Neue DKB Banking App - Sicherheit bei APP PIN

  • ...
    Zumindest Sparkassen und die VR Banken scheinen an der Girocard festzuhalten,

    ...

    Ja, zumindest formal. Gleichzeitig machen sie die Girocard aber mit Gebühren und Restriktionen uninteressant im Vergleich zu den ebenfalls ausgegebenen Kreditkarten. So wurde von der hiesigen Volksbank, bei der es sich um eine der großen im Land handelt, ab 01.07. ein (unabänderliches) Wochenlimit für die Girocard in Höhe von 1.500,00 € eingeführt. Mit dem schönen Argument, man trage damit dem zunehmenden Sicherheitsbedürfnis der Kunden Rechnung. ^^

  • Ja, zumindest formal. Gleichzeitig machen sie die Girocard aber mit Gebühren und Restriktionen uninteressant im Vergleich zu den ebenfalls ausgegebenen Kreditkarten. So wurde von der hiesigen Volksbank, bei der es sich um eine der großen im Land handelt, ab 01.07. ein (unabänderliches) Wochenlimit für die Girocard in Höhe von 1.500,00 € eingeführt. Mit dem schönen Argument, man trage damit dem zunehmenden Sicherheitsbedürfnis der Kunden Rechnung. ^^

    Bei mir lief es genau andersrum, die DKB hat mich mittlerweile teilw. verkrault mir der schlecht konfigurierten Visa Debit und der Bepreisung der Girocard. Bin zumindest für die Alltagsausgaben wieder zurück zur Sparkasse, wenn man etwas schaut gibt es da auch kostenlose Girokonten (Reichenau/Karlsruhe) inkl. Girocard mit Visa/Mastercard Debit co-baggage und Apple Pay bzw. auf Android Sparkassen Zahlungsapp.

  • Ich habe im Grunde kein Problem mit der App, aber mich stört enorm dass die 2 Faktor Authentifikation jetzt quasi nur auf dem Smartphone stattfindet. Selbst bei einer Überweisung reicht die einmalige Anmeldung in der App. ChipTan kann ich nicht mehr benutzen und dass ist für mich ein totaler Rückschritt. Vor allem da ich bei der DKB Bank meine kompletten Ersparnisse für meinen Immobilienkauf habe.

  • Ich habe im Grunde kein Problem mit der App, aber mich stört enorm, dass die 2-Faktor-Authentifikation jetzt quasi nur auf dem Smartphone stattfindet.

    2-Faktor-Authentisierung bedeutet: Man verbindet etwas, was Du weißt mit etwas, was Du besitzt. Das sind die beiden Faktoren. Was Du weißt, ist die PIN, was Du hast, ist genau Dein Smartphone. Genau das, kein anderes. Dein Gerät ist ja registriert.


    Mit dem Gerät Deines Partners beispielsweise kannst Du nicht banken. Wenn Du Dein Smartphone verlierst oder es kaputtgeht, kannst Du auch nicht banken, da mußt Du erst ein anderes Gerät freischalten lassen.


    Was stört Dich daran?


    Bisher brauchst Du die PIN (die Du weißt) und Chipkarte/Chipkartenleser (Das ist etwas, was Du hast). Das sind auch 2 Faktoren.

  • Einen Unterschied hast Du selbst genannt:

    Mit der ChipTAN bedarf es der Kombination von Chipkarte und Chipkartenleser. Bei einem Einbruch während meiner Abwesenheit, ist der Chipkartenleser für den Einbrecher erreichbar (wenn man den nicht auch permanent mit sich führt). Aber die Chipkarte führe ich immer noch bei mir.


    Wenn Du die neue Banking App verwendest, dann entweder mit einem "speziellen Smartphone" (siehe Beitrag #8 von monstermania), dass Du

    Zitat

    an einem sicheren Ort verwahrst (ausgeschaltet)


    D.h. es liegt zu Hause, erreichbar für den Einbrecher - als one-and-only device!

    Es sei denn, ich führe auch dieses "spezielle Smartphone" immer mit mir (benutze es aber nur, wenn ich zu Hause bin).


    Oder ich benutze die neue Banking App auf meinem standard Smartphone, auf dem auch alle möglichen anderen Apps instaliert sind. Aber das mit vielen anderen Diensten verbundene standard Smartphone sehen viele nicht als sicheres Gerät für Bank-Transaktionen an.


    D.h. der wesentliche Unterschied ist, dass bei ChipTAN der zweite Faktor (2FA) die Kombination Chipkarte/Chipkartenleser ist. Wenn man so will, dann sind es da quasi drei Faktoren (zwei zusätzlich zum Login mit Passwort).

  • Eine Frage konkret zu diesem Punkt:

    Mit dem Gerät Deines Partners beispielsweise kannst Du nicht banken. Wenn Du Dein Smartphone verlierst oder es kaputtgeht, kannst Du auch nicht banken, da mußt Du erst ein anderes Gerät freischalten lassen.

    Wie geht das in der Praxis?


    Auf der Seite https://www.dkb.de/fragen-antw…oniert-die-geraetebindung

    steht:

    Zitat
    o) Du kannst nur genau ein Mobilgerät als vertrauenswürdiges Gerät hinterlegen.

    Zitat
    o) Du kannst bei jeder Anmeldung in der Banking-App (mit einem neuen Gerät) dieses als vertrauenswürdiges Gerät festlegen.

    Das klingt so, als ob man sich mit einem neuen Gerät in der Banking-App anmelden und dieses dann damit als vertrauenswürdiges Gerät festlegen kann. Dann wäre aber der zweite Faktor ausgehebelt(?!)

    Oder muss man die Umschaltung auf ein neues Gerät dann mit dem alten Gerät verifizieren? (wie soll das gehen, wenn man das alte Gerät verloren hat oder wenn es kaputtgegangen ist?)

  • Auf der Seite https://www.dkb.de/fragen-antw…oniert-die-geraetebindung

    steht:

    Das klingt so, als ob man sich mit einem neuen Gerät in der Banking-App anmelden und dieses dann damit als vertrauenswürdiges Gerät festlegen kann. Dann wäre aber der zweite Faktor ausgehebelt(?!)

    Oder muss man die Umschaltung auf ein neues Gerät dann mit dem alten Gerät verifizieren? (wie soll das gehen, wenn man das alte Gerät verloren hat oder wenn es kaputtgegangen ist?)

    Ja Du musst mit dem bereits verifizierten Gerät, dass neue freigeben. Wenn Du also Dein registriertes Gerät nicht mehr im Zugriff hast, werden Dir auf dem Postweg wieder die Freischaltbriefe zugesandt.

  • D.h. der wesentliche Unterschied ist, dass bei ChipTAN der zweite Faktor (2FA) die Kombination Chipkarte/Chipkartenleser ist. Wenn man so will, dann sind es da quasi drei Faktoren (zwei zusätzlich zum Login mit Passwort).

    Das ist der Grund warum ich damals zur DKB gewechselt bin.

    Jemand der mich hacken will, braucht mein Passwort und meine EC Karte. Das waren 2 von einander getrennte Faktoren. Und durch die Bindung an das Smartphone brauchte jemand noch meinen Entsperrcode für das Handy. Sogar im Notebook Browser musste ich mit dem Smartphone nochmal den Log in bestätigen. Also im Prinzip 3 Faktoren.


    Durch die App Pin ist das nicht mehr der Fall. Problematisch ist für mich jetzt, dass ich unter allen Umständen immer darauf achten muss, dass ich mich beim Mobile Banking ausloggen muss. Sonst bleibe ich für gewisse Zeit angemeldet und es können Überweisungen getätigt werden.


    Ich habe mir das inzwischen überlegt und werde das die nächsten Wochen/Monate beobachten wie sich das bei der DKB weiterentwickelt. Wenn ich mich unsicher fühle, dann werde ich meine Ersparnisse zu einer anderen Bank übertragen und nur mein Gehaltskonto dort haben.

    Ich habe mich inzwischen informiert und es gibt einige Banken bei denen man ein Sparkonto eröffnen kann und dann ein fixes Konto festlegen kann wo Überweisungen hingehen dürfen. Das ist für mich eine recht gute und praktikable Lösung

  • aus dem anderen Thread Erfahrungen mit der DKB

    Beitrag #264 :

    Zitat

    Die bisherige App sowie das bisherige Banking im Browser werden bald nicht mehr unterstützt.


    Dann ist es auch vorbei mit ChipTan


    https://www.dkb.de/dein-neues-banking

    Und auf der Seite https://www.dkb.de/dein-neues-banking steht dann:

    Zitat

    Kann ich weiterhin chipTAN nutzen?

    Du kannst chipTAN weiter nutzen. Melde dich dazu wie gewohnt im bisherigen Banking an. Der Zugang dazu bleibt erhalten.

    Gut zu wissen
    • Wir arbeiten an einer hardwarebasierten Lösung für das neue Banking. Damit kannst du dann zukünftig auch das neue Banking nutzen, ohne eine App installieren zu müssen.

    Was soll das denn für eine hardwarebasierte Lösung sein?

  • Durch die App Pin ist das nicht mehr der Fall. Problematisch ist für mich jetzt, dass ich unter allen Umständen immer darauf achten muss, dass ich mich beim Mobile Banking ausloggen muss. Sonst bleibe ich für gewisse Zeit angemeldet und es können Überweisungen getätigt werden.

    Überweisungen müssen noch mal separat bestätigt werden mit PIN/Fingerabdruck/FaceID nur durch das eingeloggt sein kann keine Überweisung getätigt werden.


    Ich werde mich jetzt unbeliebt machen, aber ich halte die one App Lösung für die meisten Menschen als eine sichersten Methoden.

    Wenn ich mir den durchschnittlichen Windows PC anschaue graut es mir meistens, da wird munter nur das Admin Konto benutzt und unbekannte dritt Software lässt sich nach einer eher kurzen Warnung sofort installieren, wenn nicht eh alles deaktiviert ist. Remoteverbindungen sind selbstverständlich erlaubt, auch wenn man diese nicht braucht und und.


    Bei Android läuft das System und wenigsten nicht im Root Modus und der Bootloader ist gesperrt, solange man es nicht explizit eher umständlich i.R. freischaltet.


    ChipTan ist in meinen Augen auch mehr social engineering anfällig, da die TAN auch erzeugt werden kann ohne das die Person mit dem TAN Generator/Girocard zwingend im Online-Banking eingeloggt sein muss. Daneben je nach Bank sieht man auch immer nicht so direkt für was die TAN benutzt wird, gerade wenn ggf. zusätzliche 2FA Authifizierung freigeschaltet werden.


    Was soll das denn für eine hardwarebasierte Lösung sein?

    Vermutlich Seal One da ist die DKB als Referenzkunde aufgeführt: https://www.seal-one.com/customers.de

  • > Wenn Du Dein Smartphone verlierst oder es kaputtgeht, kannst Du

    > ... nicht banken, da mußt Du erst ein anderes Gerät freischalten lassen.

    Wie geht das in der Praxis?

    Vermutlich bei jeder Bank anders.

    Ich weiß nicht, wie das bei der DKB geht.

    Bei Consors hat die Hotline das Gerät freigeschaltet.

  • Einen Unterschied hast Du selbst genannt:

    Mit der ChipTAN bedarf es der Kombination von Chipkarte und Chipkartenleser.

    Das ist nicht korrekt. Der Chipkartenleser ist austauschbar.

    Aber das Gerät auf dem du Online-Banking machst ist garantiert nicht das, dass den zweiten Faktor bereit stellt. Das ist das wichtige.

  • Das ist nicht korrekt. Der Chipkartenleser ist austauschbar.

    itschytoo Korrigiere mich bitte, wenn ich falsch liege. Aber muss nicht auch der Chipkartenleser registriert werden, genauso wie beim neuen Banking das Smartphone?

    Also auf dieser Ebene sind die Verfahren - was "Wechsel" / "Austausch" angeht - gleichwertIg. Oder?

    Dann bleibt aber immer noch der Unterschied, dass beim alten Banking zusätzlich die Chipkarte für Anmeldung und Transaktionen erforderlich ist (siehe mein Beitrag oben).

    Zitat

    Aber das Gerät auf dem du Online-Banking machst ist garantiert nicht das, dass den zweiten Faktor bereit stellt. Das ist das wichtige.

    Ist die neue Banking-App auf 2FA (App Pin) beschränkt? Oder kann man mit ihr auch online Banking über das Handy machen?

  • Ist die neue Banking-App auf 2FA (App Pin) beschränkt? Oder kann man mit ihr auch online Banking über das Handy machen?

    Nach Anmeldung mit PIN oder Finger kann man mit der neuen App natürlich Online-Banking machen. Du kannst sie aber auch nur zur Bestätigung von Transaktionen verwenden, wenn du an einem anderen Gerät/Rechner die Webseite geöffnet hast.

  • D.h. es liegt zu Hause, erreichbar für den Einbrecher - als one-and-only device!

    Es sei denn, ich führe auch dieses "spezielle Smartphone" immer mit mir (benutze es aber nur, wenn ich zu Hause bin).

    Ja und!?

    Der Einbrecher müsste zunächst mal den PIN-Schutz (oder Fingerabdruck/Gesichtserkennung) des Smartphones überwinden.

    Dann muss er die Banking-App starten, die ja ebenfalls mit einem PIN (oder Biometrie) gesichert ist.

    Also insgesamt schon ziemlich weit hergeholt, daraus jetzt eine akute Sicherheitslücke konstruieren zu wollen.


    Nur mal so am Rande: Was ist, wenn Dir der Einbrecher eine Waffe an den Kopf hält (oder Deiner Frau/Kind), damit Du eine Überweisung tätigst? Was nutzt Dir dann eine x-Faktor Sicherheit!? :/

    Es gibt keine absolute Sicherheit!

  • Korrigiere mich bitte, wenn ich falsch liege. Aber muss nicht auch der Chipkartenleser registriert werden, genauso wie beim neuen Banking das Smartphone?

    Ich korrigiere dich mal :) der Kartenleser musst nicht registriert werden. Ich hab zumindest bei der DKB keinen einzigen meiner Kartenleser registriert...