Community

Antworten
Confusious
Regelmäßiger Autor
Beiträge: 62
Registriert: 09.09.2019
Nachricht 61 von 423 (1.737 Ansichten)

Betreff: TAN-Wahnsinn beim Einloggen - Secure Plus App

noch eine Vereinfachung habe ich gefunden:

 

  • in den Add-On Einstellungen default time = 00:04:50 einstellen
  • dann muss man im Banking-"Steuertab" nur noch "Enable Reloader for this tab: Enabled" setzen (und nicht jedes Mal "04:50" eintippen)
bassmaster
Gelegentlicher Autor
  • Beitragsunterstützer
  • Community Junior
  • Community Beobachter
  • Community Junior
Beiträge: 14
Registriert: 24.11.2016
Nachricht 62 von 423 (1.707 Ansichten)

Re: Betreff: TAN-Wahnsinn beim Einloggen - Secure Plus App

Dann setzt bitte die Richtlinie mit 90 Tage um. Ich muss um hier antworten zu können eine Tan generieren. 

Ich kann das alles verstehen, wenn man Geld überweisen muss oder Aktien kaufen möchte, aber nicht, wenn ich mein Kontostand oder Depotstand sehen möchte. 

 

Ich habe gerade bei PayPal nochmal nachgeschaut. Da muss ich absolut nichts machen. Nichtmal einloggen. Name und Passwort sind gespeichert und ich bin sofort drin. 

 

 

Adler55
Regelmäßiger Autor
Beiträge: 45
Registriert: 24.01.2015
Nachricht 63 von 423 (1.688 Ansichten)

Re: Betreff: TAN-Wahnsinn beim Einloggen - Secure Plus App

[ Bearbeitet ]

Paypal Sitzt in Luxemburg.

Das Luxemburgische PSD2 Einführungsgesetz und die Unterschiede zu Deutschland kenne ich nicht.

Der Vergleich hinkt. Wer Sicherheit ernst nimmt hat übrigens auch bei Paypal schon längst 2FA aktiviert.
2FA ist der defacto Standard für alle kritischen Zugänge im Web (selbst Google, Facebook, Steam, Aplle/iCloud, Dropbox) , nur ewiggestrige deutsche Technikverweigerer regen sich über sowas noch auf.

 

edit:

Hier nähere Hintergründe zu Paypal, wenn auch Offtopic:

https://www.internetworld.de/technik/payment/zwei-faktor-authentifizierung-paypal-co-planen-1723764....

[...]

Bei PayPal kommt es auf die Zahlart dahinter an

4. PayPal: PayPal gilt nach eigenen Angaben als Zahlungskonto im Sinne der PSD2 und muss damit die Vorgaben zur Zwei-Faktor-Authentifizierung umsetzen. Wie das konkret aussehen wird, verrät PayPal noch nicht. Ein Team arbeite derzeit an der Umsetzung. Ziel sei, "auch künftig ein möglichst reibungsloses Bezahlerlebnis bieten zu können", heißt es aus dem Unternehmen. Allerdings sichert PayPal seinen Händlern zu, dass die Bestimmungen bis zum Stichtag erfüllt werden und dass auf die große Mehrheit der Händler kein zusätzlicher Entwicklungsaufwand zukommen wird.
Prinzipiell macht es einen Unterschied, ob die PayPal-Zahlung per Lastschrift oder per Kreditkarte abgewickelt wird. Bei einer Lastschriftzahlung ist auch hier keine Authentifizierung nötig, bei einer Kreditkartenzahlung hingegen schon. Daher wird PayPal vermutlich auch nur bei Kreditkartenzahlungen die nötige Authentifizierung einbauen. Denkbar wäre eine Einmal-TAN, die per SMS, per E-Mail oder per App ausgegeben wird. Diese Möglichkeit bietet PayPal besonders sicherheitsbewussten Kunden bereits heute an, sie wird aber wohl kaum genutzt.
Ebenso denkbar sind biometrische Verfahren wie ein Fingerabdruck oder ein Gesichts-Scan über die PayPal-App. Da viele PayPal-Nutzer sehr mobil-affin sind, ist zu vermuten, dass die schnellen Biometrie-Verfahren hier künftig eine große Rolle spielen werden. 
[...]
 
Confusious
Regelmäßiger Autor
Beiträge: 62
Registriert: 09.09.2019
Nachricht 64 von 423 (1.653 Ansichten)

Re: Betreff: TAN-Wahnsinn beim Einloggen - Secure Plus App

Hallo @CB_Stephanie , danke dass Sie sich beteiligen.

 

> "Die technische Umsetzung wäre damit sehr komplex geworden"

 

Mit anderen Worten: die Umsetzung ist für die IT-Abteilung im Moment zu schwierig.

Dann bleibt zu hoffen, dass das in naher Zukunft (ohne den aktuellen Zeitdruck) doch noch gelöst wird.

(Andere Banken konnten es ja auch) Roboter (zwinkernd)

Ross_Carpenter
Gelegentlicher Autor
Beiträge: 6
Registriert: 10.09.2019
Nachricht 65 von 423 (1.546 Ansichten)

Betreff: TAN-Wahnsinn beim Einloggen - Secure Plus App

[ Bearbeitet ]

ja das kann ja sein, aber warum wird einfach nur alles abgewunken. Wer hat denn in der EU eine Lobby, oder kann da mal sagen das was ihr vorhabt ist Schwachsinn. Oder kann mir bitte jemand den EU Ausschuss nennen oder den zuständigen Mnister an den ich meine Beschwerde richten kann. Soll ich das Problem etwa meinem Abgeordneten schildern ? der Kennt diese EU Richtlinie vermutlich nicht einmal.

 

Was sind das für Sicherheitsaspekte, mein PC wird doch auch nach 15 Minuten ausgeloggt. Es kommt doch eh niemand an mein PC und mein Handy ist auch mit Fingerprint und Pin gesichert das schaltet sich doch eh nach 30 Sekunden aus. Mittlerweile muss ich beim arbeiten mit PC und Apps 20 mal Passwörter und TANS eingeben um überhaupt noch arbeiten zu können. Das nächste mal wird noch eine TAN beim bedienen der Maus gefordert, oder bevor ich telefonieren will. Und wer länger als 5 Minuten nix am telefon sagt weil der andere spricht wird ausgeloggt oder wie Lachender Smiley

 

Audioralf
Regelmäßiger Autor
  • Community Beobachter
  • Kommentator
Beiträge: 26
Registriert: 08.09.2019
Nachricht 66 von 423 (1.522 Ansichten)

Betreff: TAN-Wahnsinn beim Einloggen - Secure Plus App

In der Tat haben andere Banken die Anforderung an die Entwicklung so gestaltet, dass die TAN nicht jedesmal abgefragt wird.
Vielleich hat man bei Consors gedacht, wir machen es erst mal einfach und der Kunde wird sich schon daran gewöhnen. Man hat etwas Geld bei de Entwicklung gespart.
Sicherlich gehen die Wogen derzeit hoch, aber die ständige Authentifizierung bringt auch neue Probleme, die vorallem Personalkosten beim Support verursachen.
Da ich überwiegend mit HBCI arbeite und auch dafür eine App habe, werde ich Überweisungen erst einmal über meine andere Bank machen. HBCI geht zwar mit "Banking4" (Subsembly), aber ich kann kein QR Scannen wenn ich alles vom Smartphone machen will. 
Das macht das Consorbanking mit der Integration der SecureID schon deutlich besser, aber für den schnellen Blick aufs Konto ist das einfach zu lästig jedes mal die TAN einzugeben. Das sollte dringend nachgebessert werden.

Highlighted
MoneyHero
Gelegentlicher Autor
Beiträge: 13
Registriert: 21.01.2015
Nachricht 67 von 423 (1.393 Ansichten)

Betreff: TAN-Wahnsinn beim Einloggen - Secure Plus App

Soeben Post (eMail) von einer anderen Bank erhalten:

„Ihr Online-Banking wird ab dem 11. September 2019 noch sicherer:

Die sogenannte ,,starke Kundenauthentifizierung" dehnt sich zukünftig auch auf die folgenden Bereiche in Ihrem Online-Banking aus:

- Anmeldung: alle 90 Tage Eingabe einer TAN bei Anmeldungen, erstmalig zum 10.12.2019

- Abruf der Umsätze: Eingabe einer TAN bei jedem Abruf von Umsätzen, die älter als 90 Tage sind, erstmalig zum 11.09.2019

Außerdem wird zukünftig Ihre Online-Banking Sitzung schon nach 5 Minuten Inaktivität automatisch getrennt.“

Ich hingegen wurde soeben erstmalig schon bei der Anmeldung für diesen Community-Teil der Consorsbank-Plattform zur Eingabe einer TAN gezwungen...

Das eine ist reguliertes, konformes Banking - das andere frustriert einfach nur. Ich glaube an das Gute - auch bei der Consorsbank - und kann mir nicht vorstellen, dass die aktuell implementierte Architektur mit der ALWAYS-TAN-Policy nicht in Kürze abgelöst wird - von einer spezifischeren, weniger invasiven Variante (meinetwegen alle 30 Tage einmal!). Jetzt schon vorab Applaus an den Mitarbeiter mit Führungsverantwortung bei der CB welcher diese dramatische Fehlentscheidung korrigiert (besser späte Einsicht als nie!), Danke.
Cyberchriss
Aufsteiger
  • Anerkannter Autor
Beiträge: 2
Registriert: 08.09.2019
Nachricht 68 von 423 (1.345 Ansichten)

Re: Betreff: TAN-Wahnsinn beim Einloggen - Secure Plus App

Hallo Stephanie,

 

für mich klingt es logisch, den zweiten Faktor an den Stellen nur alle 90 Tage abzufragen, an denen kein erhöhtes Risiko besteht (z.B. beim Abruf der Kontodaten). Deshalb hat wohl auch der Gesetzgeber eine solche Möglichkeit vorgesehen. Dass es für kritische Dinge wie beispielsweise eine Auftragsvergabe einer weiteren TAN bedarf, steht ausser Frage.

 

Was die Consors-App betrifft würde ich mich interessieren, wieso hier keine Geräteverknüpfung hergestellt wurde - soweit ich weiss, machen das andere Banken derzeit so. 

 

Ein Gewinn an Sicherheit beim Login über den Desktoprechner und Authentifizierung über eine 2FA über das Handy kann ich nachvollziehen. Wo liegt jedoch der Sicherheitsgewinn wenn man auf dem Smartphone mit Consorsbank-App und SecurePlus-App unterwegs ist?

 

Die Logoutzeit von 5 Minuten macht für mich durchaus Sinn (z.B. auf Desktoprechnern, die auch mal eine Weile unbeaufsichtigt sind). Auf Smartphones jedoch, sollte ein Entsperren über den Fingerabdruck genügen.

 

Man kann sich darüber streiten, ob die Vorgaben durch den Gesetzgeber sinnvoll sind oder man das Thema Sicherheit besser in die Verantwortung der Institute gegeben hätte.

Ich denke, dass trotzdem genügend Spielraum bleibt eine kundenfreundliche Lösung zu schaffen - ich hoffe, dass Ihr Unternehmen diese Lektion gelernt hat.

 

Grüße aus dem schönen Steinau

Christian Volk

Confusious
Regelmäßiger Autor
Beiträge: 62
Registriert: 09.09.2019
Nachricht 69 von 423 (1.317 Ansichten)

Betreff: TAN-Wahnsinn beim Einloggen - Secure Plus App

@Audioralf "Vielleich hat man bei Consors gedacht, wir machen es erst mal einfach und der Kunde wird sich schon daran gewöhnen. Man hat etwas Geld bei de Entwicklung gespart."

 

so ist es wohl. Mich erinnert das an das Chaos bei der Umsetzung der DSGVO. Da haben viele Firmen (aufgeschreckt durch ihre Datenschutzbeauftragten, die auch nicht so recht wussten, was zu tun ist) einfach mal in vorauseilendem Gehorsam alle Vorschriften übererfüllt. So nach dem Motto: "bevor wir für irgendetwas haftbar gemacht werden können, drehen wir die Schrauben halt mal richtig an. Der Kunde wird's schon hinnehmen."

 

Pokestop
Aufsteiger
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 2
Registriert: 15.11.2016
Nachricht 70 von 423 (1.232 Ansichten)

Betreff: TAN-Wahnsinn beim Einloggen - Secure Plus App

[ Bearbeitet ]

Macht diese Login-TAN wieder weg, das kann doch nicht euer Ernst sein jeden Login abzusichern?! Das wird überhaupt nicht gefordert, warum macht ihr sowas?