen ist der Thread ja eine ganzes Stück weitergelaufen.

Wir informieren unsere Kunden derzeit via E-Mail und über Infos in der PostBox zu dieser Änderung bei Onlinezahlungen mit der Visa-Karte vor dem Hintergrund der PSD2-Vorgaben.

Dabei ist sichergestellt dass die Eingabe der Zugangsdaten immer auf Seiten von comdirect erfolgt und nicht auf externen Seiten.

Bei der Verwendung der photoTAN-push entfällt die Eingabe der PIN.

Gruß

Erik

Re: Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

eSVau — Thu, 17 Dec 2020 12:49:51 GMT

@SMT_Erik schrieb:
Hallo zusammen,
[...]

Dabei ist sichergestellt dass die Eingabe der Zugangsdaten immer auf Seiten von comdirect erfolgt und nicht auf externen Seiten.

Wie stellt ihr denn sicher, dass das nicht in einem iframe bzw popup ohne Adresszeile landet?

Und eine sichtbare Weiterleitung auf eine Phishingseite ist auch nicht sonderlich schwer.

Übrigens musste ursprünglich beim "Verified by VISA" mal ein gesondertes Passwort bei euch anlegen, bis ihr es recht schnell auf "muss durch eine TAN verifiziert werden" änderte.

Ab nächsten Jahr soll ich dann eine VISA-Transaktion im neu getauften "Visa Secure" durch eine TAN verifizieren, wobei diese TAN in einer weiteren Stufe durch die PIN verifiziert werden soll.

D.h. früher ging es mit einem getrennten Passwort mit gesonderten Regeln bzgl Länge, verwendete Zeichen, etc..

Jetzt recht eine sechstellige Ziffernkette - die zweite Hälfte der Logincredentials...

Re: Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

Ihr Nickname — Thu, 17 Dec 2020 14:36:45 GMT

@eSVau schrieb:
Wie stellt ihr denn sicher, dass das nicht in einem iframe bzw popup ohne Adresszeile landet?
Und eine sichtbare Weiterleitung auf eine Phishingseite ist auch nicht sonderlich schwer.

Danke für die Frage. Die Implementierung des Verfahrens sieht vor, dass der Zahlungsdienstleister (z.B. Adyen, Stripe, etc.) direkt zur Visa Secure-Page der Bank leitet. Deine Bank wird als vertrauenswürdig eingestuft.

Du kannst also davon ausgehen, dass die Adresszeile auf die Bank hinweist. Experten prüfen noch das TLS-Zertifikat (hauptsächlich den Inhaber), seit die EV-Eigenschaft nicht mehr angezeigt wird.

Bei Einbindung in einem IFrame würde die Adresszeile (der einbindenden Seite) nicht zur Bank gehören. Ein Popup ohne Adresszeile sollte ebenso nicht legitim auftreten.

Die Absicherung basiert darauf, dass DNS und TLS-Zertifizierungssysteme nicht gleichzeitig kompromittiert sind.

@eSVau schrieb:
D.h. früher ging es mit einem getrennten Passwort mit gesonderten Regeln bzgl Länge, verwendete Zeichen, etc..
Jetzt recht eine sechstellige Ziffernkette - die zweite Hälfte der Logincredentials...

Früher ging es mit einem statischen Passwort für beliebige Zahlungen (Faktor Wissen).

Heute geht es mit einem statischen Passwort (Wissen) sowie einem dynamisch generierten Token, welches die Daten der zu bestätigenden Transaktion beinhaltet und auf einem unabhängigen Gerät anzeigen lässt (Besitz).

Die Länge oder Komplexität der Token spielen hier erst einmal keine Rolle, denn sie können nicht beliebig oft ausprobiert werden.

Re: Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

Thorsten_ — Thu, 17 Dec 2020 20:22:32 GMT

@SMT_Erik schrieb:
Wir informieren unsere Kunden derzeit via E-Mail und über Infos in der PostBox zu dieser Änderung bei Onlinezahlungen mit der Visa-Karte vor dem Hintergrund der PSD2-Vorgaben.

Läuft "derzeit" noch? Habe noch keine Mitteilung bekommen 🤔

Re: Betreff: Änderung bei Online-Zahlungen mit Visa-Karten

SMT_Erik — Fri, 18 Dec 2020 08:25:59 GMT

Hallo @Thorsten_,

die Infos werden nach und nach in mehreren Tranchen versendet.

Gruß

Erik