Kennt Ihr Kreditinstitute, die Onlinebanking für Girokonto sowie für Tagesgeld ohne Zweitgerät anbieten?
Und falls ja: Welche könnt Ihr empfehlen und warum? Und welche nicht und warum?
Manche Banken bieten die Transaktionsfreigabe-App, die normalerweise auf dem Handy läuft, auch für den PC an, z.B.:
https://www.sparda-west.de/online-banking-secureapp-fuer-pc/
Das ist jetzt aber keine Empfehlung von mir.
1822direkt (2 Apps),
Ich würde so eine Frage ja nun nicht in öffentlich zugänglichen Bereichen des Internets stellen. Ich persönlich, wenn ich eine Frage wie Du hätte, auch nicht im Darknet.
Oder sollen hier etwa Hacker auf einfache Weise für sie nützliche Informationen in Erfahrung bringen?
Ich weiß auch nicht, warum Du so eine Frage stellst. Willst Du etwa „Besuch“ von außen auf dem Gerät bekommen, mit dem Du ohne Einsatz eines anderen Geräts Online-Banking usw. betreiben kannst? Damit über dieses eine Gerät eventuell Dinge geschehen, die Du unbedingt hättest verhindern wollen?
So etwas würde ich doch aus reiner Vorsicht heraus zu verhindern versuchen.
Was meinst Du mit „ohne Zweitgerät“? Aus Sicherheitsaspekten sollte eine Zwei-Faktor-Anmeldung auch immer mit 2 „Geräten“ durchgeführt werden.
Ich selbst bevorzuge die Nutzung eines TAN-Generators.
Z.B. die Sparkasse ermöglicht Online-Banking „nur auf einem Gerät“ - einem Smartphone:
https://www.sparkasse.de/pk/produkte/konten-und-karten/banking/mobile-banking.html
1 „Gefällt mir“
Du unterstellst @vatolin damit, dass er ein Bankkonto ohne zweiten Faktor haben will und man kann den Post auch dahingehend so interpretieren, aber nicht zwingend und ich bin da eher bei @Beabel :
Ist ein Zweitgerät eines, dass kein Smartphone ist sondern ein HW Token? Somit wäre ein Konto ohne Zweitgerät eines, bei dem der zweiten Faktor z.B. von einer App generiert wird.
Da warte ich mal auf die Antwort von @vatolin , weise aber noch darauf hin, dass an anderer Stelle im Forum die von den Banken angebotenen Arten des zweiten Faktors diskutiert wurden und nicht nur meine Hausbank sondern auch andere Banken durchaus erlauben, dass man sich mit Benutzername und Password anmeldet und auch die Kontobewegungen sehen kann und erst wenn man z.B. eine Überweisung tätigen will den zweiten Faktor benötigt.
Irgendwann schlägt aber auch in diesem Szenario die PSD2 zu: Nach einer gewissen Zeit wirst Du bereits beim Login nach einem zweiten Faktor gefragt. Oder wieder anders (bei meiner Direktbank erlebt): Du kannst dich mit PW einloggen, wirst dann aber nach Faktor 2 gefragt, wenn Du schon so etwas Banales machen willst wie Umsätze anzeigen.
1 „Gefällt mir“
Richtig. Irgendwann triff es ganz gut. Während ich mich in den letzten Wochen ohne Probleme am Tablet und am Notebook ohne zweiten Faktor einloggen und meine Kontobewegungen einsehen konnte ging es gerade (Vorführeffekt) nicht.
Und zum zweiten Faktor und der viel diskutierten Frage wie der bei den einzelnen Banken umgesetzt wird und wie es mit Sicherheit und Datenschutz aussieht: Bei einigen Banken im außereuropäischen Ausland, wo der zweite Faktor für Überweisungen benötigt wird, gibt es diesen als Zahlenmatrix im Scheckkartenformat mit 50 zweistelligen Zahlen. Dies ist - wenn auch altbacken - praktisch und datenschutzfreundlich und einfach mitzunehmen (kann man auch abfotografieren und im Handy verschlüsselt speichern). Bei einer Überweisung werden dann drei Zahlen (zweistellig) aus der Zahlenmatrix abgefragt, also sechs Zahlen wie beim Token und man hat kein zweites Gerät. Zahlenspeichergenies wie die Frau, die vor ein paar Tagen mehr als 18.000 Stellen der Kreiszahl Pi aufsagen konnte, speichern die 50 Zahlen locker zwischen zwölf und Mittag im Hirn ab. Aber wahrscheinlich ist diese Art des zweiten Faktors nicht PSD2 konform, wobei ich von noch keinem Fall gehört habe, dass jemand das System gehackt hat.
Für unsichere desktop OSe stimmt das, aber mit GrapheneOS oder iOS und einer PushTAN-App ist man sehr sicher unterwegs und hat mehr Komfort als mit einem separaten TAN-Generator. Auch auf einigen anderen Android-Geräten sollte die Sicherheit ausreichen. Einen full-system compromise wurde auf GrapheneOS noch nicht dokumentiert und auch unter iOS nur von state-level actors, die normalerweise nicht daran interessiert sind Geld zu stehlen sondern möglichst unbemerkt zu spionieren.
Viele Banken bieten PushTAN-Apps für Android und iOS als zweiten Faktor an. Für Desktop-OSe gibt es das (zurecht) meines Wissens nach niergends. Deutlich weniger Banken bieten separate TAN-Generatoren an. In manchen Vergleichsportalen kannst du das auch als Kriterium auswählen. Eine PushTAN-App ist deutlich sicherer als alte Verfahren wie Tabellen oder SMS.
1 „Gefällt mir“
Warum sollte man das nicht öffentlich diskutieren? Immerhin hat die BAFIN die 2FA ohne Zweitgerät für ausreichend sicher bewertet. Das jedenfalls hatte ich in einem Gespräch mit meiner ehemaligen Bank, in dem ich meine Bedenken über diese Umsetzung der 2FA zum Ausdruck brachte, zur Antwort bekommen.
1 „Gefällt mir“
Mir ist nicht klar, was der TO meint. Banking App + 2. Faktor auf demselben Handy? Da hat wenn ich mich richtig erinnere vor einiger Zeit mal ein Gericht gesagt, dass das nicht dem Sinn eines MFA entspricht, wie es die Gesetzesvorgaben meinen. Wobei ich auch von Leuten gelesen habe die das sogar als sicherer finden, jedenfalls wenn das Handy ordentlich geschützt ist weil das Handy und die App weniger exponiert sind als der (Windows)PC. Bin kein Experte, keine Ahnung ob da was dran ist.
Android-Geräte und iPhones sind deutlich sicherer als Desktop-OSe (Windows, MacOS, Linux-Distribution). Bei Android hängt es auch vom Gerät ab, bspw Google Pixels sind äußerst sicher, während Anbieter von Billigst-Smartphones schon durch schlechte Sicherheitspraktiken aufgefallen sind. Die Gründe für bessere Smartphone-Sicherheit sind vielfältig. Um ein paar zu nennen: starkes Sandboxing (für Apps, HALs, System), Verifizierter Start (gegen Persistenz), bessere Exploit-Mitigations usw. Insbesondere durch das Sandboxing wird ein Zugreifen von Malware auf die PushTAN-App im Normalfall verhindert. Zudem läuft die Authentifizierung, bspw via Fingerabdruck, über speziell gesicherte System-Bereiche ab, was am ehesten einem zweiten Faktor entspricht.
PushTAN ist sicherer als SMS, E-Mail oder TAN-Tabellen als zweiten Faktor, und bietet trotzdem Komfort.
Ich habe gerade auf der Seite der BaFin zum Thema Starke Kundenauthentifizierung und PSD 2 folgende interessante Punkte gefunden:
Die Pflicht zur Starken Kundenauthentifizierung verlangt jedoch eine Authentifizierung, die nicht nur aus einem, sondern aus mindestens zwei Elementen besteht. Diese Elemente müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Ein Beispiel für ein Element aus der Kategorie Wissen ist das bereits erwähnte Passwort. Ein Beispiel für die Kategorie Besitz ist das Mobiltelefon. Der Besitz des Telefons lässt sich zum Beispiel durch Eingabe einer Transaktionsnummer (TAN) nachweisen, die mittels einer SMS an das Telefon geschickt wurde. Elemente der Kategorie Inhärenz sind dem Nutzer persönlich beziehungsweise körperlich zu eigen, zum Beispiel sein Fingerabdruck.
Das heißt, dass es gemäß der PSD 2 nicht einer App wie BestSign oder eines HW Token bedarf, sondern eine SMS reicht, für die gilt:
Bei der Übersendung einer TAN mittels SMS muss dem Nutzer mitgeteilt werden, für welchen Betrag und Zahlungsempfänger diese TAN gelten soll;
Die Targobank z.B. übermittelt die TAN per SMS. Sicher wird jetzt der eine oder andere sagen, dass SMS unsicher sind und abgehört werden können. Ich persönlich würde die SMS der Nutzung einer App gegenüber vorziehen, zumal man die SMS auf jedem Mobiltelefon erhalten kann.
Die bisher noch manchmal verwendeten iTAN-Listen erfüllen diese Anforderung nicht, denn die dort aufgedruckten TANs sind für beliebige Zahlungen verwendbar. Darüber hinaus sind die Listen leicht kopierbar.
Damit habe ich meine Frage weiter oben nun selbst beantwortet.
Nach der PSD 2 ist die Starke Kundenauthentifizierung auch dann erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift. In der Praxis wird aber für das einfache Einloggen in das Online-Banking oft eine einfache Authentisierung ausreichen, zum Beispiel die Eingabe eines Passworts. Denn die Delegierte Verordnung sieht eine Ausnahme von der Pflicht zur Starken Kundenauthentifizierung vor, wenn der Nutzer nur seinen Kontostand oder die Umsätze der letzten 90 Tage ansehen will.
Das bestätigt meine Erfahrung mit der Postbank, bei der ich zumindest bis vor ein paar Wochen noch ohne zweiten Faktor meine Kontobewegungen einsehen konnte.
2 „Gefällt mir“
Danke, das ist sehr interessant.
Ich glaube, ich verstehe jetzt, wieso die Freigabe-App auf dem PC als ausreichend sicher bezeichnet wird, auch wenn sie eventuell auf dem gleichen System läuft wie das Online-Banking. Weil sie für das Gerät (über den Postweg) aktiviert werden muss und damit nur auf diesem Gerät läuft. Damit hab ich die Kategorie „Besitz“ für die Freigabe-App und die Kategorie „Wissen“ für das Online-Banking, wo auch immer das läuft.
Aus Sicherheitsperspektive ist SMS eine der schwächsten 2FA-Methoden, da SIM-Swapping und andere Attacken noch vergleichsweise einfach sind. Bei entsprechend hohem finanziellen Anreiz für Angreifer, ist die Hürde nicht hoch genug. Beispielsweise im Krypto-Bereich gab es dadurch zahlreiche Diebstähle. PushTAN ist deutlich sicherer, da eine volle System-Kompromittierung unter iOS/Android viel schwerer ist.
Da gebe ich dir technisch gesehen recht und wenn ich mein Bankkonto mit meinem Nitrokey absichern könnte, dann würde ich das auch machen. Das mit TAN über SMS einhergehende Risiko wäre für mich akzeptierbar. Ein Angreifer müsste zuerst in den Besitz von meinem Benutzer und Kennwort kommen, die ich sehr gut schütze oder z.B. darauf hoffen, dass ich in eine Phishing Falle tappe. Wie schon oben geschrieben würde ich eine TAN über SMS bevorzugen wenn ich statt dessen keine BestSign App oder andere Apps oder propietäre Hardware nutzen muss.