Ihre Ideen. Ihre Bank.

App darf SMS Tan nicht nutzen wenn auf demselben Handy

Status: Keine Umsetzung
von am ‎28.10.2015 09:59

Sicherheitsrisiko! Derzeit ist es möglich, die SMS Tan auf demselben Handy zu nutzen, auf dem auch die Consors App läuft. Damit wird die 2-Geräte-Sicherheitsbarriere unterlaufen. Leider kann man die SMS Tan nur insgesamt ein/ausschalten, sie ist jedoch überaus praktisch und sicher beim Banking am Computer oder einem anderen Gerät.

 

Ich wünsche mir auf der Consors Webseite im Sicherheitsbereich eine zusätzliche Funktion "nicht für App Banking", mit welcher SMS Tan Nutzung nur dann deaktiviert werden kann, wenn eine Transaktion von der Handy App aus angestoßen wird.

 

Programmiertechnisch könnte das so laufen, dass die App diesen Status sowie welche Handynummer eingestellt ist, auf dem Server abfragt und dann mit dem lokalen Handy vergleicht. Sofern die Handy Nummer identisch ist, soll die TAN nicht angefordert werden können. Das dürfte nicht so schwer sein zu programmieren.

 

 

Status: Keine Umsetzung

Hallo @WolfiA,

 

vielen Dank für Ihren Hinweis und den damit verbundenen Vorschlag!

 

Leider ist es technisch nicht möglich, die Telefonnummer aus der App heraus zu ermitteln. Wir können daher nicht prüfen, ob Sie eine TAN auf dem gleichen Handy anfordern, auf dem Sie auch den SMS-Service empfangen. Wir könnten also nur generell die mobile TAN für jede App Nutzung (auch Tablett etc.) sperren.

 

Da sich sehr viele unserer Kunden explizit die Möglichkeit der mobilen TAN in der App gewünscht haben, haben wir diesen Service aufgenommen. Hier finden Sie ein Beispiel zu einer Diskussion dazu aus unserer Community. Eine Änderung ist aktuell daher nicht vorgesehen.

 

Viele Grüße aus Nürnberg,

Sonja

Community Moderator

Kommentare
von
am ‎28.10.2015 10:12
Status geändert in: Zur Diskussion
 
von
am ‎09.11.2015 22:21

Ein Grund warum ich diese App von meinem Handy ebenfalls entfernt habe!!!

von
am ‎18.11.2015 18:01

Beschwert euch bei den NUTZERN, die das in der Vergangenheit unbegingt haben wollten. Alternativ kann man auch die Mobile-TAN deaktivieren, dann hat man das Problem nicht mehr. 

Zuverlässig erkennen, ob die hinterlegte Nummer zu diesem Handy gehört, funktioniert nicht. Nicht alle Provider schreiben die Handynummer auf die Simkarte und somit kennt das Handy die eigene Nummer nicht...

von
am ‎09.12.2015 09:23

Und wieder schreibt jemand, dass er die SMS-Tan in einer Banking-App nutzen möchte, da der Tan-Generator unpraktisch ist. Keine Ahnung, warum sich jemand freiwillig diesem Risiko aussetzt. Frustrierte Smiley

von
am ‎09.12.2015 10:37
Wo ist das Problem damit wenn man die SMS auf demselben Handy verhindern könnte? Und stattdessen ein anderes zweites Handy einstellen könnte??
von
‎17.12.2015 11:53 , bearbeitet ‎17.12.2015 11:54

Ich habe vor Kurzem mitbekommen, dass es diese Möglichkeit die SMS aufs gleiche Handy zu bekommen, überhaupt gibt, und bin SEHR begeistert! Auf keinen Fall möchte ich diese nützliche Funktion missen!

 

Eine gute Alternative wäre wirklich, dass es für den einzelnen Account einfach eine Möglichkeit gibt, den Link zum SMS versenden in der App ausgeblendet werden kann.

Andererseits muss bedacht werden, dass dann auch einfach das mobile Banking per Webbrowser auf dem Handy genutzt werden kann. Auch dort wäre dann nicht mehr Sicherheit gewährleistet..

von
am ‎17.12.2015 15:58

Ich nutze Online-Banking seit über 10 Jahren und hatte schon verschiedenste TAN-Systeme, von Papierlisten mit und ohne iTAN über mTAN bis hin zum TAN-Generator.

 

Transaktionen, die nicht von mir selbst authorisiert worden sind, hatte ich in der ganzen Zeit nie gehabt. Das heißt zwar nichts aber wenn ich persönlich die Sicherheitsrisiken um TANs bewerten soll, dann denke ich, dass sich all diese Verfahren praktisch gar nicht so stark unterscheiden. Wichtig ist, dass es einen Transaktionsbezogenen Schutz gibt, der über die Login-Daten hinaus geht.

 

Und natürlich kann auch dieser Schutz ausgehebelt werden z.B. indem die Papierliste, das Handy oder der TAN-Generator entwendet werden. Selbst der Sperrbildschirm des Handys nutzt da manchmal wenig, wenn dort neue SMS angezeigt werden und die mTAN sichtbar ist.

 

Deshalb muss man sich auch letzten Endes selbst drum kümmern, seine Zugangsdaten und TANs sicher und geheim zu halten. Man muss da immer abwägen zwischen Sicherheit und Komfort:

 

  • Handy ohne Kennwort im Sperrbildschirm weil es komfortabler ist
  • mTAN, damit man keine Papierliste oder TAN-Generator mitnehmen muss
  • Post-It mit Zugangsdaten an den Monitor kleben, anstatt sie sich zu merken
  • Zugangsdaten im Browser speichern (natürlich ohne Benutzerkennwort im Betriebssystem)
  • usw.

Das kann man alles tun, solange man sicher weiß, dass man sein Handy nicht verliert und nie jemand Zugang zum PC bekommt. Tatsächlich sollte man einen guten Mittelweg finden, daraus sich selbst das Leben nicht zu schwer und es Angreifern nicht zu leicht zu machen (deshalb rate ich auch nicht wirklich zu dem Post-It am Monitor oder den anderen genannten Punkten). Aber was hat man gewonnen, wenn man durch mTAN auf den kleinen TAN-Generator verzichten kann und dafür ein zweites Mobiltelefon mitnehmen muss?

 

Ob man jetzt ein Handy oder zwei aus der Tasche klaut, ist letztlich der selbe Handgriff. Wer tatsächlich Sorge hat, dass SMS bzw. die Logindaten der Banking App auf Android oder iOS durch Spyware ausgespäht werden, der sollte konsequenterweise weder mTAN noch Banking App verwenden.

 

Ein Kennwort für den Sperrbildschirm des Handys, die Banking App durch ein anderes Kennwort gesperrt und keine Downloads aus unsicheren Quellen, dann würde ich persönlich mich hinreichend sicher fühlen mit App und mTAN auf dem selben Gerät.

 

Ich vermute mal, es gehen viel mehr Fälle korrumpierter TANs auf Phishing zurück, als auf Spyware oder gestohlene Geräte. Und da zählt dann Hirn einschalten (und tatsächlich sind Verfahren mit Papierlisten da besonders anfällig aber inzwischen ja auch überholt).

von
am ‎17.12.2015 16:47

An zimmerj und einige andere weiter oben.

 

Zu den Best Practise Regeln im Umgang mit 2-Faktor-Systemen zählt, dass man verschiedene (physikalische) Kanäle für die Überbringung der Information benutzt, wie z.B. klassisch mit PC und Extra-Token oder PC und SMS.

Nutzt man aber ein Smartphone welches Internet UND SMS kann, vereinen sich die beiden verschiedenen Kanäle letzten Endes doch auf demselben Gerät. Und z.B. an der Whatsapp Registrierungsprozedur kann man schön sehen, dass eine App mit den notwendigen Rechten (die i.d.R. vom User warum-auch-immer erteilt werden oder gar ungefragt beim Installieren gegeben werden) sich eine SMS für eine Transaktion abfischen kann. Ähnliches gilt für die Tastatur.

 

Alles, was ich gerne von Consors will, ist dem Kunden DIE MÖGLICHKEIT zu geben, selbst zu entscheiden, welche Methode und Sicherheit er nutzen will: 

 

1. gar keine SMS TAN

2. SMS TAN generell aktiv

3. SMS TAN nur aktiv wenn die Telefonnummer, welche im Kundenportal eingetragen wird, sich nicht auf demselben Handy befindet, von dem die Transaktion angestoßen wird. Und dazu die Option, eine alternative Telefonnummer im Portal eingeben zu können. Ich zb habe ein Firmenhandy und ein Privathandy, das wäre kein Problem für mich. Es gibt viele Leute die mit zwei Handys durch die Gegend laufen. Außerdem kann ich dann Internet Banking am PC oder Tablet weiter nutzen und die SMS auf mein Handy bekommen, während ich es abschalten kann für die Nutzung auf demselben.

 

Das hat m.E. zwei Vorteile:

1. Der Kunde kann für sich selbst besser entscheiden, welche Balance er zwischen Sicherheit und Bequemlichkeit er nutzen möchte

und

2. Consors wäre bezüglich der Sicherheit und Bevormundung seiner Kunden aus der Schußlinie.

 

Aus meiner Sicht wäre diese Funktionserweiterung sinnvoll und für viele sehr willkommen.

 

von
am ‎15.01.2016 12:56
Status geändert in: Keine Umsetzung

Hallo @WolfiA,

 

vielen Dank für Ihren Hinweis und den damit verbundenen Vorschlag!

 

Leider ist es technisch nicht möglich, die Telefonnummer aus der App heraus zu ermitteln. Wir können daher nicht prüfen, ob Sie eine TAN auf dem gleichen Handy anfordern, auf dem Sie auch den SMS-Service empfangen. Wir könnten also nur generell die mobile TAN für jede App Nutzung (auch Tablett etc.) sperren.

 

Da sich sehr viele unserer Kunden explizit die Möglichkeit der mobilen TAN in der App gewünscht haben, haben wir diesen Service aufgenommen. Hier finden Sie ein Beispiel zu einer Diskussion dazu aus unserer Community. Eine Änderung ist aktuell daher nicht vorgesehen.

 

Viele Grüße aus Nürnberg,

Sonja

Community Moderator