comdirect

rembrand · ‎28.04.2020

Heute kam mein PhotoTan-Lesegerät.

Das Lesegeraet laesst sich nicht vor fremdem Zugriff schuetzen so wie das bei vielen anderen Modellen der Fall ist. Etweder via PIN oder via einzusteckender Bankkarte.

Ich musste das Lessegeraet anschaffen weil die phototan App V8 nicht mehr auf meinem Geraet funktioniert.

siehe Version-8-0-der-PhotoTAN-App-verweigert-Start-wegen-Root-Zugang

Die Aenderungen an der Phototan-App werden mit Sicherheit begruendet und nun bekomme ich ein so schlecht zu sicherndes Lesegeraet.

Eine PIN habe ich im Kopf, eine EC-Krte kann ich am Koerper tragen, das Lesegeraet liegt in der Schublade oder in einer Aktentasche, da fehlt nur noch der eigentliche Login und schon ist missbrauch Tuer und Tor geoeffnet.

Was kann ich tun? Ich fuerchte nichts, ausser das Ding in den Tresor zu packen.

Ausserdem schaltet sich das Lesegeraet in der Tasche staendig ein. Wenn man es dann braucht sind im schlimmsten Fall die Batterien leer. Haette man da nicht einen Schiebeschalter anbringen koennen?

Wer denkt sich das aus?

Weinlese · ‎28.04.2020

Warum willst Du noch ein zusätzliches Passwort am Lesegerät eingeben, wenn Dein Online-Zugang bereits mit einem geschützt ist? Ohne das Zugangspasswort sollte man mit dem Lesegerät nicht viel anfangen können.

@rembrand schrieb:
Wer denkt sich das aus?

Die Firma OneSpan (ehemals Vasco).

Viele Grüße

Weinlese

rembrand · ‎29.04.2020

> Warum willst Du noch ein zusätzliches Passwort am Lesegerät eingeben, wenn Dein Online-Zugang bereits mit einem geschützt ist? Ohne das Zugangspasswort sollte man mit dem Lesegerät nicht viel anfangen können.

Wenn der Login zu Webseite oder Banking-App ausreichen würde, brauchte man auch kein zusätzliches Tanverfahren. Aber die Tanverfahren wurden aus gutem Grund erst durch ITan und dann spaeter dann durch Abschaffen der Tanbloecke gestärkt. Die gleiche Motivation steht ja auch hinter dem 2-Faktor Authentifikationsverfahren.

All die Maßnahmen werden natuerlich durch ein nicht gesichertes Tan-Lesegeraet geschwaecht. Das hilft noch bei Online-Attacken, aber wenn zum Beispiel eine Handtasche gefunden wird in der ich Bankinformationen und eein nicht gespartes Lesegeraet finde, bin ich als Angreifer schon sehr weit.

Mr.Grillhaxe · ‎29.04.2020

Guten Morgen,

wenn ich mein Lesegerät verlieren würde, würde ich es im Onlinebanking einfach löschen. Dann ist es unbrauchbar.

Ich kann da kein erhöhtes Sicherheitsrisiko erkennen... Zumindest praktisch gesehen. Theoretisch kann man alle möglichen Szenarien zusammenbasteln.

Grüße.

Crazyalex · ‎29.04.2020

Jetzt fehlt noch das Argument "Die Papier-TAN-Liste war viiiiiieeeel sicherer" (obwohl die auch keine Sperre hatte....)

Wenn man mich fragt: Der TAN-Generator ist so zu handeln wie die Papier-TAN-Liste: Sicher wegsperren!

Gruß Crazyalex

An alle Neueinsteiger: Appell an alle Neueinsteiger und Interessenten.
ETF-Anfänger: Bitte intensiv durcharbeiten... ETF-FAQ. .................Danke!

rembrand · ‎29.04.2020

> Jetzt fehlt noch das Argument "Die Papier-TAN-Liste war viiiiiieeeel sicherer" (obwohl die auch keine Sperre hatte....)

ich hatte mir durchaus Muehe gegeben meine Sichtweise darzulegen, die musst Du ja nicht teilen.

Und nein, die Tanlisten waren nicht sicherer, waren sie wenn man sie irgendwo hinsteckte. Ich hatte sie immer gescannt und in Passwortgeschuetzten PDF-Dokumenten.

Sicherheit ist immer auch unbequem und auch immer eine Summe aus Faktoren. Wenn ich schon die ganzen Turnuebungen mache, erschliesst sich mir ein ungesicherter Tangenerator nicht.

SMT_Erik · ‎29.04.2020

Hallo @rembrand und herzlich willkommen in unserer Community!

Durch die Trennung der Zugangsdaten für das Login (z. B. auf der Webseite mit Zugangsnummer und PIN) und für Transaktionen (z. B. photoTAN) auf separaten Geräte (z B. Lesegerät) sind die PSD2-Richtlinien zur 2-Faktor-Authentifizierung erfüllt.

Das Lesegerät ist eine reine Offline-Lösung und kann ausschließlich TAN-Grafiken entschlüsseln, mehr nicht. Daher hat es keinen Passwort-Schutz. Eine photoTAN App auf einem Smartphone wird passwortgeschützt, weil so ein Gerät weitere Funktionen bietet. Insbesondere dann, wenn das Gerät mit dem Internet verbunden ist, was ja in der Regel der Fall ist.

Das Beispiel mit der Handtasche kann leider jeden treffen, der meint, seine persönlichen Zugangsdaten konzentriert aufbewahren zu müssen.

Deshalb raten wir dringend, derart sensible Daten niemals zusammen an einem Ort aufzubewahren! Das ist der beste Schutz gegen Missbrauch.

Gruß

Erik

Hilfreiche Links:

Unsere Community-Regeln | Labels in der Community | Tipps & Tricks rund um die Community
3 Zutaten für den perfekten Communitybeitrag | Der Community-Adventskalender!

Crazyalex · ‎29.04.2020

@rembrand

Das mit der Papierliste hatte ich nur mal so in den Raum gestellt - war jetzt nicht auf Dich gemünzt!

Wenn ich gehässig wäre würde ich jetzt schreiben "getroffene Hunde bellen!" - wobei ich aber ehrlich zugeben muss, dass unser beider Meinungen zwar nicht identisch sind aber doch nahe beieinander...

Gruß Crazyalex

An alle Neueinsteiger: Appell an alle Neueinsteiger und Interessenten.
ETF-Anfänger: Bitte intensiv durcharbeiten... ETF-FAQ. .................Danke!

Frnk · ‎30.04.2020

All die Maßnahmen werden natuerlich durch ein nicht gesichertes Tan-Lesegeraet geschwaecht.

Ich kann die Bedenken nachvollziehen. Allerdings: Du vegleichst die Situation mit Chip-TAN. Warum sollte das sicherer sein? Bei Diebstahl der Karte ist auch hier das TAN-Verfahren komprommitiert. (Vom Kartenmissbrauch mal abgesehen.) Der Leser bei Chip-TAN ist dumm, Chip-TAN funktioniert mit jedem frei erhältlichen Leser, der nicht ans Konto gebunden ist. Ein Passwort gibt es hier ebenfalls nicht.

rembrand · ‎30.04.2020

Ich kann die Bedenken nachvollziehen. Allerdings: Du vegleichst die Situation mit Chip-TAN. Warum sollte das sicherer sein? Bei Diebstahl der Karte ist auch hier das TAN-Verfahren komprommitiert. (Vom Kartenmissbrauch mal abgesehen.) Der Leser bei Chip-TAN ist dumm, Chip-TAN funktioniert mit jedem frei erhältlichen Leser, der nicht ans Konto gebunden ist. Ein Passwort gibt es hier ebenfalls nicht.

Das Argument ist valide. Genauso wie das Argument der Online-Sperrmoeglichkeit seinen Stellenwert hat.

Allerdings habe ich meine Kontokarte immer im Portemonnaie, den Phototan-Generator in der Aktentasche oder im Schreibtisch.
Ich bemerke eine Kartenverlust also deutlich zeitnaeher, als das beim Tangenerator der Fall ist.

Ich bezweifle auch nicht, dass das Verfahren rechtlich in Ordnung ist, finde es aber trotzdem verbesserungsfaehig.

Das gleiche gilt fuer die sicherlich zugelassene Praxis der Ansage von Zugangsnummer und PIN ueber eine Telefonleitung. Auch wenn das von einem Automat ausgewertet wird, oder Sachbearbeiter nicht alle Ziffern abfragen. Hier koennte man z.B. einen eigene Pin fuer Telefon einfuehren, denn ich kann ja dann die Rechte dieses Zugangs einschraenken und riskiere bei einem leak nicht gleich den vollumfaenglichen Zugang.

Ich habe meine Argumente genannt, damit ist fuer mich jetzt auch gut. Freue mich wenn was aufgegriffen wird, wenn nicht, schade aber natuerlich auch legitim.

comdirect

Comdirect Lesegerät -> Fehlende Sperrmoeglichkeit