Neue DKB Banking App - Sicherheit bei APP PIN

  • Nein, man gibt nur einmal beim Login dia AppPin ein, das wars. Dann kann ich überweisen wohin und wie ich will ohne neue Pin-Eingabe

    Nope die Überweisung muss noch mal mit PIN, Fingerabdruck, FaceID bestätigt werden, nachdem man auf "Überweisen" gedrückt hat, gerade mit der Android Version ausprobiert. ;)

  • Als ich das im Fernsehen gesehen habe, bin ich schnell in den Keller gegangen und war erleichtert, als ich dort kein Hackerlager fand. Puh! Das war nochmal gutgegangen!

    Habs mir bisher nicht getraut, aber eine Gefahr muss jetzt noch genannt werden - dass der DKB-Programmierer nämlich für sich noch eine Backdoor eingerichtet hat. ? Augen auf beim Schließen der Tür.

  • Wie bei Corona und auch anderen Themen, ist nun jeder ein Doktor oder in diesem Fall Daten-Forensiker oder IT-Spezialist. Fachleuten die es wissen müssten wird nicht vertraut. Als ob es eine neue Erkenntnis wäre, dass Smartphones oder auch PCs regelmäßig Sicherheitsupdate erhalten, das ist kein neues Phänomen und dann dürfte man überhaupt kein Online-Banking durchführen. Dass man nun verwundert feststellt, dass man sein Smartphone schützen muss, scheint für viele eine völlig neue Erkenntnis zu sein. Das sollte schon Eigeninteresse der Fall sein, falls man es verliert. Als ob man die Bank-PIN auf die Karte klebt.


    Aber das passt zu den Bewertungen der ING hier auf Finanztip wo sich Beschwert wird, dass ein Android 4 aus dem Oktober 2011 nicht mehr unterstützt wird, weil es seitens Google seit 2017 nicht mehr gepflegt wird.


    Wer mit der App nicht zufrieden ist, kann doch jederzeit die Bank wechseln um ein besseres Sicherheitsgefühlt zu erhalten.

  • Benutzt du auch absolut sichere Passwörter - 15- bis 20-stellig?

    Hä? Zum Starten dieser neuen App und anschließender Verifizierung sämtlicher Überweisungen etc muss man lediglich 5 Zahlen (beide identisch!) eintippen. Nix da von wegen "sicheres Passwort". Das ist doch ein (schlechter!) Witz an Sicherheit!

    Bei Nutzung Laptop + Handy (2-Augen-Verifizierung!) hatte man wenigstens noch die Kopplung von zwei verschiedenen "echten" Passwörtern. Aber - jetzt eben nicht mehr.

    Wie lange braucht man fürs Suchenlassen der passenden Zahlenkombination auf 5 Ziffern? Sekunden?

  • Nope die Überweisung muss noch mal mit PIN, Fingerabdruck, FaceID bestätigt werden, nachdem man auf "Überweisen" gedrückt hat, gerade mit der Android Version ausprobiert. ;)

    Ok, ich habe noch keine Überweisung final fertig gemacht. Dann probiere ich das jetzt mal aus

    habe aber jetzt sowieso einen alternativen Weg gefunden. Da ich für meine Immobilie sowieso noch einen Kredit benötige, werde ich mein Aktiendepot zu einer anderen Bank transferieren. Ohne Onlinebanking und Co.

    Beim kleinen Rest was ich dann noch drauf habe reichen mir die Sicherheitsvorkehrungen der App

  • Schön das du es lustig findes, wieviele Lücken dein Smartphone hat.

    Jedes Sicherheitsupdate zeigt uns, es gibt ein Sicherheitsproblem, verstehst du das?

    Das gleiche gilt für die Updates für Microsoft Windows, Linux und Apple MacOS. Warum dann überhaupt Online-Banking?

  • Das gleiche gilt für die Updates für Microsoft Windows, Linux und Apple MacOS. Warum dann überhaupt Online-Banking?

    Die Frage ist doch nicht PC oder Smartphone, beide können kompromittiert sein.


    Die Frage ist was nimmst du als zweiten Faktor? Smartphone oder beispielsweise Chip TAN?


    Auf dem Chip TAN siehst du die Kontonummer und den Betrag, wenn es nicht passt dann brichst du einfach ab. Sogar mit einem kompromittierten Smartphone oder PC kann man auf diese Weise gefahrlos Geld überweisen.


    Alles klar?

  • Hä? Zum Starten dieser neuen App und anschließender Verifizierung sämtlicher Überweisungen etc muss man lediglich 5 Zahlen (beide identisch!) eintippen. Nix da von wegen "sicheres Passwort". Das ist doch ein (schlechter!) Witz an Sicherheit!

    Bei Nutzung Laptop + Handy (2-Augen-Verifizierung!) hatte man wenigstens noch die Kopplung von zwei verschiedenen "echten" Passwörtern. Aber - jetzt eben nicht mehr.

    Wie lange braucht man fürs Suchenlassen der passenden Zahlenkombination auf 5 Ziffern? Sekunden?

    Das Wort "Passwort" impliziert viele Stellen, am besten so, wie ich es genannt habe. Vielleicht meinst du eine PIN. Bei mir gibt es nichts mit 5 Stellen, dafür aber den Fingerabdruck.

  • Schön das du es lustig findes, wieviele Lücken dein Smartphone hat.

    Jedes Sicherheitsupdate zeigt uns, es gibt ein Sicherheitsproblem, verstehst du das?

    Wovon sprichst du? Weißt du wie viel Updates es wegen der UNSICHEREN Banking-App gab? Ist dir bekannt, dass die letzten Updates (auch) neue Features beinhalteten? Gut finde ich auch nicht, dass die Nutzer eine halbfertige App benutzen dürfen.
    Dass das OS als Ganzes immer wieder der Nachkorrektur bedarf, ist nun mal so. Keiner behauptet, dass es 100%-ige Sicherheit gäbe. Es greifen zig Komponenten und Ebenen ineinander. Die Links in #74 zu Apple erklären vieles. Wer das nicht versteht oder nicht glaubt und sich unsicher fühlt, kann ja eine Alternative wählen - z.B. ein altes Handy, das gar keine Updates mehr erhält. ^^

  • Bei mir ist alles klar, danke der Nachfrage. :)


    Wenn man sich aber nicht jeden Mist auf sein Endgerät zieht, nicht jede unbekannte Mail öffnet und den normalen Menschenverstand einschaltet dann ist das Risiko gering, dass beide Geräte gleichzeitig betroffen sind. Wenn man dazu ein Endgerät verwendet, welches regelmäßig vom Anbieter aktualisiert wird, dann reduziert sich das Risiko weiter. Dies setzt aber voraus, dass man etwas mehr Geld ausgibt als für die billig Smartphones, die nur bei der Auslieferung einmal mit Software versehen werden.


    Habe selber Chip-Tan und vorher HBCI mit Starmoney verwendet und bin mir der Angriffs möglichkeiten sehr wohl bewusst.

    Wenn Sicherheit einem so wichtig ist, dann würde ich empfehlen eine der ortsansässigen Banken zu wählen, wo man Überweisungsträger direkt einreichen kann. Meist ist den Oberbedenkenträgern dann aber die Kostenaufwand zu hoch und der Aufwand zu hoch, als dass sie sich dafür entscheiden würden.


    Manchmal frage ich mich, ob das ehrliche Sichtweisen sind oder nur Trolle die mit Hirngespinsten um sich werfen. Denn was wäre, wenn die Server der Bank angegriffen würden, dann müsste man das Geld in Bar daheim lagern. Aber wenn das Haus abbrennt, hätte man kein Geld mehr. :(


    Einen Tod wird man sterben müssen. :( Außer man gründet eine Bank selber und realisiert dann die eigenen Sicherheitsanforderungen. ;)

  • Auf dem Chip TAN siehst du die Kontonummer und den Betrag, wenn es nicht passt dann brichst du einfach ab. Sogar mit einem kompromittierten Smartphone oder PC kann man auf diese Weise gefahrlos Geld überweisen.

    Das ist übrigends meiner Meinung die größte Schwäche bei den meisten ChipTan implementierungen. Bei Überweisungen sieht man die zwar noch IBAN und Betrag, aber bei allem anderen(Adressänderungen, Bestellungen von neuen Karten etc.), tauchen nur irgendwelche generischen Überprüfungsnummern auf, aus dehnen null hervorgeht was da jetzt genau freigegeben wird.


    Neben der manuellen Erzeugung von TAN Nummern, ohne das die TAN erzeugende Person überhaupt im Online-Banking eingeloggt sein muss.

  • Es tut mir leid, wenn der Eindruck entstanden ist, ich würde hier herumtrollen. Mir geht es nur darum zu zeigen, dass die Nutzung von Smartphones als TAN-Verfahren nicht 100% sicher ist, okay, die meisten hier sehen das genauso, nur ist es ihnen anscheinend egal, weil sie denken, damit muss man einfach leben.


    Ich bin zu der Zeit zur DKB gewechselt, als es noch die i-TANs auf einem Blatt Papier gab, da habe ich mir auch nicht so viele Gedanken über die Sicherheit gemacht, das Konto hat mir sehr gut gefallen, alles war kostenlos und ich konnte überall auf der Welt kostenlos Geld abheben.


    Später gab es bei der DKb die Chip-TAN (bei anderen Banken gab es das schon länger), so nach und nach wurde mir bewusst, wie sicher das Chip-TAN Verfahren ist.


    Da es abzusehen ist, bei der DKB wird es nicht mehr lange Chip-TAN geben und der vermutliche Nachfolger Seal benötigt eine Internet Verbindung, habe ich mich entschieden zur Commerzbank zu gehen und das meiste Geld dort zu halten.


    Die DKB werde ich jedoch nicht kündigen, sondern immer etwas Geld da lassen, damit ich im Ausland Geld abheben kann. Sollte es bei der DKB mit dem Smartphone mal Probleme geben, dann verliere ich maximal einen kleinen 4 stelligen Betrag. Deswegen mache ich mir keine sorgen.


    Das war es von meiner Seite, mehr möchte ich zur Sicherheit des TAN-Verfahrens in der Zukunft nicht sagen.

  • In den meisten Fällen ist nicht das TAN-Verfahren das Sicherheitsproblem sondern der Nutzer selbst.


    Das war schon bei der TAN-Liste der Fall und ist auch heute mit aktuellen Methoden noch so.

    Und die Methoden wurde ja unter anderem durch Regularien geändert (z.b. 2FA) und nicht weil die Banken es so wollten oder dem Kunden gängeln wollen.


    Und zu denken es gibt eine sichere Methode ist Bullshit. Solange es den Faktor Mensch gibt wird es immer Lücken geben. Entweder auf der Nutzer Seite, der Bank, Software etc etc.


    Bis auf Phishing hat laum ein Hacker Interesse an uns kleinen fischen mit 4-5 stelligen Beträgen.

    Phishing ist halt die billigste und einfachste Methode auch kleiner Beträge abzugreifen. Erfordert aber eben auch die 'Mitarbeit" des geschädigten.

    Und da ist es egal welche Methode man nutzt und wie sicher diese ist. Wenn ich meine Daten weitergebe hilft die beste Methode nicht weiter.

  • Ja du hast recht, der Mensch ist das schwächste Glied in der Kette:


    Habe erst gestern diese email bekommen:



    Sehr geehrte Kunde,


    mit Änderung der neuen EU-Zahlungsrichtlinie sind unsere Kunden dazu verpflichtet Ihre persönlichen Daten erneut zu bestätigen. Aus diesem Grund bitten wir Sie, den Bestätigungsprozess über nachfolgenden Button durchzuführen. Aus Sicherheitsgründen müssen wir Ihre Karte vorsorglich sperren. Mit Abschluss des Bestätigungsvorgangs wird Ihre Karte unverzüglich wieder freigeschaltet.



    Mit freundlichen Grüßen


    Ihre comdirect


    Absender lautet:

    comdirect <queroinovar@mentto.com.br>


    Seit wann versendeet die comdirect ihre emails aus Brasilien?

  • Mir geht es nur darum zu zeigen, dass die Nutzung von Smartphones als TAN-Verfahren nicht 100% sicher ist,

    Aber das weiß man doch, wenn man sich mit der Materie auseinandersetzt und zulässt, dass die primäre Aufmerksamkeit einem selbst und seinem Verhalten zu gelten hat. Es scheint den naiven Glauben zu geben, dass es Sicherheit total geben könnte. Leute haben schon ihren Geldbeutel im Bus liegen lassen. ?

  • Ja du hast recht, der Mensch ist das schwächste Glied in der Kette:

    Habe erst gestern [eine Phishing-Mail bekommen, und zwar von dieser Adresse]

    comdirect <'queroinovar@mentto.com.br'>

    Seit wann versendet die comdirect ihre E-Mails aus Brasilien?

    Und es gibt einfach viele Leute, die darauf noch reinfallen...

    Ich kann sogar verstehen, warum das so ist.


    In meinem Mailer steht in der Absenderzeile der obige String. Er steht bereits in der Übersicht, ich sehe ihn schon, bevor ich die Mail überhaupt öffne. Die Adresse wird immer neben dem Namen angezeigt.


    Das ist beim verbreiteten Microsoft-Standardmailer Outlook (Express) aber nicht so. Dort wird die Adresse nicht unmittelbar angezeigt. Man kann sie darstellen, aber es bedarf dazu eines weiteren Handgriffs, den voele DAUs vermutlich nicht kennen. Das heißt, das "moderne", "nutzerfreundliche" Programm lockt gerade durch seine vermeintliche Nutzerfreundlichkeit den Nutzer in die Falle.