comdirect.de
Hilfe
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

PhotoTAN Schutz vor Zweitaktivierung

mkon
Autor ★
6 Beiträge

am ‎14.10.2016 20:09

am ‎14.10.2016 20:09

Hallo,

 

Mich würde mal interessieren wie sich das mit photoTAN App verhält wenn eine weitere App mit meinem Registrierungsbrief angemeldet wird. Bekomme ich da eine Warnung? Oder ist das auf eine Registrierung beschränkt?

 

Szenario: Jemand bricht in meine Wohnung ein, findet Unterlagen zum Onlinebanking inclusive Registrierungsbrief für PhotoTAN. Kann er jetzt sein Gerät registrieren und mein Konto leerräumen, ohne das ich intervenieren kann?

 

Dann hat es ja eigentlich im vergleich zur TAN Liste keinen Sicherheitsvorteil (liegt genauso in meiner Wohnung und kann missbraucht werden).

 

Danke für die Info

0 Danke
3 ANTWORTEN

Christoph_89
Experte
89 Beiträge

am ‎14.10.2016 21:55

am ‎14.10.2016 21:55

Wenn jemand in meine Wohnung bricht, dann wäre der PhotoTan Brief die letzte Sorge, die ich hätte.

Aber gut zu wissen, dass deine Prioritäten gut verteilt zu seien scheinen 😉

 

Aber nehmen wir mal an, dass jemand deinen Photo-Tan Brief hätte.

Dann würde er sich die App runterladen und die Photo-Tan einlesen. Zur endgültigen Aktivierung musst du dich aber in dein Online-Banking einloggen und dort eine weitere Photo-Tan einlesen bzw. bestätigen.

 

Also man bräuchte neben dem Brief auch deine Online-Banking-Zugangsdaten.

Wenn ein Einbrecher beide Sachen hat, dann kann er dein Konto leerräumen. 

 

PhotoTan ist sicherer wie eine TAN-Liste. Eine TAN-Liste kann jeder stehlen. Das ist nur ein Stück Papier und TAN-Nummern sind dort statisch vorgegeben.

Bei PhotoTan wird jede TAN dynamisch neu erstellt und man kann kein weiteres Gerät aktivieren ohne deine Zustimmung im Online-Banking.

Stiehlt jemand dein Handy, dann kann auch nichts passieren. Außer du gehörst du den Art von Menschen, die aus Bequemlichkeitsgründen kein Passwort im Handy haben.

0 Danke

Zargoras
Mentor ★★
1.528 Beiträge

am ‎26.10.2016 23:29

am ‎26.10.2016 23:29

@mkon

 

es wurde ja hier schon sehr ausführlich dargestellt, auch wenn dieser umstand schon recht grob fahrlässig ist, war ja auch noch eine frage ob du intervenieren kannst, du könntest jederzeit dein konto vorsichtshalber sperren lassen, aber was ich an der stellle vielleicht noch interessant fände, die schlicht Überlegung, was wäre wenn man villeicht die falschen freunde oder bekannte in der Wohnung unbeaufsichtigt hat rum laufen lassen, und man wirklich nicht so intelligent mit seinen banking unterlagen umgeht (zumindest die pin sollte man kennen, und den entsprechenden brief vernichten), diese person wäre sicherlich so schlau nicht am selben abend dein konto leer zu räumen, denn dann wäre vermutlich klar wers war, also könnte da mal ein blich in die tan Verwaltung helfen, da kannst du zumindest alle aktiven lesegeräte einsehen, und einzeln löschen, oder das tan verfahren komplett deaktivieren.

 

und was nie schaden kann ist das überweisungslimit in einensinnvollen rahmen zu begrenzen (allerdings weis ich hier nicht, ob es eine vorlaufzeit gibt, bis die änderung aktiv wird)

 

außerdem ist ja das häufigste problem bei der itan, das viele leute auf diese phishing versuche rein fallen, dies aber nicht mit phototan geht (transaktionsgebundene tan) also ist es schon sicherer. Natürlich gibt es auch hier angriffsmöglichkeiten aber komplizierter und setzt meist noch mehr naivität vorraus.

0 Danke

mkon
Autor ★
6 Beiträge
Als Antwort auf Zargoras

am ‎27.10.2016 07:15

am ‎27.10.2016 07:15

Naja es geht ja hier erstmal um einen hyothetischen Fall um die Sicherheit der verschiedenen TAN Verfahren zu vergleichen. Wäre der PIN ein ausreichendes Sicherheitsmerkmal und unüberwindbar bräuchte man überhaupt kein TAN Verfahren. Also ist für den weitere vergleich anzunehmen das der Angreifer die PIN schon in seinem Besitz hat.

 

Bei einem Einbruch in die Wohnung ist dann der PhotoTAN Aktivierungsbrief für den Angreifer genauso wertvoll wie eine iTAN Liste oder ein entsperrtes Gerät das die mTAN empfängt. Meiner meinung nach würde das PhotoTAN verfahren hier deutlich an Sicherheit gewinnen wenn der Aktivierungsbrief nur einmal verwendet werden kann. Im Moment wird aktiv empfohlen den Brief aufzuheben.

 

In diesem Fall ist PhotoTAN also schwächer als die mTAN, weil hier in der Regel nicht ein Freibrief in der Wohnung liegt. Und damit genauso unsicher wie eine iTAN Liste.

 

Für Phishing ist logischerweise PhotoTAN und mTAN wieder sicherer als iTAN.

 

Insgesamt gewinnt meiner meinung nach die mTAN als sicherstes Verfahren. Ich denke PhotoTAN wird vorallem gepushed weil es villeicht der Comdirect SMS gebühren spart? 🙂

 

Ich finde PhotoTAN grundsätzlich nicht schlecht. Aber der Aktivierungsbrief sollte nur einmal funktionieren, oder nur mit einem Gerät oder man sollte einfach nur ein PhotoTAN Gerät mit dem Konto verknüpfen können.

 

Ich habe übrigens den PhotoTAN Aktivierungsbrief deshalb eingescannt und verschlüsselt abgespeichert und anschließend vernichtet 🙂