abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Betreff: SecurePlus - Zukunft der TAN-Verfahren

Link zum Beitrag wurde kopiert.

Aufsteiger
Beiträge: 4
Registriert: 25.07.2019

Was spricht denn überhaupt gegen das mTan-Verfahren?

Die Übertragung der mTan über das Telefonnetz ist in jeden Fall sicherer, als auf einem Smartphone mit US-Software eine App zu installieren und dann per Internet Daten zu beziehen. Und das Ganze auch noch auf dem gleichen Gerät, mit dem man mit der Bank verbunden ist...

28 Antworten 28

Regelmäßiger Autor
Beiträge: 24
Registriert: 09.10.2015

@odirk "Was spricht denn überhaupt gegen das mTan-Verfahren?" -> Kosten fürs Verschicken der SMS. Viele Banken verlangen da inzwischen auch Geld, also z.B. 9ct pro verschickte TAN. Andere schaffen es einfach ab.

 

@SCHLUMPFINE777 "Wann wird die TAN aus einem QR Code erzeugt und wann per "Knopfdruck"?" -> Ich tippe mal drauf, dass der QR Code bei transaktionsbezogenen Vorgängen wo es Empfänger, Betrag, IBAN gibt zum Einsatz kommt. Dann wird man diese Transaktionsdaten in der App / auf dem Gerät bestätigen müssen. Für andere Vorgänge (z.B. Freistellungsauftrag oder der von der PSD2 demnächst geforderten TAN beim Login) gibt es ja keine solche Daten, da kommt dann wohl das "Knopfdruck"-Verfahren zum Einsatz. Zumindest ist das aktuell beim alten Generator so unterschieden (APPL1 vs. APPL2).

"Kann ich die App mit einem alphanumerischen Passwort sichern oder nur mit einer numerischen PIN (wie viele Stellen)?" -> Das dürfte hier relativ unrelevant sein. Die App-Pin ist ja lediglich ein zusätzlicher Schutz. Ein Smartphone-Dieb muss ja erst noch das Gerät selbst entsperren, und damit hätte er auch schon Zugriff auf die per SMS verschickten mobileTANs im jetzigen Verfahren. Wichtiger wäre, die Pin fürs Onlinebanking endlich mal länger als 5 Zeichen zu machen.

 

@Ano_Nymer "warum gibt es zwar für Smarthpones Apps, wohl aber keine Anwendung für den Windows-PC (und Linux - das wär's natürlich)!" -> Die mobilen Platformen (Android/iOS) erlauben es, die einzelnen Apps viel besser voneinander abzuschotten und haben auch einen speziell gesicherten Speicherbereich, auf dem geheime Daten abgelegt werden können. Unter Windows und Linux ist es deutlich schwieriger bis unmöglich, eine Anwendung derart zu schützen. Aus der offline Funktionsweise lässt sich ableiten, dass die App bei der Aktivierung intern wohl ein Schlüsselpaar generiert, wobei der öffentliche Teil auf den Consorsbank-Server geladen wird und der private Teil sicher im Smartphone verstaut wird, nochmal geschützt mit der App-Pin bzw. der Fingerabdruck/Face-ID Komponente des Betriebssystems. Um eine Transaktion freizugeben, müssen die Daten dann mit dem geheimen Schlüssel signiert werden. Das macht natürlich die App für dich, sobald du die Daten bestätigt hast. Du erfüllst damit den Sicherheitsfaktor "Besitz", d.h. du hältst das eingerichtete Smartphone physisch in deiner Hand. Sollte dieser geheime Schlüssel irgendwie ausgelesen werden können, dann kann jeder der ihn hat beliebig Transaktionen für dein Konto freigeben, auch ohne dein Smartphone zu haben. Der Besitz-Faktor wäre somit umgangen. Es ist also absolut wichtig, dass der Teil geheim bleibt und niemals ausgelesen werden kann.


Aufsteiger
Beiträge: 4
Registriert: 25.07.2019

@ Sebastian "Kosten fürs Verschicken der SMS. Viele Banken verlangen da inzwischen auch Geld, also z.B. 9ct pro verschickte TAN."

Die 9 Cent wären es mir wert. Kennst Du eine Bank, die das anbietet?

 

0 Likes

Regelmäßiger Autor
  • Anerkannter Autor
  • Top Beitragsunterstützer
  • Community Beobachter
  • Kommentator
  • Beitragsunterstützer
Beiträge: 29
Registriert: 25.07.2019

@odirk 

Bez. mTAN:

Z.B. Commerzbank -> noch 9 Cent, wird aber erhöht auf 12.

Norisbank -> 9 Cent

Ing Diba -> kostenloses mTAN-Verfahren!


Regelmäßiger Autor
Beiträge: 24
Registriert: 09.10.2015

@odirk Es gibt so eine Bank mit sehr vielen Filialen und rotem S-förmigen Logo. In einigen Regionen Deutschlands bieten die noch SMS als TAN-Verfahren an, aber halt wie gesagt kostenpflichtig. In Zukunft wird man aber auch schon für das blose Abrufen der Umsätze eine TAN brauchen (mindestens alls 90 Tage, so will es die PSD2). Ganz billig ist der Spaß also nicht, zumal bei der erwähnten Bank in der Regel auch Kontoführungsgebühren anfallen.

 

@immermalanders Ja, den Hinweis und generell die AGB der Consorsbank kenne ich. Die Frage zielte mehr darauf ab, wie die technisch damit umgehen. Letztendlich will ich für den Fall vorbereitet sein, dass man hier jetzt verspricht, dass es auf gerooteten Geräten geht, dann aber am 9. September das böse Erwachen kommt. Um das Haupt-Girokonto mit dutzenden Umsätzen jeden Monat zu einer anderen Bank umzuziehen brauche ich länger als 5 Tage oder die bereits in Aussicht gestellte Übergangsfrist von gut zwei Wochen (bis Oktober). Wenn ich den neuen AGB dann widerspreche müsste ich ja eigentlich noch zwei Monate Zeit haben, bis die von der Consorsbank daraufhin ausgesprchene Kündigung wirksam wird (siehe alte AGB B. I. 19)


Aufsteiger
Beiträge: 4
Registriert: 25.07.2019

@ Sebastian 256 

Ich habe gerade den Girokonto-Umzug von der großen gelben Bank zur Consors hinter mir,

weil die die mTAN abgeschafft hat. Wie es aussieht, muss ich nochmal umziehen...

 


Gelegentlicher Autor
Beiträge: 11
Registriert: 05.02.2017

Sehe ich genauso, wie "odirk".

Der ganze Hype, der jetzt plötzlich über das "böse" alte mTan-Verfahren gemacht wird, dient nur einem: PROFIT.

Denn jetzt kann man wunderbar wieder neue Hardware verkaufen und/oder StartUps bei ihren APP-Entwicklungen unterstützen.

 

Wie "odirk" schon richtig schrieb: Natürlich ist eine über SMS gesendete mTan nicht verschlüsselt. Aber selbst wenn jemand diese abfangen sollte, müsste er/sie immer noch zusätzlich auch über meine Online-Banking Zugangsdaten (LogIn) verfügen.

Eine APP dagegen kann zwar in sich verschlüsselt programmiert sein, aber was, wenn jemand über mein (ggf. auch entsperrtes) gesamtes Smartphone Zugriff genommen hat?

Von notwendigen Webverbindungen und App-Benutzerberechtigungen mal ganz abgesehen.

 

By the way: Hinsichtlich der Hardware "SecurePlus Generator": Wenn mein Vermieter mir eine Wohnung mit Schloss und Schlüssel übergibt und vermietet, den Schlüssel dann nachträglich ändert, wieso soll ich eigentlich dann die Kosten für das neue Schloss (passend für den neuen Schlüssel) bezahlen?

Eigentlich müsste die ConsorsBank den neuen "SecurePlus Generator" genau so kostenlos bereitstellen, wie die dazugehörige APP. Denn sie selbst hat ja das Tan-Übertragungsverfahren geändert.


Regelmäßiger Autor
Beiträge: 16
Registriert: 14.11.2016

@Spider49 : Es ist bereits über 2 Jahre her, daß die smsTAN erstmals gehackt wurde. Google einfach mal rum. Das Problem ist die Unzuverlässigkeit der Mobilfunkbetreiber.


Regelmäßiger Autor
  • Anerkannter Autor
  • Top Beitragsunterstützer
  • Community Beobachter
  • Kommentator
  • Beitragsunterstützer
Beiträge: 29
Registriert: 25.07.2019

@Sebastian256

Bez. deines Beitrages:
https://wissen.consorsbank.de/t5/Girokonto-Zahlungsverkehr/SecurePlus-Zukunft-der-TAN-Verfahren/m-p/...
Zitat:
"... Bei der Aussage "Für beide TAN-Verfahren gibt es eine Übergangsfrist. Der Login wird bis Oktober 2019 noch mit dem bisherigen Verfahren möglich sein." möchte ich nochmal nachhaken. Heißt das, dass wenn ich weder ein kompatibles Smartphone noch dieses teure Hardware-Gerät habe, ich trotzdem mein Konto vollwertig nutzen kann (Umsatzabfrage und Transaktionen auslösen) bis mindestens zum 30.09.2019? ..."

 

Wo hattest du diese Aussage nochmal her? Und meinst du nicht, dass "bis Oktober" dann eher bis einschließlich Oktober bedeutet?

0 Likes

Regelmäßiger Autor
Beiträge: 67
Registriert: 16.06.2014

Hallo zusammen,

 

meine Frage zu dem neuen Verfahren wurde von CB-Susan am 25.7.19 beantwortet.

 

Die Vorgehensweise kann ich aber nicht nachvollziehen. Ich nutze bisher das smartTAN plus verfahren bei allen Banken ( privat und Vereinsverwaltung ); insgesamt sind dies 7 Banken.

Ich habe es bisher grundsätzlich vermieden, Bankgeschäfte über Smartphones zu erledigen - im übrigen habe ich gar kein Smartphon.

 

Nach meinem Kenntnisstand ist das bisherige Verfahren über den "externen" TAN-Generator bisher das sicherste Verfahren. Ich bin von Anfang an dabei, Onlinebanking über den PC zu erledigen und hatte bisher keinerlei Sicherheitsprobleme.

 

Warum die Consorsbank wieder einen eigenen Weg beschreitet, kann ich nicht nachvollziehen. Ich habe für 2 Bankgruppen einen TAN-Generator, der kompatibel ist.

 

Bin mal gespannt, wie die anderen 6 Banken das Thema umsetzen.

Nochmals: es gibt noch Kunden, die kein Smartphon haben und auch keines wollen !!!

Antworten