Zum Inhalt springen
Gast230807

Risiko Smartphone

Empfohlene Beiträge

Undercover
vor 5 Stunden von odensee:

Der Gesetzgeber verlangt zwei Faktoren. Ist bei der ING gegeben.

Siehe BSI

 

Das ist es eben nicht.

Die App ist auf das Handy registriert und aktiviert. Dazu kennt sie die Bank-Zugangsdaten und auch die PIN.

Damit könnte sie unbemerkt dein Konto leer räumen.

Da muß nur jemand eine gefälschte Version in den Store bringen.

Oder eben die Backdoor in der originalen App öffnen.  :)

Diesen Beitrag teilen


Link zum Beitrag
Maciej
vor 9 Stunden von Undercover:

Das ist es eben nicht.

Du verwechselst 2 Faktoren mit 2 Geräten. Die Bedingung 2 Faktoren ist mit diesen Apps erfüllt, nach Einschätzung der meisten Banken auch mit hinreichender Sicherheit.

Diesen Beitrag teilen


Link zum Beitrag
Undercover
vor 9 Minuten von Maciej:

Du verwechselst 2 Faktoren mit 2 Geräten. Die Bedingung 2 Faktoren ist mit diesen Apps erfüllt, nach Einschätzung der meisten Banken auch mit hinreichender Sicherheit.

Ich verwechsele da gar nichts!

Es kann ja wohl nicht sicher sein wenn ich einen Auftrag und auch die Freigabe dafür auf dem gleichen Gerät mache.

Das wurde schon 2014 nachgewiesen aber manche Banken interessiert das eben nicht.

Das ist mir aber egal so lange sie für den möglichen Schaden haften.  :)

Diesen Beitrag teilen


Link zum Beitrag
wpf-leser
· bearbeitet von wpf-leser
vor 13 Stunden von Undercover:

Es kann ja wohl nicht sicher sein wenn ich einen Auftrag und auch die Freigabe dafür auf dem gleichen Gerät mache.

Stimmt! Es ist nicht sicher, weil es hier (noch?) keine absolute Sicherheit unter angemessenem Aufwand gibt. Es ist aber schon deutlich sicherer als beispielsweise eine Anmeldung nur mit einem Passwort. Dass es (optional) noch sicherer geht, bestreitet niemand. Die (Streit-)Frage ist aber, was als hinreichende Sicherheit betrachtet wird. Und genau darum...

vor 13 Stunden von Undercover:

Das wurde schon 2014 nachgewiesen aber manche Banken interessiert das eben nicht.

Das ist mir aber egal so lange sie für den möglichen Schaden haften.  :)

... tun die Banken das. Potenziell sicherer als zuvor (meint: kann Schutz in mehr / üblicheren Szenarien als die zuletzt eingesetzte Lösung, ggf. auch eine größere Wirtschaftlichkeit bieten) ist es und insofern mindestens ein Schritt in die richtige Richtung. ("Sicherheitsgewinn")

Und - wie du richtig festgestellt hast - kannst du freiwillig weitere Schritte in diese Richtung gehen.

 

(Der zweite Absatz hier greift das Thema auch nochmal schön auf.)

Diesen Beitrag teilen


Link zum Beitrag
Drengist
Am 24.5.2022 um 12:27 von Rick_q:

Hallo, 

Für meine Banken habe ich Apps auf meinem Smartphone, ist es nicht ein großes Risiko? Erstens kann so was ausgepähnt werden und zweitens wenn das Smartphone verloren oder geklaut wird, kann es gefährlich werden. 

Ich meine einige hier tragen in ihrer Hosentasche Schlüssel zum Vermögen für mehrere Immobilien. Nur mit dem Schlüssel hat der Einbrecher aus jedem Ort der Welt die Möglichkeit einzubrechen. 

Ganz wohl ist es mir nicht im Ausland mit meinem Handy rumlaufen.... 

 

Ich wusste nicht wo ein richtiger Unterforum für das Thema ist, evtl. ins richtige Unterforum verschieben. 

 

 

Ich habe auch beschlossen, nicht mehr das Haus zu verlassen. Ist einfach zu unsicher da draußen.

Diesen Beitrag teilen


Link zum Beitrag
bondholder
· bearbeitet von bondholder
vor 19 Stunden von Drengist:

Ich habe auch beschlossen, nicht mehr das Haus zu verlassen. Ist einfach zu unsicher da draußen.

Achtung: Die meisten Unfälle passieren im Haushalt!

Diesen Beitrag teilen


Link zum Beitrag
Drengist
vor 9 Stunden von bondholder:

Achtung: Die meisten Umfälle passieren im Haushalt!

Mist. Stimmt. Irgendwie war früher alles besser, oder doch nicht?

Diesen Beitrag teilen


Link zum Beitrag
oktavian
Am 27.5.2022 um 00:26 von Undercover:

Ich verwechsele da gar nichts!

Es kann ja wohl nicht sicher sein wenn ich einen Auftrag und auch die Freigabe dafür auf dem gleichen Gerät mache.

Das wurde schon 2014 nachgewiesen aber manche Banken interessiert das eben nicht.

Das ist mir aber egal so lange sie für den möglichen Schaden haften. 

gibtst du die TAN nicht auch am gleichen Gerät ein? Wenn der Hersteller alles richtig implementiert ist 2FA auf einem Gerät sicher. Das System hat keinen Zugriff, auch nicht mit root. Die Sicherheitsgedönse laufen parallel zum Betriebssystem und sind proprietär.

 

Hier mal apple:

Zitat

Secure Enclave

The chip in your device includes an advanced security architecture called the Secure Enclave, which was developed to protect your passcode and fingerprint data. Touch ID doesn't store any images of your fingerprint, and instead relies only on a mathematical representation. It isn't possible for someone to reverse engineer your actual fingerprint image from this stored data.

Your fingerprint data is encrypted, stored on device, and protected with a key available only to the Secure Enclave. Your fingerprint data is used only by the Secure Enclave to verify that your fingerprint matches the enrolled fingerprint data. It can’t be accessed by the OS on your device or by any applications running on it. It's never stored on Apple servers, it's never backed up to iCloud or anywhere else, and it can't be used to match against other fingerprint databases.

oder hier lesen: https://source.android.com/security/biometric

 

Wie gesagt, muss es eben richtig implementiert werden.

Diesen Beitrag teilen


Link zum Beitrag
wpf-leser
vor 1 Minute von oktavian:

auch nicht mit root

Und mit root hätte man wiederum andere Probleme (im "Normalfall" Sperre sicherheitskritischer Applikationen).

 

(Wenn jetzt gleich wieder jemand mit Szenario X kommt: Ja, hätte/wäre/könnte... Möglich ist natürlich alles. Aber schon sehr unwahrscheinlich. Und darum geht's. :thumbsup:)

Diesen Beitrag teilen


Link zum Beitrag
HalloAktie

@oktavian Richtig implementiert ist gut. So viel Vertrauen möchte ich auch mal haben. Wie häufig werden denn nach Windows-Updates (sogar im Server-Bereich) Systeme zerschossen? Wenn Microsoft Patch-Days nicht fehlerfrei hinbekommt, warum sollten die kleineren Software-Klitschen das besser können? Davon abgesehen, braucht man nur den Vollzugriff auf das Smartphone-Betriebssystem, nicht auf einzelne Apps, um gezielt Schaden anrichten zu können. Dass man dann noch nicht millionenfach automatisiert Konten leerräumen kann, ist ein anderes Thema.  

 

Ich habe gestern bei einem Aldi-Markt und einem Bio-Supermarkt große Schilder gesehen, dass nur Barzahlung möglich ist. Finde es gerade mal wieder ganz nett, mein Einkaufsgeld in bar in der Geldbörse zu haben. 

Diesen Beitrag teilen


Link zum Beitrag
Holgerli
vor 25 Minuten von HalloAktie:

Ich habe gestern bei einem Aldi-Markt und einem Bio-Supermarkt große Schilder gesehen, dass nur Barzahlung möglich ist. Finde es gerade mal wieder ganz nett, mein Einkaufsgeld in bar in der Geldbörse zu haben. 

Und was hat das jetzt mit "Risiko Smartphone" zu tun?

Möchte Dich mal mit Deinem Bargeld sehen, wenn die Verbindung zum Rechenzentrum gestört ist und es weder Bargeld am Automaten noch am Schalter gibt...

Das hört sich jetzt eher wie eine Trotzreaktion ala "Ich weiss es eh besser!" an, ohne wirklich zu merken, dass Du im Endeffekt genauso die Technik nutzt und auch genauso von der Technik abhängig bist, auch wenn Du den letzten Schritt nicht gehen willst.

Diesen Beitrag teilen


Link zum Beitrag
oktavian
vor 23 Minuten von HalloAktie:

Davon abgesehen, braucht man nur den Vollzugriff auf das Smartphone-Betriebssystem, nicht auf einzelne Apps, um gezielt Schaden anrichten zu können.

dann hättest du immer noch keinen Zugriff auf den fingerprint oder das gespeicherte secret (selbst mit root). Müsste man wohl warten bis der Nutzer das banking freischaltet. Das ginge aber dann ebenso an jedem anderen System (browser, banking software, linux, windows, egal). Ich halte daher push TAN ohne session TAN für recht sicher, wenn sehr detaillierte Angaben des Vorgangs vor Freigabe mit angezeigt werden. Dann weiß man gleich wofür die TAN genutzt wird. Nachteil ist, dass das TAN Gerät für paar Sekunden im Internet sein muss. Phototan ist dann phishing ausgesetzt, wenn das System gekapert wurde.

 

Bargeld kann auch unbemerkt geklaut werden und ist damit relativ unsicher. Wertverlust ist bei den Niedrigzinsen noch kein Thema (Opportunitätskosten sind ja Null).

Diesen Beitrag teilen


Link zum Beitrag
HalloAktie
vor 2 Stunden von oktavian:

dann hättest du immer noch keinen Zugriff auf den fingerprint oder das gespeicherte secret (selbst mit root). Ich halte daher push TAN ohne session TAN für recht sicher, wenn sehr detaillierte Angaben des Vorgangs vor Freigabe mit angezeigt werden.

Aber wenn ich Vollzugriff habe, kann ich einen (Key-)Logger oder (falls über gesonderte Tastatur eingegeben) einen Screen-Recorder zum Ausspähen jener Merkmale einsetzen, oder? Der Fingerprint gelangt über das Betriebssystem zur App. Je nachdem, wie die Eingabe in der App umgesetzt ist oder der Transfer der Biometriedaten im Betriebssystem, bin ich dann am Ziel. Auch wieder, Stand heute, schwer automatisierbar und massenhaft anwendbar. Nur muss das nicht so bleiben. Die "Trotzreaktion" meinerseits, die @Holgerli gelesen hat, bezieht sich auf die Behauptung, der Hack wäre prinzipiell kaum möglich. Nach allem, was ich weiß, ist die Übernahme von Smartphones Einzelner durch Dritte sehr wohl und recht einfach möglich. Was bisher schwer bis unmöglich erscheint: Es in einer erheblichen Größenordnung und automatisiert zu tun. Das ist mein Punkt und die Erkenntnis reicht mir aus, nicht jeden Quatsch übers Smartphone laufen lassen zu wollen. Aber jede/r kann das individuell entscheiden. 

Diesen Beitrag teilen


Link zum Beitrag
oktavian
vor einer Stunde von HalloAktie:

nicht jeden Quatsch übers Smartphone laufen lassen zu wollen

was ist denn die sicherere IT-Alternative? Man kann das Gerät bestimmt noch mehr absichern als Standard-consumer Geräte. Ein Beispiel wäre: https://www.nitrokey.com/de/news/2021/nitrophone-das-sicherste-android-des-planeten        Man kann dann sogar die Mikrofone auslöten und zum Telefonieren ein headset anschließen. Durch verifizierten boot und auto-reboot ist es schwer das Betriebssystem zu hacken.

Diesen Beitrag teilen


Link zum Beitrag
dev

Bevor ich anfange zu löten, wechsle ich die Bank. :w00t:

Diesen Beitrag teilen


Link zum Beitrag
Holgerli
· bearbeitet von Holgerli
vor 5 Minuten von dev:

Bevor ich anfange zu löten, wechsle ich die Bank.

Geh' zur örtlichen VoBa: Premiumkonto für 10 Euro/Monat. Inkl. beleghafter Überweisungen.

Der große Sicherheitsschwachpunkt: Kostenlos ist nur die Bargeldauszahlung am Automaten mit Girokarte. Am Schalter kostet es einige Euros je Auszahlung.

Sicherlich könnt ihr auch einen wöchentlichen Termin ausmachen, wo D und Dein Bankberater dann die Aktienkäufe im Büro des Beraters zusammen macht.

Allerdings wäre ich da vorsichtig, denn wenn der merkt, dass Du 6- oder gar 7-stellig Aktien im Depot hast...

Diesen Beitrag teilen


Link zum Beitrag
HalloAktie
· bearbeitet von HalloAktie
vor einer Stunde von oktavian:

was ist denn die sicherere IT-Alternative?

Also ich finde einen ChipTan-Generator mit Karteneinschub (SmartTan Plus) schon einmal nicht schlecht. Der zeigt mir auch die Empfänger-IBAN und den Betrag an, wenn ich etwas überweise/autorisiere und hängt nicht am Internet.

 

Wenn es ganz schlimm werden sollte, wären zusätzlich Banking ausschließlich über ein Live-System oder (schlechter) über eine virtuelle Maschine überlegenswert. Falls es unbedingt das Smartphone sein soll, würde ich ein neues extra für die Banking-Apps nehmen, das ich nur für die Transaktionen mit dem Internet verbinde. Und alle anderen Sachen auf dem Alltags-Smartphone laufen lassen, dass dann auch ständig am Internet hängen darf. Und für die ganz Nervösen halt wirklich Offline-Banking in der Filiale a la @Holgerli oben.

Diesen Beitrag teilen


Link zum Beitrag
Holgerli
vor 1 Minute von HalloAktie:

Und für die ganz Nervösen halt wirklich Offline-Banking in der Filiale a la @Holgerli oben.

Also für so Leute wie Dich. :D

Diesen Beitrag teilen


Link zum Beitrag
dev
· bearbeitet von dev

@Holgerli Meine Depotbank hat die Einladungen zur Anlageberatung aufgegeben, da stellt man Fragen nach der möglichen Nachsteuerrendite und verweist auf die Depotnachsteuerrendite und dann ist Ruhe.

Ab und zu gibt es Post, das ETFs ganz tolle Anlageprodukte sind, aber da freut sich nur die blaue Tonne drüber.

 

Die Postbank ist nicht meine Depotbank und entbehrlich. 

 

vor 3 Minuten von HalloAktie:

Also ich finde einen ChipTan-Generator mit Karteneinschub (SmartTan Plus) schon einmal nicht schlecht. Der zeigt mir auch die Empfänger-IBAN und den Betrag an, wenn ich etwas überweise/autorisiere und hängt nicht am Internet.

Mein reden.

Diesen Beitrag teilen


Link zum Beitrag
HalloAktie
vor 2 Minuten von Holgerli:

Also für so Leute wie Dich. :D

Bei mir ist nicht so viel zu holen- daher bin ich recht entspannt. Und benutze SmartTAN Plus auf einem Live-System.

Diesen Beitrag teilen


Link zum Beitrag
oktavian
vor 12 Stunden von HalloAktie:

Also ich finde einen ChipTan-Generator mit Karteneinschub (SmartTan Plus) schon einmal nicht schlecht. Der zeigt mir auch die Empfänger-IBAN und den Betrag an, wenn ich etwas überweise/autorisiere und hängt nicht am Internet.

zeigt der auch das Depot korrekt an mit den möglichen Transaktionen oder nur Überweisungen?  zum Beispiel "Kauf/Verkauf 10 Stck Limit zu xy ultimo" oder "Aufruf postbox" oder "Aufruf Umsätze >30 Tage" etc.

Diesen Beitrag teilen


Link zum Beitrag
Saek
13 hours ago, HalloAktie said:

Also ich finde einen ChipTan-Generator mit Karteneinschub (SmartTan Plus) schon einmal nicht schlecht. Der zeigt mir auch die Empfänger-IBAN und den Betrag an, wenn ich etwas überweise/autorisiere und hängt nicht am Internet.

Die Anzeige wird doch mangels anderer Verbindung vom Banking-PC übertragen? Wenn der kompromittiert ist, nutzt dir die Offline-TAN-Generierung und String-Anzeige auch nichts. MMn ist hier ein zweites internetfähiges Gerät sicherer (beide müssten kompromittiert werden)

Diesen Beitrag teilen


Link zum Beitrag
chirlu
vor 36 Minuten von Saek:

Die Anzeige wird doch mangels anderer Verbindung vom Banking-PC übertragen?

 

Aber die angezeigten Daten gehen in die Berechnung der TAN ein. Wenn ein Angreifer die verfälscht, kommt also nicht die gültige TAN heraus.

Diesen Beitrag teilen


Link zum Beitrag
Saek
2 hours ago, chirlu said:

Aber die angezeigten Daten gehen in die Berechnung der TAN ein. Wenn ein Angreifer die verfälscht, kommt also nicht die gültige TAN heraus.

Das klingt sinnvoll:thumbsup:

Diesen Beitrag teilen


Link zum Beitrag
HalloAktie
vor 6 Stunden von oktavian:

zeigt der auch das Depot korrekt an mit den möglichen Transaktionen oder nur Überweisungen?  zum Beispiel "Kauf/Verkauf 10 Stck Limit zu xy ultimo" oder "Aufruf postbox" oder "Aufruf Umsätze >30 Tage" etc.

Ich meine, bei Depot-Autorisierungen wird der Betrag und ein Merkmal des Wertpapiers angezeigt (ISIN), eventuell auch die Anzahl- erinnere ich gerade nicht. Limits etc. habe ich damit noch nicht gemacht. Beim normalen Login ohne Order werden, glaube ich, keine weiteren Details/Hinweise angezeigt. 

Zur nächsten Smartbroker-Transaktion werde ich mal darauf achten (wobei es dort QR-Code Tan ohne Karteneinschub [mangels Karte] ist). Aufgrund des festgelegten Referenzkontos und fehlendem Lombard, habe ich mir um Depot-Banking bisher weniger Gedanken gemacht. 

Diesen Beitrag teilen


Link zum Beitrag

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×
×
  • Neu erstellen...