Sicherheit Tan-Generator Online Banken

[Vango]

Hallo,

 

ich teste gerade mal wieder aus Neugier die Bankingapps von zwei Online Banken. Normal benutze ich nur Tan-Generatoren, da diese ja die höchste Sicherheit haben sollten. 

 

Bei dem Test war ich überrascht wie einfach die Apps eingerichtet werden konnten.

 

ING:

- Benutzername = letzten 10 Ziffern der IBAN

- Passwort

- Telefonnummer (wird die Tan übermittelt zur Einrichtung der App)

 

Das ist alles was benötigt wird um vom ING Tan-Generator als Freigabe auf die App zu wechseln, danach voller Zugriff auf die Konten.

 

Als Sicherheitsbonus gab es hier immerhin noch eine E-Mail, mit dem Hinweis, das gerade ein neuer Zugang eingerichtet worden ist.

 

DKB:

-Benutzername (kann individuell festgelegt werden)

- Passwort

- Telefonnummer (wird die Tan übermittelt zur Einrichtung der App)

 

Das ist alles was benötigt wird um vom DKB Chip-Tan verfahren auf die App zu wechseln, danach voller Zugriff auf die Konten.

 

Als Sicherheitsbonus gab es hier nur eine Benachrichtigung über die Telefonnummer, das ein neuer Zugang eingerichtet worden ist.

 

Gerne könnt ihr hier auch noch von anderen Banken Berichten, ob es dort ähnlich einfach ist.

 

Es ist ja grundsätzlich zu begrüßen, wenn der Prozess der Einrichtung möglichst einfach ist. Hier geht es aber zur lasten der Sicherheit. Was bringt mir noch der Tan-Generator, wenn ich diesen mit Benutzername, Passwort und den Zugriff auf den SMS Empfang meiner Handynummer komplett aushebeln kann? 

Warum wird bei der Einrichtung nicht noch eine Tan vom Tan-Generator abgefragt zur Einrichtung? So wie das jetzt ist kann ich mir bei den zwei genannten Banken eigendlich den Tan-Generator sparen.

 

Wenn die Banken schon keine Lust haben bei der Einrichtung eine Tan Abfrage über den Tan-Generator zu implementieren, da vielleicht ohnehin nicht mehr viele die Teile verwenden. Warum werden nicht wennigstens noch die E-Mail Adresse und die Postadresse, zusätzlich zur Telefonnummer verwenden, um den berechtigten Zugriff besser zu prüfen. Klar der Postweg dauert ein paar Tage, aber das wäre es mir wert, dafür dass der Zugang dann zu einem großteil meines Vermögens sicherer ist. 

 

Was ist eure Meinung dazu?

[Mick79]

Ich finde das auch etwas leichtfertig. Aber immerhin muß ein Angreifer ja erstmal eine SIM-Karte für deine Nummer bekommen.

Die Frage ist halt wie sich die Bank bei einem Schaden verhält. Manche versuchen ja schon sich da aus der Pflicht zu bringen.

Ich denke es ist nur eine Frage der Zeit bis böse Apps im Store auftauchen die den Kunden die Konten leer räumen.

 

Ich mache jedenfalls kein Banking auf einem unsicheren Gerät.

[Maciej]

vor 1 Stunde von Vango:

Es ist ja grundsätzlich zu begrüßen, wenn der Prozess der Einrichtung möglichst einfach ist. Hier geht es aber zur lasten der Sicherheit. Was bringt mir noch der Tan-Generator, wenn ich diesen mit Benutzername, Passwort und den Zugriff auf den SMS Empfang meiner Handynummer komplett aushebeln kann? 

Wenn ich dich richtig verstehe, reicht damit tatstächlich ein einziger Faktor, um 2FA auszuhebeln. Das erscheint mir auch rechtlich problematisch, da 2FA heute im Online-Banking vorgeschrieben ist. Hast du bei den Banken mal nachgefragt, ob sie darin kein Problem sehen?

[Mick79]

Du brauchst zur Einrichtung das Passwort und die SIM-Karte.

Das ist relativ sicher.

Wenn das Telefon nicht mehr geht (wegen Ersatz-SIM) merkt man das ja sofort.

[stagflation]

vor 3 Stunden von Vango:

Was ist eure Meinung dazu?

 

Ich verwende keine Banking Apps auf Smartphones. Das ist mir zu unsicher.

[lowcut]

vor 2 Minuten von stagflation:

 

Ich verwende keine Banking Apps auf Smartphones. Das ist mir zu unsicher.

+1

[Mick79]

vor 13 Minuten von stagflation:

 

Ich verwende keine Banking Apps auf Smartphones. Das ist mir zu unsicher.

Dito. +2

Nur bei der ING kann ich das eben nicht vermeiden weils es keine getrennten Apps gibt. 

Aber deshalb kaufe ich nun keinen TAN Generator und schleppe den mit mir herum.

[migieger]

vor 8 Stunden von stagflation:

 

Ich verwende keine Banking Apps auf Smartphones. Das ist mir zu unsicher.

+3
 

vor 8 Stunden von Mick79:

Nur bei der ING kann ich das eben nicht vermeiden weils es keine getrennten Apps gibt. 

Aber deshalb kaufe ich nun keinen TAN Generator und schleppe den mit mir herum.

Wenn Du auf Handys aus Sicherheitsgründen keine Bankgeschäfte machen willst, kann der ING Generator in Reichweite Deines PCs liegen (es sei denn Du willst weder PC noch Generator "rumschleppen").
 

[oktavian]

vor 10 Stunden von stagflation:

Ich verwende keine Banking Apps auf Smartphones. Das ist mir zu unsicher.

• was ist denn sicherer? Der vom Laien eingerichtete Desktop PC mit windows?
• Smartphones haben auch webbrowser - die apps muss nicht genutzt werden.

vor 13 Stunden von Vango:

Was ist eure Meinung dazu?

was würdest du denn erwarten, wenn der TAN-Generator kaputt ginge. Wie wirst du dann freigeschaltet? Grundsätzlich hat man 2 Faktoren Wissen (PW+Nutzer) und Besitz (Simkarte), wobei die Simkarte nicht stark genug verschlüsselt bei SMS meines Wissens nach.

[Maciej]

vor 23 Stunden von Mick79:

Du brauchst zur Einrichtung das Passwort und die SIM-Karte.

Angenommen du bist ein Angreifer und kennst den Accountnamen und das Passwort (ein Faktor). Woher weiß die Bank nun, dass es sich dabei wirklich um dein Smartphone handelt, auf dem du die App einrichten willst? Sofern die App dort einmal läuft ist es sicher, aber die Schwachstelle scheint doch hier gerade die EInrichtung zu sein.

[Aachsoo]

Bei Comdirect braucht man einen Aktivierungsbrief. Ich denke, man kann auch ein neues Gerät aktivieren, wenn ein bestehender Tan-Generator bereits aktiv ist.

[Mick79]

vor 37 Minuten von Maciej:

Angenommen du bist ein Angreifer und kennst den Accountnamen und das Passwort (ein Faktor). Woher weiß die Bank nun, dass es sich dabei wirklich um dein Smartphone handelt, auf dem du die App einrichten willst? Sofern die App dort einmal läuft ist es sicher, aber die Schwachstelle scheint doch hier gerade die EInrichtung zu sein.

Na die Bank hat doch meine Handy-Nummer und schickt dort die SMS zur Einrichtung hin.

 

vor 23 Minuten von Aachsoo:

Bei Comdirect braucht man einen Aktivierungsbrief. Ich denke, man kann auch ein neues Gerät aktivieren, wenn ein bestehender Tan-Generator bereits aktiv ist.

Den Brief finde ich auch gut und sicher.

Und praktisch wenn er gültig bleibt wie bei Commerzbank und Comdirect um weitere Geräte zu registrieren.

Ich glaube bei der ING war das auch so, aber nicht sicher.

[B Gates]

Am 1.10.2022 um 00:02 von Mick79:

Dito. +2

Nur bei der ING kann ich das eben nicht vermeiden weils es keine getrennten Apps gibt. 

Aber deshalb kaufe ich nun keinen TAN Generator und schleppe den mit mir herum.

 

die 30 € investiere ich noch gerne.

Damit ich keine Bankgeschäfte mit dem Handy, welches ständig Internetzugriff besitzt,  machen muss.

[Maciej]

@Vango Hattest du bei der Bank vorher schon das SMS-TAN-Verfahren aktiviert? In dem Ausgangsbeitrag geht es um den TAN-Generator, was so klingt, also wäre nur ein TAN-Verfahren aktiv gewesen. Mit aktiviertem SMS-TAN-Verfahren wäre 2FA ja wieder gegeben (Passwort als Wissen und Handy/SIM als Besitz).

[edan]

Bei der Postbank muss die Freigabe App mit einem Brief aktiviert werden. Es werden nur Freigaben von dieser App auf diesem Smartphone akzeptiert. Hat diese Methode auch eine Schwachstelle?

Chip Tan wurde bei der Postbank abgestellt.

[Vango]

Am 1.10.2022 um 10:25 von oktavian:

was würdest du denn erwarten, wenn der TAN-Generator kaputt ginge. Wie wirst du dann freigeschaltet?

Dann könnte man immernoch zusätzlich zur Tan auf die Telefonnummer, eine Tan über den Postweg oder als E-Mail versenden.

 

vor 15 Stunden von Maciej:

Hattest du bei der Bank vorher schon das SMS-TAN-Verfahren aktiviert?

Bei der ING wurde, wenn ich mich noch recht erinnere, im Zuge der Abschaffung der iTan Liste die Telefonnummer als Reaktivierung hinterlegt. Das hab ich bestätigt. Mein Tan-Verfahren war aber weiterhin das ING eigene Phototangerät, bis zur Aktivierung der App jetzt.

[wpf-leser]

vor 12 Stunden von edan:

Hat diese Methode auch eine Schwachstelle?

Was meinst du denn mit "auch"?

[edan]

vor 32 Minuten von wpf-leser:

Was meinst du denn mit "auch"?

Ich hatte gehofft das es durch die Bindung an das Smartphone + Passwort für die Freigabe App nicht ganz so viele Einfallstore gibt wie z.b. bei SMS/M Tan.

[trying]

Ich kann dem nur zustimmen.

 

Die Sicherheit ist absolut an der Grenze des vertretbaren. Mich nervt es auch nur noch was die Banken aktuell machen. Vor allem mit den Apps mit vollem Zugriff auf alles. 

 

Das mag für ein Gehaltskonto mit 5000€ Euro alles kein Problem sein. Bei größeren Beträgen und Depots hört es auch. Ich habe aus dem Grund auch mein ING Konto gekündigt, seit dem Zwang das das Konto per SMS/Email zurücksetzen zu können.

 

Es zählt immer das Schwächsteglied. Was Hilft ein super Login wenn man des Account deutlich leichter Zurücksetzen kann?

[Mick79]

vor 16 Minuten von trying:

Ich habe aus dem Grund auch mein ING Konto gekündigt, seit dem Zwang das das Konto per SMS/Email zurücksetzen zu können.

 

Es zählt immer das Schwächsteglied. Was Hilft ein super Login wenn man des Account deutlich leichter Zurücksetzen kann?

Was kann man da per SMS/Email zurücksetzen?

[trying]

vor 41 Minuten von Mick79:

Was kann man da per SMS/Email zurücksetzen?

Besser nochmal selbst nachlesen. Das hier hilft sicher als Startpunkt.

 

So habe ich das System Verstanden damals.

Hier noch weitere Links.