Von (Zwei-Faktor-)Authentisierung, (zu?) mächtigen Apps, Smartphones, TAN-Generatoren und Sicherheitsbedenken

[wpf-leser]

In diversen Fäden - bevorzugt im Broker-Umfeld - flammen momentan immer wieder Diskussionen zur (Un-)Sicherheit aktueller (Zwei-Faktor-)Authentisierungs-Mechanismen und entsprechenden Nutzungsvoraussetzungen auf.

(langgezogenes Beispiel im ING-Faden)

 

Die Hauptkritik richtet sich dabei gegen eine empfundene relative Unsicherheit zwischen aktuellen "Kombi-Apps" (Banking/Brokerage + Authentisierungswerkzeug in einer App) und in der Vergangenheit weit verbreiteten Verfahren, bei denen mehrere Geräte mit eingeschränktem Funktionsumfang beteiligt werden mussten oder konnten (z.B. chipTAN-Generatoren oder getrennte Banking- und TAN-Apps).

 

Eine kurze Suche im WPF fördert mehr oder weniger entfernt themenverwandte Fäden zutage, wie

• Günstige Broker bzw. Banken, bei denen eine App nicht verpflichtend ist?

• Sammel-Thread: Broker & Banken, wo man fürs Internetbanking keine App benötigt

• Bank/Broker ohne Handy?

• Sicherheit Neobroker Apps

• Risiko Smartphone

• Tan Absicherung von Wertpapiergeschäften

aber auch

• Passwortmanager

• Ersetzen Passkeys bald die klassischen Zugangsdaten?

.

 

Da ich mich an der einen oder anderen Diskussion gerne beteiligt habe, obwohl auch klar ist, dass sie im Rahmen der Fäden nicht gut aufgehoben ist, möchte ich diesen Faden eröffnen und einerseits Raum zum Diskutieren schaffen, in den entsprechend umgelenkt werden kann.

Andererseits möchte ich zu passenden Gelegenheiten entsprechende Inhalte zentral erweitern, um perspektivisch eine kompakte Einheit zum Thema vorzuhalten. Im Grunde ist dazu bereits viel Vorarbeit geleistet worden, die aber leider sehr dezentral versteckt ist. (Betrifft z.B. diesen und fortfolgende Beiträge.)

 

Das ändert sich zukünftig hoffentlich und soll perspektivisch ebenso zu einem besseren Verständnis der manchmal (begrifflich) un-intuitiven Materie beitragen.

 

P.S.: Das gilt selbstredend auch für mich - erstes (faszinierendes) Takeaway trotz später/früher Stunde:
In der deutschen Sprache stellt die "Authentisierung" wohl die Behauptung einer Authentizität (z.B. durch den Benutzer mit den zwei Faktoren) dar, die "Authentifizierung" deren Bestätigung (z.B. durch den Server einer Bank, der die "Echtheit" prüfen kann) dar. [Wiki]

[wpf-leser]

--- Reserviert ---

[west263]

vor 1 Stunde von wpf-leser:

Da ich mich an der einen oder anderen Diskussion gerne beteiligt habe

ich habe mich noch nie an solchen Diskussionen beteiligt, da so manche auf Hysterie und Paranoia fusst. 

 

Ich bin z.b. auch nicht davon begeistert, das ich zwangsweise bei der ING auf die App umgestellt wurde und nun über diese ein voller Zugang zu meinem Depot besteht. Das heißt für mich, einen noch sorgfältigeren Umgang mit meinem Handy zu haben. Bedeutet nicht, daß ich völlig durchdrehe und permanente Diskussionen dazu führe. 

 

Meine Hausbank, die comdirect hat es perfekt gelöst, mit einer extra App. Aber nicht alle sind perfekt und dann bleibt einem, man nimmt es hin oder geht. 

 

Aber diese permanenten und dauerhaften Diskussionen, die unweigerlich in fast jedem Thread entstehen, sind nervig. 

 

Von daher, Danke für den Thread und meine Hoffnung das die tägliche Anzahl der Beiträge hier hoch ist und andere Threads befreit sind. 

[HalloAktie]

Wobei mindestens die Hälfte der Diskussions-Volumina in den entsprechenden Fäden aus den Antworten von technischen Laien besteht, die erklären warum die Thematik nervig oder nicht relevant sei. Siehe Beitrag über diesem: 2 Sätze zum Thema in einem 8 Sätze umfassenden Beitrag. Wenn das ausbleiben würde oder die Antworten präziser wären, müsste sich niemand beschweren. Aber trotzdem danke für das Thema.

[Sloth]

vor 5 Stunden von west263:

Ich bin z.b. auch nicht davon begeistert, das ich zwangsweise bei der ING auf die App umgestellt wurde und nun über diese ein voller Zugang zu meinem Depot besteht.

Also, ich kann auf mein ING Depot derzeit noch über Digipass 772 zugreifen. Warum geht das bei @west263 nicht mehr? Habe ich etwas verpasst?

 

Ich beteilige mich übrigens gerne an solchen Diskussionen, auch wenn die häufig ausufern und ab einen gewissen Punkt nicht mehr produktiv sind.

[slowandsteady]

vor 9 Stunden von wpf-leser:

Die Hauptkritik richtet sich dabei gegen eine empfundene relative Unsicherheit zwischen aktuellen "Kombi-Apps" (Banking/Brokerage + Authentisierungswerkzeug in einer App) und in der Vergangenheit weit verbreiteten Verfahren, bei denen mehrere Geräte mit eingeschränktem Funktionsumfang beteiligt werden mussten oder konnten (z.B. chipTAN-Generatoren oder getrennte Banking- und TAN-Apps).

Meine Sicht der Dinge:

 

CHIP Tan

• offline, daher sicher vor "Hacking"
• umständlich und nicht besonders bequem (man muss immer den TAN-Generator mitnehmen)
• verursacht der Bank oder Kunden Kosten für Hardware

iTAN:

• offline, daher sicher vor "Hacking"
• anfällig gegenüber menschlichen Fehlern und Phishing -> Banken haben zuviele Probleme und mögen das Verfahren nicht mehr
• verursacht Kosten (Porto für Brief)

SMS:

• bequem, Handy hat man immer dabei
• es gab genug "SIM Hijacking" Angriffe, bei denen Angreifer Username+Passwort bekommen haben, dann mit dem gleichen Passwort (Fehler Kunde) eine zweite SIM-Card beim Anbieter bestellt haben und dann das Konto leergeräumt haben -> Banken haben zuviele Probleme und mögen das Verfahren nicht mehr
• Die alten GSM Protokolle sind anfällig gegenüber IMSI-Catchern, wobei das eine lokale Attacke ist und Nähe zum Ziel voraussetzt, zudem teure Hardware braucht. Wird wohl eher nicht für normale Bankkonten verwendet, sondern um zB Botschaften auszuspionieren.
• verursacht Kosten (Kosten pro SMS wenige ct im Bulkversand)

App:

• bequem, Handy hat man immer dabei
• TANs sind "kostenlos"
• Sicherheit: Kommunikation ist gut absicherbar mit Certificate Pinning usw., Problem entsteht nur wenn Handy "gehackt" wird.

Das "böse App A" auf dem Androidgerät aus der Sandbox ausbricht und die Daten der "Onlinebanking App B" stiehlt, ist dagegen sehr unwahrscheinlich. Solche Exploits sind NSA-Level und werden nicht genutzt um Oma Erna um 3000€ zu erleichtern. Der Marktwert für derartige Schwachstellen ist bei Zerodium >1 Million Dollar, warum sollte man die Schwachstelle verbraten für ein bisschen Online-Banking-Betrug? Zudem filtert Google/Apple solche Apps sehr schnell aus dem Playstore heraus und schließt die Lücke, d.h. der Exploit ist dann wertlos.

Das größte Einfallstor für Otto-Normalverbraucher-Nutzer ist immer noch bekloppter Umgang mit Passwörtern. Das was ihr vielleicht in der Verwandschaft/Bekanntenkreis mitbekommen habt als "Hilfe mein Handy wurde gehackt" ist zu 99.9% einfach auf idiotisches Passwort-Wiederverwendung zurückzuführen und nicht auf die Ausnutzung von technischen Schwachstellen. Möchte nicht wissen, wieviele Nutzer beim Wertpapier-Forum gleiches Passwort wie beim Online-Banking und bei der E-Mail haben.

 

Ich warte immer noch auf die Bank, die eine FIDO2 Authentifizierung als zweiter Faktor anbietet. Die Hoffnung stirbt zuletzt...

  

vor 7 Stunden von west263:

Meine Hausbank, die comdirect hat es perfekt gelöst, mit einer extra App.

Ja, ich bin da auch zufrieden nur mit der "photoTAN"-App zum TAN generieren. Als weitere Maßnahme logge ich mich einfach niemals von meinem Smartphone aus in das Onlinebanking ein, wenn es unterwegs mal sein muss, dann vom Smartphone der Frau. So hat mein Smartphone nie Zugriff auf Passwort + TAN gleichzeitig.

[CorMaguire]

Mal am Rande bemerkt weil immer von Handy/Smartphone die Rede ist ... als Alternative für die die Banking/Brokerage zu Hause machen.

Die Apps sollten auch auf Tablets ohne SIM-Karte laufen, welche ja dann günstiger sind. Und das kann man ja zu Hause lassen.

[John_Ca$htrane]

Es gibt einen Blog, der sich mit IT-Sicherheit, Datenschutz und Hacking beschäftigt: www.kuketz-blog.de

Dort kann man sich gut in derartige Thematiken einlesen.

 

Ich denke auch, dass der Umgang mit Passwörtern und Datenschutz eine größere Bedrohung ist als Sicherheitslücken bei Android/Apple. Mir fallen spontan drei Menschen aus meinem Umfeld ein, die in diesem Jahr durch Phishing gehackt wurden: Zweimal DKB, einmal Paypal. Aber ich nutze trotzdem keine Apps als Faktor und generell mein Smartphon nicht für Bezahlvorgänge. Ich fühle mich einfach wohler, wenn der zweite Faktor keine Internetverbindung hat. Außerdem liest man doch häufig zBsp im DKB-Faden von Problemen und Bugs mit der aktuellen App und wenn die App nicht mal ordentlich läuft bei allen Nutzern erhöht das nicht gerade mein Vertrauen in die Software der Bank.

[wpf-leser]

vor 7 Stunden von west263:

Ich bin z.b. auch nicht davon begeistert, das ich zwangsweise bei der ING auf die App umgestellt wurde und nun über diese ein voller Zugang zu meinem Depot besteht. Das heißt für mich, einen noch sorgfältigeren Umgang mit meinem Handy zu haben. Bedeutet nicht, daß ich völlig durchdrehe und permanente Diskussionen dazu führe. 

Volle Zustimmung. Für derartige gedankliche Verschiebungen scheinen manche aber nicht offen zu sein. Mir erscheint es daher einfacher, einen Faden aufzubauen, in dem das über die Zeit alles mal zentral gesammelt wird. Einerseits um einfach sagen zu können "dorthin bitte" und entsprechend (ggf. nervende) inhaltliche Diskussionen (v.a. noch an falscher Stelle) abwürgen zu können, den geneigten Leser aber (perspektivisch - heute ist das oben ja noch leer) nicht mit Falschinformationen im Regen stehen zu lassen. Das fänd' ich sehr unschön, wenngleich das im Zweifel natürlich ein Problem des jeweiligen Leser ist und nicht meines/unseres.

 

vor 2 Stunden von HalloAktie:

Wobei mindestens die Hälfte der Diskussions-Volumina in den entsprechenden Fäden aus den Antworten von technischen Laien besteht, die erklären warum die Thematik nervig oder nicht relevant sei.

Jup. Da die Antworten am Ende des Tages auch immer wieder dieselben sein müssen, lohnt sich mMn. eine sukzessive Auslagerung.

 

vor 1 Stunde von CorMaguire:

Die Apps sollten auch auf Tablets ohne SIM-Karte laufen, welche ja dann günstiger sind.

Obacht, das sollte von der App abhängen. (<- Kernaussage)

Mir ist z.B. nicht klar, ob SB+ lt. eigenen FAQ aus Designgründen für Tablets die Browser-GUI empfiehlt (und die SB+-App daher vielleicht im Fall von als "Tablet" konfigurierten Geräten gar nicht erst anbietet, was ich nicht geprüft habe) oder man die SIM-Karte (respektive SMS-Empfang o.Ä. bzw. andere "Telefon"-Eigenschaften) als technisch integralen Bestandteil ansieht und daher auf solchen Geräten nicht lauffähig ist (was ich ebenfalls nicht geprüft habe).

 

vor einer Stunde von John_Ca$htrane:

Es gibt einen Blog, der sich mit IT-Sicherheit, Datenschutz und Hacking beschäftigt: www.kuketz-blog.de

Dort kann man sich gut in derartige Thematiken einlesen.

Der Blog wurde in einer der Diskussionen und ganz konkret mit diesem Artikel bereits verlinkt. Müsste ich einen spontanen Vergleich mit der Finanzwelt ziehen, wäre ich beim (alten) Finanzwesir. Da sind viele Dinge sehr gut dargestellt und Kniffe gegeben, das eigene Hirn darf man dabei aber nicht ausschalten. Dort ist z.B. auch soetwas zu lesen:

Zitat

Erfolgt die Überweisung sowie die Freigabe auf demselben Gerät, wird das Prinzip der Zwei-Faktor-Authentifizierung (2FA) unterlaufen bzw. gefährlich abgeschwächt.

Das zeigt, dass beim Verfassen vermutlich ein falsches Verständnis der 2FA vorlag, die hier in keinster Weise unterlaufen oder abgeschwächt wird. Die Flughöhe der Idee einer Mehr-Faktor-Authentisierung ist eine viel höhere. Die Lesart aus dieser Sicht müsste sein, dass weiterhin ein (angenommener) Faktor (i.S.d. 2FA) des Wissens (Anmeldedaten) und des Besitzes (Smartphone, mit dem die App "gekoppelt" ist) im Spiel ist. Es ist für das Modell schlicht unerheblich, ob man dafür zwei Geräte benutzt oder nicht - zumal eines der Geräte (im Normalfall das weitere Gerät (häufig "der PC")) normalerweise noch nicht einmal ein "registriertes" / "gekoppeltes" Gerät ist und folglich überhaupt keinen "Faktor" im Sinne einer MFA darstellen kann. Dass die Nutzung zweier Geräte von der technischen Umsetzung her eine gewisse Zusatzsicherheit ungewisser (tendenziell sehr geringer) Relevanz mit sich bringen kann, ist einfach ein anderes (durchaus gültiges!) Paar Schuhe. Es hat mit der 2FA selbst aber nichts zu tun. Das ist auch sehr schön am im Artikel verlinkten Wiki-Artikel ablesbar, der in der zweiten Hälfte recht umfangreich auf technische Umsetzung der 2FA eingeht.

 

Ich möchte aber abschließend (weil das kritische Beispiel nun doch etwas umfangreich wurde) nochmal klarstellen: Wie beim (alten) Finanzwesir taugt der Artikel imho natürlich hervorragend, um eine steile Lernkurve bzgl. des Themas abzubilden. Die Qualität des Artikels im Gesamten mindert das aus meiner Sicht nur geringfügig und sagt nur, dass das noch nicht ganz der Weisheit letzter Schluss ist bzw. über solche Dinge im Rahmen dieses Artikels eben keine Diskussion darüber stattfindet. Davor sind wir alle nicht gefeit.

 

vor einer Stunde von John_Ca$htrane:

Außerdem liest man doch häufig zBsp im DKB-Faden von Problemen und Bugs mit der aktuellen App und wenn die App nicht mal ordentlich läuft bei allen Nutzern erhöht das nicht gerade mein Vertrauen in die Software der Bank.

Das mag sein, nur bin ich auch der festen Überzeugung, dass im sicherheitskritischen Bereich andere Maßstäbe angelegt werden, als im Bereich der (erweiterten) Funktionen, wo auch die Änderungshäufigkeit & -Dichte stark abweichen dürfte.

Wenn ich mich an die Probleme und Bugs im DKB-Faden zurückerinnere, so finde ich darunter keine, die in Sachen Sicherheit irgendwie geartet hätten ausgenutzt werden können - sofern ich entsprechendes nicht schon wieder vergessen habe.

So gesehen leidet mein Vertrauen noch überhaupt nicht.

[hquw]

Zu der 2FA-Thematik über Apps hat slowandsteady ja schon einen guten Überblick geliefert.

 

Mich stört ehrlich gesagt weniger das App-2FA als teilweise intransparente Sicherheitsprozesse. Mir ist z.B. bei vielen Banken nicht ganz klar, wie die Passwort- und 2FA-Resetflows funktionieren. Die ING drängt z.B. stark darauf, dass man seine Mobilfunknummer hinterlegt und kündigt im FAQ an, dass man entweder SMS, Mails oder normale Post für das Zurücksetzen verwendet. Aber wann welches Verfahren zum Einsatz kommt, wird gar nicht gesagt. Ich hätte z.B. sehr starke Bauchschmerzen, wenn man ein neues Gerät für den Login und 2FA schon nur per SMS registrieren könnte. Damit würde sich die ganze Sicherheit des Anmeldeverfahrens auf SMS und vielleicht noch mein Passwort reduzieren. SIM Hijacking würde ich schon als sehr reales Sicherheitsproblem einschätzen.

 

Ich vermute allerdings ganz stark, dass häufig ein bisschen mehr hinter dem App-2FA und Resetflow steckt. Können über die Apps irgendwie eindeutige, gerätespezifische Informationen ausgelesen werden und wenn ein komplett neues Gerät verwendet wird, werden andere Prozesse getriggert, z.B. ein Resetcode per Post?

vor 25 Minuten von wpf-leser:

Das zeigt, dass beim Verfassen vermutlich ein falsches Verständnis der 2FA vorlag, die hier in keinster Weise unterlaufen oder abgeschwächt wird. Die Flughöhe der Idee einer Mehr-Faktor-Authentisierung ist eine viel höhere.

Ja, das ist auch etwas, was ich bei diesen Artikeln immer ein bisschen schwierig finde. Da werden konkrete Technologien häufig mit den abstrakten Konzepten vermischt und dann teilweise nicht mehr ganz nachvollziehbare Schlüsse gezogen. Man könnte genau so gut argumentieren, dass eine integrierte HSM wie bei Apple in Form der Secure Enclave (bzw. was auch immer die Android-Smartphone-Hersteller verwenden) problemlos einen zweiten Faktor beherbergen könnte, ohne dass man eine "abgeschwächte" Form von MFA hätte. Es ist eben ein separater, physisch abgeschotteter Chip, der sich zufällig im selben Gerät befindet und nicht vom Betriebssystem ausgelesen werden kann.

 

Die Welt war mit chipTAN einfacher, aber gerade Smartphones mit ihren ganzen separaten Co-Prozessoren stellen viele alte Annahmen ein bisschen auf den Kopf.

[oktavian]

vor 3 Minuten von hquw:

intransparente Sicherheitsprozesse

wenn das playbook offen liegt, macht es dies evtl. auch Angreifern leichter. Am Telefon könnten z.B. Sicherheitsfragen abgefragt, welche man bei Anmeldung eingerichtet hatte, werden usw. 

vor 8 Minuten von hquw:

entweder SMS, Mails oder normale Post für das Zurücksetzen

Wenn Email, SMS ausreichen würde, könnte die Bank das auch direkt anbieten. Dann verstehe ich den Sinn der Abschaffung von SMS-TAN gar nicht.

vor 9 Minuten von hquw:

Können über die Apps irgendwie eindeutige, gerätespezifische Informationen ausgelesen werden und wenn ein komplett neues Gerät verwendet wird, werden andere Prozesse getriggert, z.B. ein Resetcode per Post?

natürlich. Man muss den apps dafür die Rechte gehen (bei Android Telefon), obwohl die app gar nicht telefonieren oder sms braucht. In der DKB app steht sogar, dass dann die Sicherheit größer ist, wenn man ihr dieses Recht gibt, aber die app läuft auch ohne.

 

Smartphones haben einen krypto hardwarechip, den man wie einen Fido2 key nutzen kann. Das müsste das reine kopieren der app verhindern können theoretisch, selbst wenn das smartphone entschlüsselt wäre.

 

vor 2 Stunden von CorMaguire:

Die Apps sollten auch auf Tablets ohne SIM-Karte laufen, welche ja dann günstiger sind.

Tablets sind eher teurer als smartphones, auch auf dem Gebrauchtmarkt. Technisch laufen die apps, wenn die Bank es nicht unterbindet.

 

vor 8 Stunden von west263:

Meine Hausbank, die comdirect hat es perfekt gelöst, mit einer extra App.

comdirect bietet auch an fürs Depot andere Zugangsdaten zu haben als fürs Giro. Dann kann man vom Depot aus nicht überall hin überweisen und kann das Giro z.B. mobil managen oder die Daten fürs Depot in einem Zweitprofil mit alphanumerischen Passwort absichern, während das Hauptprofil nur einen simpleren pincode/fingerprint nutzt.

[Saek]

2 hours ago, slowandsteady said:

Ich warte immer noch auf die Bank, die eine FIDO2 Authentifizierung als zweiter Faktor anbietet. Die Hoffnung stirbt zuletzt...

Schöne Zusammenfassung! Was ich als Problem von iTAN, zu einem gewissen Grad SMS und anderen 2FA (OTP) ansehe, ist, dass man kein Feedback hat, was passiert. Ich habe FIDO2 noch nie verwendet, aber man sieht da auch nicht, welche Aktion man freigibt, oder? Für den Fall, dass man nicht auf der richtigen Webseite ist, ist es ja nicht schlecht, die freigegebene Transaktion in der App zu sehen.

 

[CorMaguire]

vor 23 Minuten von wpf-leser:

...  Obacht, das sollte von der App abhängen. (<- Kernaussage) ...

Genau, deswegen habe ich ja sollte geschrieben.

 

Allerdings ist der zweite Faktor ja der Besitz des Geräts (weswegen es beim Anbieter registriert sein muss) und nicht der SIM-Karte (so weit ich das verstehe). Weswegen

vor 23 Minuten von wpf-leser:

...  oder man die SIM-Karte (respektive SMS-Empfang o.Ä. bzw. andere "Telefon"-Eigenschaften) als technisch integralen Bestandteil ansieht und daher auf solchen Geräten nicht lauffähig ist ...

eigentlich keinen Sinn ergibt, aber natürlich so implementiert sein kann.

 

Consors (SecurePlus), ING App und SecureGo plus (VR und andere) funktionieren derzeit jedenfalls auf einem Tablet ohne SIM-Karte.

[wpf-leser]

vor 27 Minuten von Great Crash:

Nur weil es ein kleines bisschen schwieriger auf dem Smartphone sein mag (weil die Hersteller dem Besitzer die Kontrolle über das Gerät entziehen will), haben beide fundamental das gleiche Problem.

Fundamental das gleiche Problem -> korrekt

Praktisch (wie du schon selbst darlegst) macht es aber einen (im wahrsten Sinne des Wortes) fundamentalen Unterschied.

 

vor 27 Minuten von Great Crash:

Ja, TAN-Generatoren könnten viel billiger sein, als diese Geräte mit Display und Kamera. Ein USB-Stick würde völlig ausreichen und könnte überall funktionieren.

Der USB-Stick an sich ist dann kein TAN-Generator; so eine TAN ist heute ja auch nur ein "Kommunikationsartefakt", um irgendwie die Information "ist i.O." zwischen Papier/Gerät oder Geräten durch den Menschen transportierbar zu machen.

Für das, was die Apps konzeptuell leisten müssen, gibt es heute vielfältig benutzbare und etablierte Wege. Die mehr oder weniger bekannte Vorgehensweise der Apps ist nur einer davon und mit den TAN-Generatoren bedient man quasi einen komplett gegenüberliegenden Pol. Zwischen Schwarz und Weiß gibt aber einige tolle Graustufen / andere Szenarien.

 

Ich sehe gerade - FIDO2 wurde schon genannt. Darauf warte ich auch und vermute, dass man damit viele Benutzer (auch die, die reine App-Lösungen für kritisch halten) glücklich machen könnte.

 

vor 34 Minuten von hquw:

Können über die Apps irgendwie eindeutige, gerätespezifische Informationen ausgelesen werden und wenn ein komplett neues Gerät verwendet wird, werden andere Prozesse getriggert, z.B. ein Resetcode per Post?

Denkbar ist es - gerätespezifische Informationen auf der dafür benötigten Ebene auszulesen ist kein Problem, das wird bereits getan. (Siehe z.B. automatische Gerätebezeichnungen, die manchmal in den Apps oder Geräteübersichten der Banken genutzt werden.) Automatisch getriggerte Prozesse sollten aber sinnvoll kommunikativ begleitet werden - was meinem Verständnis allerdings schon heute deine Hauptkritik am Vorgehen der Institute ist.

 

vor 8 Minuten von CorMaguire:

Allerdings ist der zweite Faktor ja der Besitz des Geräts (weswegen es beim Anbieter registriert sein muss) und nicht der SIM-Karte (so weit ich das verstehe).

Auch das kann man natürlich so oder so handhaben - im Sinne der 2FA wäre das erstmal egal. Ich meine mich auch dunkel aus vergangenen Recherchen daran zu erinnern, dass man für solche Themen an die SIM-Karte mal ran wollte, es dann aber (aus Gründen) gelassen hat. (Muss nicht stimmen...)

[dimido]

Ich habe die Banking 2FA-Apps generell auf meinem Handy und(!) meinem Tablet (ohne SIM) installiert.
Mehrere Freigabe-Geräte zu registrieren geht zumindest problemlos für die Banken bei denen ich Kunde bin (DeuBa, CoBa, ING, flatex).
Mein iPad ist immer Zuhause. Dadurch habe ich, falls ich mal das Handy verlieren sollte oder es technisch defekt ist, trotzdem immer noch ein funktionierendes registriertes 2FA Gerät zur Hand.
Ebenso falls bei mir eingebrochen wird und mein Tablet geklaut wird (bei mir gab es vor einiger Zeit mal einen Einbruchsversuch...), habe ich noch mein Handy.
Ich erspare mir dadurch im Falle eines Falles die Fallback-Verfahren der verschiedenen Banken um wieder Zugriff zum Online-Banking zu bekommen.
Auch meine normale Authenticator App, die ich für alle anderen non-Banking 2FA Zugänge benutze, habe ich auf beiden Geräten laufen, damit ich im Falle eines Falles immer handlungsfähig bleibe und mich nicht mit Backup-OTP-Codes, SMSe, mails etc. herumplagen muss.

[hquw]

vor 22 Minuten von oktavian:

wenn das playbook offen liegt, macht es dies evtl. auch Angreifern leichter. Am Telefon könnten z.B. Sicherheitsfragen abgefragt, welche man bei Anmeldung eingerichtet hatte, werden usw. 

Das ist mir klar, aber das macht die Sache nicht unbedingt besser.

vor 18 Minuten von Saek:

Schöne Zusammenfassung! Was ich als Problem von iTAN, zu einem gewissen Grad SMS und anderen 2FA (OTP) ansehe, ist, dass man kein Feedback hat, was passiert. Ich habe FIDO2 noch nie verwendet, aber man sieht da auch nicht, welche Aktion man freigibt, oder? Für den Fall, dass man nicht auf der richtigen Webseite ist, ist es ja nicht schlecht, die freigegebene Transaktion in der App zu sehen.

Das mit der "richtigen Webseite" sollte man bei FIDO2 und den Nachfolgeprotokollen wie WebAuthn und Co. schon im Protokoll haben. Das ist einer der großen Vorteile, also dass sie phishing-resistent sind. Zum direkten Anmelden oder als zweiter Faktor ist das eine klasse Sache, weil man im Grunde nichts falsch machen kann. Aber ja, man hat kein direktes Feedback bzw. müsste das irgendwie in Software haben.

vor 17 Minuten von CorMaguire:

Consors (SecurePlus), ING App und SecureGo plus (VR und andere) funktionieren derzeit jedenfalls auf einem Tablet ohne SIM-Karte.

Ja, sie funktionieren nach der initialen Einrichtung ohne SMS. Aber das heißt ja nicht, dass der Resetflow SMS komplett ausschließt.

[CorMaguire]

vor 15 Minuten von hquw:

...Ja, sie funktionieren nach der initialen Einrichtung ohne SMS. ....

Auch die intitale Einrichtung erfordert keine SMS auf das Tablet.

 

vor 15 Minuten von hquw:

....Aber das heißt ja nicht, dass der Resetflow SMS komplett ausschließt.

Natürlich nicht. Wenn ich für den Reset SMS brauche, muss ich halt dafür ein Handy/Smartphone haben. Welches aber immer noch Banking/Brokerage-App frei bleiben kann.

 

 

[hquw]

vor 21 Minuten von CorMaguire:

Natürlich nicht. Wenn ich für den Reset SMS brauche, muss ich halt dafür ein Handy/Smartphone haben. Welches aber immer noch Banking/Brokerage-App frei bleiben kann.

Mir geht es eher um SIM Hijacking. Vielleicht ist das nicht so allgemein bekannt, aber jeder Mobilfunkprovider kann weltweit jede beliebige SIM-Karte klonen und SMS bzw. Anrufe umleiten. Also es gibt schlicht nicht die Sicherheitsmaßnahmen innerhalb des Mobilfunknetzes, wie man sie von Transportverschlüssellungen im Internet kennt. Dein Kommentar liest sich so, als ob du annimmst, dass der größte Angriffsvektor bei SMS darin besteht, dass die SMS auf dem (eventuell kompromittierten) Gerät von Dritten ausgelesen wird. Bei SIM Hijacking kommt die SMS aber nicht zwangsläufig bei dir überhaupt an.

 

Das Stichwort ist hier SS7. Das ist das Protokoll, über das die gesamte Kommunikation zwischen den Mobilfunkprovidern läuft. Und das hat schlicht keine eingebaute Sicherheitsmaßnahmen.

 

Deshalb sehe ich es auch so kritisch, wenn Banken SMS in ihre Resetflows integrieren, ohne wirklich zu informieren, ob das noch mit anderen, gerätespezifischen Merkmalen gekoppelt wird. Wenn ja, wäre es vielleicht ... ok? Wenn nein, dann hätte ich gerne lieber einen Resetcode per Post, auch wenn es unkomfortabler ist.

[oktavian]

vor einer Stunde von hquw:

Deshalb sehe ich es auch so kritisch, wenn Banken SMS in ihre Resetflows integrieren, ohne wirklich zu informieren, ob das noch mit anderen, gerätespezifischen Merkmalen gekoppelt wird. Wenn ja, wäre es vielleicht ... ok? Wenn nein, dann hätte ich gerne lieber einen Resetcode per Post, auch wenn es unkomfortabler ist.

bessere wäre ein einstellbares Limit per SMS und/oder Post. Dann hätte man sofort ein bisschen Zugriff.

[Great Crash]

2 hours ago, wpf-leser said:

Fundamental das gleiche Problem -> korrekt

Praktisch (wie du schon selbst darlegst) macht es aber einen (im wahrsten Sinne des Wortes) fundamentalen Unterschied.

Wieso denn? Was genau ist denn die gesetzliche Vorgabe, die reine PC TAN-Generatoren praktisch verbieten? Ich weiß über das Thema nichts.

 

Smartphones kann man auch rooten. Sie können gestohlen und geknackt werden. (Taschendiebstahl ist viel wahrscheinlicher, als dass ein Einbrecher deinen PC mit nimmt.)

2 hours ago, wpf-leser said:

Der USB-Stick an sich ist dann kein TAN-Generator; so eine TAN ist heute ja auch nur ein "Kommunikationsartefakt", um irgendwie die Information "ist i.O." zwischen Papier/Gerät oder Geräten durch den Menschen transportierbar zu machen.

Für das, was die Apps konzeptuell leisten müssen, gibt es heute vielfältig benutzbare und etablierte Wege. Die mehr oder weniger bekannte Vorgehensweise der Apps ist nur einer davon und mit den TAN-Generatoren bedient man quasi einen komplett gegenüberliegenden Pol. Zwischen Schwarz und Weiß gibt aber einige tolle Graustufen / andere Szenarien.

 

Ich sehe gerade - FIDO2 wurde schon genannt. Darauf warte ich auch und vermute, dass man damit viele Benutzer (auch die, die reine App-Lösungen für kritisch halten) glücklich machen könnte.

Mir ging es darum, dass die Sicherheit auf dem gleichen Level ist. Die Chipkarte oder der USB-Stick enthalten das kryptographische Geheimnis oder HSM oder was auch immer, welches für die eigentliche Sicherheit sorgt. Deshalb sollte das auch auf dem PC so möglich sein. Insbesondere kann man die Chipkarte oder den USB-Stick einfach entfernen, dann geht nichts mehr.

 

Wie du schon darauf hingewiesen hast, gibt es wohl solche Verfahren, die auch auf dem PC verwendet werden, nur das eigentliche Problem ist die fehlende Verbreitung. Bin mal gespannt, ob sich da was ändert. Wahrscheinlich eher nicht, denn wenn es mit TAN-Apps geht, warum sollte sich irgendeine Bank für andere Verfahren interessieren?

5 hours ago, slowandsteady said:

Das "böse App A" auf dem Androidgerät aus der Sandbox ausbricht und die Daten der "Onlinebanking App B" stiehlt, ist dagegen sehr unwahrscheinlich. Solche Exploits sind NSA-Level und werden nicht genutzt um Oma Erna um 3000€ zu erleichtern. Der Marktwert für derartige Schwachstellen ist bei Zerodium >1 Million Dollar, warum sollte man die Schwachstelle verbraten für ein bisschen Online-Banking-Betrug? Zudem filtert Google/Apple solche Apps sehr schnell aus dem Playstore heraus und schließt die Lücke, d.h. der Exploit ist dann wertlos.

Dann muss man ja nur noch darauf vertrauen, dass die TAN-App korrekt implementiert wurde.

[Gierlappen]

Ich will mich nicht in technischen Details ergehen, die Ändern sich beinahe täglich und was heute als sicher gilt, ist es Ende des Jahres plötzlich nicht mehr. Deswegen halte ich es für kundenunfreundlich und der Sicherheit abträglich, die Authentifikation an einen Gegenstand zu hängen, den der Kunde für eine höhere Summe auf eigene Kosten ersetzen muß. Es gibt nun mal auch Leute, die KÖNNEN eben nicht mal eben EUR 100,- oder mehr ausgeben, nur weil ihr altes Handy, eine Summe aus Hard- und Software, von der Bank als unsicher eingestuft wurde.

 

Aus meiner Sicht ist so ein Gerät, ständig mitgeführt und damit dem Risiko von Diebstahl und prinzipiell räuberischer Erpressung ausgesetzt, ein no-go, abseits von allen technischen Erwägungen.

 

Dazu kommt: ich bin immer auf das Design meiner Zahlungsdiensteleister angewiesen. Ist der Schriftgrad in der App zu klein, liegen die Button für meine arthritischen Griffel zu ungünstig, habe ich Pech gehabt. Dann halt keine Bankgeschäfte, soll der Rest der Welt doch gucken, wie er an mein Geld kommt ... naja :-)

 

Ich hoffe deswegen immer noch auf eine offene, für jeden einfach benutzbare, kostengünstige Methode, die eben nicht vom Mobilfunktelefon (oder SmartTV, ThermoMix, SmartCar) abhängt, die dann für jeden Anbieter von Finanzdienstleistungen verpflichtend als Option anzubieten ist.

 

Erste Ansätze in PSD3 zur Behebung der Mißstände lassen sich erkennen; es scheint, als wolle man die Gültigkeit weiter fassen und auch Menschen, die motorisch oder sensorisch eingeschränkt sind, explizit berücksichtigen. Davon profitieren dann auch bornierte Meinungsfossilien, wie ich eines bin. :-) Einen der vielen Beiträge dazu verlinke ich mal hier.

 

Quote

SCA muss nun auch für schutzbedürftige Kunden wie ältere Menschen, Menschen mit Behinderungen und nicht digital versierte Verbraucher zugänglich sein, indem Authentifizierungsmethoden angeboten werden, die nicht ausschließlich auf Smartphones beruhen.

Bis dahin authentifiziere ich mich vozugsweise über ein Handy ohne SIM und permanenten Netzzugang. Sicherheit auf Millionen mobilen Endgeräten mit Internetzugang zu gewährleisten halte ich für eine schöne Illusion. Ich wünsche mir ein Gerät, wo ich nur Kontokarte / Personalausweis vorhalten und eine PIN eingeben muß, um Zugriff auf meine Konten zu erhalten - geht ja beim e-Government auch.

 

[wpf-leser]

vor 35 Minuten von Great Crash:

Wieso denn?

Weil es zum Beispiel viel einfacher ist, einen unbedarften Menschen dazu zu animieren, Administrator-Rechte zu gewähren, als derartiges überhaupt gar nicht erst anzubieten.

 

vor 35 Minuten von Great Crash:

Was genau ist denn die gesetzliche Vorgabe, die reine PC TAN-Generatoren praktisch verbieten?

Es gibt keine. Sowas ist sinnvollerweise technologieoffen.

 

vor 35 Minuten von Great Crash:

Smartphones kann man auch rooten.

Kann man. (Du kannst übrigens auch wildfremden Personen deine Kreditkarte oder größere Geldscheine einfach in die Hand drücken. Gar kein Problem. )

Aber weder "mal eben so" noch ist das ernsthaft ein für die meisten Benutzer relevantes Szenario. Das ist bei üblichen heimischen Windows-Installationen z.B. anders.

 

vor 35 Minuten von Great Crash:

Sie können gestohlen und geknackt werden. (Taschendiebstahl ist viel wahrscheinlicher, als dass ein Einbrecher deinen PC mit nimmt.)

Du hast grundlegende (wenn auch in den meisten Fällen weder übermäßig relevante, noch solche, denen man machtlos gegenüber stehen würde) Risiken von Smartphones erkannt, auf die man sich bei der Benutzung einstellen sollte.

Die meisten Menschen werden es übrigens voraussichtlich auch eher merken, wenn das (immer noch gesicherte) Smartphone weg ist, als wenn jemand während des Urlaubs zuhause in die Bude einsteigt.

Will sagen - alles hat seine eigenen Risiken. Es ist eine Frage dessen, wie man darauf reagiert / antwortet. Wenn etwas massive Risiken hat, dann ist die Gruppe der Betroffenen in der Regel auch groß und (zumindest langfristig) nicht auf Einzelfälle beschränkt. Das wird ein Anbieter von sich aus schon vermeiden wollen.

 

Es gibt an der Stelle zahlreiche metaphorische Analogien. In ihrer Kürze am klarsten ist mMn. die, dass alles wie ein Nagel aussieht, solange man nur einen Hammer hat.

 

vor 33 Minuten von Gierlappen:

Es gibt nun mal auch Leute, die KÖNNEN eben nicht mal eben EUR 100,- oder mehr ausgeben, nur weil ihr altes Handy, eine Summe aus Hard- und Software, von der Bank als unsicher eingestuft wurde.

Abgesehen davon, dass man auch nicht zwangsläufig mal eben 100€ dafür ausgeben muss, kann das am Ende des Tages dennoch die ökonomisch sinnvollste Lösung sein. Sollte dem so sein, könnten sich diese Leute auch kein (angenommen) kostenpflichtiges Konto bei einer Fillialbank leisten bzw. dies noch weniger, als das Smartphone. (U.a. angenommen, sie wären ohne Smartphone von kostenlosen Angeboten abgeschnitten.)

 

vor 33 Minuten von Gierlappen:

Dazu kommt: ich bin immer auf das Design meiner Zahlungsdiensteleister angewiesen. Ist der Schriftgrad in der App zu klein, liegen die Button für meine arthritischen Griffel zu ungünstig, habe ich Pech gehabt. Dann halt keine Bankgeschäfte, soll der Rest der Welt doch gucken, wie er an mein Geld kommt ... naja :-)

Barrierefreiheit ist tatsächlich ein nicht unwichtiges Thema. Hierfür gibt es ggf. weiterführende Hilfestellungen (z.B. Screenreader und/oder [tlw. über Gesten erreichbare] verkleinerte Bildschirmansichten für vereinfachte Bedienung), die man nutzen kann. (Was über die Barrierefreiheit / Kompatibilität einer App an sich natürlich noch nichts aussagt.) Nur als Denkanstoß...

[PKW]

vor 9 Stunden von slowandsteady:

CHIP Tan

• offline, daher sicher vor "Hacking"
• umständlich und nicht besonders bequem (man muss immer den TAN-Generator mitnehmen)
• verursacht der Bank oder Kunden Kosten für Hardware

...

App:

• bequem, Handy hat man immer dabei
• TANs sind "kostenlos"
• Sicherheit: Kommunikation ist gut absicherbar mit Certificate Pinning usw., Problem entsteht nur wenn Handy "gehackt" wird.

Ich betrachte es als feature, dass ich meine Bankgeschäfte zu Hause am PC erledige und nicht erst meine Rechnungen in irgendein Cafe schleppen muß, um dort per Smartphone zu  überweisen.
Ich will auch kein sechstelliges Depot (in meinem Smartphone) spazieren tragen.
Ich verstehe nicht weshalb man das wollen sollte.
 

Die moderne Unterart des CHIP Tan mit QR-Code ist von der Handhabung weitaus bequemer als der alte Flickercode: Man steckt die Girokarte in den Leser und zielt in Richtung Bildschirm und schon hat man die Pin. 
Warum überläßt man es nicht den Kunden, ob sie die 10-25€ für ein Chip-Tan- oder QR-Tan-Lesegerät ausgeben wollen?
(Eine Antwort lautet, dass die Banken heiß sind auf die Daten, die ihnen ihre Apps liefern.)
 

Ein weiteres feature des Chip-Tan ist, dass man Zuständigkeiten mit der Bankkarte steuern kann: Ich kümmere mich um die Bankgeschäfte meiner Mutter. Gibt sie mir eine Rechnung und die Bankkarte, dann kann ich das überweisen. Ich kann aber keinen Blödsinn mit ihrem Konto machen, wenn sie die Karte im Portmonee hat.

Ich habe gerade geschaut, ich würde mir ein Fairphone kaufen wenn es nur etwas kleiner wäre. 700€ bei einer unterstellten Nutzungsdauer von 7 Jahren sind 100€ pro Jahr.
Smartphone(-TAN) ist nur dann billig wenn man einen teuren Vertrag hat oder das Gerät sowieso aus anderen Gründen kauft.

 

Ich will niemandem zu ChipTan missionieren, ihr könnt gerne eure Depot- und Bankgeschäfte auf dem Smartphone betreiben. Es ist mir auch vollkommen egal, wie sicher oder unsicher das Smartphonebanking ist. Trotzdem kriege ich hier oft zu hören: gewöhn dich an die Apperitis, der Rest wird sowieso abgeschaltet.
Ich möchte weiterhin eine smartphonelose Authentifizierungsmöglichkeit nutzen.
Ich bin sogar dazu bereit, Geld dafür zu bezahlen. Genauer, ich zahle sogar jetzt schon Geld dafür.

[slowandsteady]

vor 28 Minuten von PKW:

Trotzdem kriege ich hier oft zu hören: gewöhn dich an die Apperitis, der Rest wird sowieso abgeschaltet.
Ich möchte weiterhin eine smartphonelose Authentifizierungsmöglichkeit nutzen.
Ich bin sogar dazu bereit, Geld dafür zu bezahlen. Genauer, ich zahle sogar jetzt schon Geld dafür.

Ich hätte auch nichts gegen ChipTAN. Aber leider viele GenZ-ler und genauso viele andere Leute. Erst gerät man in die Minderheit und irgendwann ist die Minderheit unbedeutend und es gilt dann halt "Friss oder Stirb". Die ganzen Direktbanken sind auch nur so billig, weil sie alle Sonderfälle direkt ablehnen. Versuch mal als Steuerausländer oder US-Staatsbürger ein deutsches Konto bei einer Direktbank zu eröffnen  Wer sich nicht der Mehrheit fügt, fliegt als Kunde, warum sollte man weiterhin ein Verfahren unterstützen, wegen dessen Abschaffung nur 0.1% der Kunden wirklich kündigen? 

vor 29 Minuten von PKW:

(Eine Antwort lautet, dass die Banken heiß sind auf die Daten, die ihnen ihre Apps liefern.)

Was wollen sie damit denn rausfinden? Ich habe gerade nachgeschaut und die comdirect photoTAN-App hat die Berechtigungen "Kamera" und "Benachrichtigungen". Ich habe ihr beides nicht gewährt - nur einmalig zur Einrichtung Kamera für den Start-QR-Code. Jetzt für Push-TAN braucht sie ja keine Kamera mehr... Da gibt es wirklich schlimmere Apps.

vor 37 Minuten von PKW:

Ich betrachte es als feature, dass ich meine Bankgeschäfte zu Hause am PC erledige und nicht erst meine Rechnungen in irgendein Cafe schleppen muß, um dort per Smartphone zu  überweisen.

Beispiel wo ich es bisher gebraucht habe: Im Urlaub merken, dass man eine PKV-Rechnung nicht bezahlt hat und es nicht bis nach dem Urlaub warten kann.

[alsuna]

vor 9 Stunden von oktavian:

wenn das playbook offen liegt, macht es dies evtl. auch Angreifern leichter. Am Telefon könnten z.B. Sicherheitsfragen abgefragt, welche man bei Anmeldung eingerichtet hatte, werden usw. 

Security by obscurity ist schon seit Jahrzehnten obsolet. Ein System ist nur dann als sicher anzunehmen, wenn das Protokoll öffentlich sein kann, ohne dass dadurch ein Problem bei der Sicherheit entsteht. 

Für mich wäre public key Kryptographie das wünschenswerte Protokollsystem. Es ist mir unverständlich, warum das nur in FinTS implementiert und von den meisten Banken nicht beachtet wird. 

 

vor 45 Minuten von slowandsteady:

Beispiel wo ich es bisher gebraucht habe: Im Urlaub merken, dass man eine PKV-Rechnung nicht bezahlt hat und es nicht bis nach dem Urlaub warten kann.

Wie macht ihr das denn mit den Passwörtern? Passwortmanager in Android empfinde ich als stressig und absolut unschön in der Bedienung. Und es kennt ja hoffentlich kaum jemand hier sein Passwort für's Depot aus den Kopf.