comdirect

ehemaliger Nutzer · ‎11.10.2021

Möchte dem Marketing-Team nur mitgeben, dass ich die vorhin erhaltene Mitteilung, dass Logins von unbekannten Browsern (Browsern ohne Cookie-Bekanntschaft) künftig mit einer TAN freigegeben werden müssen, sehr begrüße und diese Verbesserung bei der Sicherheit gerne sehe. Der Ansatz aus Account-Nr. und PIN sah schon immer etwas wackelig aus. Ich halte die Lösung mit den Cookies für einen guten Kompromiss zwischen "immer TAN" und "niemals TAN".

EP07 · ‎12.10.2021

Ich verstehe die Aufregung nicht. Man kann doch problemlos eine Cookie-Ausnahme hinterlegen und hat das Problem dann nicht.

ehemaliger Nutzer · ‎12.10.2021

@__dpk schrieb:
Das glaube ich nicht, ich musste mich auf jedem Gerät per TAN autorisieren.

Das stimmt einfach nicht. Es ist genau so wie Thorsten geschrieben hat bislang eine simple serverseitige 90-tägige Aufforderung.

Dieser ganze Schwachsinn ist schlicht unsinnig, ja.

ehemaliger Nutzer · ‎12.10.2021

@EP07 schrieb:
Man kann doch problemlos eine Cookie-Ausnahme hinterlegen und hat das Problem dann nicht.

Man kann doch problemlos diese schwachsinnige Pseudo-"Sicherheits"-Option optional machen und hat das Problem dann nicht.

Zur Cookie-Ausnahme müsste man außerdem erst mal wissen welches Cookie denn diesen Unsinn regelt und doch, man hat das Problem dann sehr wohl, wenn man sich auch mal von einem anderen Browser und Gerät aus anmelden möchte.

__dpk · ‎12.10.2021

@ehemaliger Nutzer schrieb:
@__dpk schrieb:
Das glaube ich nicht, ich musste mich auf jedem Gerät per TAN autorisieren.
Das stimmt einfach nicht. Es ist genau so wie Thorsten geschrieben hat bislang eine simple serverseitige 90-tägige Aufforderung.
Dieser ganze Schwachsinn ist schlicht unsinnig, ja.

Doch das stimmt, ich weiß wohl was ich gemacht habe.

Wenn das bei Euch nicht so war, dann zeigt das nur, dass das bisher nicht zuverlässig funktioniert hat und damit nicht PSD2 konform war.

Wenn die Menschen nur über das sprächen, was sie begreifen, dann würde es sehr still auf der Welt sein.
- Albert Einstein -

ehemaliger Nutzer · ‎12.10.2021

@__dpk schrieb:
Doch das stimmt, ich weiß wohl was ich gemacht habe.

Dann schildere bitte genauer was du gemacht hast. Redest du sicher vom Zugang per "normalen" Browser und nicht von Apps?

Denn ich lösche bei jedem Browser-Beenden die Cookies und die Abfrage kam (gottseidank) bislang nur alle 90 Tage auch wenn ich mich von einem ganz anderen Gerät aus eingeloggt habe.

Völlig davon abgesehen, dass diese komische Neuregelung optional sein sollte! Wie gesagt, man kann sie ja toll finden, das spreche ich niemandem ab, und derjenige kann diesen unglaublichen Sicherheitsgewinn ja dann gerne aktivieren.

Aber ich bin sicherlich nicht der einzige, der dies als sinnfreie Gängelung unter dem Deckmantel von (Pseudo)Sicherheit ansieht. Und von daher würd ich das gerne deaktivieren.

@SMT_Service: bitte optional machen.

__dpk · ‎12.10.2021

Anmeldung auf Mac, auf iPad und iPhone. Im Safari Browser, Comdirect Webseite. Jedes mal TAN.

PSD erfordert ja, dass 2 unterschiedliche Faktoren bei Dir liegen, also z.B. Anmeldedaten und Gerät. Der Bankserver gehört nicht dazu, der ist nicht bei Dir zuhause.

Wenn die Menschen nur über das sprächen, was sie begreifen, dann würde es sehr still auf der Welt sein.
- Albert Einstein -

ehemaliger Nutzer · ‎12.10.2021

@__dpk schrieb:
Anmeldung auf Mac, auf iPad und iPhone. Im Safari Browser, Comdirect Webseite. Jedes mal TAN.

Das ist sehr seltsam. Mir fällt es zwar schwer zu glauben dass das bei nicht bei allen Nutzern einheitlich ist, aber gut Deine Erfahrung streite ich Dir nicht ab.

Bei mir jedenfalls, und wohl auch Thorsten, ist es wie gesagt definitiv nicht der Fall. Mehrere Geräte - unterschiedliche Browser - unterschiedliche IPs - Cookies gelöscht. Alle 90 Tage TAN, nicht früher, nicht wiederholt, egal woher.

PS: diese ganze PSD2-Bevormundung sollte ein reines Depot eigentlich überhaupt nicht tangieren, ist also bei mir bislang schlicht und einfach rechtlich unbegründete Drangsalei. Andere Banken setzen diesen Zirkus auch rechtskonform um was Depots anbelangt (bzw. eher nicht um).

Es bleibt weiterhin Fakt - auch schon davor, aber eben nur alle 90 Tage, nun quasi täglich: jeder, der nicht diese photoTAN-App nutzen kann/möchte zahlt jedes Mal. Nur für den Login! Das ist krank. Und da würde mich mal sehr interessieren wie das rechtens sein kann, das ist wie gesagt übrigens eben keineswegs von der PSD2 gefordert!

SMT_Erik · ‎12.10.2021

Hallo zusammen,

wird danken euch für euer insgesamt differenziertes Feedback zu unserer aktuellen Änderung.

Aus unserer Sicht stellt das neue Procedere einen Kompromiss zwischen "eine TAN bei jedem Login" und der 90-Tage-Ausnahme durch die PSD2 dar. Wir evaluieren regelmäßig unsere Sicherheitsmaßnahmen und haben uns dazu entschlossen, diesen Kompromiss zu wählen.

Eine optionale Funktion ist derzeit nicht geplant.

Gruß

Erik

Hilfreiche Links:

Unsere Community-Regeln | Labels in der Community | Tipps & Tricks rund um die Community
3 Zutaten für den perfekten Communitybeitrag | Der Community-Adventskalender!

Morgenmond · ‎12.10.2021

@SMT_Erik schrieb:
...
Aus unserer Sicht stellt das neue Procedere einen Kompromiss zwischen "eine TAN bei jedem Login" und der 90-Tage-Ausnahme durch die PSD2 dar. ...

Hi @SMT_Erik

wo stellt denn dies einen Kompromiss dar wenn ich mich jedesmal nach Leerung des Caches per TAN neu einloggen muss ?

Ich habe das Gefühl bei der comdirect läuft ein Wettbewerb "Wie vergraule ich die Kunden am Besten" und jede ~~noch so schwachsinnige~~ Idee die da entfleucht wird sofort umgesetzt... 🙄

Zumal ja solche Vorgaben gar nicht gesetzlich vorgeschrieben sind sondern die comdirect (im vorauseilenden Gehorsam ? 🤔 ) die Beschränkungen verschärft.

Gruß Morgenmond

ehemaliger Nutzer · ‎12.10.2021

Heißt im Klartext, es ist nicht von der PSD2 gefordert, sondern halt eine "geschäftspolitische Entscheidung".

@SMT_Erik: Ich würde gerne zumindest noch wissen, was die Comdirect dazu sagt, wie es rechtskonform sein kann, dass nun für Kunden ohne photoTAN für jeden Login(!!!) Kosten anfallen. Das ist doch absurd, ich zahle keine Kosten für eine Order-mobileTAN, aber für den reinen Login jedes ~~verdammte~~ Mal.

Und wie bereits ausgeführt von Morgenmond:

@Morgenmond schrieb:
Zumal ja solche Vorgaben gar nicht gesetzlich vorgeschrieben sind sondern die comdirect (im vorauseilenden Gehorsam ? 🤔 ) die Beschränkungen verschärft.

Diesem Stimme ich übrigens vollumfänglich zu, was er hier ausgeführt hat:

@Morgenmond schrieb:
Ich bin der Meinung das dies eine schwachsinnige Bevormundung ist.
Jeder normale Mensch löscht den Cookie-Kram wenn man den PC etc. herunterfährt.
Hier wird mit angeblichen Vorschriften aus PSD2 dieser Blödsinn begründet, dabei ist dort rein gar nix darüber zu lesen.
Ich war schon drauf und dran den neuen Nutzungsbestimmungen zuzustimmen (für mich ändert sich gebührenmaßig ja nichts) aber dies werde ich nun schön bleiben lassen...

Da kann man nach jedem Satz einen Haken bzw. mehrere laute Ausrufezeichen machen!

Nachdem von Seiten der CoDi offenbar kein Interesse an einer Änderung dieser Drangsalei besteht, werde ich dann wohl in spätestens 90 Tagen (letzter TAN-Login ist schon ein wenig her, insofern weniger) weg sein. Andere Banken freuen sich sicherlich über die Ordergebühren, anstatt ihre Kunden mit so einem Unsinn zu knechten und nicht mal einen kostenlosen, sondern maßlos überteuerten TAN-Generator zur Verfügung zu stellen.

comdirect

Lob: Neuerung beim Login von unbekannten Browsern