C24-Girokonto Unsicher? (Kein 2FA?)

    Moin.


    Ich habe mir wegen der 4% Tagesgeldzinsen auch ein C24-Girokonto erstellt.

    Was mich aber geschockt hat: Das Girokonto hat praktisch keine 2-Faktor-Authentifizierung.


    Es gibt eine 4-Zahlen-Pin und ein 0815-Passwort ("Sicherheitspasswort").

    Beides 0815 statische Passwörter. KEIN ZWEITER FAKTOR.


    Die 4-Zahlen-Pin reicht aus um ALLES einzusehen und sogar um Überweisungen zu bestätigen?!

    Mit dem "Sicherheitspasswort" lassen sich dann Überweisungslimits und so beliebig ändern.


    Und das ganze dann als APP auf einem Smartphone.

    Einem Gerät mit dem man DEUTLICH freizügiger umgeht als man es mit dem Portemmonaie oder der Bankkarte je tun würde.

    Am besten noch ein Android Gerät das keine Sicherheitsupdates mehr bekommt und haufenweise verseuchte Apps aus dem PlayStore installiert hat. (Habe selber sowas...)


    Da kommt mir ja vieles in den Sinn. Aber Smart gehört ganz sicher nicht dazu.


    Wo genau liegt hier mein Denkfehler?

    Zitat von Grizzler89

    Ich habe mir wegen der 4% Tagesgeldzinsen auch ein C24-Girokonto erstellt.

    Was mich aber geschockt hat: Das Girokonto hat praktisch keine 2-Faktor-Authentifizierung.

    Vermutlich doch.

    Zitat von Grizzler89

    Es gibt eine 4-Zahlen-Pin und ein 0815-Passwort ("Sicherheitspasswort").

    Beides 0815 statische Passwörter. KEIN ZWEITER FAKTOR.

    Das Gerät, auf dem die App läuft, ist vermutlich der zweite Faktor. Ich habe kein Girokonto bei C24 und kann deshalb nicht mit Bestimmtheit sagen, daß das auch bei C24 so läuft. Ich habe aber verschiedene andere Banking-Apps, und bei denen ist das ausschließlich so.

    Zitat von Grizzler89

    Die 4-Zahlen-Pin reicht aus, um ALLES einzusehen und sogar um Überweisungen zu bestätigen?!

    Ja. Auf Deinem Handy (und keinem anderen).

    Zitat von Grizzler89

    Einem Gerät, mit dem man DEUTLICH freizügiger umgeht, als man es mit dem Portemmonaie oder der Bankkarte je tun würde.

    Tust Du das? Gibst Du Dein Handy aus der Hand, am besten noch ohne Sperrung?


    Das ist doch so gut wie Dein Portemonnaie. Einfach an den Apparat bei Aldi an der Kasse gehalten - schon bezahlt, schon abgebucht.


    Meins hat ein Entsperrmuster, und die Banking-App hat eine PIN. Zwei Sicherheitsebenen, die der böse Bube überwinden müßte (mal abgesehen davon, daß er mein Handy erstmal in die Hand bekommen müßte).


    Ok, eine entsprechend geballte Faust und die Androhung der Benutzung derselben könnte mich umstimmen. Aber: Besteht diese Gefahr bei jedem banalen Geldbeutel nicht auch?

    Zitat von Grizzler89

    Am besten noch ein Android Gerät, das keine Sicherheitsupdates mehr bekommt und haufenweise verseuchte Apps aus dem PlayStore installiert hat. (Habe selber sowas...)

    Vermutlich bekommst Du auf diesem Handy die Banking-App überhaupt nicht installiert.


    Aber in der Tat: Wenn Du das tatsächlich so machst, könnte es sein, daß Du Deine Handhabung mal überdenken solltest.

    Der zeite Faktor ist das Smartphone, die App ist an das Gerät gebunden. Für den Umzug muss schon, das Sicherheitspasswort und SMS verfizierung bekannt sein.

    Ich weiß nicht wie du mit deinem Smartphone umgehst, aber mein Smartphone ist schon über eine zusätzliche PIN/Fingerabdruck, oder FaceID gespeert. Da sind meine Bankarten/Kreditkarten deutlich schlechter gesichert.

    Dazu kommen die fehlenden Root Rechte und das relativ geschlossene Systeme für das Smartphone sprechen. Wenn ich mir da die durschnittlichen Windows Computer anschaue graut es mir mehr. Da wird immer noch sehr häufig mit Adminrechte gearbeitet und Software aus unbannkten Quellen lässt sich realtiv einfach installieren bzw. Remote Zugang ist auch oft offen etc..

    Die größte Angriffsfläche ist eh immer noch social engineering und ob die Opfer dann per App, oder ChipTan freigeben macht keinen Unterschied.

    Zitat von Achim Weiss

    Das Gerät, auf dem die App läuft, ist vermutlich der zweite Faktor. Ich habe kein Girokonto bei C24 und kann deshalb nicht mit Bestimmtheit sagen, daß das auch bei C24 so läuft. Ich habe aber verschiedene andere Banking-Apps, und bei denen ist das ausschließlich so.

    Das Gerät ist aber eben kein zusätzlicher Faktor. Es ist das Zugriffsgerät. Nichts zusätliches. Sobald das Gerät kompromittiert ist, ist es unsicher. Sinn und Zweck von 2FA ist, dass man zwei unabhängige Faktoren hat. Sobald das Handy gehackt ist, hat der Angreifer alles was er braucht.

    Wenn du das Banking am PC machst und das Handy als PushTAN Gerät nutzt, dann ist das Handy ein zusätzlicher Faktor. Das was C24 hier macht ist so als hättest du eine BakingApp auf dem PC wo du mit zwei Passwörtern alles machen kannst. Keine TAN-Liste, kein nichts. Solange der PC sicher ist ist alles gut.


    Andere Banking Apps (z.B. DKB) verwenden für die 2FA den Fingerabdruck Scanner. Der kann als zusätzlicher Chip, unabhängig vom Betriebssystem, als unabhängiger Faktor dienen kann.

    Zitat von Achim Weiss

    Meins hat ein Entsperrmuster, und die Banking-App hat eine PIN. Zwei Sicherheitsebenen, die der böse Bube überwinden müßte (mal abgesehen davon, daß er mein Handy erstmal in die Hand bekommen müßte).

    Beim Entsprerrmuster reicht es schon aus vom weiten mal zu sehen wie du dein Handy entsperrst. Dahinter würde ich meine Ersparnisse nicht verstecken wollen.

    Aber das ist mir auch egal. Es geht mir nicht darum wie du oder ich unsere Handys schützen. Es geht mir darum wie sicher oder eben unsicher das Konzept des C24-Girokontos ist.


    Sicherheit ist immer ein Konzept. Wenn man sich hier auf das Sicherheitsbewusstsein eines jeden Nutzers verlässt, dann hat macht man defintiv was falsch.


    Ein schnippisches "...daß Du Deine Handhabung mal überdenken solltest." trägt da nicht zum Thema bei. Bitte sachlich bleiben.

    Zitat von Achim Weiss

    Vermutlich bekommst Du auf diesem Handy die Banking-App überhaupt nicht installiert.

    Letztes Sicherheitsupdate Oktober 2022. Da hat die App noch nicht gemuckt. Gäbe es eine vernünftiges 2FA, dann wäre das auch halb so wild. Es wäre dann eben nur einer der zwei notwendigen Faktoren.

    Zitat von Marlino

    Dazu kommen die fehlenden Root Rechte und das relativ geschlossene Systeme für das Smartphone sprechen. Wenn ich mir da die durschnittlichen Windows Computer anschaue graut es mir mehr. Da wird immer noch sehr häufig mit Adminrechte gearbeitet und Software aus unbannkten Quellen lässt sich realtiv einfach installieren bzw. Remote Zugang ist auch oft offen etc.

    Das ist so nicht ganz richtig.

    Nur weil der Nutzer im Normalfall keine root-Rechte hat heißt das nicht, dass Apps die nicht über Sicherheitslücken erlangen können. Grade bei Android mit dem PlayStore ist an der Stelle gleichzusetzen mit "unbekannten Quellen". Die Apps kontrolliert keiner. Gibt doch immer wieder Berichte dazu das Apps mit Millionen von Downloads letztendlich Viren sind. Oder ehemals gute Apps durch Updates zu solchen werden.

    Dazu kommt dann, dass viele Android-Smartphones nur selten oder garkeine Sicherheitsupdates mehr bekommen. Zumindest ein Punkt wo Windows es deutlich besser macht.

    Zitat von Marlino

    Die größte Angriffsfläche ist eh immer noch social engineering und ob die Opfer dann per App, oder ChipTan freigeben macht keinen Unterschied.

    Social Engineering ist aber auch deshalb die größte Angriffsfläche, weil das meiste andere mit einem vernünftigen Sicherheitskonzept abgefangen werden kann. Und das sehe ich hier eben nicht.

    Faktoren:

    • Wissen: Dieser Faktor ist etwas, das nur eine Person weiß. Typischerweise eine Pin oder ein Passwort, das geheim gehalten werden muss.
    • Besitz: Dieser Faktor ist etwas, das eine Person besitzt. Typischerweise ein personenbezogener Gegenstand, der idealerweise vor Diebstahl und missbräuchlicher Verwendung geschützt wird. Zum Beispiel eine Karte, ein TAN-Generator, Hardware- oder Software-Tokens oder ein Smartphone.
    • Sein (Inhärenz): Dieser Faktor ist etwas, das nur eine Person haben kann. Typischerweise ein biometrisches Merkmal, das bei jeder Person individuell und sich eindeutig zuordnen lässt. Zum Beispiel z. B. Fingerabdruck, Gesicht, Stimme oder Bewegung.

    https://www.elektronik-kompendium.de/sites/net/2511301.htm


    Ja, wenn der Zugang nur über das eigene Smartphone geht, zählt es als ein Faktor aus dem Bereich Besitz. Dann noch einer aus Wissen z. B. PIN/Passwort und man hat seine zwei Faktoren.


    Bankkarte plus PIN zählt auch als 2FA.

    Zitat von Dagoberts

    Faktoren:

    • Wissen: Dieser Faktor ist etwas, das nur eine Person weiß. Typischerweise eine Pin oder ein Passwort, das geheim gehalten werden muss.
    • Besitz: Dieser Faktor ist etwas, das eine Person besitzt. Typischerweise ein personenbezogener Gegenstand, der idealerweise vor Diebstahl und missbräuchlicher Verwendung geschützt wird. Zum Beispiel eine Karte, ein TAN-Generator, Hardware- oder Software-Tokens oder ein Smartphone.
    • Sein (Inhärenz): Dieser Faktor ist etwas, das nur eine Person haben kann. Typischerweise ein biometrisches Merkmal, das bei jeder Person individuell und sich eindeutig zuordnen lässt. Zum Beispiel z. B. Fingerabdruck, Gesicht, Stimme oder Bewegung.

    https://www.elektronik-kompendium.de/sites/net/2511301.htm


    Ja, wenn der Zugang nur über das eigene Smartphone geht, zählt es als ein Faktor aus dem Bereich Besitz. Dann noch einer aus Wissen z. B. PIN/Passwort und man hat seine zwei Faktoren.

    Zitat

    Wichtig ist, dass die einzelnen Faktoren nicht mit anderen Faktoren zusammen gespeichert oder aufbewahrt werden dürfen. Wenn ein Angreifer erkennt, dass beide oder mehr Faktoren zusammengehören, dann ist die Sicherheit durch den zweiten Faktor außer Kraft gesetzt.


    https://www.elektronik-kompendium.de/sites/net/2511301.htm

    Steht direkt unter den drei Punkten. Beim C24-Girokonto sind alle Faktoren zum Zeitpunkt der Eingabe am zusammen am gleichen Ort. Die können also alle an der gleichen Stelle abgefangen werden, was ja durch 2FA eigentlich verhindert werden sollte.


    Und noch weiter unten steht:

    Zitat
    Bei den typischen Security-Apps wird oft übersehen, dass der zweite Faktor kein echter zweiter Faktor ist. Etwa dann, wenn die Banking-App und die Security-App auf dem selben Smartphone installiert sind. In einem solchen Fall kann man zwar theoretisch von Zwei-Faktor-Authentifizierung sprechen, praktisch gesehen ist das Anmeldeverfahren aber nur etwas sicherer als mit nur einem Passwort. Denn hat der Angreifer aus der Ferne Zugriff auf das Endgerät, kann er nicht nur das Passwort, sondern auch den zweiten Faktor abgreifen und vor dem Nutzer die Authentifizierung durchführen.https://www.elektronik-kompendium.de/sites/net/2511301.htm

    Wobei es hier ja nichtmal eine zusätzliche Security-App gibt. Sondern nur die eine App mit dem Pin/Passwort. 2FA ist also nicht.


    Zitat von Dagoberts

    Bankkarte plus PIN zählt auch als 2FA.

    Der Vergleich passt nicht:

    Die Bankkarte ist ein Faktor der unabhängig vom Zugriffsgerät ist. Der Chip der Bankkarte lässt sich nicht kopieren oder auslesen. Der private Schlüssel auf der Bankkarte wird beim Zugriffsgerät nie preisgegeben. Solange du also im Besitz deiner Bankkarte bist, bist du sicher.


    Das beim C24-Girokonto ist eher mit den alten Magnetstreifen-Karten vergleichbar. Ein manipuliserter Geldautomat hat gereicht und man hatte ein Problem.

    Beim C24-Konto ist es ähnlich. Wenn man das Handy hackt kommt man an alles ran was man braucht. Der vermeintlich zweite Faktor steht in den App-Daten und lässt ggf über Sicherheitslücken auslesen.

    Zudem ist es bei Karte und PIN nicht die Karte, die die PIN bestätigt. das sind beides (zwei Faktoren) Dinge, die getrennt in den Geldautomaten gehen.


    Der Geldautomat ist in dem Beispiel das Handy, in dem beide Faktoren, Wissen und Besitz (was beim Handy aber auch nur ein zweites gespeichertes Wissen ist), zusammen gehen.


    Also es wäre so als würde ich zum Geldabheben meinen eigenen Automaten nehmen.

    Da finde ich es schon schwer noch von zwei Faktoren zu reden, wenn die beide doch noch auf meiner Seite durch den gleichen Kanal gehen...

    Es zwingt dich niemand das Angebot von C24 wahrzunehmen.


    Wenn du soviel wert legst auf echten 2FA würde ich an deiner Stelle lieber das Tagesgeldkonto von der Raiffeisenban Hochtaunus nutzen. Du bekommst dort 3,3% Zinsen


    Wahlweise

    1. PC und als 2. FA Smartphone TAN

    oder

    2. Smartphone 1 und als 2. FA Smartphone TAN du brauchst aber zwei Smartphones

    oder

    3. PC oder Smartphone und als 2. FA einen Chipt TAN

    Zitat von ricardo

    Es zwingt dich niemand das Angebot von C24 wahrzunehmen.


    Wenn du soviel wert legst auf echten 2FA würde ich an deiner Stelle lieber das Tagesgeldkonto von der Raiffeisenban Hochtaunus nutzen. Du bekommst dort 3,3% Zinsen

    ...

    Danke, aber ich weiß selbst, dass es auch Banken gibt die sich an die Vorschriften halten.


    Mir geht es hier vor allem darum aufzuklären, ob es tatsächlich so ist, dass sich C24 nicht an die von der EU vorgeschriebene "starke Kundenauthentifizierung" hält. Finanztip spricht immerhin eine Empfehlung für das C24-Girokonto/Tagesgeld aus.


    Es gibt sicher viele die sich von den 4% Tagesgeldzins locken lassen und größere Summen da parken. Und ich bin mir ziemlich sicher, dass viele von diesen Leuten durchaus daran interessiert sind wie sicher oder eben unsicher das Konto im Bezug auf Cybersicherheit ist.

    Zitat von Grizzler89

    Mir geht es hier vor allem darum aufzuklären, ob es tatsächlich so ist, dass sich C24 nicht an die von der EU vorgeschriebene "starke Kundenauthentifizierung" hält. Finanztip spricht immerhin eine Empfehlung für das C24-Girokonto/Tagesgeld aus.

    Dann würden sich auch ING, DKB, N26, die diversen Nutzer der Solarisbank und eine menge andere europäische Banken nicht an EU Vorschriften halten.

    Grizzler89

    Die Diskussion ob es 2fa ist oder nicht hat zwei Dimensionen.

    1. Ist es richtig das so zu machen (meine Meinung: Nein!)

    2. Ist es hinreichend für meine Sicherheit? Und da heißt es vielleicht überraschend: Ja.

    Wenn die Bank das so anbietet, hat sie auch die Konsequenzen dafür zu tragen. Ich muss der Bank, der ich das Geld gebe ohnehin vertrauen, wenn das Verfahren für die reicht: So sei es.


    Fazit für mich wäre: Wenn es mir ums Geld geht, leg ich dort mein Tagesgeld an, weil die Zinsen stimmen.

    Wenn es mir darum geht nicht Mitschuld daran zu sein, dass sich die Welt in die falsche Richtung bewegt (auch wenn den anderen 95% das egal ist), dann boykottiere ich das.


    Ich bin meistens nicht konsequent genug (ich habe eine Handy-Wanze, ein Windows-Betriebssystem und benutze manchmal bargeldlose Bezahlung). Aber ich applaudiere jedem, der das besser macht!

    Du verkennst hier was ganz Entscheidendes:

    Dies hier ist ein schlichtes Forum, in dem es manches zu lernen und zu erfahren, aber nichts zu gewinnen gibt. Dein schneidiges Auftreten bringt Dir nichts.

    Zitat von Grizzler89

    Das Gerät ist aber eben kein zusätzlicher Faktor. Es ist das Zugriffsgerät. Nichts zusätzliches. Sobald das Gerät kompromittiert ist, ist es unsicher. Sinn und Zweck von 2FA ist, dass man zwei unabhängige Faktoren hat. Sobald das Handy gehackt ist, hat der Angreifer alles, was er braucht.

    Das alles ist nicht so, wie Du es behauptest, aber ich laß Dir mal Deinen Glauben.

    Zitat von Grizzler89

    Wenn du das Banking am PC machst und das Handy als PushTAN Gerät nutzt, dann ist das Handy ein zusätzlicher Faktor.

    Solange der PC sicher ist, ist alles gut.

    Echt? Wenn das zweite Gerät voller kompromittiert Apps steckt, wie es bei Deinem ja der Fall sei?

    Zitat von Grizzler89

    Beim Entsprerrmuster reicht es schon aus, vom weiten mal zu sehen, wie du dein Handy entsperrst. Dahinter würde ich meine Ersparnisse nicht verstecken wollen.

    Das mußt Du ja auch nicht. Angebote von Banken kann man annehmen oder es lassen. Keiner wird diesbezüglich gezwungen. Ich lasse Dein Geld Deine Sache sein, laß Du im Gegenzug mein Geld meine Sache sein.

    Zitat von Grizzler89

    Sicherheit ist immer ein Konzept. Wenn man sich hier auf das Sicherheitsbewusstsein eines jeden Nutzers verlässt, dann macht man definitiv was falsch.

    Na denn!

    Zitat von Marlino

    Dann würden sich auch ING, DKB, N26, die diversen Nutzer der Solarisbank und eine menge andere europäische Banken nicht an EU Vorschriften halten.

    Bei DKB habe ich zumindest noch die Möglichkeit ohne deren App klar zu kommen. Aber du hast Recht, die neue App von denen ist genau so ein sicherheitstechnischer Murks wie das von C24. Das macht die Sache aber nicht besser. Ich dachte erst, der Fingerabdruckscanner wäre bei der DKB ein Zusatz zur PIN. Es ist aber wohl doch nur eine Alternative. Letztendlich geht dann alles mit der PIN. Gruselig. Die App ist erstmal wieder runter geflogen. Noch ist ChipTan oder Tan2Go ja möglich.


    @itschytoo:

    Die Frage ist ja, was passiert, wenn da etwas passiert. Auf den Stress kann ich gut verzichten. Das hat dann weniger mit Ideologie und mehr mit ruig schlafen können zu tun ;)

    Zitat von Achim Weiss

    Dies hier ist ein schlichtes Forum, in dem es manches zu lernen und zu erfahren, aber nichts zu gewinnen gibt.

    Richtig. Deshalb hatte ich dich gebeten Sachlich und beim Thema zu bleiben. Das Thema ist die C24-Girokonto App und deren meiner Meinung nach fehlende 2FA. Nicht welche Apps ich auf meinem Handy habe und wie ich das abgesichert habe.

    Zitat von Achim Weiss

    Das alles ist nicht so, wie Du es behauptest, aber ich laß Dir mal Deinen Glauben.

    Wow, danke dafür :thumbup:

    Zitat von Grizzler89

    Steht direkt unter den drei Punkten. Beim C24-Girokonto sind alle Faktoren zum Zeitpunkt der Eingabe am zusammen am gleichen Ort. Die können also alle an der gleichen Stelle abgefangen werden, was ja durch 2FA eigentlich verhindert werden sollte.

    Zeitpunkt der Eingabe ist eben keine Speicherung. Sonst dürfte ich am Bankautomaten meine PIN nicht eingeben, weil die Karte zur gleichen Zeit drinsteckt.


    Zudem bei neueren Smartphones die C24 App z. B. mit Gesichtserkennung funktioniert. Die Daten hierfür werden nicht im Speicher des Smartphones aufbewahrt, sondern im Secure Enclave Chip, also eine andere Örtlichkeit.


    Zitat von Grizzler89

    Der Vergleich passt nicht:

    Die Bankkarte ist ein Faktor der unabhängig vom Zugriffsgerät ist. Der Chip der Bankkarte lässt sich nicht kopieren oder auslesen. Der private Schlüssel auf der Bankkarte wird beim Zugriffsgerät nie preisgegeben. Solange du also im Besitz deiner Bankkarte bist, bist du sicher.

    Wenn du im Besitz deines Smartphones bist, bist du auch sicher. Wenn es jemand aus der Ferne übernimmt, bist du ja nicht mehr im vollständigen Besitz dessen?


    Bankkarten werden geklont und mit der PIN kann (konnte) damit abgehoben werden. Bezahlung klappt je nach Örtlichkeit heute noch immer (Skimming). Da hilft der Besitz der Originalen kein bisschen.

    Zitat von Dagoberts

    Zeitpunkt der Eingabe ist eben keine Speicherung. Sonst dürfte ich am Bankautomaten meine PIN nicht eingeben, weil die Karte zur gleichen Zeit drinsteckt.

    Es geht an der Stelle darum, dass die beiden Faktoren zusammen am gleichen Ort abgefangen werden können. Beim PIN wäre es entweder per Bildschirmüberwachung oder indem der RAM mitgelesen wird.

    Der Unterschied zur Karte (mit Chip) ist dabei, dass die Karte einen Chip hat der mit asynchroner Verschlüsslung funktioniert (Siehe hier, falls es dich interessiert). Der geheime Schlüssel auf der Karte kann nicht ausgelesen oder kopiert werden. (Siehe hier)


    Zitat von Dagoberts

    Bankkarten werden geklont und mit der PIN kann (konnte) damit abgehoben werden. Bezahlung klappt je nach Örtlichkeit heute noch immer (Skimming). Da hilft der Besitz der Originalen kein bisschen.

    Das Funktioniert nur bei Karten mit Magnetstreifen. Es sei denn die Bank schlampt extrem. Deshalb hat man die Karten mit Chip ja eingeführt. Weil der Magnetstreifen letztendlich keine unabhängiger Faktor war. Beides konnte bei manipulierten Geldautomaten kopiert werden.


    Zitat von Dagoberts

    Wenn du im Besitz deines Smartphones bist, bist du auch sicher. Wenn es jemand aus der Ferne übernimmt, bist du ja nicht mehr im vollständigen Besitz dessen?

    Genau davor soll ja die zwei Faktor Authentifizierung schützen. Das Problem was ich hier sehe ist ja, dass eben nur ein Faktor (das Smartphone) gehackt werden muss um das ganze System zu knacken.

    Wenn du das Banking am PC machst und auf dem Smartphone nur die TAN abrufst, dann müsste der Hacker schon PC und Smartphone gehackt haben um irgendwas zu erreichen. Im dem Fall wäre das Smartphone als "Besitz"-Faktor eben wirklich unabhängig. Das beides gehackt wird ist schon deutlich unwahrscheinlicher.


    Zitat von Dagoberts

    Zudem bei neueren Smartphones die C24 App z. B. mit Gesichtserkennung funktioniert. Die Daten hierfür werden nicht im Speicher des Smartphones aufbewahrt, sondern im Secure Enclave Chip, also eine andere Örtlichkeit.

    Danke für den Hinweis. Das hatte ich nicht auf dem Schirm. Ist es denn wirklich so, dass die Gesichtserkennung oder der Fingerprint wirklich Voraussetzung für die Freigabe von Überweisungen sind? Bei meinem Smartphone kann alles mit der PIN/Passwort bestätigen. Da gibt es diesen Faktor nicht oder er wird nicht genutzt.

    Ich weiß nicht, wie es bei der C24 Bank ist, weil ich dort kein Kunde bin.

    Aber da ich noch Kunde bei der DKB bin, kann ich dir sagen, eine 5 stellige PIN reine Zahlen reicht aus, um eine Überweisung mit der neuen Smartphone App zu machen.


    Die DKB hat auch bereits gedroht das alte Verfahren abzuschalten und nur noch das neue Verfahren anzubieten. Das ist unter anderem auch ein Grund, wieso ich mich entschlossen habe mein Gehaltskonto wo anders zu eröffnen.

    Zitat von tyshaunaleki

    Ich weiß nicht, wie es bei der C24 Bank ist, weil ich dort kein Kunde bin.

    Aber da ich noch Kunde bei der DKB bin, kann ich dir sagen, eine 5 stellige PIN ... reicht aus, um eine Überweisung mit der neuen Smartphone-App zu machen.

    Präziser: Man meldet sich mit der PIN in der App an und kann dann innerhalb der App frei agieren. Das 2FA-Verfahren ist damit formal eingehalten.


    Mir ist dieses Verfahren nicht sicher genug. Zwar fürchte ich nicht den bösen Buben in Putinstan, der mein Smartphone "übernimmt", wohl aber den Deppen, der das Smartphone bedient. Ich möchte nicht die Hand ins Feuer legen, daß der sich nicht mal vertippt. Mir wäre bedeutend lieber, wenn vor jeder Handlung, die Geld kostet, nochmals eine Abfrage käme, gern auch mit Eingabe einer TAN. Ist aber nicht, bei keinem dieser super-sicheren 2FA-Verfahren. :(

    Zitat von tyshaunaleki

    Die DKB hat auch bereits gedroht das alte Verfahren abzuschalten und nur noch das neue Verfahren anzubieten. Das ist unter anderem auch ein Grund, wieso ich mich entschlossen habe mein Gehaltskonto wo anders zu eröffnen.

    Ist halt die Frage, ob Du damit nicht vom Regen in die Traufe kommst.


    Wenn Banking überall mit dem Smartphone möglich sein soll, ist das mit dem zweiten Gerät halt schwer zu machen. Das Smartphone hat man in der Tasche des Jacketts oder in der Hintertasche der Hose oder im Handtäschlein. Wo soll man das zusätzliche Bank-Tamagotchi stauen, das beim Banking auf dem PC oftmals verlangt wird? Mit mehreren Apps herumzumurksen, ist meines Erachtens auch nicht das Gelbe vom Ei.

    Zitat von Achim Weiss

    Präziser: Man meldet sich mit der PIN in der App an und kann dann innerhalb der App frei agieren. Das 2FA-Verfahren ist damit formal eingehalten.

    Natürlich ist das 2FA eingehalten, die erste FA ist das Smartphone und die zweite FA ist die 5 stellige numerische PIN.

    Eine starke Kundenauthentifizierung erfordert insbesondere die Verwendung

    von zwei voneinander unabhängigen Authentifizierungselementen aus den Kategorien Wissen, Besitz oder Sein



    Zitat von Achim Weiss

    Zwar fürchte ich nicht den bösen Buben in Putinstan, der mein Smartphone "übernimmt", wohl aber den Deppen, der das Smartphone bedient. Ich möchte nicht die Hand ins Feuer legen, daß der sich nicht mal vertippt.


    Wenn Banking überall mit dem Smartphone möglich sein soll, ist das mit dem zweiten Gerät halt schwer zu machen.

    Deswegen empfielt die Raiffeisenbank auch in den AGB dies auf zwei getrennten Geräten zu machen.


    Also PC und Smartphone.

    Oder Smartphone 1 und Smartphone 2.

    Oder PC und Chip-TAN

    Oder Smartphone und Chip-TAN

    Zitat von johu

    Bei mir kommt diese Abfrage bei der DKB App, zwar keine TAN, aber PIN oder Biometrie.

    Die DKB-App (die ich sehr selten nutze, da Nebenkonto) ändert sich aktuell recht häufig.


    Mag sein, daß sie das aktuell macht. Mich wundert die lange Entwicklungszeit. So ein informatisches Hexenwerk kann eine solche App doch wohl nicht sein!