als GrapheneOS-Nutzer habe ich eine gesunde Allergie gegen Google-Zeugs entwickelt und so auch gegen die PlayServices…was kein Wunder ist.
Banken scheinen teilweise ein Problem damit zu haben, die Rechenleistung eines Smartphones zu bemühen, um eine TAN auszurechnenen, und implementieren stattdessen lieber einen Zugriff auf ihr Rechenzentrum via App, um dort mit einem gewaltigen Rechenaufwand die TAN zu errechnen und via pushTAN-Verfahren aka Push-Nachricht via Google zurückzusenden.
Das ich das nicht als sicher erachte, spielt jetzt mal keine Rolle sondern: Wenn ich das richtig verstanden habe, kann GOS „aus dem Stand heraus“ keine Push-Nachrichten empfangen (was ich GUT finde).
Damit wäre ich bei PushTAN ersteinmal außen vor - außer ich installieren die PlayServices und erlaube Nachrichten der Bank über Server in den USA laufen zu laseen .
Mal abgesehen von der eher als Satire gemeinten Errechnung der TAN in Rechenzentren…liege ich da richtig?
Welche Verfahren der TAN-Erzeugung via Banking-TAN-Generator kann ich akzeptieren ohne die PlayServices installieren zu müssen.
Gibt es irgendwo eine Liste der „guten Banken“ und der „bösen Banken“ in Bezug auf GOS-Nutzer?
Also ich habe jetzt keine Liste parat, aber ich habe nach 20 Jahren Volksbank zur DKB gefunden und deren App macht keine Probleme. Muss aber dazu sagen, dass ich das TAN verfahren sowieso nicht auf dem Handy nutze.
Wenn ich das richtig verstehe, braucht man bei den TAN Apps auf dem Handy eigentlich keine Push Benachrichtigung.
Man weiß eh, wann eine TAN vorliegen müsste. Bei einer Überweisung einfach die TAN App öffnen und die TAN einsehen. Die App muss sich dafür ja nicht bei mir melden, damit ich sie öffne.
Viele Banking Apps stören sich eher daran, dass sie auf einen nicht „zertifizierten“ System laufen sollen. Was aber weder bei der DKB noch bei der BBBank der Fall ist.
Eine „push-Nachricht“ bedeutet im allgemeinen erstmal nur, dass etwas an dein Handy gesendet („gepusht“) wird. Da man aber nicht einfach Daten an ein Gerät senden kann, gibt es „push-Dienste“:
Anstatt dass jede App eine eigene Verbindung zu einem Server (z.B. zur Bank, zu Signal, zu WA etc.) aufrechterhält um Nachrichten zu empfangen, wird eine zentrale Verbindung genutzt (meist Play-Dienste via Google-Server oder z.B. ntfy via UP) um Apps aufzuwecken (im Prinzip werden die von den Play-Services angestupst mit „Aufwachen, ruf mal deine Mails ab“), was den Akkuverbrauch MASSIV reduziert. Siehe dazu z.B. die Signal-Websocket Problematik.
Ohne push-Dienst muss eine App eine eigene Verbindung aufrecht erhalten und dafür dauerhaft im Hintergrund laufen. Dafür muss sie entsprechend programmiert sein. Das sind die TAN-Apps meines Wissens nach nicht. Entsprechend bekommst du keine Benachrichtigung über eine neue TAN, wenn du Onlinebanking machst.
Öffnest du die App aber, dann baut sie eine Verbindung zum Server der Bank auf und bekommt so von der neuen TAN mit.
Entsprechend braucht man keine Play-Services für reine TAN-Apps.
Etwas anders ist das bei Apps, die TANs „auf Zuruf“ in derselben App generieren. Z.B. bei Neobrokern zum Login am PC. Hier bekommt die App auch wenn sie geöffnet ist schlicht nichts von dem Loginversuch mit und man muss halt auf SMS-TAN zurückfallen.
Die App wird lediglich benachrichtigt, dass eine TAN oder Freigabeanforderung vorliegt. Damit kann sie dich darauf hinweisen. Die TAN selbst wird jedoch nicht per Push Dienst übermittelt. Du kannst also die App auch manuell öffnen, wenn du eine Freigabe erwartest. Also bei mir funktioniert das genau so. Ich Überweise z.B. per PC und öffne dann die App auf dem Smartphone für die Freigabe. Mit Push Service würde ich eine Mitteilung bekommen, aber ich weiß ja eh, dass ich was freigeben muss. Irgendwie ist Push hier eine ünnötige Komfortfunktion.
@Dennis77
<comichafterRumprotzmodus>
Bei der Bank, bei der ich jetzt bin (und bleibe ) benutze ich einen separaten TAN-Generator…der schickt mir auch keine Nachricht, wenn er mit dem Rechnen fertig ist. Es liegt in meiner Verantwortung, auf das Display zu achten.
Ich denke, dass ich eine App mit ähnlichem Verantwortungsbewußtsein in der Lage sein werde, zu bedienen…
</comichafterRumprotzmodus>
Ist SMS-TAN eine immer vorhandene Ausweichmöglicheit oder unterliegt deren Existenz dem Wohlwollen der Bank gegenüber ein paar Nerds wie uns („Nerds“ ist alles andere als abfällig gemeint!!!) ?
@jyrgi66
Wie reagieren TAN-Apps von Banken, wenn man ihnen den Netzzugang entzieht?
Soweit Ich das weiß, und nachvollziehen kann - nämlich gar nicht…
wird bei TAN Apps ein Geheimnis auf dem Gerät gespeichert, und mithilfe von vom Server gesendeten Daten (Betrag, …) eine TAN berechnet, die nur für diese Transaktion gültig ist. Der Server berechnet sie nur ebenfalls, um sie zu prüfen.
Das geht ohne Push, indem sich die App einfach beim öffnen mit dem Server der Bank synchronisiert.
Letzteres machen wohl manche TAN Apps nicht, und erhalten so keine Info über die TAN Anfrage - da wird dann Push verwendet um - ziemlich sicher - nur „Gibt eine neue Anfrage, meld dich beim Server der Bank“ zu übertragen.
Im Detail kommt das auf die Bank an, aber alles andere wäre mMn. unsinnig, für 2FA.
Kommt ganz auf die Implementierung an.
Die Comdirect verwendet z.B. ihre eigene PhotoTAN App.
Hat auch eine Push Funktion. (Man kann sich auch einen Generator kaufen)
Wenn keine Play Services verfügbar sind, aber die Netzwerkverbindung, können keine „Benachrichtigungen“ aktiviert werden. Wenn du jedoch die App öffnest, wird dir die Anfrage angezeigt, nachdem sich die App zum Server der Bank verbunden hat.
Wenn weder Play Services noch Netzwerkverbindungen verfügbar sind, lässt sich das Symbol zum Scan des Matrixcodes - per Knopf auf der Seite erreichbar - verwenden, und dann wie bei einen Generator scannen, dann wird - erneut, vom Gerät - eine TAN generiert, und die z.B. Beträge per Matrixcode übertragen.
Wie das bei reinen PushTAN Apps ohne Netzwerkanbindung aussieht… Die werden wohl nicht die Beträge und andere Zahlungsoptionen übertragen können, um eine an diese Transaktion gebundene TAN zu übertragen. Es sei denn, es gibt ein offline Fallback.
Nein. SMS-TAN gilt allgemein als weit weniger sicher als push/ChipTAN und sollte für Zahlungsverkehrskonten daher nicht genutzt werden. Die meisten Banken haben SMS-TAN daher auch abgeschaltet.
Das gibt es aber noch bei Neobrokern(-banken(?)), deren Hauptanwendung die App ist. Dort registriert man sich ja allgemein mit einer Handynummer als Hauptidentifier und deshalb liegt SMS-TAN als Fallback (nach pushTAN über die App) nahe.
Warum? Gibt genügend Nutzer die Sandboxed Play Services in einem Profil nutzen.
Wir sollten froh sein, dass pushTAN bei den meisten Banken in Deutschland angeboten wird. Es ist viel sicherer als TAN-Karten, SMS o.ä. Zudem ist es komfortabel, wodurch es auch in der Bevölkerung große Akzeptanz findet. In Summe ein großer Gewinn an Sicherheit für sehr viele Menschen. Einfach mal über den Tellerrand hinausgucken. Selbst in vielen hochentwickelten Ländern werden im Bankensektor hauptsächlich weniger sichere Verfahren wie SMS angeboten. Einfach mal die Kollegen aus den USA fragen.
Welcher gewaltige Rechenaufwand? Das ist Quatsch.
PushTAN und Google Push-Nachrichten sind nicht das selbe. Die Bank kann ersteres auch ohne letzteres implementieren.
pushTAN geht auch ohne Play Services, das liegt aber an der Implementierung deiner Bank.
Sollte deine Bank Play Services für PushTAN voraussetzen, einfach ein separates Work- oder Nutzerprofil mit Play Services und TAN-App, anstatt sich darüber aufzuregen. Wenn du es gerade nicht benötigst, kannst du das Profil ja sogar beenden.
Manche Banken bieten extra Tan-Generator-Geräte (ChipTAN o.ä.) an.
Die Größe der Masse von Leuten, die ein bestimmtes Verhalten zeigen, ist für mich kein Grund, ihnen nachzueifern.
Fakten sind mir wichtig. Nicht Menge.
Habe ich gelesen. Keine Satire und meiner Meinung nach sinnvoll. Anscheinend hast du meinen restlichen Kommentar ignoriert, in dem gute Lösungen aufgezeigt werden und auch mit Fehlverständnis aufgeräumt wird.
Ich habe mir dem Pixel 7a auch keine Probleme mit der DKB app. Neuerdings schickt sie sogar bevorstehende Buchungen. Die scheinen zumindest zu wissen das GrapheneOS ein sicheres Betriebssystem ist. Es gibt aber auch Apps die ihren Dienst, auch mit nachinstallierten Google Diensten im shelter Arbeitsprofil, verweigern.
in Bezug auf GOS-Nutzer?