comdirect

Hallo @Zollverein

ja, man hätte am Telefon durchaus erwähnen müssen, dass alle Aktivierungen verschwinden, wenn du deinen neuen Aktivierungsbrief bestellt. Dafür möchte ich mich gerne entschuldigen. Es bietet sich daher immer an, das man mobileTAn als Backup-Lösung aktiviert. Aber gut, der Ratschlag kommt aktuell etwas zu spät. 

 @blubber42

Der Zugang muss ja nicht sofort invalidiert werden, sondern eigentlich erst, wenn die neue Grafik gescannt und mit Login/PIN aktiviert wird. Wie bei "ich habe mein Passwort vergessen" - solange man kein Neues über den Link setzt, gilt das alte.

Das ist als Sicherheitsmechanismus zu verstehen. Wenn man einen neuen Aktivierungsbrief bestellt, wird aus Sicherheitsgründen die alte Aktivierung gesperrt. Online weisen wir ja auch darauf hin. 

Wenn das zu kompliziert ist, könnte man ja in der Zwischenzeit SMS TAN aktiv lassen. Aber nein, wenn man die (zusätzlich) aktiviert, schiesst man sich auch gleich wieder raus.

Das verstehe ich nicht ganz. Meinst du damit, dass man auch "ausgesperrt" wird, wenn man mobileTAN aktiviert hat? Nein, das ist def. nicht der Fall. MobileTAN bleibt bei einer Deaktivierung des aktuelle Aktivierungsbriefes immer aktiv.  Das ist ja der Zweck einer Fallback-Lösung. 

In meiner PhotoTAN Übersicht sehe ich jetzt mehrere Geräte, ich traue mich nicht, die "alten" rauszuwerfen...

Tipp: Um den Überblick zu behalten, kannst du den Geräten auch individuelle Namen geben.

Viele Grüße

Christoph

---

@SMT_Chris  schrieb:

 

 @blubber42

 

Der Zugang muss ja nicht sofort invalidiert werden, sondern eigentlich erst, wenn die neue Grafik gescannt und mit Login/PIN aktiviert wird. Wie bei "ich habe mein Passwort vergessen" - solange man kein Neues über den Link setzt, gilt das alte.

Das ist als Sicherheitsmechanismus zu verstehen. Wenn man einen neuen Aktivierungsbrief bestellt, wird aus Sicherheitsgründen die alte Aktivierung gesperrt. Online weisen wir ja auch darauf hin. 

 

Hallo Christoph,

welchen Sicherheitsgewinn erzeugt das genau?

Tipp: Um den Überblick zu behalten, kannst du den Geräten auch individuelle Namen geben.

 

Habe ich. Ich vertraue dem System derzeit nicht genug, um daraus etwas zu löschen.

Und mal ganz ehrlich: Sind (noch) aktivierte Geräte, die evtl. nicht mehr im Besitz sind, nicht ein höheres Risiko, als den alten Seed bis zur Aktivierung des Neuen aktiv zu lassen...?

Spannendes threat model habt ihr da....

Da bin ich absolut derselben Ansicht.
Habe bei meiner Konto-Einrichtung keinen QR Code bekommen (ist alles fein säuberlich abgeheftet).
Um das neue Smartphone einzurichten hat die PhotoTAN App keinen QR-Code angezeigt.  Hotline angerufen, ob es einen anderen Weg gibt, als sich den Zugang platt zu machen, Antwort:  nein.
Nun kam heute (Samstag) endlich der Aktivierungsbrief, ich scanne den Code, will überweisen und im Browser steht, dass der neue Zugang in 1-2 Bankarbeitstagen frei gegeben wird.

Ich habe selber jede Menge IT-Prozesse entworfen und umgesetzt, aber der Prozess hier ist echt aus der Steinzeit.

Habe dem Herrn an der Hotline empfohlen, dass man sich mal ein Konto bei der Ing holen soll, um zu sehen, wie man sowas richtig macht.  Da kann ich jederzeit neue Smartphones aktivieren, solange noch ein Gerät einen gültigen Zugang hat.

Sogar die DKB (die ansonsten die ein oder andere Schwäche hat) kann diesen Prozess besser.