Ich will für mein NAS 2FA mit TOTP einrichten, vermutlich mit Aegis auf meinem GrapheneOS (Android 16) Telefon.
Was ist mit den Banken? Ich nutze die Commerzbank und die Sparkasse. Beide bieten Apps zur Authentifizierung. Weitere Infos finde ich nicht. Ich fürchte, deren Verfahren ist proprietär. Oder gibt es doch kompatible Lösungen von Drittanbietern?
Onlinebanking will ich auf portablen Endgeräten nicht nutzen.
Warum sollte man nicht-phishing-resistente Authentifizierung als zweiten Faktor für Banken einsetzen?
Ich kenne auch keine Bank die das anbietet. Wohl aus gutem Grund. Lieber PushTAN oder ChipTAN verwenden.
Warum?
Kurzfassung
TOTP Nein
Langfassung
Apps sind dafür nicht notwendig.
Das brauchen Sie für chipTAN
Neben einem fürs Online-Banking freigeschalteten Sparkassenkonto benötigen Sie Ihre Sparkassen-Card (Debitkarte). Außerdem den sogenannten TAN-Generator, den Sie bei Ihrer Sparkasse vor Ort oder online im SparkassenShop erhalten.
https://www.commerzbank.de/hilfe/digital-banking/erste-schritte-im-online-banking/
TAN-Verfahren und Gerät aktivieren
Mit Ihren Zugangsdaten können Sie sich im Online Banking anmelden. Dort finden Sie im Persönlichen Bereich unter dem Menüpunkt “TAN-Einstellungen” die Möglichkeit, Ihr Gerät freizuschalten. Hilfestellungen finden Sie überdies in Ihrem TAN-Aktivierungsbrief.
Diese Infos decken sich auch mit Der große Online-Banking- und TAN-App-Test
Dort findest du auch die Info das die von dir genannten Banken auch Ohne App benutzbar sind.
5 Beiträge wurden in ein neues Thema verschoben: 2FA sicherer als Aegis?
Ich sehe keinen Grund unterwegs Onlinebanking zu betreiben, das ist alles.
Ich nutze seit Jahren diese TAN-Generatoren. Kosten jedes Mal fast 30 Euro und der letzte hielt keine 6 Monate, dann war das Display kaputt.
Habe ich das richtig verstanden: die Authentifizierungsapps der Banken nutzen nicht TOTP? Also brauche ich für jede Bank ihre eigene 2FA-App? Wenn’s hilft…
Danke für die Hilfe! 
Leider ja, weil die auf PushTAN setzen. TOTP hat halt keine “Transaktionsnummer” eingebaut, sprich die Auftragsdaten wie z.B. Kontonummer, die man abgleichen muss, um nicht in Mithaftung zu geraten, falls das Geld in den falschen Händen landet. Daher seit einiger Zeit auch der Namensabgleich von Kontoinhabern, der bei mir häufig zu nervigen False Positives führt.
Nutzt man die dedizierten PushTAN-Apps, macht man aus Haftungs-Perspektive jedenfalls alles richtig, selbst wenn die App auf demselben Gerät läuft wie die Banking-App, was an der technischen Sinnhaftigkeit zweifeln lässt. Da man jede PushTAN-Installation (im Unterschied zur Banking-Anwendung, die auch im Browser laufen könnte) als vertrauenswürdiges Gerät einzeln registrieren muss, nehmen die Banken das quasi als Identitätsnachweis. Dasselbe gilt leider auch noch für mTAN per SMS - technisch zweifelhaft und unsicherer als TOTP, nach der Logik der Bank aber der Nachweis ‘das ist die berechtigte Person’.
Danke für die Erklärung.
Der Namensabgleich von Kontoinhabern kann nerven aber wie es vorher war, kein Schutz vor Tippfehlern und Betrug, war es imho noch schlimmer.
Die Empfängerüberprüfung: Eine neue Methode, um Angst zu erzeugen, Sicherheit vorzugaukeln, Kontrolle auszuüben und unterm Strich einfach nur eine neue Möglichkeit zu haben, missliebigen Bankkunden ihr Einkommen abzudrehen. Und der dressierte Deutsche macht mit und bricht lieber die Überweisung ab, wenn der Name nicht übereinstimmt.
Zu meiner Zeit auf der Bank (bis 1997) galt der auf der Überweisung angegebene Name. Wenn man die falsche Kontonummer angab, war der Name entscheidend und die Bank musste dafür sorgen, dass das Geld an den richtigen Empfänger kam. Ich kann mich sogar an einen Rechtsfall erinnern.
Weiß nicht mehr, in welchem Jahr das geändert wurde, dass die Kontonummer nun das einzig gültige Kriterium war, aber man muss nicht lange überlegen, wer uns (= den Souverän) zugunsten der Banken (Anteilseignern) verraten hat.
Ich staune hier immer wieder auf welche Zusammenhänge hier gekommen wird, besonders wenn sie nicht näher ausgeführt werden. Was nun aber die Empfängerprüfung mit dem Empfang von Einkommen zu tuen haben soll kann ich mir aber beim besten Willen nicht vorstellen.
Wenn man Thomas Müller heißt, kamen die Bankangestellten bestimmt ziemlich ins Schwitzen.
Falls das hier wirklich ernsthaft weiter diskutiert werden soll, bitte ich darum ein neues Thema aufzumachen. Das hat nichts mehr mit TOTP und 2FA zu tun.
Wozu willst du 2FA bei der Commerzbank? Ohne Foto-TAN (den FOTO-TAN-Generator verkauft dir die CB) oder Chipkarte kommst du dort ohnehin an nichts heran. Auch der Login auf deren Seite nur mit TAN. Setze dir mit KeePassXC ein langes (ca. 20-30 Stellen) Passwort und gut ist es. Das funktioniert bei mir klaglos auf der WEB-Seite ebenso wie in Hibiscus.
Mal ganz davon abgesehen, das du bei der Commerzbank immer noch mit Sicherheitsdatei oder Chipkarte arbeiten kannst. Die Chipkarten bietet die CB leider nicht mehr an. Aber das Verfahren an sich (privater/öffentlicher Schlüssel) bleibt mit der Sicherheitsdatei bestehen.
Bei den Sparkassen sieht es meines Wissens auch etwa so aus. Allerdings musst du da tatsächlich ein anständiges Passwort verwenden, denn mit Benutzer/Passwort kommt man zumindest in die lesenden Übersichten rein. Für Überweisungen brauchts dann auch den TAN-Generator und die EC-Karte.
Sehr vernünftig…
Würde bei der Commerzbank-Tochter comdirect (inzwischen wieder mit dem Mutterkonzern verschmolzen) leider nichts bringen. Aus technischen Gründen (Telefonbanking-Dinosaurier) wird als ‘Passwort’ fürs Web nach wie vor nur eine PIN toleriert, also ein Nummerncode im niedrigen einstelligen Bereich. Da ist der von der PSD2-Richtlinie erzwungene zweite Faktor selbst beim Login (nicht nur bei Überweisungen) ein echter Sicherheitsgewinn.
Ich denke mal, es gibt auch sonst noch so einige Webservices, die auf einer Legacy-IT beruhen und Beschränkungen bei Länge und/oder Komplexität des Passwortschutzes aufweisen, die dem heutigen Stand der Technik spotten.
Will jetzt kein Off-topic-Fass aufmachen, aber es gibt einige hier im Forum, die darauf hinweisen, dass moderne Betriebssysteme wie Android, ChromeOS oder iOS zwar datenschutzmäßig bedenklich sein mögen, aber schon wegen des von Anfang an mitgedachten Sandboxings den Desktop-Betriebssystemen in puncto Sicherheit überlegen sind.
Eine physische Trennung von erstem und zweitem Faktor (der auf mobilen Geräten oft nicht umgesetzt wird) wäre natürlich ein Sicherheitsgewinn. Den Banken scheint eine solche sicherheitsbewusste Praxis in Haftungsfragen allerdings gleichgültig zu sein: Homebanking mit dem Smartphone sehen die als Normalfall an, während die AGB bei einem Desktopsystem oft einen ‘aktuellen Virenschutz’ voraussetzen, um die Haftung vom Kunden abzuwälzen.