In Sommer 2022 schaffen einige Banken das smsTAN-Verfahren ab. Dessen Nutzerinnen und Nutzer sollten rechtzeitig auf eine Alternative umstellen, die dann einen ChipTAN-Generator oder ein Smartphone erfordert.
Hierbei muss beachtet werden, dass nicht jede Bank jedes TAN-Verfahren anbietet und diese durchaus unterschiedliche Sicherheitseigenschaften aufweisen.
Weitere Informationen: https://bsi.bund.de/dok/1034074
Selbstverständlich gibt es SmartTAN (Chip TAN) als bleibende Alternative. (rk)
https://www.gls.de/privatkunden/konto-karten/onlinebanking/smarttan/
@bsi ja... Ein bitterer Tag für Menschen ohne Google oder Apple Smartphone ☹️
@f2k1de
Ich kann auch zur Bank laufen und meine Geschäfte ohne TANs analog durchführen 😉
Es wird wohl auf so einen 10€ Hardware TAN Generator hinauslaufen, sofern ich mir nicht ein anders Smartphone organisiere, aber eigtl. will ich das Ding nicht mit mir rumschleppen... (Ja, ich mache Bankgeschäfte von unterwegs aus...)
@bsi
Die Postbank schafft im Mai das ChipTAN-Verfahren ab. Folge: Der alte, noch völlig funktionsfähige ChipTAN-Generator kann nicht mehr genutzt werden und muss durch ein neues, teureres Gerät ersetzt werden. Oder man wechselt zum App-Verfahren, welches den Google-Playstore oder den Apple-Store sowie ein nicht gerootetes Gerät voraussetzt.
@bsi
Jup, ne richtige Sauerei ist das. Chiptan kostet ein Schweinegeld und wenn man kein Smartphone hat (wie viele ältere Menschen) hat man keine Alternative.
@bsi Ein Unding, dass die Banken meinen, Apple oder Google erzwingen zu müssen. Und das vor allem anscheinend dürfen?
@digitalcourage ihr hattet ihr nicht mal so ne "Digitalzwang" Aktion?
Fällt solches Google/Apple Zwang darunter?
@bsi #PushTAN ist ein Witz. Bei PushTAN muss ich zuerst einmal meine Bankverbindung auf der Webseite eingeben, dann entsperre ich das Handy, bekomme eine Benachrichtigung, öffne die App, klicke dort auf "Weiter", muss mich anmelden, bekomme Buchungsdaten und TAN angezeigt und muss diese, statt eines einfachen Bestätigen-Klicks, wieder in der Bezwahlwebseite eingeben.
Beim Bezahlen mit #Paypal werde ich auf deren Webseite weitergeleitet, melde mich an, bestätige Empfänger und Betrag. Fertig.
@bsi
Wie wäre es, wenn jemand endlich mal eine Petition einreicht zur Erhaltung des chipTANs? Es ist deutluch besser als ne App, da sie mindestens 3 Komponenten fordert:
- Computer (wo man bankt, kann auch das Smartphone sein)
- Kontokarte (nicht Kreditkarte, warum auch immer)
- TAN-Generator
- Loginpasswörter und PINs
Demnach das sicherste System, das ich kenne. Ohne Google-Rotz etc.
@bsi Kennt jemand eine Bank, die ein standardisiertes zwei-faktor-verfahren verwendet? (z.b. TOTP)
Dann könnte man die Implementierung frei wählen und wäre nicht von der App der Bank abhängig.
@hexmasteen Zumindest chipTAN und SmartTAN optic sind in deutschland bankübergreifend kompatibel soweit ich weiß: https://de.wikipedia.org/wiki/Transaktionsnummer#chipTAN_comfort_bzw._SmartTAN_optic_(Flickering). Ob das standardisiert ist weiß ich nicht. @bsi
@tastytea @hexmasteen @bsi
Sind auch standards.
Soviel ich weiß ist das Problem an der Sache, dass die TAN mit oder aus den Transaktionsdaten an sich heraus erstellt werden soll.
TOTP wäre mir auch wirklich das liebste dafür.
Wie auch bei der Packstation von DHL.
@alsternerd Die TAN wird aus den transaktionsdaten und daten aus dem chip der bankkarte generiert. Das macht es sicherer als TOTP, denn der chip lässt sich nicht so leicht faken (wenn es ordentlich implementiert ist) und du kannst die IBAN und den betrag auf dem gerät prüfen. @hexmasteen @bsi
@tastytea @hexmasteen @bsi
Tjoa, puh, lässt sich halt auch auf dem Gerät faken, wenn's nicht gerootet ist.
Das angenehmste war wirklich die SMS, auch weil's unsicher genug war, das man der Bank nen Irrtum geben konnte.
@tastytea @hexmasteen @bsi
Ich finde das aber auch sehr irritierend mit dem Betrag zusätzlich auf einem zweiten Gerät prüfen müssen.
Dann mach doch lieber im Interface ein Zeitlimit von 10 Minuten, bis zur tatsächlichen Ausführen und solange eine Möglichkeit zum Abbruch.
@alsternerd Das sind eigene geräte, das ist der vorteil daran. Da schiebste die bankkarte karte rein und hältst die sensoren an nen flickercode bzw. gibst den start-code ein. Als angreifer brauchst du also zugriff auf so ein gerät, die karte und den flickercode/startcode. Und du musst nicht überprüfen, kannst es aber wenn du extra sicher sein willst. Bei TOTP brauchst du nur einmal das geteilte geheimnis und kannst soviele TANs generieren wie du willst. @hexmasteen @bsi
@alsternerd @tastytea @hexmasteen @bsi Und wie genau so eine 10-minütige Verzögerung helfen, nicht von dir ausgelöste Zahlungen zu verhindern?
Das kann eigentlich auch nicht die Lösung sein.
@tastytea @hexmasteen @bsi @alsternerd Die genannten Punkte übrigens eine zwingende Anforderung an dieses Verfahren.
Es muss einen Bezug zum Konto und der jeweiligen Transaktion geben, damit der Kunde exakt versteht, was er gerade freigibt.
@tastytea @hexmasteen @bsi Diese Verfahren werden zwar von den meisten Banken angeboten, diese sind untereinander aber in aller Regel nicht kompatibel.
Böse Zungen behaupten, dass man es den Kunden nicht zu einfach machen möchte, mehrere Konten parallel zu verwalten.
@tastytea @hexmasteen @bsi Ach ja, eines noch.
Immer mehr Banken bieten entweder keine girocard mehr an oder nur noch separat gegen Aufpreis.
Damit sind die bestehenden Chip-TAN Verfahren dann auch obsolet.
@hexmasteen @bsi Ein normales TOTP wirst du im Bankenumfeld nicht finden.
Hintergrund ist, dass bei der Freigabe einer Transaktion ein Bezug zu dieser Transaktion bestehen muss.
Einfaches TOTP kann das nicht abbilden. Im Zweifel könnte es sogar passieren, dass zwei Vorgänge den gleichen 2FA-Code nutzen würden, wenn man sie schnell genug hintereinander anstößt.
@th_willenbrink das ist ein super hinweis, danke!
@hexmasteen @bsi
@bsi
Etwa die Hälfte der Smartphones in Deutschland läuft mit einem Betriebssystem, das bekannte Sicherheitslücken hat. Viele davon führen sogar ungeprüfte Drittanbietersoftware mit backdoors oder unsichere Browser aus, sodass diese Geräte durch leicht angegriffen werden können.
Warum ist ein App-basiertes Verfahren zur Authorisierung von Bank-Transaktionen in solchen Fällen akzeptabel?
@BUNDjugend_ak_digi @bsi
Das smsTAN nicht sicher ist, ist mir klar. Allerdings kann der Empfang der SMS auch auf einem Dumbphone erfolgen, sodass das Telefonnetz der einzige Angriffsvektor ist.
Aber pushTAN sollte eben nicht als sichere Alternative betrachtet werden. Ich sehe in der Praxis Angriffe auf diese Verfahren und niemanden scheint es zu interessieren.
@BUNDjugend_ak_digi @bsi
Insbesondere das bereits vollständig abgeschaffte iTAN-Verfahren (indizierte Papier-Liste) erscheint mir sicherer als pushTAN. Hier braucht es vielleicht etwas mehr Erklärungen damit weniger auf Social Engineering Angriffe reinfallen.
@larma @BUNDjugend_ak_digi @bsi
Apps der Banken haben eine riesige Sicherheitslücke die Daten gefährdet.
Die Sicherheitsüberprüfung läuft in der Regel über die SafetyNet Api, die API prüft ob Google Dienste installiert sind. Bei Datenschutz konformen Smartphones funktionieren die Apps nicht.
Ich habe schon deswegen Bug reports an Banken gesendet, denen stört das aber nicht.
Nur zur Info!
Die meisten Apps funktionieren auf datenschutzkonformen Smartphones nicht.
Die meisten Probleme kann man mit diesen Tools leicht beheben
https://github.com/microg
@bsi Ist das per EU-Recht vorgeschrieben, wie es bei der @glsbank heißt?
https://ruhr.social/@glsbank/108192401952853151
@bsi
Wenn Ihr #ChipTAN (TAN-Generator) nutzen wollt: Fragt ggf. bei Eurer Bank noch mal explizit nach. mEn pushen viele Banken leider nur noch ihre Apps (die zudem auf #CustomROMs oft nicht funktionieren), bieten die Option aber trotzdem (versteckt) an
Wie ist eigentlich der Stand bei der @glsbank ?