comdirect

chi · ‎27.03.2019

@tkki: Es ist schon offensichtlich, welches Verfahren Comdirect bevorzugt, aber der Hinweis verschwindet auch, sobald man mTAN aktiviert hat (wie bei mir seit gestern der Fall).

til · ‎27.03.2019

Die photoTAN-App auf Android verlangt nichts von dem, was du aufgezählt hast. Nur folgende Berechtigungen werden eingefordert und auch verwendet:

take pictures and videos -> klar, irgendwie muss das Bild ja eingelesen werden

read phone status and identity -> die App soll ja nur auf dem aktuellen Phone laufen

control vibration -> selbsterklärend

Du kannst - wie erwähnt - die photoTAN-App auch offline verwenden. Ich sehe hier keine datenschutzrechtlichen Bedenken. Und photoTAN ist die einzige wirklich sichere Methode (wenn für das Einlesen ein separates Smartphone verwendet wird). mTAN kann da nicht mithalten.

tkki · ‎27.03.2019

aah danke - da warte grade aufs Briefchen 🙂

tkki · ‎27.03.2019

Ok, ich könnte die App offline verwenden - würde ja bedeuten, dass das Ding den code lokal dechiffrieren kann und in dem Zustand keine Connectivity benötigt.

Müsste ich schon glauben, aber darum gehts nur am Rande. Vielleicht mein Fehler, dass ich das nicht konkretisiert habe.

1. Es geht um MEIN Geld, das ich bei einer Bank "geparkt" habe. D.h. ich habe einiges an Vertrauen vorgelegt, dass ich immer und jederzeit zu meinen eigenen Bedingungen das Geld von meinem Schuldner, der Bank, wieder erlange.

2. Welches Smartphone ich nutze und ob ich dem OS-Hersteller vertraue, ist meine Sache. Ich möchte nicht darüber nachdenken müssen, ob im OS-Kern doch verdeckt Daten übermittelt werden oder eben doch automatisiert im Marketing-Framework der Bank mit Quellen gearbeitet wird, die die MA selbst nicht kennen.

3. Wenn man beides zusammen bringt, ist das Letzte, was ich möchte, zu Punkt 2 genötigt zu werden.

til · ‎27.03.2019

@tkki

Die App verwendet sowieso keine Internetverbindung, egal ob das Smartphone offline oder online ist. Genau, die "Dekodierung" erfolgt lokal auf dem Gerät. Das genaue Verfahren dazu ist etwas kompliziert zu erklären. Deswegen kann man auch einen separaten photoTAN-Generator verwenden (der hat auch keine Connectivity).

1. Verstehe dich voll und ganz. Allerdings sind es nicht "deine" Bedingungen, sondern die Bedigungen, die du mit der Bank vertraglich vereinbart hast. Bspw. bekommst du das Geld vom Tagesgeldkonto eben nicht zu jeder Zeit.

2. Solange die App für dein Smartphone-Betriebssystem verfügbar ist, spricht ja auch nichts dagegen. Nachdenken musst du darüber trotzdem. Aber es bringt nichts, weil selbst der Smartphone-Hersteller nicht wissen kann, welche unbekannten Funktionen die Hardware-Chips ausführen. Das betrifft aber Computer ebenso (egal, welches Betriebssystem du verwendest, können die Hardware-Chips ganz unabhängig davon Code ausführen). Keine Ahnung, welches Marketing-Framework du hier meinst.

3. Wirst du ja nicht. Nimm den photoTAN-Generator und du musst kein Smartphone verwenden.

PS: Ich möchte hier niemanden in Schutz nehmen oder verteidigen. Ich finde es schade, dass comdirect anfangs mit der Gerätetrennung einen vorbildlichen Weg geschaffen hat, und diesen nun durch App2App wieder aufweicht. Die reine App-Lösung ohne 2FA von N26 betrachte ich daher auch als eher kritisch.

TC_Hessen · ‎27.03.2019

Wir müssen doch mal ehrlich sein, der größte Schwachpunkt sitzt immer noch vor dem Monitor. Alles ist ein Kompromiss, bei meiner Bank früher vor 20 Jahren war ich persönlich bekannt vom Sport, von Vereinen und vom Unter den Tisch saufen beim Abi, das war auch sicher, nur ich mußte eben hinfahren - auch das kostet mindestens Zeit, wenn nicht gar Spritgeld.

Natürlich gibt es Angriffsvektoren aber praktisch ausnutzbare Angriffe gibt es eben noch nicht. Klar, man - als Entwickler - muß immer am Ball bleiben, denn das Wissen und das Bewußtsein ändern sich mit der Zeit, so war vor 20 Jahren das Thema der Seitenkanalangriffe so gar nicht bewußt.

Was eben schwer zu verstehen ist, die Sicherheit derartiger Systeme lässt sich nicht beweisen, einmal ist es zu Komplex, dann geht es aber auch i.d.R. prinzipbedingt nicht, der alte Gödel lässt grüßen. Man wird immer nur sagen können, daß es gut genug ist.

til · ‎27.03.2019

Was eben schwer zu verstehen ist, die Sicherheit derartiger Systeme lässt sich nicht beweisen, einmal ist es zu Komplex, dann geht es aber auch i.d.R. prinzipbedingt nicht, der alte Gödel lässt grüßen. Man wird immer nur sagen können, daß es gut genug ist.

Schön auf den Punkt gebracht. Es ist gut genug. Und für den Rest gibt es die Versicherungen.

ehemaliger Nutzer · ‎27.03.2019

Warum gehst Du nicht zu einer Filialbank und wickelst Deine Geschäfte mit Papierbelegen ab? Dann brauchst Du keine App.

Du heulst hier rum und empörst Dich wie ein Großer ohne Dich vorher vernünftig informiert zu haben. Du musst nicht Kunde einer Online-Bank sein.

tkki · ‎28.03.2019

Ok es ist müßig, aber nochmal zur Klarstellung meiner Meinung:

Es gibt ein alternatives Verfahren - mobileTAN - und ich werde dennoch bei jedem Einloggen ausschließlich über die photoTAN zwangsinformiert.

Welches Telefon ich verwende, geht die Bank auch dann nichts an, wenn es für ein bestimmtes Verfahren, dem ich nicht zugestimmt habe, technisch notwendig ist, und die Bedingungen für das Tagesgeld - wenn ich welches haben sollte, das würde ich ja nicht im Forum kommunizieren - hätte ich ja auch selbst akzeptiert.

til · ‎28.03.2019

Mir ist nicht klar, worauf du hinaus willst? Wo will comdirect wissen, welches Telefon du verwendest? Und wo schreibt dir comdirect vor, welches Handy du zu verwenden hast?

Klar ist jedoch, dass photoTAN sicherer ist. Daher ist es auch sinnvoll, dass comdirect die Verwendung fociert, um den evtl. Schaden insgesamt (und selbst, wenn das nur Versicherungskosten sind und kein tatsächlicher Schaden) geringer zu halten.

Damit du dir eben nicht dein Handy vorschreiben lassen musst, gibt es ja noch den separaten photoTAN-Leser.

comdirect

Mobile TAN kostenpflichtig