abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

TAN Abfrage bei Anmeldung auf eine Stunde beschränken

Link zum Beitrag wurde kopiert.

Aufsteiger
  • Community Junior
  • Community Beobachter
  • Community Junior
  • Community Junior
  • Community Junior
Beiträge: 4
Registriert: 29.10.2016

Hallo liebe Consorsbank,

 

ich möchte sie bitten über FinTS/HBCI-Schnittstelle weniger oft eine TAN-Eingabe bei Anmeldung zu verlangen, einmal pro Stunde oder einmal am Tag reicht doch absolut aus - oder auch 90 Tage! Am besten wäre es natürlich wenn ich im Portal selbst entscheiden könnte wie oft die TAN bei Anmeldung abgefragt wird.

 

Gerade für andere Anbierer wie z.B. moneymoney-app wäre es sehr sinnvoll und Kundenfreundlich wenn man zumindest mal darüber nachdenken würde.

18 Antworten 18

Moderator
Beiträge: 736
Registriert: 27.06.2019

Hallo @col,

vielen Dank für Ihre Anfrage.

Wir können Ihr Anliegen nachvollziehen. Gerne möchte ich Ihnen deshalb kurz erläutern, weshalb der 2. Faktor nun bei jedem Login abgefragt wird.

Es ist korrekt, dass der Gesetzgeber theoretisch eine Abfrage vom 2. Faktor für den reinen Zugriff auf das Girokonto auch nur alle 90 Tage erlauben würde.

Der 2. Faktor wäre dann jedoch an unterschiedlichen Stellen dennoch wieder nötig, je nach dem was Sie im Online-Banking tun möchten. Die technische Umsetzung wäre damit sehr komplex geworden und hätte die Sicherheit beim Login nicht erhöht.

Damit der Login zukünftig grundsätzlich noch sicherer für Sie wird, aber dennoch einfach bleibt, wurde entschieden, den 2. Faktor bei jedem Login abzufragen.

Viele Grüße

CB_Stephanie
Community-Moderatorin

0 Likes

Aufsteiger
Beiträge: 1
Registriert: 18.09.2019

Damit der Login zukünftig grundsätzlich noch sicherer für Sie wird, aber dennoch einfach bleibt, wurde entschieden, den 2. Faktor bei jedem Login abzufragen.

 

Das Login ist weder einfach noch sehe ich einen nennenswerten Gewinn an Sicherheit. Stellen sie sich folgenden Use-Case vor:

 

"Kunde aktualisiert Umsätze in Banking-Software und macht eine Überweisung"

 

1. Login um Umsätze abrufen (Kann ich noch verstehen)

2. Login bevor Überweisung-Request abgeschickt werden kann (WTF?, hab mich doch vor 5sek eingeloggt)

3. Login für QR-Tan um Überweisung zu bestätigen (Das ist wie gehabt)

4. Login Programm aktualisiert Umsätze um Überweisung anzeigen zu können (Soll das ein Witz sein? Ich hab mich in den letzten 30sek bereits drei Mal authentifiziert ...)

 

Ich sehe nicht wie der 2. und 4. Login zu einem mehr an Sicherheit führt aber ich kann Ihnen als Kunde sagen das es mich unglaublich frustiert. Auch ist die technische Machbarkeit für mich kein Argument, sie bekommen es ja auch im Online-Banking über ihre Webseite hin eine Session nach einmaligem Login offen zu halten ohne das ich mich beim Wechseln zwischen Konten oder Refresh der Seite jedes mal neu einloggen muss.

 

Ich war sehr zufrieden mit Ihnen als Bank aber das ist leider nicht anwenderfreundlich und meine Zeit mir zu schade um andauernd Pins einzugeben... Andere Banken bekommen das doch auch hin. Bitte tun sie etwas dagegen.

 

 

 


Regelmäßiger Autor
Beiträge: 58
Registriert: 08.10.2014

Hallo, um nicht eine neue Diskussion zum gleichen Thema zu beginnen...

Ich unterstütze den Ursprungspost hier zu 100%!

 

Das Problem betrifft alle FinTS-Applikationen in Verbindung mit der Consorsbank. Im Entwicklerforum haben wir bereits ausgiebig über die Problematik im Bezug zur Consorsbank diskutiert. Hier wurde ebenfalls klar, dass die Consorsbank weitaus strenger agiert, als es die PSD2 vorschreibt, und dass andere Banken hier praktikablere Vorgehensweisen haben. Die 90 Tage-Regel zum Abfragen der TAN wurde von der Consorsbank nicht umgesetzt, stattdessen wird bei jedem lesenden Zugriff durch denselben Bankzugang für jedes Konto eine TAN abgefragt.

 

Hintergrund:

Wir haben aktuell 14 Consorsbank-Konten, und planen weitere. Diese verwalten wir mit Hibiscus. Hierzu werden in einem Durchlauf 14 TANs abgefragt. Der Zugang erfolgt über einen einzigen Bankzugang mit Vollmacht.

Gibt die FinTS-Schnittstelle keine Möglichkeit der Session? Session-TAN kennt Consors ja auch, kann man sowas nicht für eine FinTS-Session anbieten?

 

Natürlich werden wir nicht 2 Tage nach der PSD2-Umstellung, die bei kaum einer Bank reibungslos verlief, gleich in Panik ausbrechen und zur nächst schlechteren Bank rennen. Zumal solche Kontenwechsel auch mit viel Aufwänden verbunden sind. Es wird bestimmt auch noch nicht die letzte Version von PSD2 bei der Consorsbank sein. Ich gehe davon aus, dass hier eine Lösung geschaffen wird, die auch PSD2-konform sein wird.

 

Wenn man hier seitens der Bank aber auf dem gleichen Standpunkt bleibt und weiterhin 14 und mehr TANs abfragt für den lesenden Zugriff, wird es nach fast 20 Jahren Kundenbindung als Lösung nur noch den Bankenwechsel geben. Alternativen wurden bereits genug genannt.

 

Mit freundlichem Gruß.


Gelegentlicher Autor
  • Kommentator
Beiträge: 15
Registriert: 21.09.2019

Bisher hatte ich die Hoffnung, dass CB vernünftig wird und die Dauer zwischen zwei Login-TAN-Abfragen erhöht. Ich kann ja verstehen, dass CB hier noch etwas Zeit für eine Anpassung braucht. Jedoch hat man sich dagegen entschieden.

 

Daher werde ich nun eine neue Bank suchen. Bei einer anderen Bank kann ich z.B. mit der meiner Banking4 App immer noch problemlos FinTS (HBCI) nutzen und muss nicht ständig für eine simple Kontostands- bzw. Umsatzabfrage mehrere TANs pro Abruf eingeben. Offensichtlich sehen die Experten, die PSD2 entworfen haben, keinen nennenswerten Sicherheitsgewinn, wenn bei jedem Login eine Transaktionsnummer abgefragt wird. Es würde reichen, wenn man die beispielsweise nur einmal pro Woche eingibt.

 

Ich merke mir übrigens nicht so gerne achtstellige Zahlen, um sie von der einen App in die andere zu Übertragen. Die SecurePlus App hat ja noch nicht einmal eine Kopierfunktion.

 

Eine Softwareanpassung mach ein durchschnittlicher Java-Entwickler in einigen Tagen (inkl. Unit-, Integrations-,... -Test und Deployment usw. in Produktion. Dazu muss man sich in der Datenbank nur ein paar zusätzliche Infos zum Login speichern. Das ist nicht teuer und steht in keinem Verhältnis zu Kundenverlusten oder Marketingausgaben, um neue Kunden zu gewinnen.


Regelmäßiger Autor
  • Community Beobachter
  • Community Junior
  • Kommentator
Beiträge: 43
Registriert: 09.09.2019

 

Vorsicht: Bei der Bank kannst du keine Offline-Überweisungen etc. mehr vornehmen, da die die Schnittstelle nicht mehr weiterentwickeln/anpassen. Alles muss zukünftig per Login über die Webseite erfolgen.

 

Du kannst nur noch deinen Kontenstand abfragen, was das einzige Zugeständnis der Bank aufgrund des **bleep**storms war.

 

0 Likes

Gelegentlicher Autor
  • Kommentator
Beiträge: 15
Registriert: 21.09.2019

Danke für den Hinweis. Kontostand und Umsätze sollen sich weiter abrufen lassen und das habe ich mit einem Konto eines Freundes gerade erfolgreich geprüft. Das reicht mir, weil ich mehrmals in der Woche mit der App einfach nur reinschauen und kategorisieren muss.

Zudem muss man bei einer anderen Bank nur alle 90 Tage eine starke Authentifizierung mittels TAN beim Login durchführen. Damit habe ich schon mal zwei bessere Alternativen. Jetzt geht es mir schon etwas besser. Ich bin wirklich über das Verhalten von CB zutiefst beunruhigt und schockiert.


Aufsteiger
Beiträge: 1
Registriert: 02.11.2018

Ich war eben auch auf der Suche nach einer Einstellung für die Häufigkeit der TAN Abfrage. Insbesondere, wenn es "nur" um eine Umsatzabfrage via HBCI/FINTS geht verstehe ich diese Vorsichtsmaßnahme nicht.

 

Und: Bei allem Respekt die Ausrede nach Komplexität greift nicht. Vermutlich liegt die Entscheidung eher darin, die Kunden auf die Bequemlichkeit im Browser oder CortalConsors App zu bringen und dabei dann noch weitere Produkte zu verkaufen.

 

Ich werde mir das jetzt noch ein paar Wochen anschauen.

Als Eigentümer mehrer Girokonten wird mir der Wechsel zu einer anderen Bank jedenfalls sehr leicht fallen.
Schade nur für die Cortal Consors, bin mittlerweile seit 15 Jahren ein treuer Kunde....

0 Likes

Regelmäßiger Autor
Beiträge: 42
Registriert: 18.11.2014
ich hoffe Sie haben verstanden, dass die Consorsbank einfach weit, weit, weit übers Ziel hinausgeschossen ist. Wenn die Consors ganz vom Netz ginge, dann wäre alles ganz ganz total absolut sicher vor Hackern. mfg Mayer
0 Likes

Aufsteiger
Beiträge: 1
Registriert: 11.10.2019
Der Vorschlag ist Super und sollte auch umgesetzt werden!
0 Likes
Antworten