am 29.04.2020 13:38
Hallo,
hier kommt mir etwas seltsam vor. In der Anleitung "Wie aktiviere ich photoTAN?" steht: "Zugangsnummer und 6-stellige PIN eingeben".
Sind das die Zugangsdaten für das Online-Banking? Wenn ja, dann ist der 2FA-Gedanke aber hier ausgehebelt, da sämtliches Wissen für eine Überweisung in der photoTAN-App konzentriert ist, also Login + TAN.
Ist das unbedingt erforderlich? Das separate photoTAN-Lesegerät benötigt doch wohl keine Zugangsdaten.
Oder verstehe ich das etwas falsch?
Grüße.
am 01.05.2020 12:52
@bzGanz genau das ist auch mein Problem mit der neuen App.
Zuvor waren die beiden Authorisierungskanäle Website (Zugangsnummer + PIN) sowie Token-App strikt voneinander getrennt. Man musste die Website benutzen, um das Token zu generieren. Falls das Smartphone kompromitiert ist, dann ist zwar dieser Kanal offen, aber ein Angreifer kann eben nur Tokens generieren, aber keine Überweisung in Auftrag geben.
Um die Push-Tan zu aktivieren, muss ich nun die Authorisierungsdaten des anderen Kanals (Website) in die App eingeben. Sollte das Smartphone zu diesem Zeitpunkt kompromittiert sein und eine angreifende App z. B. die Tastatur mitlesen, dann fällt einem Angreifer alles in die Hände, was man braucht, um das Konto leerzuräumen (Kontozugangsdaten, Passwort für App, Security-Token).
Weshalb wurde die Erzeugung des Security-Tokens der App denn überhaupt von der Website auf die App verschoben? Falls Bequemlichkeit ein Argument war, wird diese mit einer reduzierten Sicherheit bezahlt. Aber wohl eher vom Kunden, nicht von der Bank - oder sichert mir die Comdirect zu, dass die Bank mir eventuelle Verluste ersetzt?
Interessierte Grüße
am 03.05.2020 15:50
Ein E-Mail sendender Automat fragte, ob das Problem damit gelöst sei. Nein, ist es nicht.
Ich verstehe 2FA so, daß ein Angreifer wenigstens 2 voneinander unabhängige Schwachstellen aufmachen muß, um an die Kohle zu kommen. Dies ist bei der neuen photoTAN-App nicht der Fall.
Eine Garantie der Bank gegen Mißbrauch möchte ich nicht in Anspruch nehmen müssen. Auch grenzenloses Vertrauen in allgemein bekannte Hersteller kann sich als trügerisch herausstellen.
Grüße.
am 03.05.2020 19:20
Hallo BZ,
ich denke dies ist eine automatisch generierte Meldung mit der Bitte das Problem als gelöst zu markieren. Vielleicht noch mal ein paar generelle Überlegungen zu der Problematik.
Die Diskussion, ob dieses Verfahren (pushTAN) sicher ist oder nicht, geht wahrscheinlich am Punkt vorbei. Abgesehen mal vom Tod ist Sicherheit immer relativ. Dann hängt das ganze wahrscheinlich auch noch vom use case ab. Betrachten wir dazu mal zwei Scenarien. Das erste Scenario trifft auf mich zu: Das Handy ist mit einer separaten PIN gesichert. In Bankangelegenheiten wird das Handy nur für die TAN Generierung verwendet. Auf dem Handy wird kein banking ausgeführt, also irgendwas was Zugangs oder PIN Angabe erfordert. In dem zweiten Scenario ist das Handy nicht mit einer PIN gesichert und es wird für mobile banking verwendet. Es werden also Überweisungen ausgefüllt und TANs generiert. Ich könnte mir vorstellen, dass in Scenario 2 die momentane pushTAN Lösung sicherer ist als die alte. In Scenario 1 ist wahrscheinlich die alte besser. Ich halte Scenario 2 für allgemein problematisch (siehe auch: https://www.heise.de/newsticker/meldung/34C3-Nomorp-hebelt-Schutzschild-zahlreicher-Banking-Apps-aus...).
Großartig wären natürlich 2 Apps. Eine App mit der pushTAN, wie sie im Moment ist und eine photoTAN KISS (keep it strictly simple). PhotoTAN KISS kann nur Photo TANs generieren und sonst nichts - kein Passwort, keine graphischen Spielereien, keine PushTAN und keine App2App Funktionalität. Gerade im letzten Punkte wäre es dann weniger Funktionalität als die alte App. Was würde jetzt gegen Phototan KISS sprechen? Zunächst wäre es eine weitere App, die entwickelt und gepflegt werden müsste. Dann besteht die Gefahr, dass irgendwann KISS user anfangen zu maulen, dass Sie auch damit mobile banking machen wollen und app2app wieder haben wollen.
Unter der Annahme, dass es in absehbarer Zeit kein PhotoTAN KISS geben wird, sehe ich eigentlich nur drei Lösungsmöglichkeiten:
Ich persönlich habe mich für Variante 3 entschieden.
Christoph
am 03.05.2020 22:37
Hallo @ChristophL
ich glaube nicht, dass eine Diskussion darüber, ob die Push-TAN App die eigentlich geforderten zwei getrennten (Autorisierungs-)Kanäle zusammenführt oder nicht, am Punkt vorbei ist. Aus meiner Sicht ist genau ist diese Diskussion der entscheidende Punkt:
Ob das Smartphone mit PIN gesichert ist oder nicht und ob die Push-TAN App ein oder mehrere Passworte abfragt oder nicht ist meines Erachtens völlig irrelevant, wenn beim Moment der Registrierung der Push-TAN App das Smartphone schon kompromittiert ist. Das Problem dabei ist, dass ja niemand wissen kann, ob dem so ist oder nicht. Falls es aber so sein sollte, dann wurde durch die Erfordernis, Zugangsdaten des anderen Kanals einzugeben, die komplette 2FA Architektur invalidiert, denn der Angreifer wäre schon im Besitz von Zugangsdaten für die Website und Sicherheitstoken der TAN-App.
Ich bin mal gespannt, ob mal jemand von der Bank zu dieser Frage Stellung bezieht, falls ja, würde mich das natürlich sehr freuen. Falls nein, werde ich mich auch für deine geschilderte Lösung 3 entscheiden, also ausschießlich den TAN-Generator verwenden. Ich bin in diesem Fall aber nur sehr mäßig gewillt, für die einzige sichere Lösung Geld zu bezahlen, aber das kann man dann ja noch mit der Bank diskutieren, wenn es soweit ist ...
am 04.05.2020 20:08
Hallo,
frischer Lesestoff für diejenigen, die Smartphones und das App-Sandboxing für absolut sicher halten: Apps können aus Sandbox ausbrechen.
Grüße.
am 05.05.2020 16:49
Hallo alle, hallo @SMT_Jan-Ove
vielen Dank für die sehr schnelle Zusendung des photoTAN Gerätes. Es ist heute gekommen. Ich habe jetzt Plan 3 ausgeführt (vollständige Umstellung auf Gerät und Änderung der PIN). Mein Seelenfrieden ist wieder hergestellt.
Viele Grüße,
Christoph
am 06.05.2020 22:04
Hallo,
um einem falschen Eindruck vorzubeugen:
Der eigentliche Mißstand (Eingabe der Zugangsdaten in der TAN-App) ist nicht behoben, ja nicht einmal eingestanden worden.
Er läßt sich nur partiell durch das kostenpflichtige photoTAN-Gerät umgehen.
Grüße.
am 08.07.2020 18:00
Danke, dass sie das Problem angesprochen haben. Ich weigere mich einfach auf einem Handy irgendwelche Zugangsdaten einzugeben. Handys haben immer eine hohen Unsicherheitsfaktor, durch Verlust, Diebstahl, Viern, etc....
am 01.03.2021 18:51
Hallo,
das hier besprochene Problem besteht ja wohl immer noch.
@SMT_Jan-Ove schrieb, daß nach einer Änderung der Onlinebanking-PIN diese auch neu in die pushTAN/photoTAN-App eingetragen werden muß.
Kann das vielleicht jemand bestätigen aufgrund eigener Erfahrung?
Gibt es eine Möglichkeit, die App dauerhaft offline zu betreiben? Wenn ja, wirkt sich dann auch die PIN-Änderung auf die offline laufende App aus?
Danke und Grüße.