ING (DiBa) - Die Bank für mich?

[Gast231208]

vor 21 Minuten von BFler:

Der Kostenpflichtige phototan Generator, liegt neben der itan Liste auf dem Tisch.

Wo ist der Generator sicherer als die Liste?

Vielleicht darum? (PS @chirlu war schneller)

Zitat

 

https://www.vergleich.de/tan-verfahren.html

Was ist an den neuen Verfahren besser?

Sie gelten als sicherer. Ihre Transaktionen beim Online-Banking sind besser geschützt, weil die TAN-Nummer in Form eines dynamischen Authentifizierungscodes zeitgleich zu Ihrem Geldgeschäft erzeugt wird. Für diese neuen TAN-Nummern gelten folgende Sicherheitsstandards: Sie

müssen aus den Überweisungsdaten erzeugt werden,

dürfen anders als bisher nur zeitlich begrenzt gültig sein und

sollten nach Möglichkeit auf einem separaten Gerät generiert werden.

 

 

Frage mich gerade, ob das eine ernst gemeinte Diskussion hier ist, oder aber nur ein wenig Zeit totschlagen.

 

PS

Ich persönlich bleibe bei meiner einfachen und guten iTAN Papierliste - für meine Zwecke ausreichend sicher und nicht so nervig, wie das kürzlich für das nibc-direct Banking gekaufte Flicker-Code-Dings.

PPS

Was ich alles gegen meinen Willen fürs Banking haben muss:

Photo-Tan-Gerät, sms-Tan per Handy, Flicker-Code-Gerät, iTan-Liste

[BFler]

vor 8 Stunden von chirlu:

 

Mach vom Generator mal eine Fotokopie. Kannst du mit der etwas anfangen?

Ich brauche keine Kopie des Gerätes, als fremder kann ich das Geräte nutzen und den entsprechendenen Tan erzeugen. Genauso wie ich als fremder die Liste nehmen kann und die Tan ablesen kann.

 

Es gibt keinen Sicherheitsgewinn, es wurde alles nur umständlicher.

[dimido]

Eine Feature noch, das vielleicht nicht jedem sofort ins Auge fällt, aber sehr wichtig ist.
Wenn man eine iTan oder mTan verwendet, also ein Verfahren ohne "Rückkanal", kann man, mit dem passenden Virus auf dem PC, Geld verlieren ohne daß es sofort auffällt.
So geschehen bei einem Kollegen. Er hatte so einen Virus.
Er gab eine Überweisung ein, bestätigte mit einer iTan und hat auf dem Browser die gewünschte Überweisung gesehen. Ausgelogged und fertig.
Problem war aber, daß die Seite dynamisch vom Virus (lokal auf seinem PC) manipuliert wurde, und im Hintergrund ein anderes Zielkonto und anderer Betrag an die Bank geschickt und mit seiner(!) iTAN bestätigt wurde.
Bei einer PhotoTan wird hingegen nicht einfach nur eine TAN erzeugt, die man stupide eintippen soll, sondern es erscheint im Display auch die Info wofür die TAN gilt. Das ist der "Rückkanal".
Also "Einloggen" oder z.B auch "Betrag und die Zielkontonummer" bei einer Überweisung.
Mit obigen Virus würde dann im PhotoTan-Display auffallen, daß dort ein anderer Betrag und Zielkontonummer erscheinen würde und man könnte den Vorgang abbrechen.
Wenn man sich die Sekunde Zeit nimmt immer drauf zu achten

 

PS: ich nutze, wie pillendreher auch, noch das iTan Verfahren bei der ING. Aber nur weil ich ja kein Zahlungsverkehrskonto dort habe und somit kein Risko sehe daß ich zusätzlich absichern müsste.
Bei meinen anderen Banken mit Giro nutze ich selbstverständlich und aus Überzeugung Photo-TAN (mit der jeweiligen Photo-TAN-App).
Und bei der DeuBa bin ich erfreut, daß ein Login am PC mit Ansicht einer reduzierten 90-Tage-Umsatzhistorie (wenn man nur mal schnell schauen will, ob ein bestimmter Betrag eingegangen ist, z.B. ein ebay'er, etc.) ohne PhotoTAN funktioniert. Denn PSD2 erlaubt das ja.

[Vango]

vor 2 Stunden von BFler:

Ich brauche keine Kopie des Gerätes, als fremder kann ich das Geräte nutzen und den entsprechendenen Tan erzeugen. Genauso wie ich als fremder die Liste nehmen kann und die Tan ablesen kann.

Bei dem PhotoTan Gerät der ING musst du eine PIN eingeben, bevor du eine Tan erzeugen kannst. Hast du diese nicht ist der Generator für dich wertlos, außer du hast das Glück und errätst die PIN in drei Versuchen.

[Merol Rolod]

Aus historischem OT-Interesse: Gab es damals bei der Umstellung von TAN auf iTAN eigentlich die gleichen Diskussionen?

[chirlu]

vor 20 Minuten von Merol Rolod:

Aus historischem OT-Interesse: Gab es damals bei der Umstellung von TAN auf iTAN eigentlich die gleichen Diskussionen?

 

In gewissem Umfang schon. Hatte ja durchaus ebenfalls praktische Nachteile, z.B. konnte man nicht mehr einfach zwei, drei einzelne TANs irgendwohin mitnehmen, und Banking-Programme mußten angepaßt werden, um den jeweiligen Index durchzureichen.

 

https://www.alf-banco.de/forum/viewtopic.php?f=3&t=892&start=0

https://homebanking-hilfe.de/forum/topic.php?t=4638

[Merol Rolod]

vor 51 Minuten von chirlu:

In gewissem Umfang schon.

Ah, ok. Ich hatte die Diskussionen damals schon nicht verfolgt, sondern mich einfach an die neuen Gegebenheiten angepasst.

vor 53 Minuten von chirlu:

Hatte ja durchaus ebenfalls praktische Nachteile

Denn wie auch jetzt waren ja damals die für mich praktischen "Nachteile" gerade die sicherheitserhöhenden Aspekte. Denn auch der Schurke konnte nach der Umstellung auf iTAN nun nicht mehr einfach nur zwei, drei TANs mitnehmen, sondern musste zumindest die komplette Liste kopieren.

Davon ab entfiel für mich das Streichen der verbrauchten TANs.

 

Ich möchte ein OT-Fazit ziehen: Es wird wohl bei jeder wie auch immer gearteten Änderung etwas zu meckern geben. Ich werde weiterhin versuchen, dass so gut es geht auszublenden bzw. wohlwollend zu überfliegen. Ist aber gar nicht immer so einfach wie es klingt.

[tyr]

vor 7 Stunden von BFler:

Ich brauche keine Kopie des Gerätes, als fremder kann ich das Geräte nutzen und den entsprechendenen Tan erzeugen. Genauso wie ich als fremder die Liste nehmen kann und die Tan ablesen kann.

 

Es gibt keinen Sicherheitsgewinn

 

Dass es keinen Sicherheitsgewinn bei Photo TAN gegenüber iTAN gibt ist falsch. Ein Photo TAN Generator https://www.ing.de/hilfe/auftraege-freigeben/phototan/ ist eine besonders sichere Variante und viel sicherer als eine einfache iTAN-Liste, weil die TAN-Generierung vollständig und nicht aus der Ferne angreifbar auf einem extra Gerät stattfindet, was komplett offline autark arbeitet.

 

Eine TAN-App auf einem Smartphone ist dagegen weniger sicher. Das Smartphone hat eine Internetverbindung und du kannst potenziell mit vergleichsweise einfachen Möglichkeiten die Funktion der TAN-Generatorapp manipulieren, auslesen oder sonstwie angreifen. Und das sogar aus der Ferne über Netzwerk. Bei einem TAN-Hardwaregenerator müsstest du vor Ort die Hardware manipulieren oder den ganzen kryptografischen Mechanismus überwinden. Viel schwieriger und unwahrscheinlicher.

 

Wenn es nur um Sicherheit geht, dann sollte man Hardware TAN-Generatoren (am besten Chip TAN) immer bevorzugen gegenüber smsTAN oder AppTAN. iTAN ist sowieso nur eine Notlösung.

 

Zitat

es wurde alles nur umständlicher.

Richtig, Photo TAN ist massiv sicherer als iTAN, aber eben umständlicher. Ein TAN-Generator als App kann bequemer sein als ein Hardware TAN-Generator und man muss kein zusätzliches Gerät bedienen, wenn man sowieso ein Smartphone immer dabei hat.

 

Grundvoraussetzung, wenn man Sicherheit bei einem App-TAN Generator ernst nimmt ist jedoch ein Smartphone mit aktuellen Sicherheitspatches und ohne Jailbreak/Root. Das ist bei sehr vielen Android-Geräten nicht gegeben oder bestenfalls für 3 Jahre ab Start des Geräteverkaufs. Apple hat in den letzten Jahren oft 5 oder 6 Jahre lang Sicherheitsupdates für die iOS/iPad OS Geräte geliefert.

[tyr]

vor 2 Stunden von Merol Rolod:

Es wird wohl bei jeder wie auch immer gearteten Änderung etwas zu meckern geben. Ich werde weiterhin versuchen, dass so gut es geht auszublenden bzw. wohlwollend zu überfliegen. Ist aber gar nicht immer so einfach wie es klingt.

Wenn das benutzte Smartphone über aktuelle Sicherheitspatches verfügt (heute iOS/iPadOS 14.4 oder Android Security Bulletin Januar 2021 https://source.android.com/security/bulletin/2021-01-01 installiert) ist AppTAN von der ING meiner Meinung nach einfach zu handhaben, komfortabel und sicher.

 

Realistisch betrachtet sind bei Android praktisch nur Google und Nokia Geräte in ihrem kurzen Wartungszeitraum von 3 Jahren als sichere Geräte für so eine AppTAN anzusehen. Auf anderen Android-Smartphones müsste man daher sein ING-Konto kündigen und woanders hin wechseln, wenn man bei seinem unsicheren Smartphone bleiben will.  Oder man setzt auf ChipTAN/Photo TAN, dann hat man das ganze Thema nicht, aber dafür dann Umstände mit einem Extragerät.

[beamter97]

vor 2 Stunden von Merol Rolod:

Davon ab entfiel für mich das Streichen der verbrauchten TANs.

Ich mach das trotzdem immer noch, um abschätzen zu können, wann eine neue Liste in der Post sein sollte.

[Rubberduck]

vor 29 Minuten von beamter97:

Ich mach das trotzdem immer noch, um abschätzen zu können, wann eine neue Liste in der Post sein sollte.

 

Die ING zäht doch für Dich mit. Kann man unter TAN-Verwaltung im Service nachlesen.

 

(Ich mache aber auch noch Striche....)

[beamter97]

vor einer Stunde von Rubberduck:

Kann man unter TAN-Verwaltung im Service nachlesen.

Danke für den Hinweis. Bin erst seit kurzem bei ING, habe die Seite noch nicht vollständig durchgearbeitet

[Schlumich]

vor 2 Stunden von tyr:

 

Dass es keinen Sicherheitsgewinn bei Photo TAN gegenüber iTAN gibt ist falsch. Ein Photo TAN Generator https://www.ing.de/hilfe/auftraege-freigeben/phototan/ ist eine besonders sichere Variante und viel sicherer als eine einfache iTAN-Liste, weil die TAN-Generierung vollständig und nicht aus der Ferne angreifbar auf einem extra Gerät stattfindet, was komplett offline autark arbeitet.

 

Eine TAN-App auf einem Smartphone ist dagegen weniger sicher. Das Smartphone hat eine Internetverbindung und du kannst potenziell mit vergleichsweise einfachen Möglichkeiten die Funktion der TAN-Generatorapp manipulieren, auslesen oder sonstwie angreifen. Und das sogar aus der Ferne über Netzwerk. Bei einem TAN-Hardwaregenerator müsstest du vor Ort die Hardware manipulieren oder den ganzen kryptografischen Mechanismus überwinden. Viel schwieriger und unwahrscheinlicher.

 

Wenn es nur um Sicherheit geht, dann sollte man Hardware TAN-Generatoren (am besten Chip TAN) immer bevorzugen gegenüber smsTAN oder AppTAN. iTAN ist sowieso nur eine Notlösung.

 

Richtig, Photo TAN ist massiv sicherer als iTAN, aber eben umständlicher. Ein TAN-Generator als App kann bequemer sein als ein Hardware TAN-Generator und man muss kein zusätzliches Gerät bedienen, wenn man sowieso ein Smartphone immer dabei hat.

 

Grundvoraussetzung, wenn man Sicherheit bei einem App-TAN Generator ernst nimmt ist jedoch ein Smartphone mit aktuellen Sicherheitspatches und ohne Jailbreak/Root. Das ist bei sehr vielen Android-Geräten nicht gegeben oder bestenfalls für 3 Jahre ab Start des Geräteverkaufs. Apple hat in den letzten Jahren oft 5 oder 6 Jahre lang Sicherheitsupdates für die iOS/iPad OS Geräte geliefert.

Danke Tyr - das ist für mich sehr hilfreich, um die Situation zu bewerten und prima erklärt, auch mit Hintergründen, die einem non-digital-native nicht immer sofort ins Auge springen.

 

Auch wenn dann noch ein Gerät bei mir rumliegt (ich habe bei einer anderen Bank einen Reinert-tan-Generator) werde ich mir wohl die Photo-tan-Kiste für 32€ leisten.... Safety first

[Noch_Neu_Hier]

vor 34 Minuten von Schlumich:

Auch wenn dann noch ein Gerät bei mir rumliegt (ich habe bei einer anderen Bank einen Reinert-tan-Generator) werde ich mir wohl die Photo-tan-Kiste für 32€ leisten.... Safety first

1+ 

 

Ich werde mir auch einen Photo Tan Generator gönnen.

[moonraker]

vor 9 Stunden von dimido:

Wenn man eine iTan oder mTan verwendet, also ein Verfahren ohne "Rückkanal", kann man, mit dem passenden Virus auf dem PC, Geld verlieren ohne daß es sofort auffällt.

[..]

Bei der mTAN (SMS) werden auch Betrag und Zielkonto angezeigt - dafür stimmt Deine Beschreibung also nicht.

[n4pst3r]

Am 3.2.2021 um 17:56 von Xaro:

selbst einen eigenen Cashback-Service gibt es mittlerweile. Die ING geht mit der Zeit, auch bei der Einstellung von mTAN.

Also das ist definitiv nichts, was ich als Fortschitt sehe. Das ist genau die gleiche Grütze wie Payback, Deutschland-Card, Shoop und wie sie alle heißen. Ohne diese Anbieter wäre die Welt ein besserer Ort. Der Mehrwert ist exakt null, denn als Verbraucher bezahle ich die Kosten dafür immer in irgendeiner Art und weise mit. Das muss nicht sein.

 

Die Banking App ist aber echt nicht schlecht.

[mattes77]

Ich finde es ausgesprochen kundenunfreundlich, nach der Methode "friss oder stirb" zu verfahren.  Allerdings kann man ja wohl noch; wenn man das Girokonto kündigt; auf das I Tan Verfahren umstellen!

[dimido]

Die Bank will dich nicht ärgen, die SCA ist im Rahmen der PSD2 eben Pflicht.

[odensee]

vor 3 Stunden von dimido:

Die Bank will dich nicht ärgen, die SCA ist im Rahmen der PSD2 eben Pflicht.

Nunja, andere Banken schaffen es eben, eine "Nur-TAN-App" auf den Markt zu bringen für diejenigen, die kein online-Banking auf dem Smartphone machen wollen.

SCA = https://de.wikipedia.org/wiki/Society_for_Creative_Anachronism ? Könnte bei der ING-Diba passen.

[Belgien]

vor 15 Stunden von mattes77:

Ich finde es ausgesprochen kundenunfreundlich, nach der Methode "friss oder stirb" zu verfahren. 

Ich finde es zudem unerhört, dass diese komischen Onlinebanken uns Kunden zwingen, In dieses unsichere neumodische „Internet“ zu gehen, um Bankgeschäfte zu erledigen, ohne uns kostenlose Internetbediengeräte zur Verfügung zu stellen. Das ist brutaler Zwang nach dem Motto „Friss oder stirb“! 

[dimido]

vor 23 Stunden von odensee:

Nunja, andere Banken schaffen es eben, eine "Nur-TAN-App" auf den Markt zu bringen für diejenigen, die kein online-Banking auf dem Smartphone machen wollen.

Ja, ich weiß, ich arbeite in der IT einer solchen Bank die eine "Nur-TAN-App" anbietet
Und wenn die ING solch eine App anbieten würde, würde ich sie auch längst schon benutzen (selbst ohne Giro) .

[DarkBasti]

Da ich alles bei der Diba habe möchte ich es vermeiden mit meinem Smartphone irgendwas mit onlinebanking zu machen. Ich empfinde das als hoch gefährlich alles über ein Gerät laufen zu lassen.

Sicherheitstechnisch sind das min 3 Schritte zurück. 

 

Also was gibt es da für Alternativen ab dem 1.04.?

 

Tan generator selber kaufen? 

 

Ich bin doch sehr verstimmt, das die eigentlich sicheren Authentifizierungsmethoden wie damals Tan Liste und sms tan nicht mehr genutzt werden dürfen. 

 

Fakt ist in einer App auf dem Smartphone lassen sich bedeutend leichter  Schadsoftware reinschmuggeln als auf zwei separaten Geräte. 

Wie man darauf kommt, das eine App(Synonym für ein Programm ) und ein Smartphone der Sicherheit zuträglich sind, ist mir ein Rätsel. 

[Gast230418]

vor 5 Minuten von DarkBasti:

Ich bin doch sehr verstimmt, das die eigentlich sicheren Authentifizierungsmethoden wie damals Tan Liste und sms tan nicht mehr genutzt werden dürfen. 

Die SMS-TAN ist alles, nur nicht sicher! 

[Xaro]

vor 20 Minuten von DarkBasti:

Fakt ist in einer App auf dem Smartphone lassen sich bedeutend leichter  Schadsoftware reinschmuggeln als auf zwei separaten Geräte. 

Nein absolut nicht, Kopf einschalten, am besten auf eine Apple Umgebung (iOS) achten, dort keine mysteriösen Zertifikate und Profile installieren, nicht in öffentlichen Netzwerken Banking betreiben und dir kann nichts passieren.

Da schimpft man auf Technik und in den meisten Fällen sitzt die Sicherheitslücke vor dem Gerät.

[Vango]

vor 26 Minuten von DarkBasti:

Tan generator selber kaufen? 

Kannst du nur bei der ING Kaufen, da die einen Eigenen verwenden.

 

vor 6 Minuten von Xaro:

Nein absolut nicht, Kopf einschalten, am besten auf eine Apple Umgebung (iOS) achten, dort keine mysteriösen Zertifikate und Profile installieren, nicht in öffentlichen Netzwerken Banking betreiben und dir kann nichts passieren.

Da schimpft man auf Technik und in den meisten Fällen sitzt die Sicherheitslücke vor dem Gerät.

Bei einem eigenständigen Offline Tan-Gerät, kann ich einen Betrug sogar selbst erkennen, wenn ich die Daten auf dem Tan-Gerät sauber Prüfe, dass wird auf dem Smartphone schwer werden, wenn mir das Richtige angezeigt wird, aber im Hintergrund was völlig anderes passiert. Da bemerke ich den Betrug erst, wenn es sowieso schon zu Spät ist.