Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für
- Forum
- Anregungen
- 2FA - Zwei Faktor Authentifizierung TOTP
Optionen
- RSS-Feed abonnieren
- Thread durchsuchen
- Thema als neu kennzeichnen
- Thema als gelesen kennzeichnen
- Thema für aktuellen Benutzer floaten
- Lesezeichen
- Abonnieren
- Stummschalten
- Drucker-Anzeigeseite
2FA - Zwei Faktor Authentifizierung TOTP
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 13.05.2022 12:28
Hallo zusammen,
Zwei Faktor Authentifizierung über TOTP ist einfach, Standard im Netz und sicher. Ich möchte anregen ihn auch bei comdirect anzubieten.
Warum?
Aktuell besteht das Passwort eines Kontos aus wenigen Zahlen, welche verloren oder kopiert und geklaut werden können. Da Login und Passwort sich nie ändern reicht es aus, diese Kombination zu kennen um sich auf einem bekannten PC erneut in dem Konto anzumelden. Dies wird auch durch die aktuelle Photo-Tan nicht unterbunden, wenn der PC bekannt ist und diese nicht bei jedem Login benutzt werden muss.
Lösung?
TOTP ist ein Standard der bereits überall im Netzt genutzt wird und unabhängig von einem Anbieter von vielen verschiedenen Apps unterstützt wird. So wird TOTP beispielsweise bei PayPal, Amazon, Mailanbietern, GitHub, Nextcloud, Microsoft etc benutzt.
Da sich der Einmalcode regelmäßig ändert kann dieser nicht einfach kopiert werden und das Konto ist gegenüber den vorher genannten Attacken sicher (Wie bspw. auch bei der PhotoTan). Gleichzeitig ist da wir alle schon diesen zweiten Faktor einsetzen keine Eingewöhnung in ein neues Verfahren notwendig. Explizit sehe ich als Vorteil, dass der Code unabhängig von einer comdirect App ist, da der Code ja evtl. auch dort eingesetzt werden könnte und dann nicht wirklich ein zweiter Faktor wäre.
User Stories:
Als Kunde der Comdirect erwarte ich, dass mein Login geschützt wird, damit niemand meine sensiblen Daten wie Kontostand, Verläufe, Depot etc ansehen kann.
Als FinTech Comdirect möchte ich meinen Kunden einen einfachen Weg anbieten ihre Daten zu sichern über einen Weg den sie bereits aus ihrem Alltag kennen wie z.B. beim Bezahlen über PayPal.
4 ANTWORTEN
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 13.05.2022 15:48
Bin gerade unterwegs deshalb eine kurze Antwort.
Diese Thema wurde in der Vergangenheit bereits erörtert. Bitte die Forumsuche verwenden. Kurze aus dem Gedächtnis: 2FA hat aus damaliger Sicht keine Verbesserungen der login Sicherheit gebracht.
Aber das kannst du ja im damaligen Thema selber nachlesen
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 13.05.2022 16:41
@Madirect schrieb:
Aktuell besteht das Passwort eines Kontos aus wenigen Zahlen, welche verloren oder kopiert und geklaut werden können.
[...]
Als Kunde der Comdirect erwarte ich, dass mein Login geschützt wird, damit niemand meine sensiblen Daten wie Kontostand, Verläufe, Depot etc ansehen kann.
Meine unmassgebliche Meinung:
Kunden, die erwarten, dass ihre Logindaten geschützt bleiben, die sollen durch geeignete Maßnahmen in ihrem Umfeld sicherstellen, dass diese nicht verloren, kopiert oder geklaut werden. Diese Verantwortung bei der Bank zu sehen ist zu einseitig gedacht.
Das gilt umso mehr, als diese Logindaten im Grund genommen unkritisch sind. Sie ermöglichen nämlich nur einen passiven Einblick aber keine aktiven Handlungen.
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 13.05.2022 17:23
Hallo,
danke für eure Antworten.
"2FA hat aus damaliger Sicht keine Verbesserungen der login Sicherheit gebracht."
Das ist so nicht richtig. Richtig ist, dass es bei Transaktionen ein TOTP zweiter Faktor nicht eingesetzt werden kann, da nicht transaktionsspezifisch. Zu dem Thema 2FA statt mobile / Phototan habe ich auch eine Diskussion gefunden (1). Darum geht es in diesem Thema allerdings nicht. Hier geht es darum, dass für den nicht transaktionsspezifischen Login aktuell nicht immer ein zweiter Faktor angefordert wird und dadurch leichte Angriffe auf die Konten möglich sind, welche durch das beschriebene standardisierte TOTP-Verfahren nicht möglich wären.
"Kunden, die erwarten, dass ihre Logindaten geschützt bleiben, die sollen durch geeignete Maßnahmen in ihrem Umfeld sicherstellen, dass diese nicht verloren, kopiert oder geklaut werden. Diese Verantwortung bei der Bank zu sehen ist zu einseitig gedacht."
Dieser Argumentation folgend wäre auch das bestätigen per Phototan bei einer Überweisung überflüssig. Die Idee eines zweiten Faktors ist es eben, dass Angriffe auf veraltete Sicherheitskonzepte aus Username + Passwort unterbunden werden. Vollständig unterbunden werden können solche Angriffe nicht! Zwei-Faktor-Authentifizierung ist dazu der Stand der Technik und wird wie erwähnt auch von der Konkurrenz PayPal eingesetzt. Hierzu gerne auch noch die aktuelle Empfehlung des BSI zum Thema (2)
"Das gilt umso mehr, als diese Logindaten im Grund genommen unkritisch sind. Sie ermöglichen nämlich nur einen passiven Einblick aber keine aktiven Handlungen."
Das sehe ich ganz und gar nicht so. Nach einem Login hat man den Zugriff auf jede Menge kritische personenbezogene Daten die Auskunft darüber geben was eine Person kauft, wo sie sich aufhält, welche Beziehungen sie zu anderen Personen hat, evtl. Probleme und vieles mehr. Im harmlosesten Fall können daraus weitere Informationen für Phishing herangezogen werden.
Der Entwicklungsaufwand sollte für TOTP auch überschaubarer sein, als etwas ganz anderes zu machen, da es bereits seit über einem Jahrzehnt unterwegs ist und daher viele Bibliotheken vorhanden sind. Selbst die Arbeitsagentur setzt es mittlerweile ein. Mir ist es eher unverständlich wie ein Sicherheitstechnologie-Thema bei einem Fintech-Unternehmen noch nicht eingeführt worden sein kann.
(1) Diskussion über 2FA statt mobile / phototan https://community.comdirect.de/t5/Off-Topic/2fa-mit-Authenticator-app/m-p/188801
(2) Empfehlung des BSI 2FA zu nutzen wo es geht (TOTP hier als "Authenticator App") https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cy...
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 27.02.2023 10:49
Finde diese Antwort, auch wenn sie als Meinung gekennzeichnet ist, ziemlich anmassend. Der Ausgangsthread ist sehr wohl eine legitime Ansicht und ihre Meinungsäusserung auch - aber ich persönlich finde sie unpassend.
„Kunden, die erwarten, dass ihre Logindaten geschützt bleiben, die sollen durch geeignete Maßnahmen in ihrem Umfeld sicherstellen, dass diese nicht verloren, kopiert oder geklaut werden. Diese Verantwortung bei der Bank zu sehen ist zu einseitig gedacht.“
Heutzutage absolut falsch und entspricht MEINER MEINUNG nach nicht dem Stand der Technik.
Die Sicherheit von Webseiten einseitig beim Kunden zu sehen, reicht nicht aus. Die Bank stellt diesen Service zur Verfügung, also muss sie auch qualitativ einen adäquaten Stand der Technik und Schutz für den Kunden bieten - der Schutz der comdirect ist nicht vergleichbar mit anderen Banken.
Während der Kundenservice wirklich top ist, ist ein Login, bestehend aus 8 + 6 Zahlen heutzutage nicht annähernd ausreichend und sollte dringendst nachgebessert werden.
