comdirect

---

@NiNi13  schrieb:

Ich kann nicht einmal eine mobile TAN Aktivierung anfordern, weil man dazu ein aktives TAN verfahren braucht, super sicher;-)... ?!? Aber sicher nicht kundenfreundlich.

---

Am bequemsten (kundenfreundlichsten?) wäre es natürlich ganz ohne PIN, Paßwort oder TAN – ich gebe einfach nur meine Kontonummer an, und schon kann ich alles einsehen und alles veranlassen, super.

Als nächstes gebe ich dann einfach nur deine Kontonummer an und kann ebenfalls alles einsehen und alles veranlassen, z.B. all dein Geld zu mir überweisen. Super!

Entschuldigung falls ich nicht genau genug war. Wenn ich mit Pin online bin, warum brauche ich noch eine Tan um meine Handy Nummer verifizieren zu lassen? Ich selbst arbeite in Software sicherheitsrelevanten Bereichen, aber das kann ich mir leider nicht erklären. 

Vielleicht wenn jemand meine pin kennt, dann könnte er sich ohne Tan für ein Tan Verfahren registrieren. Das aber konnte  ich exakt so einfach am Telefon!

Liebe(r) chi, eine solche undifferenzierte Antwort ist schwer hilfreich. Frau /Mann sollte auch nicht per se davon ausgehen, dass andere Menschen leichtsinnig sind!

Danke!

---

@NiNi13  schrieb:

Entschuldigung falls ich nicht genau genug war. Wenn ich mit Pin online bin, warum brauche ich noch eine Tan um meine Handy Nummer verifizieren zu lassen?

---

Es geht seit diesem Jahr um eine 2-Faktor-Authentifizierung. Der erste Faktor ist Deine PIN. Würdest Du nur mit dieser das photoTAN-Verfahren aktivieren können, wäre der zweite Faktor für alle folgenden Transaktionen nicht mehr vorhanden. Deshalb musst Du diesen entweder per iTAN (Besitz der TAN-Liste) oder per mobileTAN (Besitz deines Smartphones) zum photoTAN-Verfahren übertragen (Besitz des Startcodes). Alles, was Du ohne TAN-Verfahren oder postalische Zustellung aktivieren könntest, würde entsprechend der 2FA zuwiderlaufen.

Dass sich gewisse Dinge noch per Telefonanruf regeln lassen, erscheint mir im Hinblick auf die 2FA eine Lücke im System zu sein. Möglicherweise zählt die Aufzeichnung des Gesprächs also eine Art Ersatz für den zweiten Faktor, da man im Zweifelsfall einen Stimmenabgleich durchführen könnte? Oder gelten dort allgemein andere Regeln?

Viele Grüße

Weinlese

---

@NiNi13  schrieb:

Wenn ich mit Pin online bin, warum brauche ich noch eine Tan um meine Handy Nummer verifizieren zu lassen? Ich selbst arbeite in Software sicherheitsrelevanten Bereichen, aber das kann ich mir leider nicht erklären. 

Vielleicht wenn jemand meine pin kennt, dann könnte er sich ohne Tan für ein Tan Verfahren registrieren. Das aber konnte  ich exakt so einfach am Telefon!

---

Die TAN ist die zusätzliche Sicherheitsebene gegenüber einem Angreifer, der die PIN kennt (beispielsweise weil er dich zum Login auf einer Phishing-Seite gebracht hat).

Wenn der Angreifer nun SMS-TAN aktivieren kann mit seiner eigenen Mobilfunknummer, ohne eine (vorbestehende) TAN eingeben zu müssen, und dann mit der (neu eingerichteten) SMS-TAN eine Überweisung veranlassen kann, ist das ebenso gut wie wenn gar keine TAN erforderlich wäre. Der Angreifer hat zwar etwas mehr Aufwand, den kann er aber problemlos treiben.

Nach deiner Beschreibung wurde dir auf den Anruf hin nicht direkt das neue TAN-Verfahren freigeschaltet. Vielmehr wurde nur veranlaßt, daß dir ein (grafischer) Aktivierungscode per Post zugeschickt wird. Zwar hätte den Anruf auch ein Angreifer tätigen können; um davon Nutzen zu haben, müßte er aber zu dir nach Hause reisen, sich vor deinem Briefkasten postieren und den Aktivierungsbrief abfangen, wenn er zu einem unbekannten Zeitpunkt in den nächsten Tagen eintrifft. Das ist für den Angreifer mit großem Aufwand und Entdeckungsrisiko verbunden.

Man kann sich allenfalls fragen, warum man den Aktivierungsbrief nicht online anfordern kann, sondern nur telefonisch. Da man aber eh schon den Medienbruch von online zu Brief hat, ist das fast egal.

Hey,

ich sehe das genau so. Es ist total bescheuert wie das photoTAN Verfahren eingeführt und konzipiert wurde.
Habe deshalb mein Konto hier gekündigt und bin zu einer ordentlichen Online-Bank gewechselt.

Peter.

Hallo!

Aber wir komme ich in die TAN-Verwaltung, um mein altes Smartphone zu deaktivieren und mein neues zu aktivieren, wenn eine photoTAN für den Zugang verlangt wird und das alte, aktivierte Smartphone defekt ist?

Viele Grüße 

Hallo @Tobias_H,

herzlich willkommen in unserer Community! 🙂

Bitte wende dich dafür einmal an unseren Kundenservice.

Sofern du einen photoTAN-Aktivierungsbrief hast, können meine Kollegen die noch aktive Geräte-ID löschen, damit du dich mit Zugangsnummer + PIN einloggen kannst. Anschließend landest du direkt in der photoTAN-Aktivierung.

Wenn du keinen Aktivierungsbrief hast, kannst du diesen ebenfalls über unseren Kundenservice anfordern.

Beste Grüße

Jan-Ove

Kann mir bitte mal jemand bitte die technischen Abläufte erklären?

Ich habe jetzt eine neue Simkarte in mein Handy und war verdutzt, dass die App noch funktioniert. 

Ist dies Geräteabhängig und nicht Telefonnumernabhängig? Wie läuft das dann technisch. Beim Start der App wird die ID des Smartphones an Comdirect gesendet und Comdirect schickt dann z.B. wieder Anforderungsbestätigungen zurück an das Gerät (z.B. Aufruf Postfach) ... somit ist doch dann völlig egal, welche Telefonnummer hinterlegt ist - anders kann ich mir das alles nicht erklären?

Ich wollte eine Backup-Telefonnummer hinterlegen, aber das dann ja völlig wertlos, wenn mein Smartphone gestohlen wird oder wenn ich dies verliere. Es reicht dann einfach, den Aktivierungsbrief aufzuheben und kann dann mit jedem neuen Handy sofort wieder, egal mit welcher Telefonnummer, auf mein Banking zugreifen?