comdirect

Naja, die Uni Erlangen wies ja schon drauf hin, daß das Verfahren mit einem externen Gerät sicher ist und man auch mit einer App2App Lösung, die eben nicht direkt sondern kryptographisch abgesichert über den Server kommuniziert sicher ist.

Da die Phototan-App das eben nicht tun, ist hier bei der App2App Lösung eine prinzipbedingte Schwachstelle.

Die App zu decompilieren, da fehlt mir Zeit und nerv, ich mach das auf Arbeit bei anderen Anwendungen schon, das sollen mal brav andere machen. Nur daß security by obscurity kein sinnvoller Weg ist, daß hab ich schon vor 30 Jahren an der Uni gelernt.

Volle Zustimmung, ich finde die Intransparenz der Comdirect an dieser Stelle auch nicht gut. Security by obscurity ist leider die (imho kurzsichtige) Geschäftspolitik der Bank. Die werden wir nicht ändern, jedenfalls nicht kurzfristig.

Ich kann die Poltitik vom Standpunkt der Bank aus auch nachvollziehen, das macht sie aber aus jedem anderen Blickwinkel nicht besser.

baha

Ich hatte zu dem PhotoTAN-Verfahren bereits schonmal ein beschreibendes Paper in der Hand (hatte dort noch einen anderen Namen), denn es ist ja wie so häufig eine Uni-Ausgründung.

Leider fällt mir weder der Name noch das Paper wieder ein 😞

---

@baha  schrieb:

...Security by obscurity ist leider die (imho kurzsichtige) Geschäftspolitik der Bank. ...

---

Inhaltlich stimme ich dir komplett zu. Aber die Bank ist bei diesem System ja nur Lizenznehmer und darf eventuell gewisse Dinge aus vertraglichen Gründen nicht veröffentlichen. Ob man das jetzt gut heißen muss ist was anderes aber zumindest wollte ich mal diesen Blickwinkel eröffnen.

Gruß Crazyalex

Speziell das photoTAN-Verfahren ist nun aber auch nichts, worauf die comdirect ein Patent hat und dessen prinzipielle Funktionsweise streng geheim ist. Wer sich für die Funktionsweise interessiert, findet dazu reichlich Informationen im Netz.

Natürlich wäre es wünschenswert, wenn auf der Webseite der comdirect eine auch für Laien verständliche Erklärung zu finden wäre. Bei einigen der jüngeren Nutzer hier im Forum habe ich allerdings den Eindruck, die wollen es da auch gar nicht so genau mit den Details nehmen, sondern nur ihre Kritik an der Abschaffung des "deutlich sichereren" iTAN-Verfahrens loswerden. Ich bin nicht sicher, ob man bei denen trotz mehr Informationsmaterial weiterkommt.

Wo die Kritik der Kunden meinem Eindruck nach tatsächlich nicht ernst genug genommen wird, ist eine stärkere PIN für den Online-Banking-Zugang bzw. die Einführung einer optionalen 2-Faktor-Authentifizierung.

Viele Grüße

Weinlese

Man könnte auch ein altes Smartphone nehmen (SIM-Karte nicht notwendig), wenn man sich das Lesegerät nicht kaufen möchte...

Kann hier auch ein altes Smartphone anstatt dem Lesegerät verwendet werden?

Wie funktioniert das ohne SIM-Karte???

---

Kann hier auch ein altes Smartphone anstatt dem Lesegerät verwendet werden?

Wie funktioniert das ohne SIM-Karte???

---

Danke gut. Smartphone ins Wlan hängen, App runterladen und aktivieren über die normale Methode, Smartphone mitnehmen... Wlan kann ab jetzt auch komplett aus, da die App ohne Internetzugriff auskommt.