Community

Antworten
odirk
Aufsteiger
Beiträge: 3
Registriert: 25.07.2019
Nachricht 11 von 187 (3.351 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

[ Bearbeitet ]

Was spricht denn überhaupt gegen das mTan-Verfahren?

Die Übertragung der mTan über das Telefonnetz ist in jeden Fall sicherer, als auf einem Smartphone mit US-Software eine App zu installieren und dann per Internet Daten zu beziehen. Und das Ganze auch noch auf dem gleichen Gerät, mit dem man mit der Bank verbunden ist...

Sebastian256
Regelmäßiger Autor
Beiträge: 35
Registriert: 09.10.2015
Nachricht 12 von 187 (3.343 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

@CB_Susan: Danke für die bisherigen Antworten (auch aus den anderen Threads). Ich habe mal ein paar wertvolle Infos in den eingangspost hinein editiert, in der Hoffnung, dass es für alle etwas übersichtlicher bleibt.

 

Dann bin ich mal gespannt auf die Antwort des Sicherheitsfachbereiches. Fällt diese negativ aus, steht für mich definitiv ein Bankwechsel an, da ich nicht bereit bin, 24€ für ein Gerät auszugeben, das mit keiner anderen Bank kompatibel ist.

 

Dass man die SecurePlus App auf drei Geräten installieren (Sie meinen wohl eher aktivieren) kann, ist eine gute Sache. Dann kann ich es mir noch als Backup auf dem Tablet einrichten, für den Fall dass das Smartphone mal defekt ist oder einfach neu eingerichtet werden muss. Dennoch wäre gut zu wissen, ob man neue Geräte jederzeit selbst aktivieren kann oder ob man dazu auf einen frisch verschickten Brief warten muss. Es ist kein all zu seltenes Szenario, dass man sein (einziges) Smartphone auf Werkseinstellungen zurücksetzt und dann die App neu einrichten muss. Da kann dann auch nicht davon ausgegenagen werden, dass noch ein aktiviertes TAN-Verfahren zur Verfügung steht. Das ist ja beim Zurücksetzen auf Werkseinstellungen verschwunden.

 

Bei der Aussage "Für beide TAN-Verfahren gibt es eine Übergangsfrist. Der Login wird bis Oktober 2019 noch mit dem bisherigen Verfahren möglich sein." möchte ich nochmal nachhaken. Heißt das, dass wenn ich weder ein kompatibles Smartphone noch dieses teure Hardware-Gerät habe, ich trotzdem mein Konto vollwertig nutzen kann (Umsatzabfrage und Transaktionen auslösen) bis mindestens zum 30.09.2019?

 

Wie gehen Sie eigentlich mit Kunden um, die am 9. September feststellen, dass die App nicht den persönlichen Bedürfnissen entspricht und die dann noch vor dem 14. September den angebotenen AGB-Änderungen widersprechen? Dürfen die dann weiterhin die TAN-Verfahren aus den alten AGB nutzen, bis das Konto mit der Frist von mindestens zwei Monaten (also Mitte November) Ihrerseits gekündigt wurde?

Ano_Nymer
Regelmäßiger Autor
  • Anerkannter Autor
  • Top Beitragsunterstützer
  • Community Beobachter
  • Kommentator
  • Beitragsunterstützer
Beiträge: 45
Registriert: 25.07.2019
Nachricht 13 von 187 (3.287 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

Also ich bin auch ernsthaft am Überlegen, ob ich die Bank wechseln soll.

Habe nicht so große Lust auf die 24,- €, zumal es eben bei anderen Banken zwei PSD2-konforme Authentifizierungsmöglichkeiten gibt, die mich 0,- € kosten würden.

Bei der DKB kann ich einen HHD 1.4 konformen "handelsüblichen" (frei verkäuflichen) TAN-Generator benutzen, den ich schon habe.

Bei der Ing Diba kann ich weiterhin (so wie bisher bei Consors auch) das mTAN-Verfahren nutzen und die SMS sind kostenlos.

 

Nur bei der Consors wird man "bestraft", wenn man kein Smartphone hat! Smiley (traurig)

Sebastian256
Regelmäßiger Autor
Beiträge: 35
Registriert: 09.10.2015
Nachricht 14 von 187 (3.285 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

@odirk "Was spricht denn überhaupt gegen das mTan-Verfahren?" -> Kosten fürs Verschicken der SMS. Viele Banken verlangen da inzwischen auch Geld, also z.B. 9ct pro verschickte TAN. Andere schaffen es einfach ab.

 

@SCHLUMPFINE777 "Wann wird die TAN aus einem QR Code erzeugt und wann per "Knopfdruck"?" -> Ich tippe mal drauf, dass der QR Code bei transaktionsbezogenen Vorgängen wo es Empfänger, Betrag, IBAN gibt zum Einsatz kommt. Dann wird man diese Transaktionsdaten in der App / auf dem Gerät bestätigen müssen. Für andere Vorgänge (z.B. Freistellungsauftrag oder der von der PSD2 demnächst geforderten TAN beim Login) gibt es ja keine solche Daten, da kommt dann wohl das "Knopfdruck"-Verfahren zum Einsatz. Zumindest ist das aktuell beim alten Generator so unterschieden (APPL1 vs. APPL2).

"Kann ich die App mit einem alphanumerischen Passwort sichern oder nur mit einer numerischen PIN (wie viele Stellen)?" -> Das dürfte hier relativ unrelevant sein. Die App-Pin ist ja lediglich ein zusätzlicher Schutz. Ein Smartphone-Dieb muss ja erst noch das Gerät selbst entsperren, und damit hätte er auch schon Zugriff auf die per SMS verschickten mobileTANs im jetzigen Verfahren. Wichtiger wäre, die Pin fürs Onlinebanking endlich mal länger als 5 Zeichen zu machen.

 

@Ano_Nymer "warum gibt es zwar für Smarthpones Apps, wohl aber keine Anwendung für den Windows-PC (und Linux - das wär's natürlich)!" -> Die mobilen Platformen (Android/iOS) erlauben es, die einzelnen Apps viel besser voneinander abzuschotten und haben auch einen speziell gesicherten Speicherbereich, auf dem geheime Daten abgelegt werden können. Unter Windows und Linux ist es deutlich schwieriger bis unmöglich, eine Anwendung derart zu schützen. Aus der offline Funktionsweise lässt sich ableiten, dass die App bei der Aktivierung intern wohl ein Schlüsselpaar generiert, wobei der öffentliche Teil auf den Consorsbank-Server geladen wird und der private Teil sicher im Smartphone verstaut wird, nochmal geschützt mit der App-Pin bzw. der Fingerabdruck/Face-ID Komponente des Betriebssystems. Um eine Transaktion freizugeben, müssen die Daten dann mit dem geheimen Schlüssel signiert werden. Das macht natürlich die App für dich, sobald du die Daten bestätigt hast. Du erfüllst damit den Sicherheitsfaktor "Besitz", d.h. du hältst das eingerichtete Smartphone physisch in deiner Hand. Sollte dieser geheime Schlüssel irgendwie ausgelesen werden können, dann kann jeder der ihn hat beliebig Transaktionen für dein Konto freigeben, auch ohne dein Smartphone zu haben. Der Besitz-Faktor wäre somit umgangen. Es ist also absolut wichtig, dass der Teil geheim bleibt und niemals ausgelesen werden kann.

odirk
Aufsteiger
Beiträge: 3
Registriert: 25.07.2019
Nachricht 15 von 187 (3.263 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

@ Sebastian "Kosten fürs Verschicken der SMS. Viele Banken verlangen da inzwischen auch Geld, also z.B. 9ct pro verschickte TAN."

Die 9 Cent wären es mir wert. Kennst Du eine Bank, die das anbietet?

 

Antworten
0 Likes
immermalanders
Autorität
Beiträge: 2813
Registriert: 06.02.2015
Nachricht 16 von 187 (3.250 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

@Sebastian256 

[...] Wie gehen Sie eigentlich mit Kunden um, die am 9. September feststellen, dass die App nicht den persönlichen Bedürfnissen entspricht und die dann noch vor dem 14. September den angebotenen AGB-Änderungen widersprechen? Dürfen die dann weiterhin die TAN-Verfahren aus den alten AGB nutzen, bis das Konto mit der Frist von mindestens zwei Monaten (also Mitte November) Ihrerseits gekündigt wurde? [...]

Den neuen AGB kann man bis zum 13.09.2019 widersprechen, was aber zu einer Kündigung der Bankverbindung durch die Bank führt. Zusätzlich hat man das Recht die Bankverbindung fristlos zu kündigen. So steht es zumindest in der Wichtigen Mitteilung vom 08.07.2019 drin in dem auf die Änderung der AGB hingewiesen wird.

 

Ano_Nymer
Regelmäßiger Autor
  • Anerkannter Autor
  • Top Beitragsunterstützer
  • Community Beobachter
  • Kommentator
  • Beitragsunterstützer
Beiträge: 45
Registriert: 25.07.2019
Nachricht 17 von 187 (3.247 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

[ Bearbeitet ]

@odirk 

Bez. mTAN:

Z.B. Commerzbank -> noch 9 Cent, wird aber erhöht auf 12.

Norisbank -> 9 Cent

Ing Diba -> kostenloses mTAN-Verfahren!

Sebastian256
Regelmäßiger Autor
Beiträge: 35
Registriert: 09.10.2015
Nachricht 18 von 187 (3.209 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

@odirk Es gibt so eine Bank mit sehr vielen Filialen und rotem S-förmigen Logo. In einigen Regionen Deutschlands bieten die noch SMS als TAN-Verfahren an, aber halt wie gesagt kostenpflichtig. In Zukunft wird man aber auch schon für das blose Abrufen der Umsätze eine TAN brauchen (mindestens alls 90 Tage, so will es die PSD2). Ganz billig ist der Spaß also nicht, zumal bei der erwähnten Bank in der Regel auch Kontoführungsgebühren anfallen.

 

@immermalanders Ja, den Hinweis und generell die AGB der Consorsbank kenne ich. Die Frage zielte mehr darauf ab, wie die technisch damit umgehen. Letztendlich will ich für den Fall vorbereitet sein, dass man hier jetzt verspricht, dass es auf gerooteten Geräten geht, dann aber am 9. September das böse Erwachen kommt. Um das Haupt-Girokonto mit dutzenden Umsätzen jeden Monat zu einer anderen Bank umzuziehen brauche ich länger als 5 Tage oder die bereits in Aussicht gestellte Übergangsfrist von gut zwei Wochen (bis Oktober). Wenn ich den neuen AGB dann widerspreche müsste ich ja eigentlich noch zwei Monate Zeit haben, bis die von der Consorsbank daraufhin ausgesprchene Kündigung wirksam wird (siehe alte AGB B. I. 19)

odirk
Aufsteiger
Beiträge: 3
Registriert: 25.07.2019
Nachricht 19 von 187 (3.178 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

@ Sebastian 256 

Ich habe gerade den Girokonto-Umzug von der großen gelben Bank zur Consors hinter mir,

weil die die mTAN abgeschafft hat. Wie es aussieht, muss ich nochmal umziehen...

 

Highlighted
Krawuppnik
Aufsteiger
  • Community Junior
  • Community Beobachter
  • Community Junior
Beiträge: 5
Registriert: 07.01.2017
Nachricht 20 von 187 (3.121 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

Für mich bedeutet es: Konto kündigen und wechseln zu einer Bank wo Girokonto komplett kostenlos ist. Ich werde auf keinen Fall meine Bankgeschäfte über ein Smartphone abwickeln und mir auch keinen Generator für 24€ kaufen. Meiner Meinung nach reine Abzocke der Bank. Bisher war der Generator ja auch kostenfrei.