Ihre Ideen. Ihre Bank.

Zwei-Faktor-Authentifizierung

Status: Duplikat
von am ‎12.08.2015 15:59

Auch wenn für die Überweisung an sich eine TAN benötigt wird, möchte ich trotzdem nicht, dass es so einfach ist sich in ein Konto ein zu loggen. Kontonummer + 5 stellige PIN ist sehr weit weg von jeglicher Art von heutigen Sicherheitsstandards. Selbst die kleinsten Unternehmen vordern zumeist min 6 Stellen Passwörter mit Sonderzeichen, Zahlen und Groß-/Kleinbuchstaben.  

 

Vorschlag daher: Zwei-Faktor-Authentifizierung für die die es möchten. Entweder über die Consors Bank App oder über bspw. FreeOPT oder GoogleAuthentificator. Dann muss nach der PIN ein einmaliger temporär gültige Zahl eingegeben werden die man über das Smartphone abrufen kann.

 

Grüße

 

 

 

 

Status: Duplikat

Hallo @korbi,

 

herzlichen Dank für Ihre Idee!

 

Wir möchten Sie darauf hinweisen, dass bereits eine sehr ähnliche (bzw. gleiche) Idee von einem anderen Community Mitglied vorgeschlagen wurde. Daher mussten wir Ihre Idee als Duplikat markieren. Sie können die ursprüngliche Idee hier einsehen. Außerdem können Sie über die Idee abstimmen oder Kommentare hinterlassen.

 

Viele Grüße aus Nürnberg,

Sonja Rottner

Community Moderator

Kommentare
von
am ‎13.08.2015 11:00
Status geändert in: Zur Diskussion
 
von
am ‎14.08.2015 23:12

Aus fünf Ziffern, Groß- oder Kleinbuchstaben lassen sich 916 Mio. Passwörter zusammensetzen, von denen ein Angreifer aber nur 3 ausprobieren kann. Da man mit dem Passwort nur schauen kann aber keine Aktion auslösen, halte ich das für unkritisch. Der Login sollte nicht unnötig verkompliziert werden. Längere Passwörter zuzulassen wäre wünschenswert.

von
am ‎15.08.2015 23:00

Wenn ein Angreifer ein bestimmtes Konto angreifen möchte, erscheint die Wahrscheinlichkeit vielleicht gering. tatsächlich wird ein Angreifer jedoch versuchen, irgendein Konto zu knacken und nicht das Passwort durchdeklinieren, sondern Kontonummern durchprobieren. Dann sind die Wahrscheinlichkeiten nicht mehr so einfach zu berechnen.

 

Längeres Passwort ist ein MUSS, optionale Zwei-Faktor-Authentifizierung sehr wünschenswert.

von
am ‎01.09.2015 11:37

Es geht hierbei nicht nur um die Sicherheitsstärke des PW. Mit hilfe eines Keyloggers bekomme ich Passwörter sehr schnell. Alternative über eine Phishing Seite. Mit Zwei-Faktor-Authentifizierung bin ich dann zumindest 2-3 Schritte weiter und wesentlich sicherer. 

 

 

von
am ‎03.10.2015 20:48

 Finde diese Idee wirklich sehr gut! Wenn eine SMS-Tan möglich ist, dürfte eine Zwei-Faktor-Authentifizierung per SMS doch auch kein Problem sein.

von
‎05.10.2015 14:22 , bearbeitet ‎05.10.2015 14:59

Da gibt es doch das von Google eingeführte offene Universal Second Factor Protocol (U2F) der FIDO Alliance, auf das sich verschiedene Internetfirmen verständigt haben. Man braucht dazu ein kleines Plastikteil, eine Art USB-Stick, den man an seinem Schlüsselbund tragen kann. Wenn man sich nun bei einer Webseite mit dem USB-Gerät registriert, dann generiert das ein Schlüsselpaar aus privatem und öffentlichem Schlüssel. Anschließend wird der öffentliche Schlüssel an den Dienst geschickt. Beim jedem weiteren Login schickt die Webseite dann eine Challenge an das USB-Gerät, die diese mit ihrem privaten Schlüssel signiert und zurückschickt. Damit ist sichergestellt, dass derjenige, der sich einzuloggen versucht, nicht nur Kontonummer und Passwort kennt, sondern auch Zugriff auf den mit dem Account verknüpften USB-Schlüssel hat. Dieses neue Verfahren zur Zwei-Faktor-Authentifizierung gilt als äußerst sicher und sehr einfach in der Handhabung, da man für die verschiedenen Dienste, die U2F unterstützen nur ein solchen USB-Schlüssel braucht. Seit ein paar Monaten unterstützt auch Dropbox diese Form der Zwei-Faktor-Authentifizierung, und seit ein paar Tagen auch die Entwickler-Plattform Github. Man kann den U2F-Key bei Amazon kaufen (FIDO U2F Security Key für 16 Euro) und damit seine verschiedenen Accounts absichern, vor allem Gmail und Dropbox, und damit z.B. auch 1Password. Toll wäre es wenn die Consorsbank sich dieser Initiative anschließen würde, denn das jetzige Login ist mehr als unsicher.

von
am ‎07.10.2015 10:51
Wie unsicher das jetzige Login ist, sieht man zum Beispiel in diesem Bereich "Wissen". Ich verwende den Chrome Browser (neueste Version 45), und die Login-Maske hat meine Kontonummer und PIN gespeichert. Keine weitere Eingabe erforderlich, und ich bin "drin". Über den Menüpunkt Benachrichtigungen geht es dann mit einem Klick zu den Kontoauszügen: Tagesgeldkonto, Verrechnungskonto usw. Schon praktisch, aber eben unsicher. Das im Browser gespeicherte Passwort können wahrscheinlich böswillige Apps ("Malware") einfach auslesen. Wenn schon keine 2-Faktor Authentifizierung angeboten wird, dann erscheint mir dieses Login irgendwie nicht ganz durchdacht.
von
am ‎07.10.2015 18:55

Der gößte Unsicherheitsfaktor ist der Nutzer wenn er seine Bankingdaten im Browser speichert. Ist für mich persönlich eine Unmöglichkeit. Mit der 2FA wird es sicherer, solange man nicht als 2. Faktor eine SMS verwendet. Was ist in diesem Fall der 2. Faktor für ein Login am Mobile Device? Oder was soll man machen, wenn man keinen Empfang hat?

von
am ‎07.10.2015 19:07

Da gebe ich dir recht, unsicher ist es wirklich, wenn man die Bankingdaten im Browser speichern würde!

Dein Einwand, dass man am Mobile Device keinen zweiten Faktor hat ist einerseits berechtigt. Anderseits gehe ich davon aus, dass man das Smartphone mit zusätzlichen Sicherheitsvorkehrungen geschützt hat. Beispielsweise mit einem Code oder Touch ID und keine schadhaften Apps installiert hat. Als iPhone Nutzer hast du außerdem die Möglichkeit deine Daten auf dem iPhone im Verlustfall über iCloud löschen zu können.

 

von
‎08.10.2015 01:59 , bearbeitet ‎08.10.2015 02:05

Ich wollte darauf eigentlich darauf hinaus, dass man dann, wenn man beim Login im Bereich Wissen das Passwort im Browser speichert, dann auch automatisch immer beim Banking angemeldet ist. Ausserdem denke ich, dass es technische Möglichkeiten gibt, damit das Speichern des Passowrtes im Browser überhaut erst gar nicht erst angeboten wird. Zumindest wird es mir nicht auf allen Webseiten angeboten, bei CB aber schon.