OnVista Bank

[wodorne]

vor 3 Minuten von towara:

bei Onvista gibt es, soweit ich weiß, auch kein 2FA, weder beim Einloggen noch beim Ordern. 

Bei der erstmaligen Benutzung eines Browsers schicken sie eine SMS mit einer Nummer. Das ist der 2. Faktor. Danach wird das Gerät bzw. der Browser erkannt. 

[stagflation]

vor 7 Minuten von towara:

bei Onvista gibt es, soweit ich weiß, auch kein 2FA, weder beim Einloggen noch beim Ordern. 

 

Lösche mal Deine Cookies - und schaue, was passiert!

[i++]

vor 4 Stunden von towara:

bei Onvista gibt es, soweit ich weiß, auch kein 2FA, weder beim Einloggen noch beim Ordern. 

Der zweite Factor ist ein Cookie in deinem Browser (und SMS mit TAN, wenn nicht {mehr} gesetzt). Wenn der einmal gesetzt ist, reicht User + Password.

 

SMS-Tan ist aber nicht mehr ohne weiteres sicher. Es gibt eine (neue?) Authentifikator App von onvista. Auf der Website steht aber, dass diese nur für sehr spezielle Anwendungsfälle funktioniert und evtl. weiter ausgerollt werden soll.

 

Edit: "onvista bank TAN-App" FAQ: https://www.onvista-bank.de/service/uebersicht/faq.html, "TAN-App" ausklappen.

[towara]

ich fände es besser, wenn man zumindest bei großen Ordern einen zweiten Faktor auf einem anderen Gerät hätte (wie bei DKB, ING usw). Neulich eine Ordern von ca. 40k getätigt und die ging einfach so durch. Wenn nicht obligatorisch, dann wenigstens auf Wunsch einstellbar.  

[smarttrader]

Das kann ich eigentich garnicht glauben. Cookies lassen sich wunderschön "entwenden" und dann kann einer mein Depot leer räumen.

 

Aber gut das ich es jetzt weiß, ich bin im Jahre 2023 eigentlich automatisch von einer 2FA ausgegangen.

[wodorne]

Du hast ein Referenzkonto. Dein worst case sind demnach unerwünschte Transaktionen. Aus diesem Grund braucht OnVista von Gesetzes wegen überhaupt keine 2 Faktor Authentifizierung. Außerdem gibt es als weiteren Faktor ja noch das Passwort. Das solltest du natürlich geheim halten.

In übrigen gibt es so etwas wie "sicher" überhaupt nicht. Du kannst allenfalls das Risiko reduzieren .. um den Preis umständlicherer Bedienbarkeit.

[smarttrader]

Ok, anders formuliert. Ich möchte keine 6 stellige Summe ohne 2FA bei einer Bank liegen haben ;-) .

[Kontron]

Bekommt man aber nicht eine SMS mit Pin zur Authentifizierung bei Anmeldung, wenn man will? 

[wolf666]

vor 23 Minuten von wodorne:

Du hast ein Referenzkonto. Dein worst case sind demnach unerwünschte Transaktionen.

Weiß jemand wie aufwändig es ist Referenzkonto zu ändern?

[wodorne]

vor 5 Minuten von wolf666:

Weiß jemand wie aufwändig es ist Referenzkonto zu ändern?

Schriftlich auf Papier mit Original Unterschrift. Ich denke man kann davon ausgehen, dass man dann auch noch eine Bestätigung zurück bekommt.

[towara]

ich finde 2FA sollte wenigstens auf Wunsch immer verfügbar sein, ob nur beim Einloggen oder und vor allem beim Handeln. Alles andere ist viel unsicherer. Verstehe ich nicht warum einige Broker das nicht anbieten. Gerade bei großen Summen hat man da kein gutes Gefühl und das mit die Cookie ist für 2023 ein Witz.

[stagflation]

vor 3 Stunden von smarttrader:

Ich möchte keine 6 stellige Summe ohne 2FA bei einer Bank liegen haben ;-) .

vor 30 Minuten von towara:

ich finde 2FA sollte wenigstens auf Wunsch immer verfügbar sein, ob nur beim Einloggen oder und vor allem beim Handeln.

 

Ein Cookie ist ein zweiter Faktor. Aus der Kategorie "ich besitze etwas".

 

vor 4 Stunden von smarttrader:

Cookies lassen sich wunderschön "entwenden" und dann kann einer mein Depot leer räumen.

 

Ja, es gibt ein paar Berichte über Malware, die Cookies abgreifen kann. In der Praxis ist es aber doch nicht so einfach, Cookies von fremden Rechnern zu "entwenden".

 

Übrigens kann jemand Dein Konto nicht leerräumen, wenn er Dein Cookie hat. Es ist ja nur der zweite Faktor. Er bräuchte zusätzlich noch den Faktor Username und Passwort. Und diese beiden Informationen hältst Du doch hoffentlich so geheim (da kann man einiges für tun!), dass jemand, der Dein Cookie kennt, nicht an Dein Account kommt.

[towara]

vor 10 Minuten von stagflation:

 

Ein Cookie ist ein zweiter Faktor. Aus der Kategorie "ich besitze etwas".

 

 

Ja, es gibt ein paar Berichte über Malware, die Cookies abgreifen kann. In der Praxis ist es aber doch nicht so einfach, Cookies von fremden Rechnern zu "entwenden".

 

Übrigens kann jemand Dein Konto nicht leerräumen, wenn er Dein Cookie hat. Es ist ja nur der zweite Faktor. Er bräuchte zusätzlich noch den Faktor Username und Passwort. Und diese beiden Informationen hältst Du doch hoffentlich so geheim (da kann man einiges für tun!), dass jemand, der Dein Cookie kennt, nicht an Dein Account kommt.

ein Cookie ist kein richtiger zweiter Faktor, denn er ist auf dem selben Gerät auf dem du dich einloggst. Besser wäre ein zweiter Faktor auf einem anderen Gerät. Also du loggst dich am PC ein und must über das Handy den 2. Faktor bekommen. Denn es gibt auch Fälle, wo jemand in dein PC eindringen kann und von dort aus treibt er sein Unwesen. Da nutzt dir dein Cookie null. 

[wodorne]

2FA ist übrigens nicht immer gleichbedeutend mit erhöhter Sicherheit: Wenn ich alles auf dem selben Handy habe,  geschützt nur durch meinen Fingerabdruck, dann ist es letztlich nur ein einziger Faktor, der mich schützt - der Besitz des Handys. Den Fingerabdruck kann man nämlich leicht vom Sensor abgreifen. Aus diesem Grund halte ich Depot und Haushaltskonto getrennt. Beim Haushalts- und Referenz-Konto ist das Risiko begrenzt, den Zugang zu meinem Depot trage ich nicht in der Hosentasche herum.

[towara]

Deshalb sollte man solche Sachen auch nie auf einem Handy machen, sondern das Handy nur für den 2. Faktor nutzen. Noch besser wäre ChipTan.

[Glory_Days]

vor 5 Stunden von wolf666:

Weiß jemand wie aufwändig es ist Referenzkonto zu ändern?

Wer sich widerrechtlich Zugang zum Depot verschafft hat, wird das Referenzkonto problemlos widerrechtlich ändern können.

vor 1 Stunde von stagflation:

Übrigens kann jemand Dein Konto nicht leerräumen, wenn er Dein Cookie hat. Es ist ja nur der zweite Faktor. Er bräuchte zusätzlich noch den Faktor Username und Passwort. Und diese beiden Informationen hältst Du doch hoffentlich so geheim (da kann man einiges für tun!), dass jemand, der Dein Cookie kennt, nicht an Dein Account kommt.

Das Problem wäre ein Keylogger (zumindest für den Nutzername) - wobei es hier ja die virtuelle Tastatur für das PW gibt.

[i++]

vor 2 Stunden von towara:

Deshalb sollte man solche Sachen auch nie auf einem Handy machen, sondern das Handy nur für den 2. Faktor nutzen. Noch besser wäre ChipTan.

Vor allen wenn man dann noch den Password-Manager von Apple auf dem Mac nutzt (in Safari -> Password für diese Webseite speichern), dann sind die Logins + Passwörter auch auf dem iPhone (automatisches Einsetzen in Safari) und womöglich kommt dann noch soetwas hinzu:

https://www.heise.de/news/Nur-mit-iPhone-PIN-Diebe-raeumen-Apple-ID-und-Bankkonten-ab-7527961.html

 

Der Password-Manager und die Banking Authentificator Apps nutzen (per Default, aber abwählbar) Biometrie (FaceID oder Fingerabdruck) oder die iPhone PIN. Wer die PIN und das iPhone hat, könnte so das Depot leerräumen.

[Belgien]

Man kann sich Hunderte von Szenarien ausdenken, in denen ein Unbefugter sich Zugang zu einem Onvista-Account verschafft und mit dem dort lagernden Geld Wertpapiere kauft, die man selbst nicht gekauft hätte, oder Wertpapiere im Depot verkauft, die man selbst nicht verkauft hätte. Oder aber mit Geduld und graphologischen Fähigkeiten gar versucht, das Referenzkonto durch postalische Einreichung eines originalschriftlich zu unterzeichnenden Formulars zu verändern (dass Onvista die Unterschrift mit der hinterlegten vergleicht, durfte ich selbst schon erfahren, als sie meinen Änderungsauftrag aufgrund nicht gleicher Unterschriften abgelehnt haben) und danach das Geld abzuziehen. Bislang wurde in keinem Forum, in keinem Medienbericht oder sonstwo über einen solchen Fall berichtet. Dennoch macht es WPF-Usern immer wieder große Freude, sich derartige Bedrohungsszenarien auszudenken und sich gegenseitig zu versichern, dass so etwas doch eine unglaubliche Fahrlässigkeit darstellt.

 

Ich selbst habe seit 13 Jahren ein Onvista-Depot. Ich freue mich, dass ich dort keine 2FA-Schikanen erdulden muss, sondern bequem handeln kann. Natürlich nutze ich keine Password-Manager und tippe brav mein Password über die virtuelle Tastatur neu ein. Einen feindlichen Angriff auf meinen Onvista-Account habe ich in der Zeit nicht bemerkt, wenn er stattgefunden hat, war er zumindest nicht erfolgreich. Wer mit dem Vorgehen von Onvista, das allen gesetzlichen Vorgaben entspricht, ein Problem hat, weil er es nicht für sicher hält, der ist doch nicht gezwungen, dort ein Depot zu führen. Es gib zahlreiche Broker, die Kunden mit Sicherheitsbedenken gerne mit einer Mischung von 2FA bei jeder Aktion und Auto-Logout nach 5 Minuten beglücken. Warum in diesem Thread weiter lamentierten? Wäre es nicht besser, einfach den Broker zu wechseln?

[Glory_Days]

vor 22 Minuten von Belgien:

Warum in diesem Thread weiter lamentierten?

Eine sinnvolle Diskussion/Austausch hat doch nichts mit Lamentieren zu tun. Ich höre mir gerne Argumente für oder gegen etwas an - da ich mir nicht anmaße, auf jedem Gebiet Experte zu sein. Dafür ist doch das WPF auch da - wenn es dich nicht interessiert, zwingt dich niemand, an dieser Diskussion teilzunehmen. Ansonsten ist das Teilen deiner persönlichen Erfahrungen eine hilfreiche Information - danke dafür!

[wodorne]

Ich vermute, dass die Risiken eher im menschlichen Bereich als im technischen liegen: Leichtsinnige Benutzer oder Kriminelle, die ihre Opfer bei der Eingabe von Passwörtern, Kontonummern, PINs etc. beobachten oder ihnen die Codes gar gewaltsam entreißen. Entwendung des Handys und danach im schlimmsten Fall der ganzen digitalen Identität. Zur Zeit grüble  ich eher über die Frage, dass man bei 2FA bei Verlust des Handys ausgesperrt sein könnte - ein echter Alptraum auf einer längeren Fernreise. 

Die Technik halte ich im Vergleich dazu für sicher.

 

 

[Glory_Days]

vor 4 Minuten von wodorne:

Zur Zeit grüble  ich eher über die Frage, dass man bei 2FA bei Verlust des Handys ausgesperrt sein könnte - ein echter Alptraum auf einer längeren Fernreise.

Daher kann es empfehlenswert sein, nur zum Zwecke der 2FA ein eigenes Gerät anzuschaffen, das dauerhaft an einem sicheren Ort deponiert wird.

[wodorne]

vor 7 Stunden von i++:

Der Password-Manager und die Banking Authentificator Apps nutzen (per Default, aber abwählbar) Biometrie (FaceID oder Fingerabdruck) oder die iPhone PIN. Wer die PIN und das iPhone hat, könnte so das Depot leerräumen.

Ist bei Android genau so

vor 9 Minuten von Glory_Days:

Daher kann es empfehlenswert sein, nur zum Zwecke der 2FA ein eigenes Gerät anzuschaffen, das dauerhaft an einem sicheren Ort deponiert wird.

Ja.

[SlowHand7]

vor 30 Minuten von Glory_Days:

Daher kann es empfehlenswert sein, nur zum Zwecke der 2FA ein eigenes Gerät anzuschaffen, das dauerhaft an einem sicheren Ort deponiert wird.

Ja, unbedingt.

Solange mein Gebrauchs-Handy noch funktioniert bleibt das neue Handy zu Hause im Schrank. 

Und wenn es mal kaputt oder weg ist wird das nächste gekauft.

 

Auf längeren Reisen muss man dann eben beide mitnehmen.

Oder das des Partners auch aktivieren.

 

[towara]

vor 10 Stunden von Glory_Days:

Daher kann es empfehlenswert sein, nur zum Zwecke der 2FA ein eigenes Gerät anzuschaffen, das dauerhaft an einem sicheren Ort deponiert wird.

das ist richtig. Im Prinzip wäre auch ein TAN Generator ok oder die gute alte TAN-Liste (natürlich sicher versteckt). Alles besser als den 2. Faktor per Cookie.

[s1lv3r]

Wem das mit dem Cookie so sehr stört, der kann seinen Browser ja einfach entsprechend konfigurieren, dass alle Cookies gelöscht werden, sobald der Browser geschlossen wird. Das lässt sich normalerweise bei allen gängigen Browsern sehr einfach pro Website/Domain einstellen - bei Chrome z.B. unter "Cookies immer löschen, wenn Fenster geschlossen werden.".

 

Dann hat man zumindest bei jedem Login wieder einen "richtigen" zweiten Faktor (obwohl SMS natürlich auch nicht der sicherste zweite Faktor ist ...).