Thema "Zugangsdaten für Online-Banking in TAN-App erforderlich?" in Website & Apps

Zugangsdaten für Online-Banking in TAN-App erforderlich?

bz — Wed, 29 Apr 2020 11:38:32 GMT

Hallo,

hier kommt mir etwas seltsam vor. In der Anleitung "Wie aktiviere ich photoTAN?" steht: "Zugangsnummer und 6-stellige PIN eingeben".

Sind das die Zugangsdaten für das Online-Banking? Wenn ja, dann ist der 2FA-Gedanke aber hier ausgehebelt, da sämtliches Wissen für eine Überweisung in der photoTAN-App konzentriert ist, also Login + TAN.

Ist das unbedingt erforderlich? Das separate photoTAN-Lesegerät benötigt doch wohl keine Zugangsdaten.

Oder verstehe ich das etwas falsch?

Grüße.

Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

ChristophL — Wed, 29 Apr 2020 18:49:18 GMT

Hallo BZ,

Du hast eine gleichgelagerte Frage wie ich (/t5/Konto-Karte/Datentrennung-in-PhotoTAN-Push/m-p/124976#M14963).

Ich überlege dies mal experimentell zu überprüfen.

1. PIN auf dem PC im Verwaltungsbereich ändern.

2. Abmelden und App schließen.

3. Wieder anmelden (mit neuern PIN) und dann TAN pflichtige Transaktion durchführen (wie Postbox öffnen).

4. Wenn es dann Probleme gibt, werden die Zugangsdaten auf dem Handy gespeichert.

Ich habe nur Angst, dass ich mit damit aussperre. Es wäre nett, wenn sich jemand von der Bank zu dieser Frage äußern würde.

Christoph

Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

bz — Thu, 30 Apr 2020 07:09:13 GMT

Hallo Christoph,

hatte mich schon gewundert, daß sich sonst niemand daran stört. Immer gibt man damit z.B. Google vollen Zugriff auf das Konto, einschließlich Ausführen von Überweisungen und anderem. Ich hatte mit der Suchfunktion aber nichts gefunden.

Dein "Experiment" führt mich zu folgenden zwei Überlegungen:

1. Manche Benutzer ändern ja von Zeit zur Zeit ihr Login-Passwort. Wenn die photoTAN-App das Passwort speichern und auf Dauer benötigen würde, dann müßte man es ja auch dort ändern. Einen solchen Hinweis für Benutzer gibt es aber doch nicht?!

2. Man ändert direkt nach Installation der App das eigene Login-Passwort im Online-Banking. Dann hat man wieder 2FA.

Grüße.

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

SMT_Jan-Ove — Thu, 30 Apr 2020 10:52:19 GMT

Hallo @bz und @ChristophL,

der 2. Faktor besteht in der photoTAN durch den Faktor „Besitz“. Es besteht eine Gerätebindung unter Verwendung von gerätespezifischen Daten, bspw. IMEI.

Der Login ist nicht der zweite Faktor, sondern notwendig, um die App mit dem Konto zu verknüpfen. Die Zugangsdaten werden nicht in Klarschrift gespeichert. Eine Aufgabe der Überweisung ist in der photoTAN App nicht möglich, daher befinden sich nicht beide Faktoren in einer Zahlungsapp.

Wenn die PIN online geändert wird, muss sie auch neu in der photoTAN App eingegeben werden, da der hinterlegte Token nicht mehr gültig ist. Dabei kommt es aktuell noch zu einem Absturz, wenn man die photoTAN App nach dem Ändern der PIN erneut aufruft. Diesen Fehler haben wir zur Behebung weitergeleitet.

Ihr könnt eure PIN ruhigen Gewissens ändern, wenn ihr folgendes beachtet.

Stellt sicher, dass ihr entweder einen Aktivierungsbrief oder eine Wiederherstellungsnummer für die erneute Aktivierung der photoTAN App habt.

Um die photoTAN App nach einer PIN-Änderung zu nutzen ist aktuell eine Neuinstallation der App erforderlich. Die Neuinstallation bedeutet gleichzeitig, dass die App in diesem Zuge auch neu aktiviert werden muss. Bitte nutzt dafür euren Aktivierungsbrief oder online unter Verwaltung > PIN/TAN-Verwaltung > photoTAN > Weiteres Gerät aktivieren die Möglichkeit der vorher hinterlegten Wiederherstellungsnummer.

Beste Grüße

Jan-Ove

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

bz — Thu, 30 Apr 2020 10:28:37 GMT

Dann ist die photoTAN-App nicht akzeptabel, und entspricht auch nicht dem Geist der 2FA.

Wenn die App manipuliert ist und die Zugangsdaten speichert, dann liegen hier alle Autorisierungsdaten konzentriert vor, um eine beliebige Überweisung zu tätigen.

Es würde auch ohne die Zugangsdaten gehen. Zum Beispiel durch ein zweites Login-Passwort, das nur für die photoTAN-App gültig ist und keine Sitzung zur Eingabe von Überweisungen öffnen kann.

Die TAN-App sollte doch eigentlich nur TANs generieren. Kann sie auch nicht mehr offline verwendet werden?

Grüße.

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

ChristophL — Thu, 30 Apr 2020 10:56:22 GMT

Hallo @bz und @SMT_Jan-Ove

Sehe ich die Lage jetzt richtig:

a) Die App speichert in verschlüsselter Form die Zugangsdaten konzentriert damit aber alle Angaben auf einem Gerät.

b) Diese Angaben waren nur nicht zur Registrierung notwendig, sondern werden relegmäßig gebraucht. Es ist also nicht so, dass die App bei der Registrierung einer Art reduzierten Zweitaccount zum Empfang der TAN Generierungsanfrage wie von @bz angedeutet anlegt.

c) Bei einer Änderung der PIN am PC muß diese auch später in der App geändert werden. Im Moment stürzt die App ab und muß daher bei einer PIN Änderung neu installiert werden.

d) Die einzige Möglichkeit, das alte sichere Verfahren zu verwenden, besteht darin, sich den physikalischen Phototangenerator zu bestellen und das ganze Verfahren auf den umzustellen?

Viele Grüße,

Christoph

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

SMT_Jan-Ove — Thu, 30 Apr 2020 11:22:46 GMT

Hallo @bz,

warum ein Auslesen der Zugangsdaten nicht möglich ist, habe ich bereits oben beschrieben.

Die photoTAN App kann auch weiterhin offline verwendet werden, da die Scan-Funktion immer noch über das Symbol unten links verwendet werden kann.

@ChristophL:

a) Die Zugangsdaten werden nur für die Einrichtung der App und die Generierung des Tokens benötigt. Nach Einrichtung ist nur noch der Token gespeichert.
b) siehe a).
c) Korrekt. Dies ist aktuell ein Fehler.
d) Das neue Verfahren ist ebenfalls sicher. Wenn du unbedingt keine Push-Funktion haben möchtest, ist das Lesegerät tatsächlich die einzige Alternative

Beste Grüße

Jan-Ove

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

ChristophL — Thu, 30 Apr 2020 11:56:16 GMT

Hallo Jan-Ove,

Danke für die Auskunft. Ich habe zu c) noch zwei Fragen.

Im Moment sehe ich im Verwaltungsbereich keine explizite Option die Push Funktion auszuschalten. Passiert dies dann automatisch, wenn ich das Lesegerät angemeldet habe und das Handy abgemeldet?

Wenn ich dann die App deinstalliere, werden dann alle Daten bezüglich des Kontos gelöscht?

Vielen Dank,

Christoph

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

SMT_Jan-Ove — Thu, 30 Apr 2020 12:02:10 GMT

Hallo @ChristophL,

wenn kein Gerät mit Push-Funktionalität zur Verfügung steht, steht auch die Push-Funktion nicht zur Verfügung. Eine explizite Abschaltung der Funktion ist dafür nicht erforderlich.

Mit dem Löschen der photoTAN-App werden alle darin enthaltenen Daten ebenfalls vom Gerät gelöscht.

Beste Grüße

Jan-Ove

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

bz — Thu, 30 Apr 2020 12:06:00 GMT

@SMT_Jan-Ove:

Es geht ja gerade darum, sich bei eventuellen Manipulationen gegen Schaden zu schützen.

Bei einer manipulierten photoTAN-App ist es aber möglich, die Zugangsdaten abzugreifen und dann auch beliebig viele TANs zu generieren. Deshalb finde ich das unsicher. Oder sagen wir: Unsicherer als nötig.

Ich würde auch nie Online-Banking auf einem Smartphone machen. Erst recht nicht, wenn dort auch die TANs generiert werden.

Grüße.

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

zooey — Fri, 01 May 2020 10:52:31 GMT

@bzGanz genau das ist auch mein Problem mit der neuen App.

Zuvor waren die beiden Authorisierungskanäle Website (Zugangsnummer + PIN) sowie Token-App strikt voneinander getrennt. Man musste die Website benutzen, um das Token zu generieren. Falls das Smartphone kompromitiert ist, dann ist zwar dieser Kanal offen, aber ein Angreifer kann eben nur Tokens generieren, aber keine Überweisung in Auftrag geben.

Um die Push-Tan zu aktivieren, muss ich nun die Authorisierungsdaten des anderen Kanals (Website) in die App eingeben. Sollte das Smartphone zu diesem Zeitpunkt kompromittiert sein und eine angreifende App z. B. die Tastatur mitlesen, dann fällt einem Angreifer alles in die Hände, was man braucht, um das Konto leerzuräumen (Kontozugangsdaten, Passwort für App, Security-Token).

Weshalb wurde die Erzeugung des Security-Tokens der App denn überhaupt von der Website auf die App verschoben? Falls Bequemlichkeit ein Argument war, wird diese mit einer reduzierten Sicherheit bezahlt. Aber wohl eher vom Kunden, nicht von der Bank - oder sichert mir die Comdirect zu, dass die Bank mir eventuelle Verluste ersetzt?

Interessierte Grüße

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

bz — Sun, 03 May 2020 13:50:40 GMT

Ein E-Mail sendender Automat fragte, ob das Problem damit gelöst sei. Nein, ist es nicht.

Ich verstehe 2FA so, daß ein Angreifer wenigstens 2 voneinander unabhängige Schwachstellen aufmachen muß, um an die Kohle zu kommen. Dies ist bei der neuen photoTAN-App nicht der Fall.

Eine Garantie der Bank gegen Mißbrauch möchte ich nicht in Anspruch nehmen müssen. Auch grenzenloses Vertrauen in allgemein bekannte Hersteller kann sich als trügerisch herausstellen.

Grüße.

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

ChristophL — Sun, 03 May 2020 17:20:15 GMT

Hallo BZ,

ich denke dies ist eine automatisch generierte Meldung mit der Bitte das Problem als gelöst zu markieren. Vielleicht noch mal ein paar generelle Überlegungen zu der Problematik.

Die Diskussion, ob dieses Verfahren (pushTAN) sicher ist oder nicht, geht wahrscheinlich am Punkt vorbei. Abgesehen mal vom Tod ist Sicherheit immer relativ. Dann hängt das ganze wahrscheinlich auch noch vom use case ab. Betrachten wir dazu mal zwei Scenarien. Das erste Scenario trifft auf mich zu: Das Handy ist mit einer separaten PIN gesichert. In Bankangelegenheiten wird das Handy nur für die TAN Generierung verwendet. Auf dem Handy wird kein banking ausgeführt, also irgendwas was Zugangs oder PIN Angabe erfordert. In dem zweiten Scenario ist das Handy nicht mit einer PIN gesichert und es wird für mobile banking verwendet. Es werden also Überweisungen ausgefüllt und TANs generiert. Ich könnte mir vorstellen, dass in Scenario 2 die momentane pushTAN Lösung sicherer ist als die alte. In Scenario 1 ist wahrscheinlich die alte besser. Ich halte Scenario 2 für allgemein problematisch (siehe auch: https://www.heise.de/newsticker/meldung/34C3-Nomorp-hebelt-Schutzschild-zahlreicher-Banking-Apps-aus-3928363.html).

Großartig wären natürlich 2 Apps. Eine App mit der pushTAN, wie sie im Moment ist und eine photoTAN KISS (keep it strictly simple). PhotoTAN KISS kann nur Photo TANs generieren und sonst nichts - kein Passwort, keine graphischen Spielereien, keine PushTAN und keine App2App Funktionalität. Gerade im letzten Punkte wäre es dann weniger Funktionalität als die alte App. Was würde jetzt gegen Phototan KISS sprechen? Zunächst wäre es eine weitere App, die entwickelt und gepflegt werden müsste. Dann besteht die Gefahr, dass irgendwann KISS user anfangen zu maulen, dass Sie auch damit mobile banking machen wollen und app2app wieder haben wollen.

Unter der Annahme, dass es in absehbarer Zeit kein PhotoTAN KISS geben wird, sehe ich eigentlich nur drei Lösungsmöglichkeiten:

Mit der aktuellen Lösung leben und das erhöhte Sicherheitsrisiko in Kauf nehmen, wenn man Scenario 1 user ist.
Wie hier in anderen Threads besprochen ein manuelles downgrade mit einem alten APK ausführen. Hier muss das Signer Zertifikat und die sha256 Prüfsumme getestet werden. Hier besteht eine Fehleranfälligkeit. Weiterhin wird diese Version nicht mehr gepflegt, wodurch man sich langfristige Risiken einhandelt. Diese App muss als Phototan Lesegerät angemeldet werden. Hierbei wird wohl eine Hardware ID übergeben. Es würde mich nicht wundern, wenn man an dieser unechte Phototan Lesegeräte identifizieren kann und dieser Weg zukünftig allein schon aus Sicherheitsgründen verbaut wird.
Man kauft sich das PhotoTAN Lesegerät registriert dies, meldet Handy und App ab, löscht die App und ändert ganz zum Schluss die PIN. Dies ist wahrscheinlich die sicherste aller Vorgehensweisen. Sie hat den Nachteil, dass man ein weiteres Hardwaregerät hat. Unter der Annahme, dass mit der Deinstallation der PhotoTAN app alle Daten gelöscht werden (deshalb meine vorherige Frage), müsste dann aber auch mit dem PhotoTAN Gerät und einem Handy sehr sicheres mobile banking möglich sein.

Ich persönlich habe mich für Variante 3 entschieden.

Christoph

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

zooey — Sun, 03 May 2020 20:37:41 GMT

Hallo @ChristophL

ich glaube nicht, dass eine Diskussion darüber, ob die Push-TAN App die eigentlich geforderten zwei getrennten (Autorisierungs-)Kanäle zusammenführt oder nicht, am Punkt vorbei ist. Aus meiner Sicht ist genau ist diese Diskussion der entscheidende Punkt:

Ob das Smartphone mit PIN gesichert ist oder nicht und ob die Push-TAN App ein oder mehrere Passworte abfragt oder nicht ist meines Erachtens völlig irrelevant, wenn beim Moment der Registrierung der Push-TAN App das Smartphone schon kompromittiert ist. Das Problem dabei ist, dass ja niemand wissen kann, ob dem so ist oder nicht. Falls es aber so sein sollte, dann wurde durch die Erfordernis, Zugangsdaten des anderen Kanals einzugeben, die komplette 2FA Architektur invalidiert, denn der Angreifer wäre schon im Besitz von Zugangsdaten für die Website und Sicherheitstoken der TAN-App.

Ich bin mal gespannt, ob mal jemand von der Bank zu dieser Frage Stellung bezieht, falls ja, würde mich das natürlich sehr freuen. Falls nein, werde ich mich auch für deine geschilderte Lösung 3 entscheiden, also ausschießlich den TAN-Generator verwenden. Ich bin in diesem Fall aber nur sehr mäßig gewillt, für die einzige sichere Lösung Geld zu bezahlen, aber das kann man dann ja noch mit der Bank diskutieren, wenn es soweit ist ...

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

bz — Mon, 04 May 2020 18:08:46 GMT

Hallo,

frischer Lesestoff für diejenigen, die Smartphones und das App-Sandboxing für absolut sicher halten: Apps können aus Sandbox ausbrechen.

Grüße.

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

ChristophL — Tue, 05 May 2020 14:49:39 GMT

Hallo alle, hallo @SMT_Jan-Ove

vielen Dank für die sehr schnelle Zusendung des photoTAN Gerätes. Es ist heute gekommen. Ich habe jetzt Plan 3 ausgeführt (vollständige Umstellung auf Gerät und Änderung der PIN). Mein Seelenfrieden ist wieder hergestellt.

Viele Grüße,

Christoph

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

bz — Wed, 06 May 2020 20:04:38 GMT

Hallo,

um einem falschen Eindruck vorzubeugen:

Der eigentliche Mißstand (Eingabe der Zugangsdaten in der TAN-App) ist nicht behoben, ja nicht einmal eingestanden worden.

Er läßt sich nur partiell durch das kostenpflichtige photoTAN-Gerät umgehen.

Grüße.

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

RainerE — Wed, 08 Jul 2020 16:00:06 GMT

Danke, dass sie das Problem angesprochen haben. Ich weigere mich einfach auf einem Handy irgendwelche Zugangsdaten einzugeben. Handys haben immer eine hohen Unsicherheitsfaktor, durch Verlust, Diebstahl, Viern, etc....

Re: Betreff: Zugangsdaten für Online-Banking in TAN-App erforderlich?

bz — Mon, 01 Mar 2021 17:51:49 GMT

Hallo,

das hier besprochene Problem besteht ja wohl immer noch.

@SMT_Jan-Ove schrieb, daß nach einer Änderung der Onlinebanking-PIN diese auch neu in die pushTAN/photoTAN-App eingetragen werden muß.

Kann das vielleicht jemand bestätigen aufgrund eigener Erfahrung?

Gibt es eine Möglichkeit, die App dauerhaft offline zu betreiben? Wenn ja, wirkt sich dann auch die PIN-Änderung auf die offline laufende App aus?

Danke und Grüße.