comdirect

SMT_Jan-Ove · ‎12.10.2021

Hallo,

dem Grundsatz nach fordert die PSD2 starke Authentifizierung bei jedem Login. Dann sind die Kundeninformationen sehr sicher vor Fremdzugriff geschützt. Dies haben diverse Banken auch so umgesetzt und wird euch dort daher so auch regelmäßig begegnen.

In einer Abwägung zwischen Sicherheits- und Kunden-Convenience-Aspekten haben wir uns bei der ursprünglichen Umsetzung der PSD2 der gem. Artikel 10 zulässigen Ausnahme bedient, (nur) bestimmte Kontoinformationen innerhalb von 90 Tagen seit der letzten starken Authentifizierung ohne erneute TAN-Abfrage anzuzeigen.

Innerhalb dieser Zeitspanne konnten wir weniger genau nachvollziehen, dass tatsächlich nur ein Berechtigter auf die Daten zugreift. Der in Verbindung mit einer starken Authentifizierung angelegte Cookie lässt uns bei Anwendung der Ausnahme sicherer werden, dass ein Berechtigter auf die Daten ohne starke Authentifizierung zugreift.

Wird unser Cookie regelmäßig gelöscht, bieten wir diese Ausnahme von der starken Authentifizierung nicht mehr an. Gängige Browser bieten die Möglichkeit, alle Cookies bis auf bestimmte einzeln zu hinterlegende Ausnahmen zu löschen (damit könnte die 90-Tage-Ausnahme weiter genutzt werden).

Es besteht zudem die Möglichkeit, per App auf eure Daten zuzugreifen, wenn die mTAN-Kosten für den Login vermieden werden sollen. Daneben gibt es natürlich auch noch TAN-Lesegeräte, wenn die Verwendung der photoTAN-App partout nicht in Betracht kommt.

Beste Grüße

Jan-Ove

Hilfreiche Links:

Unsere Community-Regeln | Labels in der Community | Tipps & Tricks rund um die Community
3 Zutaten für den perfekten Communitybeitrag

EP07 · ‎12.10.2021

@ehemaliger Nutzer schrieb:
@EP07 schrieb:
Man kann doch problemlos eine Cookie-Ausnahme hinterlegen und hat das Problem dann nicht.
...

Zur Cookie-Ausnahme müsste man außerdem erst mal wissen welches Cookie denn diesen Unsinn regelt und doch, man hat das Problem dann sehr wohl, wenn man sich auch mal von einem anderen Browser und Gerät aus anmelden möchte.

Natürlich muss man die Ausnahme einmalig im jeweiligen Gerät/Browser hinterlegen. Ich sehe nach wie vor überhaupt kein Problem. Bei mir kommt keine permanente Abfrage beim Login, obwohl bei mir nach Sitzungsende auch die Browserdaten gelöscht werden. Ausnahme: Cookies der comdirect

Auf der einen Seite ist man hypersensibel, was die eigenen Daten angeht - regt sich aber auf, wenn es verschärfte Sicherheitsanforderungen zum eigenen Schutz gibt. Dann noch nicht mal wissen, wie man eine Ausnahme anlegt - aber die Bank beschimpfen ... an der Stelle bin ich dann raus.

MikeCharly · ‎12.10.2021

@SMT_Erik schrieb:

Wir evaluieren regelmäßig unsere Sicherheitsmaßnahmen und haben uns dazu entschlossen, diesen Kompromiss zu wählen.

@SMT_Jan-Ove schrieb:
Innerhalb dieser Zeitspanne konnten wir weniger genau nachvollziehen, dass tatsächlich nur ein Berechtigter auf die Daten zugreift. Der in Verbindung mit einer starken Authentifizierung angelegte Cookie lässt uns bei Anwendung der Ausnahme sicherer werden, dass ein Berechtigter auf die Daten ohne starke Authentifizierung zugreift.

Zwischen den Zeilen liest sich das so, als müssten wir Kunden davon ausgehen, dass nicht unerheblich viele "unklare" Zugriffe oder -versuche auf Konten erfolgt sind, die letztlich zu diesem Schritt geführt haben?

Ist dies dann eher nur ein Workaround, um die unbeabsichtigte Möglichkeit der Einsicht in fremde Konten, wie vor einiger Zeit geschehen, durch den Cookieabgleich resp. neue Tan abzuwenden? Sprich, das Problem liegt eig. woanders, wo ich mir nun mehr Gedanken mache.

Ich browse immer im "privaten Modus", Cookie Ausnahmen brauchte ich bis dato nicht (bzw. seit der Umstellung des Weblayouts vor einigen Jahren). Mit offline Tan-Gen. wird es dann sicher "lästig", aber im Vgl. zu push nicht so ein Drama für meinen Anwendungsfall.

ehemaliger Nutzer · ‎12.10.2021

@EP07 schrieb:
Auf der einen Seite ist man hypersensibel, was die eigenen Daten angeht - regt sich aber auf, wenn es verschärfte Sicherheitsanforderungen zum eigenen Schutz gibt. Dann noch nicht mal wissen, wie man eine Ausnahme anlegt

Verschärfte Sicherheitsanforderung, dass man nun Cookies gespeichert lässt? Aha. Ich finde das eher das Gegenteil. Aber da sieht man halt den Erfolg von Werbesprech.

Zu Deinem letzten Satz im Zitat: ich bin alles andere als ein DAU. Nochmal zum Mitschreiben: Ich möchte nicht alle Cookies der CoDi gespeichert lassen, sondern wenn dann nur das eine für diesen TAN-Unsinn. Und ebenso ändert dies nichts daran, dass man dann weiterhin für jedes andere Gerät wieder TANs braucht, zumindest erstmalig.

EP07 · ‎12.10.2021

Wenn man so paranoid gegenüber seiner Bank ist, wäre es wohl besser auf Internetbanking zu verzichten und sich auf die nächste Sparkasse/Volksbank vor Ort mit Kontoauszugsdrucker etc. zu verlegen. Aber Mist ... da kostet ein Konto ja noch viel mehr Geld.

ehemaliger Nutzer · ‎12.10.2021

@EP07 schrieb:
Wenn man so paranoid gegenüber seiner Bank ist, wäre es wohl besser auf Internetbanking zu verzichten

Das hat nichts mit Paranoia zu tun, sondern schlicht mit Umständlichkeit. spar Dir solche Polemik, ehrlich - warum kannst Du nicht einfach mal andere Meinungen akzeptieren? Warum sprichst Du mir das Recht ab, nach einer Option zu bitten, das ganze zu deaktivieren? Nochmal zum Mitschreiben: OPTION. Ich möchte Dir keineswegs diese TAN-Nerverei verbieten - wenn Du dich damit (pseudo)sicherer fühlst, dann kannst du das gerne toll finden und nutzen.

Aber mit so einer verhärteten Einstellung wie Du sie zeigst ("ich finde das alles kein Problem und deswegen darf auch niemand anderes das ein Problem finden") brauchen wir nicht weiter diskutieren.

EP07 · ‎12.10.2021

Man kann halt nicht jedem eine Extrawurst braten. Ich nehme Deíne Meinung durchaus zur Kenntnis, halte sie aber für irrelevant, da sich hier nur einige wenige Leute aufregen. Deine Forderung nach einer Option ist abgelehnt und Du wirst damit leben müssen.

ehemaliger Nutzer · ‎12.10.2021

@EP07 schrieb:
halte sie aber für irrelevant, da sich hier nur einige wenige Leute aufregen.

[offtopic]toll, danke. so sieht Diskussionskultur im Jahr 2021 aus, dass man Leuten ihre Meinung abspricht/für "irrelevant" hält. Kein Wunder, dass dieses Land immer extremer in jede Richtung wird und immer mehr nur noch schwarz-weiß denken.[/offtopic]

Rein faktisch magst Du mit dem Teil

@EP07 schrieb:
Deine Forderung nach einer Option ist abgelehnt und Du wirst damit leben müssen.

recht haben. Tja, dann muss halt die Comdirect aber ebenso damit leben, mich und andere als Kunden zu verlieren durch immer mehr solcher Aktionen. Ich interessiere da sicher nicht, da mach ich mir nichts vor, aber irgendwann nach noch weiterem solch Blödsinn (ist ja nicht der erste Aufreger in letzter Zeit, da gabs und gibts zugegebenermaßen noch VIEL wichtigere Themen als das hier) werden es vielleicht dann doch spürbar immer weniger (Gewinn bringende) Kunden.

SMT_Erik · ‎13.10.2021

@MikeCharly schrieb:

@SMT_Erik schrieb:

Wir evaluieren regelmäßig unsere Sicherheitsmaßnahmen und haben uns dazu entschlossen, diesen Kompromiss zu wählen.

@SMT_Jan-Ove schrieb:
Innerhalb dieser Zeitspanne konnten wir weniger genau nachvollziehen, dass tatsächlich nur ein Berechtigter auf die Daten zugreift. Der in Verbindung mit einer starken Authentifizierung angelegte Cookie lässt uns bei Anwendung der Ausnahme sicherer werden, dass ein Berechtigter auf die Daten ohne starke Authentifizierung zugreift.

Zwischen den Zeilen liest sich das so, als müssten wir Kunden davon ausgehen, dass nicht unerheblich viele "unklare" Zugriffe oder -versuche auf Konten erfolgt sind, die letztlich zu diesem Schritt geführt haben?

Ist dies dann eher nur ein Workaround, um die unbeabsichtigte Möglichkeit der Einsicht in fremde Konten, wie vor einiger Zeit geschehen, durch den Cookieabgleich resp. neue Tan abzuwenden? Sprich, das Problem liegt eig. woanders, wo ich mir nun mehr Gedanken mache.

Ich browse immer im "privaten Modus", Cookie Ausnahmen brauchte ich bis dato nicht (bzw. seit der Umstellung des Weblayouts vor einigen Jahren). Mit offline Tan-Gen. wird es dann sicher "lästig", aber im Vgl. zu push nicht so ein Drama für meinen Anwendungsfall.

Hallo @MikeCharly,

wir möchten klarstellen, dass es sich bei dieser Maßnahme weder um einen Workaround handelt, noch dass diese im Zusammenhang mit technischen Problemen der Vergangenheit steht.

Sie dient allgemein der Erhöhung des Sicherheitsniveaus.

Gruß

Erik

Hilfreiche Links:

Unsere Community-Regeln | Labels in der Community | Tipps & Tricks rund um die Community
3 Zutaten für den perfekten Communitybeitrag | Der Community-Adventskalender!

Cicero65 · ‎13.10.2021

Hallo,

muss ich nun bei jedem Login eine SMS Tan anfordern?

Wie kann ich das umgehen mit Hilfe von Cookies?

Wir da eine ID auf dem Rechner gespeichert oder wie beim Aufruf von Internetseiten

ein normale Cookie?

Danke

comdirect

Lob: Neuerung beim Login von unbekannten Browsern