Nein, ist nicht der Fall. Wenn ich bei meiner Mutter bin, authoriziere ich meine Bankgeschäfte mit IHREM Chiptan-Gerät (natürlich mit MEINER Karte).
Neue DKB Banking App - Sicherheit bei APP PIN
- EmmiSA
- Erledigt
-
-
2-Faktor-Authentisierung bedeutet: Man verbindet etwas, was Du weißt mit etwas, was Du besitzt. Das sind die beiden Faktoren. Was Du weißt, ist die PIN, was Du hast, ist genau Dein Smartphone. Genau das, kein anderes. Dein Gerät ist ja registriert.
Mit dem Gerät Deines Partners beispielsweise kannst Du nicht banken. Wenn Du Dein Smartphone verlierst oder es kaputtgeht, kannst Du auch nicht banken, da mußt Du erst ein anderes Gerät freischalten lassen.
Was stört Dich daran?
Bisher brauchst Du die PIN (die Du weißt) und Chipkarte/Chipkartenleser (Das ist etwas, was Du hast). Das sind auch 2 Faktoren.
Ich sehe da folgenden wichtigen Unterschied:
Eine Chipkarte ist für Hacker-Angriffe viel schlechter zugänglich als ein Smartphone. Ja, ich weiß, dass iOS und Android einzelne Apps durch diverse Sicherheitsmaßnahmen von der Umgebung zu isolieren versuchen. Aber wer sagt denn, dass es nicht doch mal jemandem gelingt, die Kontrolle über mein Smartphone zu übernehmen, sodass er heimlich Tastatureingaben mitlesen und es fernsteuern kann? Dann könnte derjenige erst meine PIN protokollieren und nachher über mein Smartphone im Banking alles machen, was er will.
Dass so etwas prinzipiell geht, zeigt die Existenz von Apps wie TeamViewer. TeamViewer ist eine App, die für den Remote-Support entwickelt wurde. Ich habe gerade getestet, dass ich damit wunderbar von einem Computer aus auf mein Handy zugreifen, die DKB-App aufrufen und meine Logindaten eingeben kann. Ja, ich musste die App erst installieren und dabei diverse Sicherheitshebel umstellen und Sicherheitshinweise bestätigen. Aber wer garantiert mir, dass das nicht mal jemand per Hack ohne meine Zustimmung schafft oder mich per Phishing überlistet und dazu bekommt, eine solche App zu installieren?
Bei der Verwendung von ChipTAN könnte sich zwar auch jemand in mein System hacken und die PIN protokollieren. Aber es besteht keine Möglichkeit, an die TAN zu kommen, weil die Information auf meiner EC-Karte elektronisch nicht erreichbar ist. Erst wenn ich die TAN eingebe, könnte er etwas erreichen, allerdings könnte er lediglich die Bankgeschäfte bestätigen, die ich selbst in Auftrag gegeben habe, was ihm nicht hilft. -
Dann könnte derjenige erst meine PIN protokollieren und nachher über mein Smartphone im Banking alles machen, was er will.
Wenn jemand Angst vor dem "Abphishen" der PIN hat, dann sollte man lieber den Login mittels biometrischen Daten verwenden.
-
Aber wer garantiert mir, dass das nicht mal jemand per Hack ohne meine Zustimmung schafft oder mich per Phishing überlistet und dazu bekommt, eine solche App zu installieren?
Das ist eben deine Verantwortung. Wenn du davor Angst oder Sorge hast, dann mach es einfach nicht. Ich glaube, die Argumente sind ausgetauscht. Überzeugen wollen oder müssen sich die verschiedenen Seiten eh nicht. Mache es jeder, wie er es für sich für angemessen hält. Wenn ich alle negativen Eventualitäten ausschließen wollte, bliebe ich täglich im Bett liegen. Und auch das birgt Gefahren.
-
Das ist eben deine Verantwortung. Wenn du davor Angst oder Sorge hast, dann mach es einfach nicht. Ich glaube, die Argumente sind ausgetauscht. Überzeugen wollen oder müssen sich die verschiedenen Seiten eh nicht. Mache es jeder, wie er es für sich für angemessen hält. Wenn ich alle negativen Eventualitäten ausschließen wollte, bliebe ich täglich im Bett liegen. Und auch das birgt Gefahren.
Liebe(r) ika, du kannst den Thread ja ab jetzt gerne ignorieren. Aber andere suchen vielleicht (wie ich) den Austausch darüber, wie sicher das neue DKB Online-Banking wirklich ist, um entscheiden zu können, ob man dem vertraut und sich anschließt oder besser nicht. Und sie lesen deswegen vielleicht tatsächlich (wie ich) den Thread bis zum Ende.
Und hier habe ich nun ein konkretes Bedrohungsszenario aufgezeigt, dessen Gefährlichkeit man meines Erachtens nicht als "normales Lebensrisiko" abtun kann. Vor allem dann nicht, wenn es Kriminelle gibt, die gezielt nach Sicherheitslücken beim Online-Banking suchen, um damit Kohle zu machen.Ich bin deshalb weiterhin dankbar für alle sachdienlichen Beiträge von allen, die noch Lust dazu haben.
Was Phishing anbelangt, bin ich selbst noch nie Opfer geworden. Man darf die Gefahr aber nicht unterschätzen, denn die Angriffe werden durch KI Unterstützung effektiver werden. Und letztendlich kann jeder auch mal in einem unaufmerksamen Moment erwischt werden. -
Wenn jemand Angst vor dem "Abphishen" der PIN hat, dann sollte man lieber den Login mittels biometrischen Daten verwenden.
Das würde es sicher erschweren. Möglicherweise lässt sich aber auch nicht nur auf den Input von der Tastatur, sondern auch auf die eingelesenen Daten aus dem Fingerprint-Reader zugreifen.
-
Das würde es sicher erschweren. Möglicherweise lässt sich aber auch nicht nur auf den Input von der Tastatur, sondern auch auf die eingelesenen Daten aus dem Fingerprint-Reader zugreifen.
Das ist alles zum Glück nicht so simpel wie du dir das vorstellst.
-
Das ist alles zum Glück nicht so simpel wie du dir das vorstellst.
Klingt interessant. Was weißt du darüber?
-
Nach etwas Umgewöhnung komme ich zwar ganz gut mit der neuen App zurecht, finde sie aber definitiv zu unsicher, egal was die Eigenwerbung der DKB dazu behauptet.
Habe ich online Banking stets mit Laptop+Handy und somit 2 verschiedenen Passwörtern erledigt, muss man jetzt nur noch ein einstiges Passwort (das vom Handy) kennen und kann alles mit nur diesem einen Gerät tun. Ich bin damit absolut unzufrieden - zumal alle möglichen anderen Apps im Hintergrund Zugriff auf das Telefon haben und niemand mitbekommt, was da eigentlich abläuft.
-
Dass so etwas prinzipiell geht, zeigt die Existenz von Apps wie TeamViewer. TeamViewer ist eine App, die für den Remote-Support entwickelt wurde. Ich habe gerade getestet, dass ich damit wunderbar von einem Computer aus auf mein Handy zugreifen, die DKB-App aufrufen und meine Logindaten eingeben kann.
BTW: TeamViewer gibt es auch für den PC.
Bei jedem Windows ist bereits die Fernzugriffsmöglichkeit eingebaut. Nennt sich Remotehilfe...
Ja, ich musste die App erst installieren und dabei diverse Sicherheitshebel umstellen und Sicherheitshinweise bestätigen. Aber wer garantiert mir, dass das nicht mal jemand per Hack ohne meine Zustimmung schafft oder mich per Phishing überlistet und dazu bekommt, eine solche App zu installieren?
Das garantiert Dir niemand. Absolute Sicherheit gibt es einfach nicht.
Daher gilt: Immer die aktuellen Updates einspielen und sich von Geräten, die keine Softwareupdates mehr erhalten zeitnah trennen!
Habe ich online Banking stets mit Laptop+Handy und somit 2 verschiedenen Passwörtern erledigt, muss man jetzt nur noch ein einstiges Passwort (das vom Handy) kennen und kann alles mit nur diesem einen Gerät tun. Ich bin damit absolut unzufrieden - zumal alle möglichen anderen Apps im Hintergrund Zugriff auf das Telefon haben und niemand mitbekommt, was da eigentlich abläuft.
Und wenn Du 10 Geräte und 200 Kennwörter nutzen würdest...
Auch auf einem Laptop haben diverse Dienste, die im Hintergrund laufen Zugriff. Von aktuellen Phising-Attacken die aktuell häufiger in den Medien gezeigt werden, sind sehr häufig bei Sparkassenkunden betroffen. Dort wird auch die klassische Zweiteilung gemacht und das Smartphone eigentlich nur als 2. Faktor genutzt.
Zumeist wird dort über Social-Engineering gearbeitet. Also der berühmte Anruf der Sparkasse oder die SMS auf das Smartphone.
PS: Ich finde die neue DKB-Banking auch nicht den Burner. Einfach weil manche Funktionen noch gar nicht verfügbar sind. Ich hätte weiter sehr gut mit dem alten System weiter leben können!
-
Nach etwas Umgewöhnung komme ich zwar ganz gut mit der neuen App zurecht, finde sie aber definitiv zu unsicher, egal was die Eigenwerbung der DKB dazu behauptet.
Habe ich online Banking stets mit Laptop+Handy und somit 2 verschiedenen Passwörtern erledigt, muss man jetzt nur noch ein einstiges Passwort (das vom Handy) kennen und kann alles mit nur diesem einen Gerät tun. Ich bin damit absolut unzufrieden - zumal alle möglichen anderen Apps im Hintergrund Zugriff auf das Telefon haben und niemand mitbekommt, was da eigentlich abläuft.
Benutzt du auch absolut sichere Passwörter - 15- bis 20-stellig? Ich, ja und auch nur über einen Passwortmanager kopierbar und 10 Sekunden lang in der Zwischenablage (KeyPass). Trotzdem ist für mich der Fingerprint, den ich zum Eintritt in die App verwende, adäquat sicher. Dabei geht es nicht um Versprechen der Bank, sondern Systemfunktionen von Hardware und Betriebssystem des Smartphones.
Wenn ich unsicher wäre, würde ich es nicht verwenden. Persönlich habe ich damit schon xx000 Euro transferiert. "Wachsein" ist natürlich erforderlich. Neulich kam erstmals eine seltsame SMS.
-
Hier ist ein ganz guter Artikel vom BSI zu 2FA, der die Möglichkeiten und Gefahren beschreibt: https://www.bsi.bund.de/DE/The…authentisierung_node.html
-
muss man jetzt nur noch ein einstiges Passwort (das vom Handy) kennen und kann alles mit nur diesem einen Gerät tun
Das Passwort vom Smartphone selber muss man auch wissen, was hoffentlich unterschiedlich zu den DKB Zugangsdaten ist.
-
-
Nach etwas Umgewöhnung komme ich zwar ganz gut mit der neuen App zurecht, finde sie aber definitiv zu unsicher, egal was die Eigenwerbung der DKB dazu behauptet.
Habe ich online Banking stets mit Laptop+Handy und somit 2 verschiedenen Passwörtern erledigt, muss man jetzt nur noch ein einstiges Passwort (das vom Handy) kennen und kann alles mit nur diesem einen Gerät tun. Ich bin damit absolut unzufrieden - zumal alle möglichen anderen Apps im Hintergrund Zugriff auf das Telefon haben und niemand mitbekommt, was da eigentlich abläuft.
Ich bin zur DKB vor einigen Jahren gewechselt, weil sie das ChipTan Verfahren angeboten haben.
mir war es immer wichtig dass ich für die Authorisierung von Zahlungen der 2. Faktor ein gesondertes Gerät bzw. Technik in Form meiner EC-Karte nutzen muss.
Durch die AppPin ist das jetzt nicht mehr der Fall und das ist mir bei weitem zu unsicher. Ich muss jetzt immer unbedingt darauf achten mich aus der App abzumelden und mein Handy zu sperren.
Vielleicht entspreche ich auch nicht dem Standardkunden der DKB, der vielleicht nur sein Gehaltskonto dort hat. Ich habe neben meinem Gehaltskonto auch meine kompletten Ersparnisse für einen Immobilienkauf dort geparkt. Da ist größtmögliche Sicherheit für mich sehr wichtig
-
Ich muss jetzt immer unbedingt darauf achten mich aus der App abzumelden und mein Handy zu sperren.
Die Logik verstehe ich nicht. Wenn das Smartphone gerade nicht gesperrt, die DKB App noch offen ist und eine dritte Person schnappt sich das Smartphone gerade in dem Augenblick, müsste diese Person immer noch den PIN Code der DKB App wissen um eine Überweisung zu authorisieren.
-
Die Logik verstehe ich nicht. Wenn das Smartphone gerade nicht gesperrt, die DKB App noch offen ist und eine dritte Person schnappt sich das Smartphone gerade in dem Augenblick, müsste diese Person immer noch den PIN Code der DKB App wissen um eine Überweisung zu authorisieren.
Hach ja! Dein Beitrag erinnert mich an Bernd Leptihn selig, der in seinem ARD Ratgeber Technik immer sehr vor dem Online-Banking gewarnt hat. Es könnten sich schließlich Hacker in Deinem Keller einnisten, Deine Telefonleitung anzapfen und dieselbe immer dann blitzschnell unterbrechen, wenn Du gerade eine TAN eingibst. Und was die bösen Hacker dann alles mit dieser TAN anstellen könnten! Nicht auszudenken. Als ich das im Fernsehen gesehen habe, bin ich schnell in den Keller gegangen und war erleichtert, als ich dort kein Hackerlager fand. Puh! Das war nochmal gutgegangen!
Manches ändert sich nie auf dieser Welt. Die Verschwörungsmythen mögen sich ändern, aber aussterben tun sie nie.
-
Ich bin kein Smartphone Experte, kann also nicht beurteilen ob und falls ja, wie hoch das Risiko ist.
Alleine die Tatsache, dass es häufige Sicherheitsupdates gibt, sagt mir aber, es kann nicht 100% sicher sein!
Das Chip TAN Verfahren scheint wesentlich sicherer zu sein, wenn man bedenkt, wie selten es Sicherheitsupdates gibt.
Und ja auf dem PC gibt es auch den Remotezugang, diesen Service kann ich aber problemlos manuel deaktivieren und ich kann auch andere Dienste nach belieben deaktivern. Auf dem Smartphone dagagen kann ich nichts machen, weil ich keine Admin Rechte habe, ich muß vertrauen dass alles richtig konfiguriert ist. Wird das Smartphone gerootet, dann verweigern viele Bank Apps ihren Dienste.
-
Und ja auf dem PC gibt es auch den Remotezugang, diesen Service kann ich aber problemlos manuel deaktivieren und ich kann auch andere Dienste nach belieben deaktivern. Auf dem Smartphone dagagen kann ich nichts machen, weil ich keine Admin Rechte habe, ich muß vertrauen dass alles richtig konfiguriert ist. Wird das Smartphone gerootet, dann verweigern viele Bank Apps ihren Dienste.
Naja die fehlenden Root Rechte und das relativ geschlossene Systeme sind eigentlich die größten Argumente für das Smartphone, weil die wenigsten PC-User was mit Admin Rechte, Remotezugang etc. anfangen können und das dann auch nicht entsprechend konfiguerieren bzw. allzu leicht irgendwelche Rechte vergeben.
Ich halte die Diskussion hier irgendwie immer noch für sehr hypothetisch, da die größte Angriffsfläche immer noch social engineering ist und ob die Opfer dann per App, oder ChipTan freigeben macht keinen Unterschied. -
Die Logik verstehe ich nicht. Wenn das Smartphone gerade nicht gesperrt, die DKB App noch offen ist und eine dritte Person schnappt sich das Smartphone gerade in dem Augenblick, müsste diese Person immer noch den PIN Code der DKB App wissen um eine Überweisung zu authorisieren.
Nein, man gibt nur einmal beim Login dia AppPin ein, das wars. Dann kann ich überweisen wohin und wie ich will ohne neue Pin-Eingabe