Bank/Broker ohne Handy?

[cjdenver]

vor 50 Minuten von Lugano:

Natürlich kannst Du Dir das Guthaben der 1. Sim-Karte auszahlen lassen.

 

Die Frage war ernstgemeint - als ich das letzte Mal eine prepaid Karte hatte da konnte man Restguthaben nur vertelefonieren, auszahlen ging da nicht. Das ist aber zugegebenermaßen schon etliche Jahre her... gut zu wissen dass das jetzt möglich ist, vielen Dank.

 

vor 9 Minuten von bondholder:

Bei Telefonica o2 verlängert sich der Gültigkeitszeitraum der Prepaidkarte dadurch nicht, mit einer Ein-Cent-Überweisung dagegen schon.

 

Ah ok - dann heißt das dass das Guthaben einfach so nach einer fixen Zeit ohne top up verfällt, selbst wenn man das Handy regelmäßig nutzt? Find ich ziemlich heftig. Bei Nichtnutzung würde ich das eher einsehen... aber gut, jedem das Seine.

[Lugano]

siehe hier

 

https://www.verbraucherzentrale.de/wissen/digitale-welt/mobilfunk-und-festnetz/prepaidrestguthaben-nach-vertragsende-auszahlen-lassen-so-gehts-23828#:~:text=der Karte ist%3F-,Kann ich mir mein Prepaid-Restguthaben nach dem Ende des,Restguthabens – und das ohne Gebühr.

[trying]

Am 3.6.2023 um 20:30 von stagflation:

Cookies als zweiter Faktor bei der Onvista Bank funktionieren.

 

Letzte Woche habe ich meinen Browser gewechselt. Der neue Browser hatte das notwendige Cookie nicht. Deshalb konnte ich mich erst bei der Onvista Bank einloggen, als ich eine SMS-TAN erhalten und eingegeben hatte. Dabei wurde ein neues Cookie angelegt. Seitdem kann ich mich mit dem neuen Browser ohne SMS-TAN einloggen.

 

Wenn ich mich nicht irre, verwenden mittlerweile auch die Volksbanken (Atruvia) ein Cookie als zweiten Faktor beim Login.

Da muss ich mich sehr wundern, dass das erlaubt ist. Attacken auf Login Cookies per XSS sind ein Klassiker bei Fehlern in der Webentwicklung. Mal nach suchen.

 

Mich wundert aber eh nichts mehr bei der Finanz-IT. Die Sicherheit für Benutzer scheint dort recht egal, solange es nicht finanziell negativ in den Zahlen bemerkbar macht.

Am 2.6.2023 um 23:20 von SlowHand7:

Diese Geschichte mit dem Cookie - die hier schon mehrfach behauptet wurde - kann ich überhaupt nicht nachvollziehen.

Ich habe gerade mal zum Spaß alle Cookies von Onvista gelöscht.

Ein Effekt war jetzt nur daß die Sicherheitsttastatur nicht geladen werden konnte (die ich sonst auch nicht benutze und weg klicke).

Dann ganz normal Anmeldung mit User und Passwort.

 

Ich finde es ganz angenehm hier nicht mit 2FA belästigt zu werden und daß ein Logout erst nach 30 Minuten erfolgt.

Was soll groß passieren? Man kann wie schon gesagt wurde nur auf ein eigenes Referenzkonto überweisen.

Ein Hacker muss aus Frust oder Spass nur dein Depot in Geld Umtauschen. Das alleine kann schon einen recht hohen Schaden verursachen.

[stagflation]

vor 9 Stunden von trying:

Mich wundert aber eh nichts mehr bei der Finanz-IT. Die Sicherheit für Benutzer scheint dort recht egal, solange es nicht finanziell negativ in den Zahlen bemerkbar macht.

 

Verstehe ich nicht. Eigentlich sind Username und Passwort doch ausreichend?

 

Weitere Faktoren sind nur notwendig, weil viele Anwender keine sicheren Passwörter wählen oder ihre Rechner mit Malware verseucht sind. Der zweite Faktor hilft nicht diesen Anwendern, sondern den Banken - weil die damit aus der Haftung kommen.

 

Von daher sollte man sich als Kunde weniger Gedanken um den zweiten Faktor machen. Sondern darüber, wie man ein sicheres Passwort wählt (und verwaltet) und wie man seinen Rechner von Viren und Malware frei hält. Wenn man das schafft, kann einem der zweite Faktor egal sein.

[trying]

vor 6 Stunden von stagflation:

 

Verstehe ich nicht. Eigentlich sind Username und Passwort doch ausreichend?

 

Weitere Faktoren sind nur notwendig, weil viele Anwender keine sicheren Passwörter wählen oder ihre Rechner mit Malware verseucht sind. Der zweite Faktor hilft nicht diesen Anwendern, sondern den Banken - weil die damit aus der Haftung kommen.

 

Von daher sollte man sich als Kunde weniger Gedanken um den zweiten Faktor machen. Sondern darüber, wie man ein sicheres Passwort wählt (und verwaltet) und wie man seinen Rechner von Viren und Malware frei hält. Wenn man das schafft, kann einem der zweite Faktor egal sein.

Ein sicheres Passwort könnte man ohne Probleme erzwingen und viele Banken sperren nach 3 Eingaben. Das lustige ist, viele erlauben sogar gar keine langen Passwörter. An der Passwortsicherheit liegt es also nicht das man weitere Faktoren anbietet.

 

Du musst unterscheiden. Erst wo ein Schaden entsteht, geht es um Haftungsfragen! Und es geht auch um dein persönliches Risiko versus Kosten/Nutzenrechnung der Bank. Für eine Bank sind, sagen wir mal als rein fiktives Beispiel,  bis zu 4 Fälle Pro Monat von den Kosten/Nutzen akzeptabel.  2 Bekommen ihr Geld gleich, bei den anderen probiert man juristisch aus der Nummer herauszukommen.

 

Ich möchte ungern in die Situation kommen mich mit Haftungsfragen beschäftigen zu müssen, mit dem Risiko daß ich einen Prozess führen muss. Daher finde ich ein möglich sicheres Onlinebanking sehr erstrebenswert auch wenn es minimal Komfortverlust bedeutet. Denn im Vergleich zu dem Prozess bei einem Schaden scheint der Zusatzaufwand mir sehr viel geringer.

 

Ein zweiter Faktor schützt Dich wenn dein Passwort in fremde Hände kommt beim Login. Und ein Tan-Verfahren schützt dich gegen Manipulationen an der Transaktion an irgendeiner Stelle (man in the middle).

 

Eine Garantie auf fehlende Malware hat man auf keinem Gerät und es bleibt immer eine kleines Restrisiko. Ein zweiter Faktor verringert das Risiko betroffen zu sein für diesen Fall erheblich.

 

Die Banken setzen damit vor allem die PSD2 um, ich finde leider oft mehr halbherzig als gut und ich vermute daher auch primär aus Haftungsfragen.

[Cando]

Einige von Euch haben ja schon gepostet, dass sie ein altes Smartphone für Photo-TAN verwenden. Klappt das denn auch ohne Internetverbindung oder wird man laufend gezwungen, irgendwelche Updates oder neuen Apps zu installieren? Wenn der Software-Support für das OS des Zweitgeräts abgelaufen ist, stelle ich mir das ziemlich unlustig vor.

 

Ich bin kein bekennender App-/Smartphone-Verweigerer, frage mich inzwischen aber schon, warum jeder so scharf auf meine Handynummer ist. Als (zugegebenermaßen umständlichen) Kompromiss denke ich über eine zweite Handynummer nach. Ein altes Smartphone habe ich noch rumliegen und würde es dann eben konsequent vom Internet trennen. So könnte man zumindest SMS für 2-Faktor-Verfahren empfangen. 

 

Banken/Broker sind mit den TAN-Verfahren ja längst nicht mehr die einzigen. Online-Zahlungen mit Kreditkarte sind in der EU neuerdings nur noch mit 2-Faktor-Authentifizierung möglich. Bei Visa braucht man entweder eine App oder SMS-TAN. Dasselbe gilt für Zahlungsdienste wie Paypal. 
 

Aber auch bei einigen Ärzten, Restaurants, Friseuren, etc. bekommt man inzwischen selbst nach telefonischer Terminvereinbarung anschließend eine Bestätigung-SMS eines Buchungsportals - gerne auch mal völlig ohne Einwilligung der Datenweitergabe an diesen Anbieter.

[SlowHand7]

vor 15 Minuten von Cando:

Einige von Euch haben ja schon gepostet, dass sie ein altes Smartphone für Photo-TAN verwenden. Klappt das denn auch ohne Internetverbindung oder wird man laufend gezwungen, irgendwelche Updates oder neuen Apps zu installieren? Wenn der Software-Support für das OS des Zweitgeräts abgelaufen ist, stelle ich mir das ziemlich unlustig vor.

 

Banken/Broker sind mit den TAN-Verfahren ja längst nicht mehr die einzigen. Online-Zahlungen mit Kreditkarte sind in der EU neuerdings nur noch mit 2-Faktor-Authentifizierung möglich. Bei Visa braucht man entweder eine App oder SMS-TAN. Dasselbe gilt für Zahlungsdienste wie Paypal. 
 

Aber auch bei einigen Ärzten, Restaurants, Friseuren, etc. bekommt man inzwischen selbst nach telefonischer Terminvereinbarung anschließend eine Bestätigung-SMS eines Buchungsportals - gerne auch mal völlig ohne Einwilligung der Datenweitergabe an diesen Anbieter.

Ein altes Smartphone für Photo-TAN ist natürlich keine dauerhafte Lösung.

Die Apps bekommen regelmäßig Updates und irgendwann genügt das Gerät eben nicht mehr.

Gerade hat die ING den Support für Android 8 eingestellt.

 

Es ist auch unrterschiedlich welche Verbindungen gebraucht werden. Die meisten Apps brauchen Internet, einige erzeugen auch offline TANs.

Manche brauchen auch die Telefonnummer selbst wenn man keine SMS-TAN benutzt.

 

Die Bedenken zum Datenschutz verstehe ich nun nicht. Wenn du jemanden anrufst und dabei deine Rufnummer nicht unterdrückst dann gibst du dem Angerufenen freiwillig deine Nummer. Dann kann er dich natürlich zurück rufen oder eine SMS schicken.

[Cando]

vor 3 Stunden von SlowHand7:

Ein altes Smartphone für Photo-TAN ist natürlich keine dauerhafte Lösung.

Die Apps bekommen regelmäßig Updates und irgendwann genügt das Gerät eben nicht mehr.

Gerade hat die ING den Support für Android 8 eingestellt.

 

Es ist auch unrterschiedlich welche Verbindungen gebraucht werden. Die meisten Apps brauchen Internet, einige erzeugen auch offline TANs.

Manche brauchen auch die Telefonnummer selbst wenn man keine SMS-TAN benutzt.

 

 

Das hatte ich befürchtet. Dann ist die Lösung wohl doch nicht so praktikabel.

 

Zitat

Die Bedenken zum Datenschutz verstehe ich nun nicht. Wenn du jemanden anrufst und dabei deine Rufnummer nicht unterdrückst dann gibst du dem Angerufenen freiwillig deine Nummer. Dann kann er dich natürlich zurück rufen oder eine SMS schicken.

Das ging aus meinem Beitrag vielleicht nicht ganz so deutlich hervor, aber gemeint war die Weitergabe der Daten an einen Dritten, nicht die Verwendung durch den Angerufenen selbst. 
 

Beispiel: Man ruft direkt beim Arzt an und vereinbart dort einen Termin. Anschließend gibt die Sprechstundenhilfe, ohne dass darüber am Telefon gesprochen wurde, Name, Telefonnummer und Mailadresse an Doctolib weiter. Rechtlich ohne Einwilligung oder auch nur Kenntnis des Patienten so nicht zulässig, interessiert de facto aber keinen und wird von vielen Arztpraxen wie selbstverständlich praktiziert.

[Ramstein]

vor 3 Stunden von SlowHand7:

Ein altes Smartphone für Photo-TAN ist natürlich keine dauerhafte Lösung.

Die Apps bekommen regelmäßig Updates und irgendwann genügt das Gerät eben nicht mehr.

Ich sehe keine ausreichende Begründung für obige Aussage. Für die Deutsche Bank nutze ich mein Handy von 2009 alsPhotoTAN Leser. Alle Netzwerke habe ich natürlich ausgeschaltet. Ich sehe auch keinen Aktualisierungsbedarf für die App, denn PhotoTAN bleibt PhotoTAN.

[Malvolio]

Ich zitiere mal von der Comdirect-Seite: "Sie haben kein Smartphone? Bestellen Sie sich einfach ein photoTAN-Lesegerät."

 

https://www.comdirect.de/cms/sicherheit-pin-tan.html#phototan

 

Das Gerät funktioniert übrigens auch bei der Commerzbank.

[SlowHand7]

vor einer Stunde von Ramstein:

Ich sehe keine ausreichende Begründung für obige Aussage. Für die Deutsche Bank nutze ich mein Handy von 2009 alsPhotoTAN Leser. Alle Netzwerke habe ich natürlich ausgeschaltet. Ich sehe auch keinen Aktualisierungsbedarf für die App, denn PhotoTAN bleibt PhotoTAN.

Dann ist die Deutsche Bank wohl sehr träge und rückständig. 

Aber wenn sie das Verfahren mal ändern dann machst du mit der alten App auch nichts mehr.

 

Das hat die ING wie gesagt gerade gemacht und so etwas passiert früher oder später bei jeder Bank.

Die Renault Bank hat auch erst kürzlich einen App-Zwang eingeführt.