abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

SMS TAN nicht mehr sicher?

Link zum Beitrag wurde kopiert.

Aufsteiger
Beiträge: 2
Registriert: 22.07.2014
Hallo Zusammen, ich würde hier gern das Sicherheitskonzept der Consorsbank diskutieren. Es gibt mitlerweile mehrere bestätigte Fälle von gehackter Zweifaktorauthentifikation (2FA), wie sie im TAN Verfahren hier verwendet wird. Das NIST (National Institute for Standards and Technology) hat kürzlich (https://pages.nist.gov/800-63-3/sp800-63b.html) ein Update der Digital Authentication Guideline veröffentlicht, dass 2FA als unsicher erklärt. "If the out of band verification is to be made using an SMS message on a public mobile telephone network, the verifier SHALL verify that the pre-registered telephone number being used is actually associated with a mobile network and not with a VoIP (or other software-based) service. It then sends the SMS message to the pre-registered telephone number. Changing the pre-registered telephone number SHALL NOT be possible without two-factor authentication at the time of the change. OOB [Out of band verification] using SMS is deprecated, and will no longer be allowed in future releases of this guidance." Meine Frage: 1. Sollte die Consorsbank SMS TAN aus Sicherheitsgründen deaktivieren? 2. Gibt es Alternativen, wie andere Banken, welche mittelfristig eingeführt werden können? Viele Grüße
0 Likes
7 Antworten 7

Enthusiast
Beiträge: 790
Registriert: 08.12.2014

Hallo @Hary00,

 

klar ist SMS TAN nicht mehr sicher und dass schon ne ganze Weile. Wollen nur viele nicht wahrhaben, weil es doch so schön praktisch ist. Verfolge nur mal die Diskussionen hier in der Community, wie schrecklich unpraktisch das doch ist das SMS-TAN nicht mit der Consors-App geht und wie unpraktisch doch dieser doofe TAN-Generator ist, den man ja immer mitschleppen müsste.

 

Da sind wir schon beim Thema, den Consorsbank TAN-Generator nutzen. Das ist eine nach aktuellen Stand wohl sichere Lösung.

 

Gruß

Myrddin


Community Manager
Beiträge: 1768
Registriert: 13.01.2014

Hallo @Hary00,

liebe Community Mitglieder,

 

ich habe Ihren Beitrag aufmerksam gelesen und an die verantwortlichen Kollegen zur Prüfung weitergegeben: 

 

Das National Institute of Standards and Technology (NIST) ist verantwortlich für die Definition von verschiedensten US-Standards. Für die US-Mobilfunk Banche ist dieser Standpunkt voll und ganz nachvollziehbar, da dort der Mobilfunkmarkt weit weniger reguliert ist als hier in Deutschland. 
  
Die dort beschriebenen Sicherheitsmaßnahmen rund um die Registrierung/Änderung von SMS-Diensten sind seit Jahren in den Sicherheitsstandards der mTAN definiert und branchenweit umgesetzt. 

 

Basierend auf diesen Informationen können wir Ihnen versichern, dass das mTAN Verfahren der Consorsbank den aktuellen, deutschen Sicherheitsstandards entspricht.

Bitte finden Sie hier weiterführende Informatonen zur Sicherheit des mTAN-Verfahrens

 

Beste Grüße aus Nürnberg,

Sonja

Community Moderator

 

 

0 Likes

Enthusiast
Beiträge: 228
Registriert: 12.11.2014

Sehr sicher wäre auch Chip-TAN, oder die internationale Variante MasterCard CAP (Chip Authentication Program).


Aufsteiger
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Junior
Beiträge: 1
Registriert: 14.12.2016

Wenn BNP/Consors sich hier an eine sichere Einspeisung hält (Das kann direkt über einen MNP LA (Operator Large Account) in Deutschland (und nur in Deutschland) passieren - dann ist SMS nicht nur sicher, sondern auch immer verfügbar (wie oft hatte ich meinen Volks...nk TAN Generator nicht dabei, wenn er gebraucht wird!). Jedwede Einspeisung der SMS über Wild West Anbieter ist natürlich Kokolores und da muss man der NIST sicherlich recht geben. Aber - SMS funktioniert hier in Europa auch ein bisschen anders als in den USA.


Enthusiast
Beiträge: 471
Registriert: 14.11.2016

Ich halte die mTAN auch für sehr sicher in Deutschland. Der deutsche Mobilfunkmarkt und die deutschen Sicherheitsstandards sind mit den in den US üblichen nicht im geringsten vergleichbar.

 

Bei der SMS wird auch die Zielkontonummer und der Betrag angezeigt, so dass man die SMS gegenprüfen kann.

0 Likes

Enthusiast
Beiträge: 790
Registriert: 08.12.2014

So lange man kein Smartphone nutzt, alles kein Problem. Smartphone und SMS-TAN vertragen sich jedoch nicht wirklich.

 

Gruß

Myrddin

0 Likes

Enthusiast
Beiträge: 471
Registriert: 14.11.2016
Man kann es auch echt übertreiben. Wenn man sich mal die Anzahl der ("echten") Betrugsfälle ansieht im Vergleich zu der Anzahl der gesamten Nutzer von Online-Banking so ist das ein Witz. Mit "echten" meine ich die, die ohne eine eigene Handlung betrogen werden. Denen, die ihre TAN's oder sonstigen Daten in einer Maske eingeben oder einen Link in einer Email anklicken, kann man nicht mehr helfen. Man muss da eben etwas aufpassen.
0 Likes
Antworten