comdirect

Hallo @SMT_Erik 

vielen Dank für die zügige Antwort!

Bei meiner Frage ging es allerdings darum, die Banking PIN eben nicht auf fremden Seiten eingeben zu müssen. Sprich ein identisches Verhalten zur PhotoTAN-push zu haben.

Warum braucht man bei der PhotoTAN-push keine PIN, bei der PhotoTAN ohne push jedoch schon?

Das Sammeln von Challenge-Response Pärchen könnte man durch das temporäre Sperren des Kontos nach 3 Fehlversuchen oder so unterbinden (wie bei Geldabholung am EC Automat).

Wie bereits hier vorgeschlagen, wäre ebenfalls eine optionale extra Visa PIN denkbar. Ob ich mir nun Banking PIN + PhotoTAN-push PIN oder Banking PIN + Visa PIN merken muss macht keinen Unterschied.

Auch ein "passiv" Modus für die PhotoTAN-push fällt mir spontan ein. Also ohne extra PIN und ohne Möglichkeit zum Anstoßen von Zahlungen vom Smartphone aus (nur Autorisierungen, wie bei der jetzigen PhotoTAN ohne push).

Das hätte zudem den Vorteil, dass die Argumente gegen die PhotoTAN-push (Aushebelung der 2FA und extra PIN) mit einem Schlag hinfällig wären.

Zugegebenermaßen bin ich nicht beruflich im Online-Banking tätig und übersehe wahrscheinlich den einen oder anderen Stolperstein bei o.g. Vorschlägen. Aber ich denke schon, dass ein online Bezahlen mit Visa auch ohne Eingabe der Banking PIN technisch umsetzbar ist und es lediglich am Wollen seitens der comdirect scheitert.

Hauptsächlich aus den o.g. 2 Gründen (Aushebelung der 2FA und nervige Eingabe einer 2. PIN zum Starten der App). Diese und andere Kritiken wurde aber auch schon in zahlreichen anderen Threads heiß diskutiert und brauchen m.M. deshalb hier nicht weiter vertieft werden.

Ich habe gerade mal bei der Konkurrenz gespickt. Die DKB hat das Problem ganz einfach und clever gelöst, so wie ich das verstehe: Im iFrame vom Händler taucht nicht direkt die Bankingseite mit Eingabe der PIN auf, sondern nur ein Button mit der Aufschift "Weiter zur Prüfung". Wird dieser angeklickt, öffnet sich die Bankingseite der DKB in einem separaten Fenster/Tab.

Damit sieht man die URL und weiß, dass man nicht auf einer nachgebauten Seite seine PIN eingibt. Wenn die comdirect das nachbauen würde, wäre ich schon glücklich. Sollte sich vom Programmieraufwand her ja stark in Grenzen halten...

Bei der Norisbank kommt eine optionale extra Visa PIN zum Einsatz.

Bei der Consorsbank die sogenannte "SecurePlus" App. Im Prinzip wie die von mir vorgeschlagene "passive" PhotoTAN-push, nur mit extra PIN zum Einloggen in die App.

Ja, sieht wohl leider so aus.

Ist aber vielleicht für den einen oder anderen Wechselwilligen hilfreich. Die Arbeit habe ich mir zwecks Wechsel ja sowieso machen müssen, da kann ich andere ja ruhig am Ergebnis teilhaben lassen.

@SMT_Erik: Bei der Commerzbank gibt es lustigerweise auch eine separates 3D-Secure Passwort. Und die photoTAN App ebenfalls separat zur Banking App.

Gibt es von Seiten der comdirect irgendwelche Infos darüber, ob beide Systeme in Zukunft parallel laufen werden oder der eine das System vom anderen übernimmt?