comdirect

Mein erster Gedanke war Phishing - deshalb habe ich auch gleich gesucht.

Finde ich einfach eine schlechte Lösung, das ist alles was ich dazu sagen kann.

---

@baha  schrieb:
Wenn man diese Info wenigstens über die PostBox verteilt hätte, aber so?!

---

Also bei mir war die Nachricht in der Postbox. Ich habe die E-Mail-Benachrichtigungen dazu ausgeschaltet.

Deine Argumentation kann ich ansonsten gut nachvollziehen – aber sie geht meiner Meinung nach an meiner Kritik vorbei: Ich kritisiere, dass sich Menschen ohne fachlichen Hintergrund anmaßen, die Aussage der Bank direkt anzuzweifeln bis zu "ich werde dann nicht mehr mit der Karte bezahlen", was ein Ausdruck der absoluten Zurückweisung der vorliegenden Information ist.

"Das was mir hier gesagt wurde deckt sich nicht mit meinem Weltbild, kann also nicht stimmen!"

Das schlägt für mich in die Kerbe "Corona ist nur eine Grippe" und hilft einfach mal niemandem weiter, auch nicht einem selbst.

Ich kann verstehen, dass die eigene Einschätzung für viele Personen nicht leicht ist. Aber das erwarte ich eben auch nicht, das Gegenteil ist der Fall, die eigene Einschätzung sollte man nicht einfach so machen!

Stattdessen einfach auf die Diskrepanz hinweisen und abwarten, ob das jemand erklären kann.

Wenn die eigentlich Frage wäre "Mir wurde immer gesagt, das soll man nicht, jetzt wird was anderes gesagt, wer kann mir das genauer erklären?", dann wäre meine Antwort darauf auch nicht so patzig ausgefallen.

Ich mag kritisches Hinterfragen. Ich mag keine unsachlichen Bewertungen.

@Ihr Nickname 

1. "Hierfür kommt das bewährte Visa Secure Verfahren, ehemals Verified by Visa, zum Einsatz.". Solche Namen sind oft auch Marketing, wie z.B. TÜV-Siegel. Es ändert auch nichts daran, dass man sein Login für das Online-Banking nicht gleichzeitg noch für die Abischerung von Transaktionen herausgeben sollte.

2. "Ersten kommt das nicht bei allen Zahlungen zum Einsatz, wie bisher auch.". Das Argument verstehe ich nicht. Sie meinen, wenn ich mein Passwort nicht immer, sondern nur hin und wieder auf diese Art nutze, ist das ganze sicherer ?

3. Zweitens und wichtigstens: Dort, wo man seine TAN eingibt, gibt man die PIN ein. Ich habe mir gedacht, dass dieses Argument kommt. Ich glaube dass es sich um eine Weiterleitung auf die Seite einer Bank / Kreditkartengesellschaft etc. handelt ist manchem hier klar. Aber auch das ändert nichts daran, dass man sicherheitstechnisch etwas so (Nutzung von Passwort als 2. Faktor) nicht implementieren sollte.

4. Ich bin immer wieder erstaunt, wenn ich "aber die Sicherheit!!1" von Leuten lese, die keinen blassen Schimmer haben. Ich glaube das hier mancher durchaus vom Fach ist, Sie aber das Problem nicht verstehen, dass die Leute meinen.

Alles in allem kommen derartige Diskussionen in Foren ja gerne so vor. An den Adminstrator: keine Sorge, ich schreibe hierzu keine weiteren Beiträge, am Ende ist das Forum voll von Streit, der die Sache verfehlt. Aber diese eine Stellungsnahme wollte ich doch noch posten.

---

@HH_82  schrieb:

1. "Hierfür kommt das bewährte Visa Secure Verfahren, ehemals Verified by Visa, zum Einsatz.". Solche Namen sind oft auch Marketing, wie z.B. TÜV-Siegel. Es ändert auch nichts daran, dass man sein Login für das Online-Banking nicht gleichzeitg noch für die Abischerung von Transaktionen herausgeben sollte.

---

Wie ist denn das genau gemeint, man solle etwas nicht "herausgeben"?

Die Bank erwartet, dass Du eine angestoßene Zahlung ihr gegenüber legitimierst.

Das ist keine "Herausgabe" von irgendetwas.

Wenn Du Deine Wohnungstür mit Deinem Schlüssel aufschließt, ist das auch keine Herausgabe des Schlüssels an die Tür, sondern Du legitimierst Dich mit dem Faktor "Besitz" als Zutrittsberechtigter.

---

@HH_82  schrieb:

2. "Ersten kommt das nicht bei allen Zahlungen zum Einsatz, wie bisher auch.". Das Argument verstehe ich nicht. Sie meinen, wenn ich mein Passwort nicht immer, sondern nur hin und wieder auf diese Art nutze, ist das ganze sicherer?

---

Aktuell ist es so, dass nicht alle Zahlungen mit Visa Secure/Verified by Visa abgesichert sind. Ich gebe zu, dass ich nicht sicher bin, wie das ab 1.1.21 sein wird – vielleicht ändert es sich auch.

Das Argument zielt natürlich darauf ab, dass dadurch weniger Eingaben erforderlich sind und damit weniger Möglichkeiten, dass die PIN kompromittiert wird. Neben der Sicherheit des Verfahrens selbst gibt es ja noch andere Möglichkeiten, wie die PIN bei der Eingabe kompromittiert werden könnte (z.B. beobachtete Eingabe, nicht-vetrauensvolles Gerät).

Du hast aber natürlich recht, dass es für die Beurteilung der Sicherheit des Verfahrens keine Rolle spielt! Von daher war das Argument schlecht gewählt und ich ziehe es zurück. Danke, dass Du das angesprochen hast.

---

@HH_82  schrieb:

3. Zweitens und wichtigstens: Dort, wo man seine TAN eingibt, gibt man die PIN ein. Ich habe mir gedacht, dass dieses Argument kommt. Ich glaube dass es sich um eine Weiterleitung auf die Seite einer Bank / Kreditkartengesellschaft etc. handelt ist manchem hier klar. Aber auch das ändert nichts daran, dass man sicherheitstechnisch etwas so (Nutzung von Passwort als 2. Faktor) nicht implementieren sollte.

---

Warum nicht? Ich finde an dem Verfahren nichts bedenklich.

Statt einfach das Gegenteil zu behaupten, beschreibe bitte mal genauer, in welchem Aspekt die Implementierung schlecht ist und wie genau Du Dir eine Nutzung mit zwei Faktoren (gesetzliche Anforderung!) vorstellst, die sicherer ist.

Wenn Du möchtest, dass ich meinerseits erläutere, weshalb das Verfahren OK ist, sag Bescheid.

---

@HH_82  schrieb:

4. Ich bin immer wieder erstaunt, wenn ich "aber die Sicherheit!!1" von Leuten lese, die keinen blassen Schimmer haben. Ich glaube das hier mancher durchaus vom Fach ist, Sie aber das Problem nicht verstehen, dass die Leute meinen.

---

Ich hatte meine eigene Einschätzung, woran sich die Menschen stören, ja schon geäußert. Ich kann mir durchaus vorstellen, dass ich damit falsch liege oder zumindest nicht den Kern getroffen habe. Meine Behauptung, dass sich hauptsächlich fachfremde Personen geäußert haben, entnehme ich aus dem Inhalt der Argumentation. Einer Person, welche sich mit Authentifizierung auskennt, unterstelle ich, dass sie das vorgebrachte Argument (man soll die PIN nirgendwo anders eingeben) eben nicht machen würde, weil sie es als falsch ansieht.

Das Problem der Menschen ist meiner Meinung nach, dass Sie zwei einfache Handlungsanweisungen haben, die sich in Ihrer Wahrnehmung wiedersprechen. Der Grund für diesen empfundenen Widerspruch ist eine Vereinfachung der Erklärung.

Ich kritisiere, wenn jemand aus diesem Widerspruch folgert "Kann nicht sein, die anderen müssen falsch liegen" anstelle von "Mir liegen entweder nicht alle relevanten Informationen vor oder die Situation hat sich geändert, seit ich meine Informationen erhalten habe".

Ich kritisiere das im übrigen, weil das mein Problem ist, nicht das der anderen Kommentatoren hier im Thread.

Wenn Du immer noch meinst, ich würde einem Missverständnis unterliegen, kannst Du mir dann vielleicht weiterhelfen?

Bisher gab es nur einen anderen Kommentar dazu (Danke @baha !), dem ich bereits geantwortet habe. In Deinem Beitrag hast Du leider inhaltlich nicht viel mitgeteilt, aus dem ich nachvollziehen könnte, woraus das Misverständnis besteht.

Falls es da noch einen unberücksichtigten Faktor gibt oder ich noch etwas übersehen habe, korrigiere mich bitte, damit wir nicht auf Basis eines Missverständnisses diskutieren! Das gilt natürlich für alle anderen auch.

Hallo zusammen,

sorry, dass ich mich erst jetzt wieder bei euch melde, denn inzwischen ist der Thread ja eine ganzes Stück weitergelaufen.

Wir informieren unsere Kunden derzeit via E-Mail und über Infos in der PostBox zu dieser Änderung bei Onlinezahlungen mit der Visa-Karte vor dem Hintergrund der PSD2-Vorgaben.

Dabei ist sichergestellt dass die Eingabe der Zugangsdaten immer auf Seiten von comdirect erfolgt und nicht auf externen Seiten.

Bei der Verwendung der photoTAN-push entfällt die Eingabe der PIN.

Gruß

Erik

---

@SMT_Erik  schrieb:

Hallo zusammen,

[...]

 

Dabei ist sichergestellt dass die Eingabe der Zugangsdaten immer auf Seiten von comdirect erfolgt und nicht auf externen Seiten.

Wie stellt ihr denn sicher, dass das nicht in einem iframe bzw popup ohne Adresszeile landet? 

Und eine sichtbare Weiterleitung auf eine Phishingseite ist auch nicht sonderlich schwer.

Übrigens musste ursprünglich beim "Verified by VISA" mal ein gesondertes Passwort bei euch anlegen, bis ihr es recht schnell auf "muss durch eine TAN verifiziert werden" änderte.

Ab nächsten Jahr soll ich dann eine VISA-Transaktion im neu getauften "Visa Secure" durch eine TAN verifizieren, wobei diese TAN in einer weiteren Stufe durch die PIN verifiziert werden soll.

D.h. früher ging es mit einem getrennten Passwort mit gesonderten Regeln bzgl Länge, verwendete Zeichen, etc..

Jetzt recht eine sechstellige Ziffernkette - die zweite Hälfte der Logincredentials...  

---

@eSVau  schrieb:

Wie stellt ihr denn sicher, dass das nicht in einem iframe bzw popup ohne Adresszeile landet? 

Und eine sichtbare Weiterleitung auf eine Phishingseite ist auch nicht sonderlich schwer.

---

Danke für die Frage. Die Implementierung des Verfahrens sieht vor, dass der Zahlungsdienstleister (z.B. Adyen, Stripe, etc.) direkt zur Visa Secure-Page der Bank leitet. Deine Bank wird als vertrauenswürdig eingestuft.

Du kannst also davon ausgehen, dass die Adresszeile auf die Bank hinweist. Experten prüfen noch das TLS-Zertifikat (hauptsächlich den Inhaber), seit die EV-Eigenschaft nicht mehr angezeigt wird.

Bei Einbindung in einem IFrame würde die Adresszeile (der einbindenden Seite) nicht zur Bank gehören. Ein Popup ohne Adresszeile sollte ebenso nicht legitim auftreten.

Die Absicherung basiert darauf, dass DNS und TLS-Zertifizierungssysteme nicht gleichzeitig kompromittiert sind.

---

@eSVau  schrieb:

D.h. früher ging es mit einem getrennten Passwort mit gesonderten Regeln bzgl Länge, verwendete Zeichen, etc..

Jetzt recht eine sechstellige Ziffernkette - die zweite Hälfte der Logincredentials...  

---

Früher ging es mit einem statischen Passwort für beliebige Zahlungen (Faktor Wissen).

Heute geht es mit einem statischen Passwort (Wissen) sowie einem dynamisch generierten Token, welches die Daten der zu bestätigenden Transaktion beinhaltet und auf einem unabhängigen Gerät anzeigen lässt (Besitz).

Die Länge oder Komplexität der Token spielen hier erst einmal keine Rolle, denn sie können nicht beliebig oft ausprobiert werden.

---

@SMT_Erik  schrieb:

Wir informieren unsere Kunden derzeit via E-Mail und über Infos in der PostBox zu dieser Änderung bei Onlinezahlungen mit der Visa-Karte vor dem Hintergrund der PSD2-Vorgaben.

Läuft "derzeit" noch? Habe noch keine Mitteilung bekommen 🤔

Hallo @Thorsten_,

die Infos werden nach und nach in mehreren Tranchen versendet.

Gruß

Erik