comdirect

Hallo Christoph,

hatte mich schon gewundert, daß sich sonst niemand daran stört. Immer gibt man damit z.B. Google vollen Zugriff auf das Konto, einschließlich Ausführen von Überweisungen und anderem. Ich hatte mit der Suchfunktion aber nichts gefunden.

Dein "Experiment" führt mich zu folgenden zwei Überlegungen:

1. Manche Benutzer ändern ja von Zeit zur Zeit ihr Login-Passwort. Wenn die photoTAN-App das Passwort speichern und auf Dauer benötigen würde, dann müßte man es ja auch dort ändern. Einen solchen Hinweis für Benutzer gibt es aber doch nicht?!

2. Man ändert direkt nach Installation der App das eigene Login-Passwort im Online-Banking. Dann hat man wieder 2FA.

Grüße.

Hallo @bz und @ChristophL,

der 2. Faktor besteht in der photoTAN durch den Faktor „Besitz“. Es besteht eine Gerätebindung unter Verwendung von gerätespezifischen Daten, bspw. IMEI.

Der Login ist nicht der zweite Faktor, sondern notwendig, um die App mit dem Konto zu verknüpfen. Die Zugangsdaten werden nicht in Klarschrift gespeichert. Eine Aufgabe der Überweisung ist in der photoTAN App nicht möglich, daher befinden sich nicht beide Faktoren in einer Zahlungsapp.

Wenn die PIN online geändert wird, muss sie auch neu in der photoTAN App eingegeben werden, da der hinterlegte Token nicht mehr gültig ist. Dabei kommt es aktuell noch zu einem Absturz, wenn man die photoTAN App nach dem Ändern der PIN erneut aufruft. Diesen Fehler haben wir zur Behebung weitergeleitet.

Ihr könnt eure PIN ruhigen Gewissens ändern, wenn ihr folgendes beachtet.

Stellt sicher, dass ihr entweder einen Aktivierungsbrief oder eine Wiederherstellungsnummer für die erneute Aktivierung der photoTAN App habt.

Um die photoTAN App nach einer PIN-Änderung zu nutzen ist aktuell eine Neuinstallation der App erforderlich. Die Neuinstallation bedeutet gleichzeitig, dass die App in diesem Zuge auch neu aktiviert werden muss. Bitte nutzt dafür euren Aktivierungsbrief oder online unter Verwaltung > PIN/TAN-Verwaltung > photoTAN > Weiteres Gerät aktivieren die Möglichkeit der vorher hinterlegten Wiederherstellungsnummer. 

Beste Grüße

Jan-Ove

Dann ist die photoTAN-App nicht akzeptabel, und entspricht auch nicht dem Geist der 2FA.

Wenn die App manipuliert ist und die Zugangsdaten speichert, dann liegen hier alle Autorisierungsdaten konzentriert vor, um eine beliebige Überweisung zu tätigen.

Es würde auch ohne die Zugangsdaten gehen. Zum Beispiel durch ein zweites Login-Passwort, das nur für die photoTAN-App gültig ist und keine Sitzung zur Eingabe von Überweisungen öffnen kann.

Die TAN-App sollte doch eigentlich nur TANs generieren. Kann sie auch nicht mehr offline verwendet werden?

Grüße.

Hallo @bz und @SMT_Jan-Ove 

Sehe ich die Lage jetzt richtig:

a) Die App speichert in verschlüsselter Form die Zugangsdaten konzentriert damit aber alle Angaben auf einem Gerät.

b) Diese Angaben waren nur nicht zur Registrierung notwendig, sondern werden relegmäßig gebraucht. Es ist also nicht so, dass die App bei der Registrierung einer Art reduzierten Zweitaccount zum Empfang der TAN Generierungsanfrage wie von @bz angedeutet anlegt.

c) Bei einer Änderung der PIN am PC muß diese auch später in der App geändert werden. Im Moment stürzt die App ab und muß daher bei einer PIN Änderung neu installiert werden.

d) Die einzige Möglichkeit, das alte sichere Verfahren zu verwenden, besteht darin, sich den physikalischen Phototangenerator zu bestellen und das ganze Verfahren auf den umzustellen? 

Viele Grüße,

Christoph

Hallo @bz,

warum ein Auslesen der Zugangsdaten nicht möglich ist, habe ich bereits oben beschrieben.

Die photoTAN App kann auch weiterhin offline verwendet werden, da die Scan-Funktion immer noch über das Symbol unten links verwendet werden kann.

@ChristophL:

a) Die Zugangsdaten werden nur für die Einrichtung der App und die Generierung des Tokens benötigt. Nach Einrichtung ist nur noch der Token gespeichert.
b) siehe a).
c) Korrekt. Dies ist aktuell ein Fehler.
d) Das neue Verfahren ist ebenfalls sicher. Wenn du unbedingt keine Push-Funktion haben möchtest, ist das Lesegerät tatsächlich die einzige Alternative

Beste Grüße

Jan-Ove

Hallo Jan-Ove,

Danke für die Auskunft. Ich habe zu c) noch zwei Fragen.

Im Moment sehe ich im Verwaltungsbereich keine explizite Option die Push Funktion auszuschalten. Passiert dies dann automatisch, wenn ich das Lesegerät angemeldet habe und das Handy abgemeldet?

Wenn ich dann die App deinstalliere, werden dann alle Daten bezüglich des Kontos gelöscht?

Vielen Dank,

Christoph

Hallo @ChristophL,

wenn kein Gerät mit Push-Funktionalität zur Verfügung steht, steht auch die Push-Funktion nicht zur Verfügung. Eine explizite Abschaltung der Funktion ist dafür nicht erforderlich.

Mit dem Löschen der photoTAN-App werden alle darin enthaltenen Daten ebenfalls vom Gerät gelöscht.

Beste Grüße

Jan-Ove

@SMT_Jan-Ove:

Es geht ja gerade darum, sich bei eventuellen Manipulationen gegen Schaden zu schützen.

Bei einer manipulierten photoTAN-App ist es aber möglich, die Zugangsdaten abzugreifen und dann auch beliebig viele TANs zu generieren. Deshalb finde ich das unsicher. Oder sagen wir: Unsicherer als nötig.

Ich würde auch nie Online-Banking auf einem Smartphone machen. Erst recht nicht, wenn dort auch die TANs generiert werden.

Grüße.