Jump to content
MantafahrerXY

Fidor erhebt Kontoführungsgebühren

Empfohlene Beiträge

TAN und sonstige Authetifizerung:

PSD2 PSD2 Bundesbank  Payment Services Directive2

Zitat

Die Verpflichtung zur starken Kundenauthentifizierung und die Öffnung der Zahlungskonten für „Dritte“ wurden zunächst noch in Technischen Regulierungsstandards der Europäischen Kommission (RTS, Regulatory Technical Standards) näher spezifiziert. Sie treten mit der zweiten Stufe am 14. September 2019 in Kraft.

 

Ab 14. September 2019 müssen alle Online-Zugänge der Banken neue Authentifizierungsverfahren einrichten.

Zitat

Darüber hinaus führt die PSD2 ab dem 14. September 2019 die Verpflichtung der sogenannten „starken Kundenauthentifizierung“ ein. Dies bedeutet für Sie mehr Sicherheit im Zahlungsverkehr. Online- und Kartenzahlungen müssen nun grundsätzlich durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden.

 

Alle Banken sind mit ihrem Onlinezugang jetzt sehr unter Druck, müssen eine Zwei-Faktor-Authentifizerung bis 14.09.2019 verpflichtet verlangen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Minuten schrieb bjew:

 

2FA von Google oder ähnlich, ist den Banken nicht eigenartig genug

Google Authenticator dürfte  vielen Leuten "suspekt" sein. "Datenkrake" und so. Ich kann mir vorstellen, dass viele Bank-Manager glauben: "Google können wir unseren Kunden nicht anbieten."

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 3 Minuten schrieb Jokin:

Eigentlich könnten die Banken auch mal auf Google-Auth umsteigen. Das zu implementieren ist super einfach und offenbar auch ausreichend sicher.

Vorsicht da gibt es eine Falle. Sowohl bei der App Variante als auch bei Google Auth ist entscheidend ob das Handy root Rechte hat / Jailbreak. Die Banking App verweigert in dem Fall normalerweise den Dienst. Daher ist die Banking App auch in einer solchen Situation als Sicher zu bezeichnen. Google-Auth macht das meines Wissens nicht. Es gibt also eine Konstellation in der Google Auth nicht sicher ist.

Mobile Tan wäre von diesem Problem aber ebenfalls betroffen. Ein Handy mit root Rechten kann die mTan problemlos abfangen und umleiten. Von daher das jetzt meckern auf hohem Niveau. Außerdem ist die Konstellation für mich persönlich kein Thema. Wenn man die Gefahren kennt, lässt man das mit den root Rechten einfach bleiben und dann ist es auch sicher.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Gerade eben schrieb skunk:

Vorsicht da gibt es eine Falle. Sowohl bei der App Variante als auch bei Google Auth ist entscheidend ob das Handy root Rechte hat / Jailbreak. Die Banking App verweigert in dem Fall normalerweise den Dienst. Daher ist die Banking App auch in einer solchen Situation als Sicher zu bezeichnen. Google-Auth macht das meines Wissens nicht. Es gibt also eine Konstellation in der Google Auth nicht sicher ist.

Mobile Tan wäre von diesem Problem aber ebenfalls betroffen. Ein Handy mit root Rechten kann die mTan problemlos abfangen und umleiten. Von daher das jetzt meckern auf hohem Niveau. Außerdem ist die Konstellation für mich persönlich kein Thema. Wenn man die Gefahren kennt, lässt man das mit den root Rechten einfach bleiben und dann ist es auch sicher.

Ein Handy mit Root-Rechten auszuschliessen ist m.E. völlig berechtigt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Minute schrieb bjew:

Ein Handy mit Root-Rechten auszuschliessen ist m.E. völlig berechtigt.

Eben. Der Punkt ist Google Auth macht das nicht und ist daher nicht sicher genug um es in breiter Masse als TAN Verfahren zu nutzen. Als Ergänzung zu einem sicheren TAN Verfahren ja aber nicht als Ersatz eines TAN Verfahren.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 10 Minuten schrieb brincobtc:

TAN und sonstige Authetifizerung:

PSD2 PSD2 Bundesbank  Payment Services Directive2

Ab 14. September 2019 müssen alle Online-Zugänge der Banken neue Authentifizierungsverfahren einrichten.

Alle Banken sind mit ihrem Onlinezugang jetzt sehr unter Druck, müssen eine Zwei-Faktor-Authentifizerung bis 14.09.2019 verpflichtet verlangen.

Kann ich bestätigen. Meine Hausbank hat mich bereits darüber informiert. Zwei Faktor Authentifizierung wird in meinem Fall über die App laufen. Ich wusste nicht, dass alle Banken dazu gezwungen sind. Das lässt mich hoffen, dass auch Fidor in kürze gezwungen wird. Es besteht also noch Hoffnung.

Edit: Wenn wir schon dabei sind. Meine Hausbank hat aus dem ehemaligen Login Pin ein vollwertiges Passwort gemacht und anstelle der Kontonummer darf man sich einen Login Namen wählen. Auch das erhöht die Sicherheit enorm!

bearbeitet von skunk

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Minuten schrieb skunk:

Eben. Der Punkt ist Google Auth macht das nicht und ist daher nicht sicher genug um es in breiter Masse als TAN Verfahren zu nutzen. Als Ergänzung zu einem sicheren TAN Verfahren ja aber nicht als Ersatz eines TAN Verfahren.

Kundenorientiert wäre es, wenn die Institute eine gemeinsame Lösung finden würden, wenn sie schon nicht auf eine bestehende glauben zurückgreifen zu können. Aber das dauert, wie üblich, ca. 20 Jahre ...... ;)

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Minute schrieb skunk:

Kann ich bestätigen. Meine Hausbank hat mich bereits darüber informiert. Zwei Faktor Authentifizierung wird in meinem Fall über die App laufen. Ich wusste nicht, dass alle Banken dazu gezwungen sind. Das lässt mich hoffen, dass auch Fidor in kürze gezwungen wird. Es besteht also noch Hoffnung.

Also meine bietet - auch im Rahmen der PSD2 - weiterhin mTAN als Alternative an. Ist keine Feld- Wald- und Wiesenbank. Braucht das aber vllt., um ihre Cum Ex Geschäfte weitzer abwickeln zu können ;)

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Stunden schrieb bjew:

Ein Handy mit Root-Rechten auszuschliessen ist m.E. völlig berechtigt.

Finde ich nicht. Deine ec-Karte ist ja auch nicht von vorneherein dazu ungeeignet gemacht worden, deine PIN gleich im Klartext mit draufzuschreiben.

Daß dann die Verantwortung (sichere Aufbewahrung und so) auf den Nutzer abgeschoben wird ist ja ok. Vorauseilende Entmündigung nicht, schon gar nicht, wenn nicht mal genau erklärt wird, welche Veränderungen am Betriebssystem denn nun genau zur App-Sperre führen.

Mein Beispiel - ich wollte als reines Banking-Handy ein altes Samsung S4 mini reaktivieren. Da habe ich jetzt die Wahl:

  • Das offizielle Android 4.2 mit letztem Sicherheitspatch von 2014 - darauf laufen die Banking-Apps alle fröhlich und "sicher" 🤡
  • Ein sicherheitstechnisch aktuelles Custom-ROM wie LineageOS - so etwa die Hälfte aller Banking-Apps verweigert den Betrieb. In keinem Fall gibt die App, oder auf Nachfrage die Bank, den genauen Verweigerungsgrund raus. Manche Features könnte man ja abschalten. Root alleine ist es nicht...

Und jetzt? Zahle ich für eine Handvoll verschiedener TAN-Generatoren und einen schicken Rucksack dazu? Oder kaufe mir alle zwei Jahre ein aktuelles Smartphone nur für's Banking? Nein, zwei, weil Backup falls eines mal kaputt geht oder geklaut wird braucht man ja auch.. Geht's noch?

mTAN oder 2FA per Google Authenticator (oder der quelloffenen Alternative FreeOTP+) würde ich der Fußfessel "Banking-App" immer vorziehen.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 3 Stunden schrieb wwurst:

mTAN oder 2FA per Google Authenticator (oder der quelloffenen Alternative FreeOTP+) würde ich der Fußfessel "Banking-App" immer vorziehen.

 

ich auch

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 4 Stunden schrieb wwurst:

 

Und jetzt? Zahle ich für eine Handvoll verschiedener TAN-Generatoren und einen schicken Rucksack dazu? Oder kaufe mir alle zwei Jahre ein aktuelles Smartphone nur für's Banking? 

 

Ja, das mache ich. Ich hatte bislang ein 5 Jahres altes Nokia 6150 (oder so), das ich nur für Empfang von SMS Tan benutzt habe. Mittlerweile geht das nicht mehr, weil man verschiedene Apps braucht.

Lösung: Ab in den Media-Markt und das billigste aktuelle Smartphone gekauft (59,00 euro), alle nötigen Apps drauf installiert, aber auch nur die benötigten Apps. Nix anderes.  Und das ist jetzt mein Banking smart-phone. Mir völlig klar, dass ich in etwa 2 bis 3 Jahren wieder ein neues Smartphone benötige. Aber das ist halt so,

Rainer

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 8.9.2019 um 12:11 schrieb bjew:

Ein Handy mit Root-Rechten auszuschliessen ist m.E. völlig berechtigt.

Warum?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 8.9.2019 um 12:16 schrieb skunk:

Eben. Der Punkt ist Google Auth macht das nicht und ist daher nicht sicher genug um es in breiter Masse als TAN Verfahren zu nutzen. Als Ergänzung zu einem sicheren TAN Verfahren ja aber nicht als Ersatz eines TAN Verfahren.

Das ist doch Unsinn. Root macht ein Handy, wenn ich weiss was ich mache, eher sicherer.

Ich kann z.B. einen systemweiten Werbeblocker installieren was ohne Root nicht geht.

Ganz davon ab kann ich mit Root, da ich Vollzugriff habe, anderen Apps vorgaukeln das Handy hätte keinen Root Zugriff, so dass sie wieder funktionieren...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 8 Minuten schrieb Arghlh:

Das ist doch Unsinn. Root macht ein Handy, wenn ich weiss was ich mache, eher sicherer.

Ich kann z.B. einen systemweiten Werbeblocker installieren was ohne Root nicht geht.

Ganz davon ab kann ich mit Root, da ich Vollzugriff habe, anderen Apps vorgaukeln das Handy hätte keinen Root Zugriff, so dass sie wieder funktionieren...

ja klar, man kann, man kann aber auch nicht, man kann das Handy auch im Wirtshaus auf dem Tisch liegen lassen ohne jede Sperre und hoffen, dass es später noch da ist, ja, man kann

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Stunde schrieb Arghlh:

Das ist doch Unsinn. Root macht ein Handy, wenn ich weiss was ich mache, eher sicherer.

Nein. Oberste Regel ist immer, dass man eben nicht mit Root Rechten unterwegs ist weil sonst auch jede Schadsoftware mit eben diesen Rechten ans Werk geht und dann deutlich mehr Schaden anrichten kann. Das ist dann ein Traum für jeden Angreifer. Einfach mal direkt das komplette Handy nach Wallet Apps durchsuchen und die interessanten Dateien an einen zentralen Server funken. Ohne Root Rechte funktioniert das nicht. Zum Glück gibt es aber genug Freiwillige die ihre Handy  für derartige Angriffe bereit stellen ;)

bearbeitet von skunk

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Der Zauber der App-Depositorien, wie auch immer die bei Android oder Apple oder Windows heißen, ist doch, dass die Apps geprüft sind, nichts gegen das Betriebssystem tun und brav die API, den Zugang zum, des OS nutzen. Geschützte Einbettung. Sicherheit.

Ist ein Smartphone "gerooted", "jail breaked", oder so, dann kann jede Software installiert werden, und eine Appp kann weitere sehr unsichere Apps nach sich ziehen.

Der Schutzschirm zwischen Apps und Betriebssystem ist im "geöffneten Zustand", so will ich das mal nennen, vernichtet.

Ich als !Herr meines "geöffneten" Smartfones, kann gar nicht verhindern, was "dual apps", die im geschützten Zustand anders funktioniern als im "broken",  dann tun!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich hatte es doch oben geschrieben: Root ist nicht das einzige Kriterium, nachdem Banking-Apps die Arbeit auf Android verweigern. Manche bocken auch bei Custom-ROMs ohne root.Grund: unbekannt/geheim. Laufen aber auf einem Hersteller-Android mit Sicherheitsstand von 2014. Das ist etwa so sicher, wie heutzutage eine PC-Banking-App unter Windows XP zu betreiben.

Ich glaube ich übe lieber eine zittrige Seniorenstimme ein und stelle auf Telefonbanking um 😎

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ähm ... Android für Banking? 

Kann man machen ... 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 27 Minuten schrieb Jokin:

Ähm ... Android für Banking? 

Warum denn grundsätzlich nicht? Natürlich nicht die Spywarepakete, die auf den meisten (nicht nur China-) Handys drauf sind, sondern ein quelloffenes AOSP oder Lineage...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 46 Minuten schrieb wwurst:

Warum denn grundsätzlich nicht? Natürlich nicht die Spywarepakete, die auf den meisten (nicht nur China-) Handys drauf sind, sondern ein quelloffenes AOSP oder Lineage...

Ich halte Android für "zu scamfreundlich", zu schnell lassen sich da Lücken aufreißen.

Klar, wer darauf achtet was er installiert, der ist nicht pauschal gefährdet.

bearbeitet von Jokin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Stunden schrieb Jokin:

Ich halte Android für "zu scamfreundlich", zu schnell lassen sich da Lücken aufreißen.

Klar, wer darauf achtet was er installiert, der ist nicht pauschal gefährdet.

Die Mehrheit installiert eben mal schnell - und guckt dann. (Möglicherweise auch dumm aus der Wäsche)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 17 Stunden schrieb bjew:

ja klar, man kann, man kann aber auch nicht, man kann das Handy auch im Wirtshaus auf dem Tisch liegen lassen ohne jede Sperre und hoffen, dass es später noch da ist, ja, man kann

Tja, Argumente statt Polemik wären was...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 15 Stunden schrieb skunk:

Nein. Oberste Regel ist immer, dass man eben nicht mit Root Rechten unterwegs ist weil sonst auch jede Schadsoftware mit eben diesen Rechten ans Werk geht und dann deutlich mehr Schaden anrichten kann. Das ist dann ein Traum für jeden Angreifer. Einfach mal direkt das komplette Handy nach Wallet Apps durchsuchen und die interessanten Dateien an einen zentralen Server funken. Ohne Root Rechte funktioniert das nicht. Zum Glück gibt es aber genug Freiwillige die ihre Handy  für derartige Angriffe bereit stellen ;)

Gehen wir davon aus, das Handy-OS ist soweit sicher, es gibt keine bekannten Sicherheitslücken.

Dann hat natürlich NICHT jede App automatisch Root Rechte. Ich werde bei jedem Root-Zugriff vorher gefragt und muss ihn genehmigen. Analog zu den sonstigen Berechtigungsanfragen bei Apps (Kamera, Speicherzugriff,…).

Gibt es ausnutzbare Sicherheitslücken auf dem Handy, dann ist egal, ob das Handy gerooted ist oder nicht, die Lücken können in jedem Fall ausgenutzt werden.

Wo ist jetzt der Nachteil beim Root Zugriff?

Wenn ich ein Linux aufsetze habe ich per sudo/root Systemzugriff. Keiner käme auf die Idee, diesen Zugriff komplett zu entfernen, weil dann das System auf einmal viel sicherer wird.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
16 hours ago, brincobtc said:

Der Zauber der App-Depositorien, wie auch immer die bei Android oder Apple oder Windows heißen, ist doch, dass die Apps geprüft sind, nichts gegen das Betriebssystem tun und brav die API, den Zugang zum, des OS nutzen. Geschützte Einbettung. Sicherheit.

Und deshalb gibt es regelmässig Meldungen auf z.B. dem Heise-Blog, dass wieder soundsoviele unsichere/verbrecherische Apps in den Stores entdeckt wurden und entfernt werden mussten? :huh:

Dein Absatz ist die hehre Theorie, die Praxis sieht leider nicht so rosig aus. Es schlüpfen ständig Apps durch die Kontrollen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Stunden schrieb PeWi:

Und deshalb gibt es regelmässig Meldungen auf z.B. dem Heise-Blog, dass wieder soundsoviele unsichere/verbrecherische Apps in den Stores entdeckt wurden und entfernt werden mussten? :huh:

Dein Absatz ist die hehre Theorie, die Praxis sieht leider nicht so rosig aus. Es schlüpfen ständig Apps durch die Kontrollen.

https://www.t-online.de/digital/sicherheit/id_85661876/google-entfernt-100-apps-aus-dem-playstore-ueber-600-millionen-mal-installiert.html

https://www.zdnet.de/88366851/android-85-adware-apps-aus-play-store-entfernt/

https://www.chip.de/news/Android-Zahlreiche-Apps-fliegen-wegen-Spionage-raus_171281952.html

Sind ja *nur* ein paar Meldungen, völlig irrelevant bei einem absolut sicherem System

vor 4 Stunden schrieb Arghlh:

Tja, Argumente statt Polemik wären was...

Ist keine Polemik. Ist Tatsachenfeststellung. "Man kann", man kann es aber auch bleiben lassen ;) 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.


×
×
  • Neu erstellen...

Wichtige Information

Wir speichern Cookies auf Ihrem Gerät, um diese Seite besser zu machen. Sie können Ihre Cookie-Einstellungen anpassen, ansonsten gehen wir davon aus, dass Sie damit einverstanden sind. In unseren Datenschutzerklärungen finden sie weitere Informationen.