Thema "Re: Betreff: Lob: Neuerung beim Login von unbekannten Browsern" in Website & Apps

Lob: Neuerung beim Login von unbekannten Browsern

ehemaliger Nutzer — Mon, 11 Oct 2021 16:54:23 GMT

Möchte dem Marketing-Team nur mitgeben, dass ich die vorhin erhaltene Mitteilung, dass Logins von unbekannten Browsern (Browsern ohne Cookie-Bekanntschaft) künftig mit einer TAN freigegeben werden müssen, sehr begrüße und diese Verbesserung bei der Sicherheit gerne sehe. Der Ansatz aus Account-Nr. und PIN sah schon immer etwas wackelig aus. Ich halte die Lösung mit den Cookies für einen guten Kompromiss zwischen "immer TAN" und "niemals TAN".

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

nope — Mon, 11 Oct 2021 17:25:43 GMT

Hi,

dem Lob möchte ich widersprechen und euch fragen ob das eine unternehmerische Entscheidung war oder ob ihr das aus der PSD2 ableitet, wie die Mail suggeriert? Wenn ja, wo fordert die PSD2 diese Methode?

Warum wird diese Methode verpflichtend umgesetzt und ist nicht abschaltbar?

Ich brauche nun bei jedem Login eine tan, da bei mir aus Datenschutzgründen mit dem Beenden des Browsers auch die Cookies gelöscht werden. Ich sehe durch diese Methode in meinem Fall (=immer gleicher PC, aber gelöschte Cookies) keine verbesserte Sicherheit.

Zwar offtopic, aber auch nervig: Nachdem ihr die photoTan App auf gerooteten Geräten sperrt, bleibt mir nur die kostenpflichtige MobileTan oder der überteuerte Commdirek-spezifsiche Tan-Generator um mich einzuloggen.

Grüße

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

ehemaliger Nutzer — Tue, 12 Oct 2021 21:15:27 GMT

Ich möchte dem Lob ebenfalls heftig widersprechen!

Sorry, aber wenn das so kommt werde ich mein Depot kündigen. Das ist der berühmte kleine Tropfen der das große Fass, dass sich leider in den letzten Jahren - insbesondere seit Übernahme durch die Commerzbank - immer mehr gefüllt hat (siehe auch Antwortzeiten und Antwortqualität Kundenservice), zum Überlaufen bringt.

Ich frage ebenfalls:

@nope schrieb:
wo fordert die PSD2 diese Methode?
Warum wird diese Methode verpflichtend umgesetzt und ist nicht abschaltbar?

Das ist wirklich der Hammer! Ich lösche ebenfalls meine Browserdaten und möchte auch mehrere Geräte nutzen. Nun soll ich jedes Mal eine TAn eingeben?!? Abgesehen davon dass dies maximal kundenunfreundlich und unpraktisch ist: was soll der Sicherheitsgewinn sein? Nichts gegen den Threadersteller, man mag das ja auch toll finden dürfen, aber das ist doch schlicht sinnlose Pseudo-Sicherheit.

Wo aber mein Verständnis dann vollends vorbei ist: ich kann und möchte ebenfalls die App nicht nutzen, muss also kostenpflichtige MobileTAN anfordern. Dies fand ich schon bisher nervig und auch rechtlich mehr als fragwürdig, aber da waren es "nur" alle 3 Monate.

Jetzt bei JEDEM Login? Mit Verlaub, aber ist das Euer Ernst?!?

Ich frage mich ob das überhaupt rechtens ist, dass damit mehrfach pro Woche(!) nun kostenpflichtige TANs nur für den Login anfallen. Das lese ich aus der PSD2 und deren Hintergrundinfos ganz anders.

Die einzige Alternative? Ein TAN-Generator für lächerlich überteuerte fast 40 Euro.

Übrigens gibt es auch Banken, die ganz im Einklang mit der PSD2 für "nur Depot" oder "nur Tagesgeld" z.b. sogar auf iTAN-Listen setzen. Oder kostenLOSE TANs.

Aber vermutlich ist es auch wieder die berühmt-berüchtigte "geschäftspolitische Entscheidung", dass man unbedingt einen Kunden vergraulen will mit nerviger TAN-Drangsalei. Noch dazu nun jedes Mal 9ct Kosten für den Mist. Ich frage nochmal: Kosten nur für den Login, kann das rechtens sein?

Ich habe bei der CoDi in den letzten Jahren einiges an Orderkosten gelassen und verstehs nicht, warum man lieber einen Geld bringenden Kunden verlieren möchte als einen solchen TAN-Generator kostenlos oder zu einem nur geringen Betrag zu stellen.

Bereits vorab Verzeihung für den vermutlich etwas emotional gewordenen Unterton, ich möchte damit niemanden angreifen, aber als ich das gerade in der Postbox gelesen habe habe ich gedacht ich seh nicht recht. Wenn das so kommt bin ich weg. ja, es sind dann vielleicht nur 1-2 Euro im Monat für die TANs, aber es geht ums Prinzip und noch dazu ist es von der Usability her schlicht nervige Schikane!

Von daher meine dringende Bitte: macht diese "Option" optional!!

Gerne zahle ich Orderkosten für eine professionelle Dienstleistung, aber sicher nicht für so einen Mist beim Login.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

dg2210 — Mon, 11 Oct 2021 18:53:50 GMT

@nope schrieb:

Zwar offtopic, aber auch nervig: Nachdem ihr die photoTan App auf gerooteten Geräten sperrt, bleibt mir nur die kostenpflichtige MobileTan oder der überteuerte Commdirek-spezifsiche Tan-Generator um mich einzuloggen.
Grüße

NUR die photo-TAN-PushUp macht Probleme mit root. Die normale (nicht Push) PhotoTAN App läuft problemlos auf gerooteten Androids.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

Michael192 — Mon, 11 Oct 2021 18:56:15 GMT

Guten Abend,

dem Lob des Thread-Erstellers kann ich mich auch keinesfalls anschließen, ich sehe es wie meine Vorredner. Da ich ebenfalls nach Beendigung einer Browser-Session jegliche Cookies lösche, soll ich nun bei jedem Einloggen eine Photo-TAN eingeben. Aus welchem Grund? Mir erschließt sich hier kein Kundennutzen, vielmehr ist es unpraktisch und kundenunfreundlich. Vor allem wenn man keine Photo-TAN nutzen kann.

Wenn ihr es wenigstens so anbieten würdet, dass man dies als Option angeboten bekommt und man selbst entscheiden kann, ob man die Option aktiviert ...

Den geänderten AGB habe ich übrigens noch nicht zugestimmt. Vielleicht ist das jetzt ein Grund (mehr) die comdirect zu verlassen.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

ehemaliger Nutzer — Mon, 11 Oct 2021 18:57:31 GMT

@Michael192 schrieb:
Wenn ihr es wenigstens so anbieten würdet, dass man dies als Option angeboten bekommt und man selbst entscheiden kann, ob man die Option aktiviert ...

Das ist auch meine dringende Bitte.

@Michael192 schrieb:
Den geänderten AGB habe ich übrigens noch nicht zugestimmt. Vielleicht ist das jetzt ein Grund (mehr) die comdirect zu verlassen.

ebenso

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

Morgenmond — Tue, 12 Oct 2021 06:50:33 GMT

Ich bin der Meinung das dies eine schwachsinnige Bevormundung ist.

Jeder normale Mensch löscht den Cookie-Kram wenn man den PC etc. herunterfährt.

Hier wird mit angeblichen Vorschriften aus PSD2 dieser Blödsinn begründet, dabei ist dort rein gar nix darüber zu lesen.

Ich war schon drauf und dran den neuen Nutzungsbestimmungen zuzustimmen (für mich ändert sich gebührenmaßig ja nichts) aber dies werde ich nun schön bleiben lassen...

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

__dpk — Tue, 12 Oct 2021 07:08:15 GMT

Es war doch bisher auch schon so, dass man beim ersten mal bzw. alle 90 Tage eine TAN braucht, um sich anzumelden.

Ich bin bisher davon ausgegangen, dass das, so wie es überall eigentlich Standard ist, über Cookies gelöst wurde.

Wenn das nicht der Fall war, dann muss bisher ja versucht worden sein, den Rechner bzw. Browser mit irgendwelchen „Tricks“ eindeutig zu identifizieren und später wieder zu erkennen. Ob das immer so richtig funktioniert hat und die gewünschte Sicherheit wirklich garantieren konnte, da habe ich persönlich meine Zweifel.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

Thorsten_ — Tue, 12 Oct 2021 07:10:48 GMT

@__dpk schrieb:
Es war doch bisher auch schon so, dass man beim ersten mal bzw. alle 90 Tage eine TAN braucht, um sich anzumelden.
Ich bin bisher davon ausgegangen, dass das, so wie es überall eigentlich Standard ist, über Cookies gelöst wurde.
Wenn das nicht der Fall war, dann muss bisher ja versucht worden sein, den Rechner bzw. Browser mit irgendwelchen „Tricks“ eindeutig zu identifizieren und später wieder zu erkennen. Ob das immer so richtig funktioniert hat und die gewünschte Sicherheit wirklich garantieren konnte, da habe ich persönlich meine Zweifel.

Nö, es war einfach Zugangs-basiert (serverseitig). Du konntest dich mit beliebig vielen Rechnern/Browsern 90 Tage lang anmelden, bevor wieder die TAN abgefragt wurde. Unabhängig von vorhandenen oder nicht vorhandenen Cookies.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

__dpk — Tue, 12 Oct 2021 07:32:27 GMT

Das glaube ich nicht, ich musste mich auf jedem Gerät per TAN autorisieren.

Wäre im Sinne von PSD2 ja auch völlig unsinnig. Es geht ja gerade darum, dass jemand anders sich mit den Zugangsdaten alleine nicht einfach anmelden kann.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

EP07 — Tue, 12 Oct 2021 07:34:13 GMT

Ich verstehe die Aufregung nicht. Man kann doch problemlos eine Cookie-Ausnahme hinterlegen und hat das Problem dann nicht.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

ehemaliger Nutzer — Tue, 12 Oct 2021 08:35:19 GMT

@__dpk schrieb:
Das glaube ich nicht, ich musste mich auf jedem Gerät per TAN autorisieren.

Das stimmt einfach nicht. Es ist genau so wie Thorsten geschrieben hat bislang eine simple serverseitige 90-tägige Aufforderung.

Dieser ganze Schwachsinn ist schlicht unsinnig, ja.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

ehemaliger Nutzer — Tue, 12 Oct 2021 08:37:19 GMT

@EP07 schrieb:
Man kann doch problemlos eine Cookie-Ausnahme hinterlegen und hat das Problem dann nicht.

Man kann doch problemlos diese schwachsinnige Pseudo-"Sicherheits"-Option optional machen und hat das Problem dann nicht.

Zur Cookie-Ausnahme müsste man außerdem erst mal wissen welches Cookie denn diesen Unsinn regelt und doch, man hat das Problem dann sehr wohl, wenn man sich auch mal von einem anderen Browser und Gerät aus anmelden möchte.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

__dpk — Tue, 12 Oct 2021 08:43:50 GMT

@ehemaliger Nutzer schrieb:
@__dpk schrieb:
Das glaube ich nicht, ich musste mich auf jedem Gerät per TAN autorisieren.
Das stimmt einfach nicht. Es ist genau so wie Thorsten geschrieben hat bislang eine simple serverseitige 90-tägige Aufforderung.
Dieser ganze Schwachsinn ist schlicht unsinnig, ja.

Doch das stimmt, ich weiß wohl was ich gemacht habe.

Wenn das bei Euch nicht so war, dann zeigt das nur, dass das bisher nicht zuverlässig funktioniert hat und damit nicht PSD2 konform war.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

ehemaliger Nutzer — Tue, 12 Oct 2021 21:16:44 GMT

@__dpk schrieb:
Doch das stimmt, ich weiß wohl was ich gemacht habe.

Dann schildere bitte genauer was du gemacht hast. Redest du sicher vom Zugang per "normalen" Browser und nicht von Apps?

Denn ich lösche bei jedem Browser-Beenden die Cookies und die Abfrage kam (gottseidank) bislang nur alle 90 Tage auch wenn ich mich von einem ganz anderen Gerät aus eingeloggt habe.

Völlig davon abgesehen, dass diese komische Neuregelung optional sein sollte! Wie gesagt, man kann sie ja toll finden, das spreche ich niemandem ab, und derjenige kann diesen unglaublichen Sicherheitsgewinn ja dann gerne aktivieren.

Aber ich bin sicherlich nicht der einzige, der dies als sinnfreie Gängelung unter dem Deckmantel von (Pseudo)Sicherheit ansieht. Und von daher würd ich das gerne deaktivieren.

@SMT_Service: bitte optional machen.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

__dpk — Tue, 12 Oct 2021 08:59:48 GMT

Anmeldung auf Mac, auf iPad und iPhone. Im Safari Browser, Comdirect Webseite. Jedes mal TAN.

PSD erfordert ja, dass 2 unterschiedliche Faktoren bei Dir liegen, also z.B. Anmeldedaten und Gerät. Der Bankserver gehört nicht dazu, der ist nicht bei Dir zuhause.

Betreff: Lob: Neuerung beim Login von unbekannten Browsern

ehemaliger Nutzer — Tue, 12 Oct 2021 09:07:56 GMT

@__dpk schrieb:
Anmeldung auf Mac, auf iPad und iPhone. Im Safari Browser, Comdirect Webseite. Jedes mal TAN.

Das ist sehr seltsam. Mir fällt es zwar schwer zu glauben dass das bei nicht bei allen Nutzern einheitlich ist, aber gut Deine Erfahrung streite ich Dir nicht ab.

Bei mir jedenfalls, und wohl auch Thorsten, ist es wie gesagt definitiv nicht der Fall. Mehrere Geräte - unterschiedliche Browser - unterschiedliche IPs - Cookies gelöscht. Alle 90 Tage TAN, nicht früher, nicht wiederholt, egal woher.

PS: diese ganze PSD2-Bevormundung sollte ein reines Depot eigentlich überhaupt nicht tangieren, ist also bei mir bislang schlicht und einfach rechtlich unbegründete Drangsalei. Andere Banken setzen diesen Zirkus auch rechtskonform um was Depots anbelangt (bzw. eher nicht um).

Es bleibt weiterhin Fakt - auch schon davor, aber eben nur alle 90 Tage, nun quasi täglich: jeder, der nicht diese photoTAN-App nutzen kann/möchte zahlt jedes Mal. Nur für den Login! Das ist krank. Und da würde mich mal sehr interessieren wie das rechtens sein kann, das ist wie gesagt übrigens eben keineswegs von der PSD2 gefordert!

Re: Lob: Neuerung beim Login von unbekannten Browsern

SMT_Erik — Tue, 12 Oct 2021 13:17:55 GMT

Hallo zusammen,

wird danken euch für euer insgesamt differenziertes Feedback zu unserer aktuellen Änderung.

Aus unserer Sicht stellt das neue Procedere einen Kompromiss zwischen "eine TAN bei jedem Login" und der 90-Tage-Ausnahme durch die PSD2 dar. Wir evaluieren regelmäßig unsere Sicherheitsmaßnahmen und haben uns dazu entschlossen, diesen Kompromiss zu wählen.

Eine optionale Funktion ist derzeit nicht geplant.

Gruß

Erik

Re: Lob: Neuerung beim Login von unbekannten Browsern

Morgenmond — Tue, 12 Oct 2021 13:45:01 GMT

@SMT_Erik schrieb:
...
Aus unserer Sicht stellt das neue Procedere einen Kompromiss zwischen "eine TAN bei jedem Login" und der 90-Tage-Ausnahme durch die PSD2 dar. ...

Hi @SMT_Erik

wo stellt denn dies einen Kompromiss dar wenn ich mich jedesmal nach Leerung des Caches per TAN neu einloggen muss ?

Ich habe das Gefühl bei der comdirect läuft ein Wettbewerb "Wie vergraule ich die Kunden am Besten" und jede ~~noch so schwachsinnige~~ Idee die da entfleucht wird sofort umgesetzt... 🙄

Zumal ja solche Vorgaben gar nicht gesetzlich vorgeschrieben sind sondern die comdirect (im vorauseilenden Gehorsam ? 🤔 ) die Beschränkungen verschärft.

Gruß Morgenmond

Re: Lob: Neuerung beim Login von unbekannten Browsern

ehemaliger Nutzer — Tue, 12 Oct 2021 14:03:49 GMT

Heißt im Klartext, es ist nicht von der PSD2 gefordert, sondern halt eine "geschäftspolitische Entscheidung".

@SMT_Erik: Ich würde gerne zumindest noch wissen, was die Comdirect dazu sagt, wie es rechtskonform sein kann, dass nun für Kunden ohne photoTAN für jeden Login(!!!) Kosten anfallen. Das ist doch absurd, ich zahle keine Kosten für eine Order-mobileTAN, aber für den reinen Login jedes ~~verdammte~~ Mal.

Und wie bereits ausgeführt von Morgenmond:

@Morgenmond schrieb:
Zumal ja solche Vorgaben gar nicht gesetzlich vorgeschrieben sind sondern die comdirect (im vorauseilenden Gehorsam ? 🤔 ) die Beschränkungen verschärft.

Diesem Stimme ich übrigens vollumfänglich zu, was er hier ausgeführt hat:

@Morgenmond schrieb:
Ich bin der Meinung das dies eine schwachsinnige Bevormundung ist.
Jeder normale Mensch löscht den Cookie-Kram wenn man den PC etc. herunterfährt.
Hier wird mit angeblichen Vorschriften aus PSD2 dieser Blödsinn begründet, dabei ist dort rein gar nix darüber zu lesen.
Ich war schon drauf und dran den neuen Nutzungsbestimmungen zuzustimmen (für mich ändert sich gebührenmaßig ja nichts) aber dies werde ich nun schön bleiben lassen...

Da kann man nach jedem Satz einen Haken bzw. mehrere laute Ausrufezeichen machen!

Nachdem von Seiten der CoDi offenbar kein Interesse an einer Änderung dieser Drangsalei besteht, werde ich dann wohl in spätestens 90 Tagen (letzter TAN-Login ist schon ein wenig her, insofern weniger) weg sein. Andere Banken freuen sich sicherlich über die Ordergebühren, anstatt ihre Kunden mit so einem Unsinn zu knechten und nicht mal einen kostenlosen, sondern maßlos überteuerten TAN-Generator zur Verfügung zu stellen.