Neue DKB Banking App - Sicherheit bei APP PIN

  • > Sicherheitstechnisch für mich ein absoluter Albtraum.


    Da schliesse ich mich an. Mir wäre es auch lieber, wenn die ChipTAN beibehalten werden würde. Und mit dem Handy mache ich grundsätzlich kein Banking. Das ist ein Gerät, dass ich weniger unter Kontrolle habe, als einen PC. (Dieter Nuhr: "da geht das Geld dann über das Handy durch die Luft - und dann issses weg"). Ausserdem mag ich keine "erkennungsdienstlichen Behandlungen" wie Fingerabdruck und Gesichtserkennung - schon gar nicht für kommerzielle Zwecke. Scheinbar will man die Leute erziehen, immer nachlässiger mit Sicherheit und Datenschutz umzugehen. Oder man setzt auf die jüngere Generation, die mit fehlender Sicherheit und Datenschutz noch keine Probleme hatte und da blauäugige dran geht (und die solch einen Begriff wie "erkennungsdienstliche Behandlung" gar nicht mehr kennen).
    Gibt's da keine Instanzen (Verbraucherschutz u.ä.) die dagegen argumentieren?

  • Deine Überwachungsängste entsprechen aber nicht der Realität. Ob du Fingerabdruck- oder Gesichtserkennung verwendest oder nicht, ist alleine deine Entscheidung. Für die Nutzung der DKB-App ist es nicht erforderlich.

  • Und mit dem Handy mache ich grundsätzlich kein Banking.

    Muss man doch auch nicht. :/

    Ich mache Banking am PC oder Tablet und nutze das Smartphone dann als 2. Faktor um einen Auftrag zu autorisieren.

    > Sicherheitstechnisch für mich ein absoluter Albtraum.


    Ausserdem mag ich keine "erkennungsdienstlichen Behandlungen" wie Fingerabdruck und Gesichtserkennung - schon gar nicht für kommerzielle Zwecke. Scheinbar will man die Leute erziehen, immer nachlässiger mit Sicherheit und Datenschutz umzugehen.

    Hast Du einen Beleg dafür, dass ein Fingerabdruck unsicherer ist als die Eingabe einer 4-stelligen PIN?

    Die Praxis sieht doch so aus, dass viele Nutzer allzugern für alle Dienste die gleiche PIN oder das gleiche Kennwort nutzen. Ich arbeite in der IT und bekomme das Dilemma nur zu gut mit.

    Oder man setzt auf die jüngere Generation, die mit fehlender Sicherheit und Datenschutz noch keine Probleme hatte und da blauäugige dran geht (und die solch einen Begriff wie "erkennungsdienstliche Behandlung" gar nicht mehr kennen).

    Meiner Erfahrung nach geht die jüngere Generation mit dem Thema Sicherheit sogar bewusster um als die ältere Generation.

    Eine Kennwortliste unter der Schreibtischunterlage, habe ich jedenfalls noch bei keinem jüngeren Kollegen gesehen!:D

  • Dieter Nuhr: "da geht das Geld dann über das Handy durch die Luft - und dann issses weg"

    Für nen Lacher sagt der viel. Aber offenbar gibt es Leute, die das wirklich glauben. Da fehlt wohl zuvor eine Triggerwarnung.

    Ausserdem mag ich keine "erkennungsdienstlichen Behandlungen" wie Fingerabdruck und Gesichtserkennung - schon gar nicht für kommerzielle Zwecke.

    Vielleicht befasst du dich mal tiefer damit, wer wie was auf derartige Eingaben Zugriff hat.
    Dass Apple sich erfolgreich gegen das iPhone-Entsperren gewehrt hat, ist dir bekannt?
    Aber natürlich kann jeder seinem Sicherheitsbedürfnis nachgehen.

    PS: Ich gehöre nicht zur jüngeren Generation.

  • Was spricht denn gegen ChipTAN für 2fa?

    Nichts!

    Die Bank muss es Dir halt noch anbieten. Und da viele Banken die Bankkarten inzwischen nur noch kostenpflichtig anbieten, muss man halt überlegen, ob einem die Kosten den Service Wert sind.

    Meine Mutter nutzt z.B. QR-Tan (dafür wird ebenfalls die Bankkarte benötigt), da Sie kein Smartphone besitzt. Dafür kostet Ihr Konto dann aber auch 9,90 im Monat (Sparkasse).

    Soll ich dann beim Handy auf jeden Fall kein chinesisches Produkt verwenden, aber Android oder Apple ist ok?

    Aus China kommen nahezu alle Smartphones. Auch Apple läßt zu großen Teilen in China fertigen!

    Wichtig ist m.E. dass die Software regelmäßig Sicherheitsupdates erhält. Das ist inzwischen bei vielen Markenherstellern der Fall, bei denen die Geräte über mehrere Jahre gepflegt werden (z.B. Samsung).

    Apple ist da ohnehin seit jeher sehr vorbildlich.

    Und man kann ja auch ein günstiges Smartphone ausschließlich als 2FA-Gerät nutzen. Also sich z.B. ein günstiges Smartphone ausschließlich für die Banking Apps in die Schublade legen, dass dann auch für nix anderes genutzt wird. Dann hat man maximale Sicherheit. Kostet aber eben auch Geld. Und man muss wieder überlegen, ob einem die zusätzliche Sicherheit die Kosten wert sind.

  • Mir ist chiptan zu kompliziert und zu teuer. Außerdem genügt es, sich an die von der Bank vorgegebenen Regeln zu halten. Wenn dann trotzdem etwas passiert, haftet die Bank.


    Und alles ist sicherer als eine althergebrachte Überweisung in Papierform.

  • Mir ist chiptan zu kompliziert und zu teuer. Außerdem genügt es, sich an die von der Bank vorgegebenen Regeln zu halten. Wenn dann trotzdem etwas passiert, haftet die Bank.


    Und alles ist sicherer als eine althergebrachte Überweisung in Papierform.

    was ist an der chipTAN kompliziert? Ich brauche nur mein notebook, den Generator und die girocard. Stecke die Karte in den Generator und halte den vor die Flackergrafik, kontrollieren die Überweisungsdaten auf dem Generator (auf den niemand von außen zugreifen kann und trage die PIN ins banking ein. Das war's.


    Kompliziert ist das tan2go doch durch die separaten Zugangsdaten und die Gerätebindung. Wenn der der Androide oder Apfel spinnt oder defekt ist, stehe ich ohne Bank da, bis ich ein neues Gerät besorgt, installiert und bei der Bank angemeldet habe.


    Beim chipTAN muss ich nur auf meine girocard aufpassen (was ich sowieso muss) und kann zur Not ohne irgendwelche Vorbereitungen auch den Generator meiner Tochter, meines Nachbarn oder wessenauchimmer ausleihen.


    Ich verstehe schon die Begeisterung der smartphone-Gemeinde für ihren algorithmusgetriggerten Daueronlineglückshormonrausch. Aber genaus "falsch" dieses Glück ist, genauso gefährlich sind aus softwarebasierte Sicherheitslösungen.


    Wenn hier auf die regelmäßigen Sicherheitsaktualisierungen geschworen wird, sollte man sich vor Augen führen, dass jede Softwareinjektion ins Mobilgerät das Risiko einer Schadkomponente für das Gesamtsystem mitbringt. Die individualisierten komplexen Gesamtinstallationen kann längst niemand mehr durchschauen.


    Generator und girocard kann man online nicht kompromittieren und in den die Bank-PCbrowserstrecke halte ich selbst sauber.

  • Aber genaus "falsch" dieses Glück ist, genauso gefährlich sind aus softwarebasierte Sicherheitslösungen.

    Bei der Argumentation solltest du dich aber auch nicht an den PC setzen.
    Ich habe seit Jahren kein Problem mit dem Smartphone, außer es muss aufgeladen werden.
    Jeder, wie er mag ...

  • was ist an der chipTAN kompliziert? Ich brauche nur mein notebook, den Generator und die girocard. Stecke die Karte in den Generator und halte den vor die Flackergrafik, kontrollieren die Überweisungsdaten auf dem Generator (auf den niemand von außen zugreifen kann und trage die PIN ins banking ein. ...

    Eben, du beschreibst den Murks sehr zutreffend.


    Girocard habe ich nicht, brauche ich nicht, will ich nicht. Ich schleppe schon genug Karten mit mir herum. Und die würde auch noch Kosten verursachen.


    Kartenleser habe ich schon zwei, die benötige ich zwingend für berufliche Zwecke. Auf einen weiteren, oder sogar womöglich für jede weitere Bank noch einen ganzen Zoo von zusätzlichen Geräten, verzichte ich dankend. Würde auch Kosten verursachen und wenn die Bank mal wieder unverhofft das Verfahren wechselt, ist es Elektroschrott.


    Das beschriebene Verfahren ist auch unnötig kompliziert. Aber vor allem stellt sich die Frage nach dem Sinn des Aufwands. Sicherer ist chipTAn auch nicht, im Gegenteil. Der Einbrecher, der mein Telefon erbeutet, hat weder die PIN für die SIM-Karte noch die PINs für TAN- oder Banking-Apps und könnte deshalb wenig Schaden anrichten. Der Kartenleser würde an der gleichen Stelle liegen wie das Telefon. Damit könnte der Einbrecher mehr Unfug anrichten. Außerdem halte ich mich an die von den Banken vorgegebenen Regeln, damit ist Sicherheit und Mißbrauch dann nicht mein Problem, sondern das der Bank.


    Ich gehöre übrigens nicht zur angesprochenen "smartphone-Gemeinde". Ein Smartphone ist für mich ein Werkzeug, das zum heutigen Leben dazu gehört, nicht mehr und nicht weniger. Und für Bankzwecke ist es praktisch. Privat unterwegs habe ich aber meistens nicht einmal eines dabei, und wenn, dann in der Regel abgeschaltet, falls ich nicht ausnahmsweise bewusst erreichbar sein will. Ich war gestern beim Zahnarzt, da war ich der einzige im Wartezimmer, der nicht auf seinem Telefon herum gefingert hat, ich hatte gar keines dabei.

  • Jeder, wie er mag ...

    Richtig, jeder entscheidet selbst, ob er lieber in der Real- oder Mobileworld leben möchte, ob es ihm etwas ausmacht, ständig mit seinen Daten zu zahlen.


    Ärgerlich ist es nur, wenn die Banken genau diese Freiheit durch sicherheitstechnische Gängelung ihrer Kunden einschränken.


    So praktisch smartphones im ambulanten Leben sein mögen, so achte ich doch darauf, dass ich datentechnisch für google nur die rund 3 Monate existiere, in denen ich Urlaub mache und mich dank orux nicht mehr verlaufe. Den Rest des Jahres kommt die Tragwanze in den Keller und so sollte es für mich auch möglichst bleiben.

  • Der Kartenleser würde an der gleichen Stelle liegen wie das Telefon. Damit könnte der Einbrecher mehr Unfug anrichten.

    Der Kartenleser ist ein dummes Stück Silizium und ohne die girocard völlg wertlos. Der Einbrecher könnte damit höchstens sein eigenes banking betreiben, wenn seine Bank das Verfahren unterstützt.


    Die girocard brauche ich sowieso. Weder der Bäcker noch meine Werkstatt wollen die hohen Kreditkartengebühren für Zahlungen tragen und gerade erst gestern wurde beim Hausarzt ein junger Mann zum Geldautomaten geschickt, weil er mit der Kreditkarte nicht zahlen konnte.

  • Die girocard brauche ich sowieso. Weder der Bäcker noch meine Werkstatt wollen die hohen Kreditkartengebühren für Zahlungen tragen und gerade erst gestern wurde beim Hausarzt ein junger Mann zum Geldautomaten geschickt, weil er mit der Kreditkarte nicht zahlen konnte.

    Ich bin ja mal gespannt, wie es mit der 'klassischen' Girocard so weiter geht. Spätestens mit der Abschaltung von Maestro oder V-PAY dürfte es damit ohnehin vorbei sein. Ich habe jedenfalls noch nichts von einer europaweit nutzbaren Alternative gehört.

    Ich nutze inzwischen als Alternative zur klassischen Girocard bevorzugt Apple-Pay.

    Und im Ausland ist/war die Nutzung von KK eh kein Thema. Da hinkt Deutschland echt Jahre hinterher was die Akzeptanz angeht...

  • Die girocard brauche ich sowieso. Weder der Bäcker noch meine Werkstatt wollen die hohen Kreditkartengebühren für Zahlungen tragen und gerade erst gestern wurde beim Hausarzt ein junger Mann zum Geldautomaten geschickt, weil er mit der Kreditkarte nicht zahlen konnte.

    Es gibt noch weiße Flecken in D. Aber bei mir in einer 500k-Großstadt können Bäcker und Werkstatt mit Kreditkarten und Apple-/Google Pay umgehen.

  • Was ist an der chipTAN kompliziert? Ich brauche nur mein notebook, den Generator und die girocard.

    Jedem Tierchen sein Pläsierchen.


    So sehr man sich auch bemüht, so kompliziert man die Abläufe macht, die erstrebte "absolute Sicherheit" wird man vermutlich nicht erreichen.


    Schon jetzt zeigt sich gelegentlich, daß durch komplizierte Abläufe das Geld vor der Verwendung durch seinen Eigentümer erfolgreich gesichert ist.

    Kompliziert ist das tan2go doch durch die separaten Zugangsdaten und die Gerätebindung. Wenn der der Androide oder Apfel spinnt oder defekt ist, stehe ich ohne Bank da, bis ich ein neues Gerät besorgt, installiert und bei der Bank angemeldet habe.

    Schwachpunkt des Verfahrens. Ich habe vorsorglich mein Smartphone und mein Tablet angemeldet. Wenn ein Gerät kaputt- oder verlorengeht, habe ich noch das andere. Immerhin bin ich so nicht von der Funktion oder dem Vorhandensein eines Geräts abhängig, sondern habe eine Rückfallebene.

    Beim chipTAN muss ich nur auf meine girocard aufpassen (was ich sowieso muss) und kann zur Not ohne irgendwelche Vorbereitungen auch den Generator meiner Tochter, meines Nachbarn oder wessenauchimmer ausleihen.

    Die Girocard ist bei diesem Vorgehen ein single point of failure. Wenn die kaputt- oder verlorengeht, stehst Du im Regen (mal ganz davon abgesehen, daß Du z.B. im Urlaub keine Zugriff auf die Generatoren fremder Leute hast). Ich sehe den entscheidenden Vorteil Deines Ansatzes nicht.

    Ich verstehe schon die Begeisterung der Smartphone-Gemeinde für ihren algorithmusgetriggerten Daueronlineglückshormonrausch. Aber genauso "falsch" dieses Glück ist, genauso gefährlich sind softwarebasierte Sicherheitslösungen.

    Ich sehe mich nicht im Smartphonerausch. Das Ding ist ein ziemlich vielseitiges und praktisches Werkzeug, und als solches nutze ich es.


    Was Software anlangt, sind Smartphones prinzipiell deutlich sicherer als ein Laptop, aber selbst bei dem bin ich nicht in ständiger Angst vor Malware wie viele. Mir per Software ans Geld zu gehen, ist nicht so einfach. Der Großteil der Angriffe erfolgt per Phishing, und dagegen hilft bereits ein normales Quantum Aufmerksamkeit.

    Wenn hier auf die regelmäßigen Sicherheitsaktualisierungen geschworen wird, sollte man sich vor Augen führen, dass jede Softwareinjektion ins Mobilgerät das Risiko einer Schadkomponente für das Gesamtsystem mitbringt. ,


    Generator und girocard kann man online nicht kompromittieren, und die Bank-PC-Browserstrecke halte ich selbst sauber.

    Mich ärgert an der aktuell grassierenden Sicherheitsmanie mehr, daß jedes Konto, jede Karte andere "Sicherheits"verfahren nutzt, so daß für mich (der ich das verhältnismäßig selten nutze) mein Geld optimal gegen meinen Zugriff geschützt ist. Das hat mir erst neulich im Bedarfsfall den Schweiß auf die Stirne getrieben.

  • ...

    Die girocard brauche ich sowieso. Weder der Bäcker ...

    Ich kenne keinen Bäcker, der Barzahlung ablehnt. Und wenn mal einer auf Zahlung per Girocard bestehen würde, würde ich 'nein danke' sagen und zu einem anderen Bäcker gehen.

  • Ich bin ja mal gespannt, wie es mit der 'klassischen' Girocard so weiter geht. Spätestens mit der Abschaltung von Maestro oder V-PAY dürfte es damit ohnehin vorbei sein. Ich habe jedenfalls noch nichts von einer europaweit nutzbaren Alternative gehört.

    Ich nutze inzwischen als Alternative zur klassischen Girocard bevorzugt Apple-Pay.

    Und im Ausland ist/war die Nutzung von KK eh kein Thema. Da hinkt Deutschland echt Jahre hinterher was die Akzeptanz angeht...


    Das Girocard System ist ein von Maestro/VPay völlig unabhäniges Debit Kartenzahkungsystem. Gibt von der Comdirect, C24 z.B. reine Girocards ohne co-baggage die halt nur in Deutschland funktionieren. Von daher kann man Girocards auch mit alternativen co-baggage ausstatten fürs Ausland, also z.B. Visa/Mastercard Debit, was mittlerweile die meisten Sparkassen vollzogen haben z.B.:
    https://www.spk-reichenau.de/d…astercard-debitkarte.html

    Zumindest Sparkassen und die VR Banken scheinen an der Girocard festzuhalten, vermutlich da diese auch entsprechend im Acquirer und Payment-Service-Provider Geschäft sind und es schon gewinnbrigend ist, die Einnahmen in Deutschland nicht mit Visa/Mastercard zu teilen.

    Der Todesgesang wurde meiner Meinung zu früh angestimmt.