comdirect

---

Der Angriffsvektor, den das Frauenhofer-Institut als potenzielle Schwachstelle bei Photo-TAN identifiziert hat: Wenn Banking-App und Photo-TAN-App auf dem selben Smartphone  installiert sind, kann die Übertragung zwischen den beiden Apps unter Umständen kompromittiert sein: Man sieht hier dann bei der Bestätigung in der Photo-TAN-App die Angaben zu Betrag und Empfänger, die man eingegeben hat, im Hintergrund haben die Betrüger aber Betrag und Empfängerkonto geändert und mit genau diesen Daten die Generierung des bunten Codes zur Erzeugung der TAN veranlasst. Hält man sich an die Empfehlung, Photo-TAN auf einem separaten Gerät zu nutzen, kann die Kommunikation zwischen den Apps schlechterdings nicht manipuliert werden.

 

---

 jo, das schaut dann so aus (u.a.): https://youtu.be/jltx8ifPKy8

---

@haxo  schrieb:

 

Egal, folgende Frage: Ich mag mein Smartphone nicht überfrachten, würde mir also ein externes Gerät kaufen,

a) Kann ein externes Gerät 5 oder 6 Banken/Broker und was weiß ich verkraften?

b) Kann man sowohl ein externes als auch sein Handy registrieren und wählen?

c) Kann man auch mit dem Smartphone auf dem die Photo-App drauf ist die Transaktion machen oder muss man irgendwie im Spiegel fotografieren? 

 

---

Zu (a) Die Deutsche Bank nutzt dasselbe PhotoTAN-Verfahren wie die comdirect, aber mit anderen Parametern, d.h. die App mit comdirect-Logo liest keine maxblue-TANs und umgekehrt. das ist wieder einmal typisch für die deutschen Privatbanken: die stecken viel Geld in den Kampf gegeneinander statt gemeinsam etwas für den Kunden zu tun.

(b) Ja, auch die App lässt sich auf mehreren Geräten gleichzeitig installieren,  in der TAN-Verwaltung lässt sich auch jedes Gerät einzeln deaktivieren.

(c) Spiegel geht nicht, aber man kann den Code mit einem Zweithandy/Fotoapparat abfotographieren und von dessen Display wieder einlesen. Das dient der Sicherheit, weil es keine Schadsoftware auf dem Handy gibt, die ein physisches Bild durch ein externes, zweites Gerät aufnehmen kann.

zu (c): das Gefummel mit einem zweiten Handy oder einer Kamera sind mit der neuen App nicht nötig. 

---

@Elbblick  schrieb:

zu (c): das Gefummel mit einem zweiten Handy oder einer Kamera sind mit der neuen App nicht nötig. 

---

Was natürlich aus Sicherheitsgründen kompletter Schwachsinn ist. Der Kern der Zwei-Faktor-Authorisierung ist gerade die Verwendung eines zweiten, unabhöngigen Kanals/Geräts. Wenn man die beiden "Faktoren" in ein Gerät packt, dann ist der Vorteil dahin.

Analogie: um einen Banksafe zu öffnen, braucht man zwei Schlüssel, die von zwei Mitarbeitern verwahrt werden. Jetzt kommt jemand auf die Idee, daß es doch viel praktischer wäre, die beiden Safe-Schlüssel in einem Schlüsselkasten in der Filiale zu deponieren und jeder Mitarbeiter bekommt einen Schlüssel für diesen Schlüsselkasten.

Nicht schon wieder.

@dg2210

Du kannst die photoTAN App mit einem PW sichern. Wenn Du also über Dein Smartphone eine Überweisung machen willst musst Du erst die codi App entsperren und dann noch die photoTAN App. Der User kann das auch nicht tun aber das ist dann seine Entscheidung.

Das Du kritisierst das codi und Deutsche Bank andere Schlüssel in dem selben Verfahren verwenden ist aber auch mehr als unlogisch. 

Sollte Euer Weltuntergangszenario passieren und alle Sicherheitsmechanismen der Apps geknackt werden dann würden ja alle Konten die das selbe Verfahren nutzen (gleicher Schlüssel) offenliegen.

Also erst sagen "alles unsicher" und dann mit "die arbeiten gegeneinander und nicht für den Kunden" klappt also auch nicht.

Nicht der Zugriff auf beide Kanäle (Online-Banking und TAN-Generator) ist hier das Problem. Wenn das Smartphone mit Schadsoftware befallen ist, kann die Kommunikation zwischen den beiden Apps manipuliert werden. Das ist meines Erachtens schon eine ernst zu nehmende potenzielle Gefahr bei der Nutzung beider Apps auf dem selben Gerät. 

Allerdings fanden simulierte Hacks bislang nur unter Laborbedingungen auf gerooteten Android-Phones statt. Panik ist hier meines Erachtes nicht angebracht. Und Sicherheit ist immer relativ. Und so ist es gut, dass iTAN und SMS-TAN ausgemustert werden.

Verbraucher sollen wissen, wie essenziell es ist, Apps nur aus seriösen Quellen zu installieren und sich um Sicherheitsupdates zu kümmern. Wer bedenken hat, wählt einen separaten TAN-Generator.

Ich bin noch nicht richtig überzeugt.

Meine beiden Kinder haben je ein Depot/Konto und ich, bzw. meine Holde gemeinsam eines.

Nach den codi-Bestimmungen musste jeder Erwachsene einzeln Bevollmächtigungszugang haben, so wie auch auf das "Elternkonto"

D.h. ich habe sechs (!) Tan-Listen und Zugangsdaten.

Frage: Wird das mit der Photo-TAN noch komplizierter oder einfacher oder bleibt es wie es ist?

Wenn ich als E1 (Elternteil1) eine Aktion für K2 (bevollmächtigt) ausführen möchte und eineTAN abgefragt, bzw. eingeblendet wird, "weiß" das Gerät um welches Konto es sich handelt?

Bitte keine Reaktionen von unseren neuen Wichtigtuern, die plötzlich aus dem Nichts aufgetaucht sind und das Forum verspammen; hier in der Community kommt sicher kein russischer Headhunter vorbei 

hx

Die App unterstützt meines Wissens bis zu 8 Konten. Wie viele Konten der Generator unterstützt, weiß ich nicht.

Jedes Konto wird separat für Foto-TAN registriert (via separatem Brief mit Registrierungscode). Wenn das Gerät dann einen Code einliest, erkennt es automatisch, ob es für dieses Konto registriert ist.