comdirect

Madirect · ‎13.05.2022

Hallo zusammen,

Zwei Faktor Authentifizierung über TOTP ist einfach, Standard im Netz und sicher. Ich möchte anregen ihn auch bei comdirect anzubieten.

Warum?

Aktuell besteht das Passwort eines Kontos aus wenigen Zahlen, welche verloren oder kopiert und geklaut werden können. Da Login und Passwort sich nie ändern reicht es aus, diese Kombination zu kennen um sich auf einem bekannten PC erneut in dem Konto anzumelden. Dies wird auch durch die aktuelle Photo-Tan nicht unterbunden, wenn der PC bekannt ist und diese nicht bei jedem Login benutzt werden muss.

Lösung?

TOTP ist ein Standard der bereits überall im Netzt genutzt wird und unabhängig von einem Anbieter von vielen verschiedenen Apps unterstützt wird. So wird TOTP beispielsweise bei PayPal, Amazon, Mailanbietern, GitHub, Nextcloud, Microsoft etc benutzt.

Da sich der Einmalcode regelmäßig ändert kann dieser nicht einfach kopiert werden und das Konto ist gegenüber den vorher genannten Attacken sicher (Wie bspw. auch bei der PhotoTan). Gleichzeitig ist da wir alle schon diesen zweiten Faktor einsetzen keine Eingewöhnung in ein neues Verfahren notwendig. Explizit sehe ich als Vorteil, dass der Code unabhängig von einer comdirect App ist, da der Code ja evtl. auch dort eingesetzt werden könnte und dann nicht wirklich ein zweiter Faktor wäre.

User Stories:

Als Kunde der Comdirect erwarte ich, dass mein Login geschützt wird, damit niemand meine sensiblen Daten wie Kontostand, Verläufe, Depot etc ansehen kann.

Als FinTech Comdirect möchte ich meinen Kunden einen einfachen Weg anbieten ihre Daten zu sichern über einen Weg den sie bereits aus ihrem Alltag kennen wie z.B. beim Bezahlen über PayPal.

richard69 · ‎13.05.2022

Bin gerade unterwegs deshalb eine kurze Antwort.

Diese Thema wurde in der Vergangenheit bereits erörtert. Bitte die Forumsuche verwenden. Kurze aus dem Gedächtnis: 2FA hat aus damaliger Sicht keine Verbesserungen der login Sicherheit gebracht.

Aber das kannst du ja im damaligen Thema selber nachlesen

GetBetter · ‎13.05.2022

@Madirect schrieb:

Aktuell besteht das Passwort eines Kontos aus wenigen Zahlen, welche verloren oder kopiert und geklaut werden können.

[...]

Als Kunde der Comdirect erwarte ich, dass mein Login geschützt wird, damit niemand meine sensiblen Daten wie Kontostand, Verläufe, Depot etc ansehen kann.

Meine unmassgebliche Meinung:

Kunden, die erwarten, dass ihre Logindaten geschützt bleiben, die sollen durch geeignete Maßnahmen in ihrem Umfeld sicherstellen, dass diese nicht verloren, kopiert oder geklaut werden. Diese Verantwortung bei der Bank zu sehen ist zu einseitig gedacht.

Das gilt umso mehr, als diese Logindaten im Grund genommen unkritisch sind. Sie ermöglichen nämlich nur einen passiven Einblick aber keine aktiven Handlungen.

Madirect · ‎13.05.2022

Hallo,

danke für eure Antworten.

"2FA hat aus damaliger Sicht keine Verbesserungen der login Sicherheit gebracht."

Das ist so nicht richtig. Richtig ist, dass es bei Transaktionen ein TOTP zweiter Faktor nicht eingesetzt werden kann, da nicht transaktionsspezifisch. Zu dem Thema 2FA statt mobile / Phototan habe ich auch eine Diskussion gefunden (1). Darum geht es in diesem Thema allerdings nicht. Hier geht es darum, dass für den nicht transaktionsspezifischen Login aktuell nicht immer ein zweiter Faktor angefordert wird und dadurch leichte Angriffe auf die Konten möglich sind, welche durch das beschriebene standardisierte TOTP-Verfahren nicht möglich wären.

"Kunden, die erwarten, dass ihre Logindaten geschützt bleiben, die sollen durch geeignete Maßnahmen in ihrem Umfeld sicherstellen, dass diese nicht verloren, kopiert oder geklaut werden. Diese Verantwortung bei der Bank zu sehen ist zu einseitig gedacht."

Dieser Argumentation folgend wäre auch das bestätigen per Phototan bei einer Überweisung überflüssig. Die Idee eines zweiten Faktors ist es eben, dass Angriffe auf veraltete Sicherheitskonzepte aus Username + Passwort unterbunden werden. Vollständig unterbunden werden können solche Angriffe nicht! Zwei-Faktor-Authentifizierung ist dazu der Stand der Technik und wird wie erwähnt auch von der Konkurrenz PayPal eingesetzt. Hierzu gerne auch noch die aktuelle Empfehlung des BSI zum Thema (2)

"Das gilt umso mehr, als diese Logindaten im Grund genommen unkritisch sind. Sie ermöglichen nämlich nur einen passiven Einblick aber keine aktiven Handlungen."

Das sehe ich ganz und gar nicht so. Nach einem Login hat man den Zugriff auf jede Menge kritische personenbezogene Daten die Auskunft darüber geben was eine Person kauft, wo sie sich aufhält, welche Beziehungen sie zu anderen Personen hat, evtl. Probleme und vieles mehr. Im harmlosesten Fall können daraus weitere Informationen für Phishing herangezogen werden.

Der Entwicklungsaufwand sollte für TOTP auch überschaubarer sein, als etwas ganz anderes zu machen, da es bereits seit über einem Jahrzehnt unterwegs ist und daher viele Bibliotheken vorhanden sind. Selbst die Arbeitsagentur setzt es mittlerweile ein. Mir ist es eher unverständlich wie ein Sicherheitstechnologie-Thema bei einem Fintech-Unternehmen noch nicht eingeführt worden sein kann.

(1) Diskussion über 2FA statt mobile / phototan https://community.comdirect.de/t5/Off-Topic/2fa-mit-Authenticator-app/m-p/188801

(2) Empfehlung des BSI 2FA zu nutzen wo es geht (TOTP hier als "Authenticator App") https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cy...

Andreasught · ‎27.02.2023

Finde diese Antwort, auch wenn sie als Meinung gekennzeichnet ist, ziemlich anmassend. Der Ausgangsthread ist sehr wohl eine legitime Ansicht und ihre Meinungsäusserung auch - aber ich persönlich finde sie unpassend.

„Kunden, die erwarten, dass ihre Logindaten geschützt bleiben, die sollen durch geeignete Maßnahmen in ihrem Umfeld sicherstellen, dass diese nicht verloren, kopiert oder geklaut werden. Diese Verantwortung bei der Bank zu sehen ist zu einseitig gedacht.“

Heutzutage absolut falsch und entspricht MEINER MEINUNG nach nicht dem Stand der Technik.

Die Sicherheit von Webseiten einseitig beim Kunden zu sehen, reicht nicht aus. Die Bank stellt diesen Service zur Verfügung, also muss sie auch qualitativ einen adäquaten Stand der Technik und Schutz für den Kunden bieten - der Schutz der comdirect ist nicht vergleichbar mit anderen Banken.

Während der Kundenservice wirklich top ist, ist ein Login, bestehend aus 8 + 6 Zahlen heutzutage nicht annähernd ausreichend und sollte dringendst nachgebessert werden.

mic44 · ‎26.03.2025

Ich bitte dies seitens der Comdirect AG aktuell "auf den Tisch zu legen". Dies ist der Standard, welcher sich mehr und mehr durchsetzt - gerade in Zeiten wo viel Wert auf Cyber-Security gelegt wird.

Mein Vorschlag wäre von euch eine Kundenumfrage diesbezüglich zu starten.

Silver_Wolf · ‎26.03.2025

@Madirect schrieb:

Das ist so nicht richtig. Richtig ist, dass es bei Transaktionen ein TOTP zweiter Faktor nicht eingesetzt werden kann, da nicht transaktionsspezifisch. Zu dem Thema 2FA statt mobile / Phototan habe ich auch eine Diskussion gefunden (1). Darum geht es in diesem Thema allerdings nicht. Hier geht es darum, dass für den nicht transaktionsspezifischen Login aktuell nicht immer ein zweiter Faktor angefordert wird und dadurch leichte Angriffe auf die Konten möglich sind, welche durch das beschriebene standardisierte TOTP-Verfahren nicht möglich wären.

Wenn dir dieser angebote Komfort nicht gefällt kannst du ihn ja abschalten. 🙂

Lass den Browser nach jeder Session die Cookies löschen.

Dann wird zur nächsten Anmeldung wieder 2FA verlangt.

Floppy85 · ‎26.03.2025

Es interessiert mich wenig, was die sog. "Konkurrenz" PayPal (wer sind die schon) macht. Wer selbst nicht für Sicherheit sorgen kann, dem nützt auch ein 50-stelliges Passwort nicht, denn die Sicherheit obliegt dem Kunden - dazu gibt es auch einen Passus in den AGB. Wer damit nicht einverstanden ist, muss sich entsprechend nach einer anderen Bank umsehen.

Ich bin es auch Leid diese selbsternannten "Experten" zu lesen, die meinen, sie wüssten, was der angebliche Standard ist und die Arroganz besitzen hier Vorzuschreiben, ob die Bank eine Umfrage starten soll, um dem Wunsch Einzelner nachzukommen.

ComD · ‎26.03.2025

TOTP hin oder her. Alle comdirect Kunden nutzen PhotoTAN per Push > slider oder via Scan der Grafik. Wenn ich an Sparkasse Online Banking oder ING Online Banking denke werde ich IMMER beim Login nach einer Bestätigung per App/TAN gefragt. Ich sage wenn es die comdirect Bank nicht unbedingt laut Revision vorschreibt dies jedes Mal zu tun, würde ich es persönlich begrüßen wenn ich als User meine Online Banking Login ebenfalls per PhotoTAN App / Scan bestätigen müsste. Hier nochmal einen TOTP Standard einzubeziehen der zwar für Websites ohne eigene APP eine gute Alternative ist. Comdirect sollte wenn die Optionen die bereits angeboten werden bleiben SMS TAN/PhotoTAN/Scan und diese dem User als "bei jeder Anmeldung" bestätigen anbieten. Grüße

CurtisNewton · ‎26.03.2025

@ComD schrieb:
Wenn ich an Sparkasse Online Banking [...] denke werde ich IMMER beim Login nach einer Bestätigung per App/TAN gefragt.

Hmm, bei mir dies nicht so.

Wie anderen schon schruben, du kannst deinen Browser so einstellen dass für die comdirect keine Cookies gespeichert werden, dann musst du ebenfalls bei jedem Login bestätigen. Dem Mehrwert an Sicherheit halte ich aber für begrenzt, da sich zum Ausnutzen der fehlenden F2A ja jemand Zugang zu deinem Rechner verschaffen muss.

--------------------
"Die Zukunft hat viele Namen: Für Schwache ist sie das Unerreichbare, für die Furchtsamen das Unbekannte, für die Mutigen die Chance." - Victor Hugo

comdirect

2FA - Zwei Faktor Authentifizierung TOTP