am 06.11.2018 17:02
Hallo,
mich würde es einfach mal interessieren, wie das Lesegerät (nicht die App) generell funktioniert(bzw. näher kommuniziert). Hat es eine SIM/eingebaute Datenverbindung oder muss es in ein WLAN eingewählt werden?
Vielen Dank,
MarvMan
Gelöst! Gzum hilfreichen Beitrag.
am 07.11.2018 11:09
am 07.11.2018 11:53
@Goliath74 schrieb:Das Du kritisierst das codi und Deutsche Bank andere Schlüssel in dem selben Verfahren verwenden ist aber auch mehr als unlogisch.
Sollte Euer Weltuntergangszenario passieren und alle Sicherheitsmechanismen der Apps geknackt werden dann würden ja alle Konten die das selbe Verfahren nutzen (gleicher Schlüssel) offenliegen.
Nein, das hast du vollkommen falsch verstanden. Auch beim Banking sollte Kerckhoffs Prinzip gelten: unterschiedliche Banken können ohne Probleme das gleiche Verfahren (implementiert in der App) nutzen, wenn die individuellen Schlüssel verschieden sind. Dazu müsste es die App nur erlauben, mehr als einen Start-Code einzulesen.
Richtig umgesetzt ist das z.B. bei dem Flicker-TAN-Verfahren. Da benutzen alle beteiligten Banken dasselbe Lesegerät.
am 07.11.2018 12:15
@dg2210 schrieb:Nein, das hast du vollkommen falsch verstanden. Auch beim Banking sollte Kerckhoffs Prinzip gelten:
Kerkhoff kenne ich ... das ist doch der mit "Ich bin dann mal weg" und "Das ganze Leben ist ein Quiz".
Ich werde jetzt das Abo dieses Threads kündigen. Dieser ganze Computer- und Datenträger- und Barcode-Kram ist zu hoch für mich.
nmh
am 07.11.2018 12:23
Du hast so recht. Manchmal liegt die einfachste Lösung direkt vor den Füßen.
Ich werde Deiner Idee folgen.
07.11.2018 12:51 - bearbeitet 07.11.2018 12:56
Ich hasse es, echte Legenden zu korrigieren, aber manchmal muß es eben sein:
@nmh schrieb:Ich werde jetzt das Abo dieses Threads kündigen. Dieser ganze Computer- und Datenträger- und Barcode-Kram ist zu hoch für mich.
Es handelt sich eben nicht um BARCODES. Bar bedeutet Streifen;
Merkregel: gestreiftes Pferd in Afrika = Zebar
Wir Profis nennen das Muster der photoTAN "Red Bull Code". Warum? Das Muster besteht aus farbigen Punkten, und diese sieht man auch, wenn man zuviel Red Bull trinkt - selbst wenn man das Gesöff mit reichlich Wodka verdünnt!
08.04.2019 19:46 - bearbeitet 08.04.2019 19:50
@nmh schrieb:Papier-iTANs sind das sicherste und bequemste was es gibt. Das Hauptproblem sind Phishing-Websites. Laut Quellen bei comdirect gibt es immer noch viel zu viele Kunden, die darauf reinfallen. Bei den elektronischen Verfahren erfährt der Kunde die TAN nur, wenn die Bank das will. Das ist aus Banksicht der Vorteil von mTAN und PhotoTAN.
Aber eben nur aus Banksicht.
Nun sind aber Bank und Kunde zwei gleichwertige zivilrechtliche Vertragspartner. Das heisst, genauso wie die Bank ein berechtigtes Interesse hat, sich nach eigenem Ermessen sowohl vor Dritten als auch vor dem Kunden zu schützen, hat auch der Kunde umgekehrt genau dasselbe berechtigte Interesse, seine eigene Sicherheit sowohl gegenüber Dritten als auch gegenüber der Bank zu wahren.
Daher kann es nicht angehen, dass die Bank dem Kunden ein Gerät (oder App, oder whatever) vorschreibt, das "closed source" ist, und das seiner angeblichen Sicherheit dienen soll. Und dass das ganze originär nicht von der Bank, sondern von weiter oben (Mifid, whatever) kommt, macht es nur noch schlimmer.
Effektiv wird damit der Kunde herabgewürdigt von einer eigenverantwortlichen Persönlichkeit zu einem bloßen "Gerät", das vorgegebene Funktionen im Betriebsablauf der Bank erfüllt, und für dessen Sicherheit nicht etwa er selbst, sondern die Bank Verantwortung übernimmt.
Allerdings sollten auch die Vorteile des Verfahrens bewusst sein: nur mit der App ist sichergestellt, dass Google alle Aktivitäten korrekt mitprotokolliert. Denn das ist mindestens ebenso wichtig, wie dass Facebook weiss mit wem wir die Nacht verbringen und wann wir schwanger sind.
09.04.2019 09:32 - bearbeitet 09.04.2019 09:34
09.04.2019 09:32 - bearbeitet 09.04.2019 09:34
/me hat beschlossen, dass wir diesen ganzen Müll gar nicht brauchen (werden).
Wenn die die Tanlisten abschalten, habe ich eben keine Tan mehr, um irgendwas zu autorisieren. Überweisungen gehen mittels PAYPAL trotzdem, wenn es denn unbedingt sein muß; und auch per Papier-Formular. Aber im Grunde werde ich einfach nichts mehr kaufen, wo ich überweisen muß. Und dann ist es gut.
Für den Fall, dass die Bank selbst die Tan-Autorisation für irgendwas verlangt, entsteht ein großer Spaß auf meiner Seite, wenn ich ihnen erklären darf, dass ich weder ein Smartphone noch ein gewöhnliches cell phone besitze, und auch nicht vorhabe eines extra ihretwegen anzuschaffen, und bestimmt auch kein Geld für ein Lesegerät ausgeben werden, nur weil sie das so wollen.
Also wtf .... wo ist nochmal gleich das Problem? 😛
09.04.2019 09:48 - bearbeitet 09.04.2019 09:53
09.04.2019 09:48 - bearbeitet 09.04.2019 09:53
@tesla schrieb:[...]
Allerdings sollten auch die Vorteile des Verfahrens bewusst sein: nur mit der App ist sichergestellt, dass Google alle Aktivitäten korrekt mitprotokolliert. Denn das ist mindestens ebenso wichtig, wie dass Facebook weiss mit wem wir die Nacht verbringen und wann wir schwanger sind.
Das stimmt, das ist mir so noch gar nicht bewusst geworden. In den letzten Monaten bekomme ich regelmäßig eine Mail von Google mit meinen Aufenthaltsorten, Datum und Aufenthaltsdauer mit Bitte um Bewertung.
Logisch, meine eigene Schuld, sicherlich habe ich irgendwo ein Häkchen falsch gesetzt, aber immerhin nett, dass sie mir überhaupt mitteilen, was sie über mich wissen.
Naiv zu denken, dass diese Informationen nicht existent wären, wenn man sie nicht (dämlicherweise und freiwillig) anfordern würde.
Also, happy spying, photo-tanning, trading!
hx.
Edit: Ich meinte jetzt nicht den Zitat-Teil mit dem "schwanger". Ich möchte hier nochmal ausdrücklich betonen: Ich bin nicht schwanger, selbst wenn Facebook etwas anderes behauptet.
am 09.04.2019 10:55
Hallo allerseits,
um mal zwischendurch ein paar Dinge zurechtzurücken: Unsere photoTAN-App sammelt keine Daten und gibt auch keine Daten an Google, Apple oder sonstige Firmen weiter.
@Findbhair: Es ist dein gutes Recht, dich für oder gegen ein bestimmtes TAN-Verfahren zu entscheiden, sofern es deine Bank auch anbietet. Allerdings versteh ich nicht so recht, warum du dann noch bei einer Online-Bank ein Konto führst, wenn du jegliches TAN-Verfahren ablehnst.
Fakt ist nun einmal, dass durch PSD II bestimmte TAN-Verfahren wie iTAN abgeschaltet werden müssen. Die Richtlinie fordert von den Banken ein transaktionsabhängiges TAN-Verfahren. Das bedeutet, dass für jeden Zahlungsverkehrsauftrag die TAN jeweils generiert werden muss und nicht "auf Vorrat" abrufbar ist, wie es bei TANs auf Papierlisten noch der Fall ist. Ohne ein elektronisches Medium wie Lesegerät und Smartphone lassen sich diese Anforderungen nun mal nicht umsetzen.
Die Änderung schmeckt nicht jedem, das ist uns durchaus bewusst. Ändern lässt sich die iTAN-Abschaltung aber nicht.
Viele Grüße
Philipp
am 09.04.2019 11:21
Philipp, ich lehne nicht "jegliches TAN-Verfahren" ab, sondern ich lehne es ab, mir dafür extra ein Gerät kaufen zu müssen, nur weil wer einen flitz hat und meint, springen zu müssen, wenn die #**piep**EU "Hops!" sagt. Werd ich nämlich nicht, und dann bietet mir mal eine Lösung dafür an.
Wenn wer meint, dass Papierlisten, die 30 Jahre lang super gut funktioniert haben, heute nicht mehr tragbar sind und ausgetauscht werden müssen, dann ist es sicherlich nicht mein Problem, dafür Sorge zu tragen, dass die Geschäfte vollumfänglich weitergeführt werden können, sondern das desjenigen, der das für notwendig erachtet und meint, es jetzt unbedingt zu brauchen.
Sowas nennt sich Kundenservice - ich weiß, das ist in Deutschland ein Fremdwort, aber in meiner Welt gibt's das noch. Letzten Endes ist es nämlich sowieso nicht die Aufgabe einer Bank , den Kunden vor Schaden zu schützen, wenn der das partou nicht will. Es ist nur die Aufgabe, ihn diesbezüglich zu beraten.
Also es bleibt dabei, ich bin gespannt, was die Bank mir anbietet, wenn die iTAN Listen abgeschaltet sind und sie eine TAN von mir braucht ... der Spaß wird riesig. 😄
Und genau dieser fun-Faktor ist auch der Grund, warum ich sicherlich nicht so schnell wechseln werde.