comdirect

Ein E-Mail sendender Automat fragte, ob das Problem damit gelöst sei. Nein, ist es nicht.

Ich verstehe 2FA so, daß ein Angreifer wenigstens 2 voneinander unabhängige Schwachstellen aufmachen muß, um an die Kohle zu kommen. Dies ist bei der neuen photoTAN-App nicht der Fall.

Eine Garantie der Bank gegen Mißbrauch möchte ich nicht in Anspruch nehmen müssen. Auch grenzenloses Vertrauen in allgemein bekannte Hersteller kann sich als trügerisch herausstellen.

Grüße.

Hallo BZ,

 ich denke dies ist eine automatisch generierte Meldung mit der Bitte das Problem als gelöst zu markieren. Vielleicht noch mal ein paar generelle Überlegungen zu der Problematik.

Die Diskussion, ob dieses Verfahren (pushTAN) sicher ist oder nicht, geht wahrscheinlich am Punkt vorbei. Abgesehen mal vom Tod ist Sicherheit immer relativ. Dann hängt das ganze wahrscheinlich auch noch vom use case ab. Betrachten wir dazu mal zwei Scenarien. Das erste Scenario trifft auf mich zu: Das Handy ist mit einer separaten PIN gesichert. In Bankangelegenheiten wird das Handy nur für die TAN Generierung verwendet. Auf dem Handy wird kein banking ausgeführt, also irgendwas was Zugangs oder PIN Angabe erfordert. In dem zweiten Scenario ist das Handy nicht mit einer PIN gesichert und es wird für mobile banking verwendet. Es werden also Überweisungen ausgefüllt und TANs generiert. Ich könnte mir vorstellen, dass in Scenario 2 die momentane pushTAN Lösung sicherer ist als die alte. In Scenario 1 ist wahrscheinlich die alte besser. Ich halte Scenario 2 für allgemein problematisch (siehe auch: https://www.heise.de/newsticker/meldung/34C3-Nomorp-hebelt-Schutzschild-zahlreicher-Banking-Apps-aus...).

Großartig wären natürlich 2 Apps. Eine App mit der pushTAN, wie sie im Moment ist und eine photoTAN KISS (keep it strictly simple). PhotoTAN KISS kann nur Photo TANs generieren und sonst nichts - kein Passwort, keine graphischen Spielereien, keine PushTAN und keine App2App Funktionalität. Gerade im letzten Punkte wäre es dann weniger Funktionalität als die alte App.  Was würde jetzt gegen Phototan KISS sprechen? Zunächst wäre es eine weitere App, die entwickelt und gepflegt werden müsste. Dann besteht die Gefahr, dass irgendwann KISS user anfangen zu maulen, dass Sie auch damit mobile banking machen wollen und app2app wieder haben wollen.

Unter der Annahme, dass es in absehbarer Zeit kein PhotoTAN KISS geben wird, sehe ich eigentlich nur drei Lösungsmöglichkeiten:

1. Mit der aktuellen Lösung leben und das erhöhte Sicherheitsrisiko in Kauf nehmen, wenn man Scenario 1 user ist.
2. Wie hier in anderen Threads besprochen ein manuelles downgrade mit einem alten APK ausführen. Hier muss das Signer Zertifikat und die sha256 Prüfsumme getestet werden. Hier besteht eine Fehleranfälligkeit.  Weiterhin wird diese Version nicht mehr gepflegt, wodurch man sich langfristige Risiken einhandelt. Diese App muss als Phototan Lesegerät angemeldet werden. Hierbei wird wohl eine Hardware ID übergeben. Es würde mich nicht wundern, wenn man an dieser unechte Phototan Lesegeräte identifizieren kann und dieser Weg zukünftig allein schon aus Sicherheitsgründen verbaut wird.
3. Man kauft sich das PhotoTAN Lesegerät registriert dies, meldet Handy und App ab, löscht die App und ändert ganz zum Schluss die PIN.  Dies ist wahrscheinlich die sicherste aller Vorgehensweisen. Sie hat den Nachteil, dass man ein weiteres Hardwaregerät hat. Unter der Annahme, dass mit der Deinstallation der PhotoTAN app alle Daten gelöscht werden (deshalb meine vorherige Frage), müsste dann aber auch mit dem PhotoTAN Gerät und einem Handy sehr sicheres mobile banking möglich sein.

Ich persönlich habe mich für Variante 3 entschieden.

Christoph      

Hallo @ChristophL 

ich glaube nicht, dass eine Diskussion darüber, ob die Push-TAN App die eigentlich geforderten zwei getrennten (Autorisierungs-)Kanäle zusammenführt oder nicht, am Punkt vorbei ist. Aus meiner Sicht ist genau ist diese Diskussion der entscheidende Punkt:

Ob das Smartphone mit PIN gesichert ist oder nicht und ob die Push-TAN App ein oder mehrere Passworte abfragt oder nicht ist meines Erachtens völlig irrelevant, wenn beim Moment der Registrierung der Push-TAN App das Smartphone schon kompromittiert ist. Das Problem dabei ist, dass ja niemand wissen kann, ob dem so ist oder nicht. Falls es aber so sein sollte, dann wurde durch die Erfordernis, Zugangsdaten des anderen Kanals einzugeben, die komplette 2FA Architektur invalidiert, denn der Angreifer wäre schon im Besitz von Zugangsdaten für die Website und Sicherheitstoken der TAN-App.

Ich bin mal gespannt, ob mal jemand von der Bank zu dieser Frage Stellung bezieht, falls ja, würde mich das natürlich sehr freuen. Falls nein, werde ich mich auch für deine geschilderte Lösung 3 entscheiden, also ausschießlich den TAN-Generator verwenden. Ich bin in diesem Fall aber nur sehr mäßig gewillt, für die einzige sichere Lösung Geld zu bezahlen, aber das kann man dann ja noch mit der Bank diskutieren, wenn es soweit ist ...

Hallo,

frischer Lesestoff für diejenigen, die Smartphones und das App-Sandboxing für absolut sicher halten: Apps können aus Sandbox ausbrechen.

Grüße.

Hallo alle, hallo @SMT_Jan-Ove 

vielen Dank für die sehr schnelle Zusendung des photoTAN Gerätes. Es ist heute gekommen. Ich habe jetzt Plan 3 ausgeführt (vollständige Umstellung auf Gerät und Änderung der PIN). Mein Seelenfrieden ist wieder hergestellt.

Viele Grüße,

Christoph

Hallo,

um einem falschen Eindruck vorzubeugen:

Der eigentliche Mißstand (Eingabe der Zugangsdaten in der TAN-App) ist nicht behoben, ja nicht einmal eingestanden worden.

Er läßt sich nur partiell durch das kostenpflichtige photoTAN-Gerät umgehen.

Grüße.

Danke, dass sie das Problem angesprochen haben. Ich weigere mich einfach auf einem Handy irgendwelche Zugangsdaten einzugeben. Handys haben immer eine hohen Unsicherheitsfaktor, durch Verlust, Diebstahl, Viern, etc....

Hallo,

das hier besprochene Problem besteht ja wohl immer noch.

@SMT_Jan-Ove  schrieb, daß nach einer Änderung der Onlinebanking-PIN diese auch neu in die pushTAN/photoTAN-App eingetragen werden muß.

Kann das vielleicht jemand bestätigen aufgrund eigener Erfahrung?

Gibt es eine Möglichkeit, die App dauerhaft offline zu betreiben? Wenn ja, wirkt sich dann auch die PIN-Änderung auf die offline laufende App aus?

Danke und Grüße.