Hilfe
abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Zwei Faktor Authentifizierung

stefn
Autor
1 Beiträge

Moin Community,

 

immer wieder liest man von geleakten Passwörtern und Zugangsdaten. Meiner Meinung nach ist das Bankkonto ist zusammen mit dem E-Mail-Account wichtig und schützenswert. Daher meine Frage: hat die comdirect geplant, eine zwei Faktor Authentifizierung zu ermöglichen, um so die Sicherheit zu erhöhen?

 

Mir ist bewusst, dass wichtige Transaktionen nur mit einer TAN möglich sind, jedoch ist auch der Einblick in die Kontobewegungen bereits aufschlussreich für mögliche Angriffe.

 

Viele Grüße,

Stefan

67 ANTWORTEN

TC_Hessen
Experte
80 Beiträge

@Weinlese  schrieb:

Gegen eine direkte Umsetzung eines freiwilligen 2FA-Login spricht, abgesehen von etwas Programmieraufwand, meines Erachtens aber nichts.

 

Dann hast du noch nie an derart großen Systemen programmiert. Bei einer kleinen Anwendung ist die Implementierung vom 2FA oder einem längeren Passwort trivial, bei einer derart großen Anwendung hingegen nicht. Hier hast du nicht nur eine Webanwendung als geschlossenes Systems, es werden mehrere Backends angesprochen, auch hier müssen  die Interfaces angepasst werden.

 

Ich würde mir das nicht zutrauen, ohne Kenntnisse aller Komponenten, den Aufwand abzuschätzen.

Weinlese
Mentor ★
1.384 Beiträge

@TC_Hessen

Habe ich nicht, stimmt. Könntest Du etwas näher erklären, wieso der Aufwand größer wäre? Ich stelle mir die Authentifizierung als zweistufigen Prozess vor: Im ersten Schritt werden die Logindaten des Kunden geprüft, im zweiten Schritt werden die Nutzerdaten von den verschiedenen Datenbanken oder Backends mit einem internen, verifizierten Key o.ä. abgefragt.

 

Zumindest wäre es von der Umsetzung her komplizierter, redundant und somit auch fehleranfälliger, die Logindaten vom Nutzer an jeder Stelle erneut zu prüfen. Ich gehe deshalb nicht davon aus, dass es so umgesetzt wurde. In dem Fall würde eine einzelne Änderung des Logins an zentraler Stelle genügen.

 

Viele Grüße

Weinlese

TC_Hessen
Experte
80 Beiträge
@Weinlese  schrieb:

Habe ich nicht, stimmt. Könntest Du etwas näher erklären, wieso der

 


Ich kann ja auch nur raten, würde das aber auch so umsetzen, daß der Login zentral verifiziert wird und dann nur noch ein Token weitergegeben wird. Aber bis zu dem Weg müssen mehrere Punkte angefasst werden:

 

- Webseite

- Interface zum Backend

- Android und iOS Apps

- HBCI Interface ggf

 

Es muss einmal jedes Feld angefasst werden, wenn man z.B. die Kennwortlänge ändert, aber auch bei 2FA ein weiteres Feld und ein weiterer Kommunikationskanal aufgebaut werden und das ggf bei jeder Anwendung.

 

None
Autor
1 Beiträge

Hallo,

 

ich bitte ebenfalls darum, eine 2FA einzurichten.

 

Mit freundlichen Grüßen.

maxwow
Autor
2 Beiträge

Nur vollständigkeitshalber.. braucht man für alle Überweisungen bis zu 25€ keine TANs.

Als Folge wurde mein Kumpel so durch simples Phishing um fast 100€ armer.

 

Was macht Comdirect? Nichts. Nur den Zugang sperren, damit die Handhabung vom Konto noch schwerer fällt und dann behaupten, "schauense Mal, unser Sicherheitssystem hat reagiert"! Nein, hat es nicht, weil es keins gab.. nämlich entweder TANs für jede Transaktion (von mir aus auf Wunsch ein/abschaltbar) oder 2FA. Das Geld ist weg und ohne Polizei und zeitintensive Kommunikation wird nichts passieren.

Dazu argumentieren das die Mitarbeiter wieder mit dem klassichen "Unsere Kunden haben sich es so gewünscht", "So machen wir es unseren Kunden leichter Überweisungen zu tätigen." Wo sind diese Kunden? Wohl nicht hier auf der Community.

 

Upd: bis 30€... noch besser.

ehemaliger Nutzer
ohne Rang
0 Beiträge

Bis 30€ braucht man keine Tan bei Überweisungen.

 

Um Überweisungen auszuführen, muss man ja erstmal ins Konto kommen.

Die Zugangsdaten zu erraten dürfte nicht so einfach sein. Man hat ja nur 3 Versuche.

Auf Phishing sollte man natürlich nie reinfallen.

TC_Hessen

Phishing ist eine Sache, wo es leider immer wieder Fälle gibt, aber das ist nicht der große Angriffsvektor. Spannend finde ich im Moment N26, denn es scheint, als gäbe es dort ein prinzipielles Problem. Denn die Bank zieht von der Machart eher technikafine Leute an, die prozentual weniger auf Phishing hereinfallen dürften.

 

Link: https://heise.de/-4355970

 

ghedeon
Autor ★
3 Beiträge

2019:

Amazon, where I buy my shampoo: 2FA
Comdirect, where I keep my salary: Lol, whatever, who cares.

TC_Hessen
Experte
80 Beiträge

2fa bringt bei Phishing nichts, wenn dann die Kontodaten geändert werden. Man muß immer den Angriff analysieren, um dazu etwas sagen zu können.

ChristianK

Hier der Link zum CCC N26 Video. Vielleicht für den ein oder anderen interessant:

 

https://www.youtube.com/watch?v=KopWe2ZpVQI

 

Zu meinem Sicherheitsgefühl würde 2FA auf jeden Fall beitragen. Bei Paypal/P2P Anbietern/Kryptobörsen und alles was wirklich sicherheitskritisch ist nutze ich es ebenfalls.