tomricht Juni 27, 2023 vor 9 Stunden von wpf-leser: Wo wurden denn die TAN-Generatoren produziert? Wenn die Leute immer nur das Billigste kaufen, kann die Bank nichts dafür. Bei der App ist das anders; die kannst du nur aus dem Monopol-Appstore beziehen. Und damit der auf deinem Handy läuft, musst du Hintergrunddienste permanent ausführen, die dein komplettes Privatleben US Firmen und Regierungsdiensten offenlegen. Das Ganze ist so krass, dass die meisten Leute sich weigern, darüber nachzudenken. Diesen Beitrag teilen Link zum Beitrag
wpf-leser Juni 27, 2023 vor einer Stunde von tomricht: Wenn die Leute immer nur das Billigste kaufen, kann die Bank nichts dafür. Hey - das trifft meines Wissens nach auch auf die Verwendung von Betriebs- und Ökosystemen zu. vor einer Stunde von tomricht: Bei der App ist das anders; die kannst du nur aus dem Monopol-Appstore beziehen. Dies stellt einen durchaus validen Teil des Sicherheitskonzepts dar. Außerdem kann (ungefähr wie bei TAN-Generatoren auch) die Wahl getroffen werden, ob man grüne Technikmännchen oder angebissen Äpfel bevorzugt. vor einer Stunde von tomricht: Das Ganze ist so krass, dass die meisten Leute sich weigern, darüber nachzudenken. Ich sehe da Parallelen zum Bezug von Waren aus Fernost. Ich sehe das aber auch etwas lockerer. Relevante Probleme werden i.d.R. angegangen. Diese Diskussion erscheint mir müßig. Solange kein nennenswerter Markt für eine alternative Lösung erkennbar ist, wird es diese ohne Not schlicht nicht geben - auch dann nicht, wenn sich mögliche Interessenten auf den Kopf stellen. Schlecht für die benannten Interessenten, im wirtschaftlichen Sinne vmtl. gut für alle anderen. Diesen Beitrag teilen Link zum Beitrag
FI40 Juni 28, 2023 Moin, bin hier auch wegen der neuen App gelandet. Das Thema wurde jetzt schon mal andiskutiert, aber final geklärt ist es noch nicht, oder? Es geht um die Sicherheit bzw. 2FA. Ich habe mal testweise die neue App installiert und dort wird man ja gezwungen, eine App-Pin zu vergeben. Das bedeutet, jeder der das Handy klaut, kann damit Überweisungen machen, wenn er nur die App-Pin hackt. Wo die DKB sicher sagt, dass es nicht möglich ist, was hunderte andere Fälle immer und immer wieder widerlegen. Aktuelles Setup bei mir: Nutze den PC (theoretisch auch die alte App) um eine Überweisung auszuführen. Mit chipPhotoTAN und der Girocard, welche nie das Haus verlässt, muss die Überweisung verifiziert werden. Um dort eine unrechtmäßige Überweisung auszuführen, müsste also jemand bei mir Zuhause einbrechen und die Girocard mit dem TanGenerator klauen. Und dazu zusätzlich noch meinen Nutzernamen und mein Passwort hacken. Mit App-Pin: Hacker übernimmt über eine der Millionen Sicherheitslücken das Handy. Wenn ich das nächste Mal die App-Pin eingebe, trackt er es. Nachts 3 Uhr macht er dann eine Überweisung über das gehackte Handy und räumt das komplette Konto leer. Oder wenn ich das Handy verliere, kann der Finder entweder den App-Pin hacken oder zumindest hat er X Versuche, um das komplette Konto leerzuräumen. P.S. Android-Biometrie kann gehackt werden, das wurde schon bewiesen. Bei Apple ist wohl aktuell nur NSA & Co. dazu in der Lage. Man könnte sich ein zweites Handy anschaffen, welches nur die App hat und nur Zuhause bleibt. Aber dann bleibt immer noch das Problem hackbar mit Remote-Kontrolle, App-Pin auslesen, wenn ich diese eintippe usw... Das ist der Vorteil an einem physisch separaten Token OHNE Internet-Zugriff. Ich habe auch Zugriff auf unser Firmenkonto und dort gab es schon immer ein physisches und separates Token ohne Internet-Zugriff, da ist bisher keiner auf den Trichter gekommen: Hey, lasst uns das alles mal in ein Gerät packen und wenn das Gerät gehackt ist, kann das Konto leergeräumt werden. Habe die App wieder gelöscht. Jetzt wird es interessant, wie man weiter macht. Darauf hoffen, dass das ChipTAN-Verfahren weiter geführt wird und es keinen App-Pin-Zwang gibt? Oder gleich zu einer richtigen Bank wechseln? Ich muss eh schon 12 Euro für die Girocard zahlen, damit überhaupt chipPhotoTAN genutzt werden kann. Was für mich definitiv ein NoGo ist: Mein einem einzigen physischen Gerät Überweisung anlegen und freigeben. Zur Not wechsel ich lieber zur Sparkasse, als dass ich diesen unsicheren Mist der DKB mitmachen werde. Diesen Beitrag teilen Link zum Beitrag
hattifnatt Juni 28, 2023 · bearbeitet Juni 28, 2023 von hattifnatt vor 12 Minuten von FI40: Das ist der Vorteil an einem physisch separaten Token OHNE Internet-Zugriff. Willkommen in der wunderbaren neuen Welt der Banking-Apps vor 12 Minuten von FI40: aber final geklärt ist es noch nicht, oder? Weil niemand (wahrscheinlich nicht mal die DKB-IT selbst) weiß, was da die Strategie sein wird. Diesen Beitrag teilen Link zum Beitrag
anfänger87 Juni 28, 2023 Am 27.6.2023 um 06:49 von tomricht: Schöner Mist; gerade vor einem halben Jahr habe ich gezwungenermaßen einen neuen Tan-Generator gekauft. ;( Nun kann man also bald auch bei der DKB keine Bankgeschäfte mehr erledigen, ohne den Bedingungen von Apple oder Google zuzustimmen. Was einem die übermäßige Abhängigkeit von ausländischen Mächten einbringen kann, hat ja der Fall Russland gezeigt. Was hat die neue App mit Apple oder Google zu tun? Ich nutze die neu App und finde es im Gegensatz zu anderen Apps sehr löblich dass diese auf meinem google freien Android Smartphone ohne Probleme läuft. Das ist keineswegs selbstverständlich, hier gibt es sonst sehr sehr sehr oft Abhängigkeiten zu den ganzen doofen google play diensten, die ich eben gar nicht installiert habe. Diesen Beitrag teilen Link zum Beitrag
stagflation Juni 28, 2023 vor einer Stunde von FI40: Mit App-Pin: Hacker übernimmt über eine der Millionen Sicherheitslücken das Handy. Wenn ich das nächste Mal die App-Pin eingebe, trackt er es. Nachts 3 Uhr macht er dann eine Überweisung über das gehackte Handy und räumt das komplette Konto leer. Oder wenn ich das Handy verliere, kann der Finder entweder den App-Pin hacken oder zumindest hat er X Versuche, um das komplette Konto leerzuräumen. Du denkst in die verkehrte Richtung. Es geht nicht um Deine Sicherheit oder die Sicherheit der Kunden. Es geht darum, dass die Bank - wenn etwas passiert - nachweisen kann, dass es nicht ihre Schuld war. Diesen Beitrag teilen Link zum Beitrag
BarbarossaII Juni 28, 2023 Am 27.6.2023 um 08:49 von tomricht: Schöner Mist; gerade vor einem halben Jahr habe ich gezwungenermaßen einen neuen Tan-Generator gekauft. ;( @tomricht: noch geht alles Am 26.6.2023 um 22:45 von BarbarossaII: Das bisherige Banking steht dir als chipTAN-Nutzer*in aber vorerst weiterhin wie gewohnt zur Verfügung. Du gelangst dorthin über unsere Anmeldeseite. wann die ernst machen, ist offen Am 26.6.2023 um 22:45 von BarbarossaII: ...leider ist davon auszugehen, dass die DKB den von mir unten unterstrichenen Passus aus Ihrem Bedingungswerk immer weiter stressen wird und mir die App aufnötigen wird: Bedingungen für Onlinebanking > 1 Leistungsangebot > 2) Die Nutzung der von der DKB AG zur Verfügung gestellten AppAnwendung für Onlinebanking (nachfolgend „DKB-App“) wird als das Standardverfahren zur Authentifizierung und Autorisierung vereinbart Diesen Beitrag teilen Link zum Beitrag
trying Juni 29, 2023 · bearbeitet Juni 29, 2023 von trying Hat jemand aktuell den Support befragt wie sie sich das zukünftig vorstellen ohne Chiptan? Ich denke hier im Forum wird die Bank nicht lesen und die Enttäuschung daher auch nicht mitbekommen. Diesen Beitrag teilen Link zum Beitrag
Gordon1607 Juni 29, 2023 vor 3 Stunden von trying: Ich denke hier im Forum wird die Bank nicht lesen und die Enttäuschung daher auch nicht mitbekommen. Es ist durchaus möglich, dass nur Wenige enttäuscht sind. Ich nutzte die neue App seit Einführung der Debitkarte, tätige meine Überweisungen per Foto und gebe diese mit der neuen App frei. Ich bin ganz froh darüber, dass ich nicht jedes Mal Karte + Kartenleser hervorkramen muss. Ich kann auch im Urlaub oder in der Firma etwas überweisen ohne den Kartenleser immer mitzuschleppen. Vielleicht gehöre ich zur schweigenden Mehrheit oder vielleicht auch nicht. Viele die zufrieden sind, werden das hier nicht immer wieder durchdiskutieren. Diesen Beitrag teilen Link zum Beitrag
ceekay74 Juni 29, 2023 vor 5 Stunden von trying: Hat jemand aktuell den Support befragt wie sie sich das zukünftig vorstellen ohne Chiptan? Am 5.6.2023 um 20:07 von ceekay74: Nach telefonischer Aussage des First-Level-Supports von vor einigen Wochen wird es (leider) keine reine Freigabe-App geben sondern nur die Wahl zwischen All-in-one-App oder Seal-One-Hardware, letzteres ist mittlerweile endlich auch öffentlich verkündet: Zitat Kann ich weiterhin chipTAN nutzen? Du kannst chipTAN weiter nutzen. Melde dich dazu wie gewohnt im bisherigen Banking an. Der Zugang dazu bleibt erhalten. Gut zu wissen Wir arbeiten an einer hardwarebasierten Lösung für das neue Banking. Damit kannst du dann zukünftig auch das neue Banking nutzen, ohne eine App installieren zu müssen. Diesen Beitrag teilen Link zum Beitrag
wpf-leser Juni 29, 2023 Naja - wenn die DKB analog zur ING auch für die Zukunft mit einem gesonderten Gerät rechnet und bis dorthin die ChipTAN am Leben erhalten werden sollte, ist doch a) der Bedarf in diesem konkreten Fall offenbar groß genug (was natürlich noch keinen gelungenen Übergang sicherstellt) und b) überhaupt kein echtes (meint: funktionales) Problem erkennbar. Die DKB hat halt das Problem, dass die Umstellung der Applikation jetzt irgendwann (in einem für das Thema ungünstigen Umfeld, insbesondere Stichwort girocard) ansteht, während andere sie schon hinter sich haben. Aber davon abgesehen muss man dann schon fragen, worüber man hier eigentlich redet, denn vereinfacht gesagt: Wer TAN-Generator will, kann TAN-Generator nutzen... Diesen Beitrag teilen Link zum Beitrag
tomricht Juni 29, 2023 · bearbeitet Juni 29, 2023 von tomricht vor 3 Stunden von wpf-leser: Wer TAN-Generator will, kann TAN-Generator nutzen... Ja, noch. Die Kommunikation der DKB liest sich für mich aber so, als wollten sie noch während des Sommers eine Umstellung erzwingen. Vielleicht wollen sie aber auch nur Druck machen. Wie dem auch sei, ich bin froh, dass ich erst vor kurzem entschieden habe, auf mehrere Depots zu setzen und nicht alle Eier in einen Korb zu legen. Bislang war es verlockend, der Bequemlichkeit nachzugeben. Mit der ChipTAN war die DKB etwas sicherer als die meisten anderen Banken. Wenn man in der neuen App aber auch Transaktionen machen kann, ist das nicht mehr der Fall. Frage: kann man sich aus der neuen DKB App ausloggen? Wenn ja, wäre ja wieder 2FA gegeben. Dann bräuchte ein Angreifer uid/pswd plus das Gerät. Ich will die App nicht in Betrieb nehmen, um das auszuprobieren, sonst heißt es bei der DKB, die Kunden akzeptieren die Umstellung massenhaft. Diesen Beitrag teilen Link zum Beitrag
Gierlappen Juni 29, 2023 3 hours ago, wpf-leser said: Naja - wenn die DKB analog zur ING auch für die Zukunft mit einem gesonderten Gerät rechnet und bis dorthin die ChipTAN am Leben erhalten werden sollte, ist doch a) der Bedarf in diesem konkreten Fall offenbar groß genug (was natürlich noch keinen gelungenen Übergang sicherstellt) und b) überhaupt kein echtes (meint: funktionales) Problem erkennbar. [...] Wer TAN-Generator will, kann TAN-Generator nutzen... Naja, wenn ich dann für meine 4 Konten auch vier Generatoren benötige, wo vorher einer reichte, ist das schon ein Problem. Da geht es nicht mal um den Anschaffungspreis, aber hier 4x Elektroschrott herumliegen zu haben, das ist mir dann doch zuviel. Bei einem neuen Generator, der für alle Banken funktioniert, bin ich sofort dabei. Ansonsten bleibt mir nur, ein "Bank-Handy" zu nutzen. Diesen Beitrag teilen Link zum Beitrag
oktavian Juni 29, 2023 Tagesgeldkonto 3,5 % Zinsen p. a. variabel im Zeitraum 01.08.23 bis 31.01.24 (ausgenommen noch bestehende DKB-VISA-Tagesgeldkonten), danach 1% Diesen Beitrag teilen Link zum Beitrag
PKW Juni 29, 2023 vor 13 Minuten von oktavian: Tagesgeldkonto 3,5 % Zinsen p. a. variabel im Zeitraum 01.08.23 bis 31.01.24 (ausgenommen noch bestehende DKB-VISA-Tagesgeldkonten), danach 1% Schön, dass dies auch für Bestandskunden gilt Endlich wieder mal was positives von der DKB Diesen Beitrag teilen Link zum Beitrag
wpf-leser Juni 29, 2023 vor 2 Stunden von PKW: Schön, dass dies auch für Bestandskunden gilt Gut, dass diese Tradition noch nicht aufgegeben wurde. Dann dürfte die ING demnächst wohl größere Mittelabflüsse verzeichnen... Diesen Beitrag teilen Link zum Beitrag
MonacoFranzl Juni 30, 2023 · bearbeitet Juni 30, 2023 von MonacoFranzl Ich hoffe darauf, auch in der Zukunft die Konten bei der DKB smartphonefrei nutzen zu können. Aktuell wird seitens der EU Kommission die PSD2 überarbeitet und die PSD3 ist in Vorbereitung. Am 28.06.2023 gab es hierzu erste Presseveröffentlichungen. Ein Punkt aus den veröffentlichten Q&A hat mich aufhorchen lassen: Payment services: revised rules to improve consumer protection and competition in electronic payments [...] What is being done to improve Strong Customer Authentication? [...] - Require payment services providers to ensure that all users can benefit from methods to perform SCA which are adapted to their needs and situations and, in particular, that those methods do not depend on one single technology, device or mechanism, for instance on the possession of a smartphone. [...] Hier meine freie hakelige Übersetzung des Passus: Zahlungsdienstleister müssen sicherstellen, dass alle Nutzer/Kunden davon profitieren können, Durchführungsmethoden einer starken Kundenauthentifizierung zu nutzen, welche an ihre Bedürfnisse und Möglichkeiten angepasst sind, und dass diese Methoden insbesondere nicht von einer einzigen Technologie, einem einzigen Gerät oder einem einzigen Mechanismus, beispielsweise vom Besitz eines Smartphones abhängig sind. Nach meinem Verständnis, müsste dann jeder Zahlungsdienstleister auch immer eine SCA anbieten, die nicht smartphonegestützt ist. EDIT: hier noch die relevante Stelle aus dem Originaldokument "COM(2023) 365 final" der EU-Kommission: The introduction of SCA [Strong Customer Authentication] posed some concrete challenges to many EU consumers, affecting their possibility to carry-out electronic payments. The Commission believes that everyone should be capable of performing SCA, irrepective of their health, age or condition. PSPs [Payment service provider] must therefore have in place means to perform SCA that cater for all their clients and not only those who, for example, possess a smartphone or are familiar with technology. The Commission will require PSPs to facilitate the use of SCA by, for example, persons with disabilities, older people, and others experiencing difficulties using SCA, in line with the European Accessibility Act. Diesen Beitrag teilen Link zum Beitrag
Gast240408 Juni 30, 2023 Quote SCA by, for example, persons with disabilities, older people, and others experiencing difficulties using SCA Die Richtung ist doch klar. Diese "difficulties" werden ausschliesslich ueber die Behindertenstrecke kommuniziert, nie ueber relevante Sicherheits- und Unabhaengigkeitsbedenken, die gerade technisch versierte Leute haben. So schafft man auch Akzeptanz. Und wenn die alten Steinzeitbenutzer mal weggestorben sind, dann haben wir endlich unsere Spielwiese. Vorher sitzen wir es aus und geben uns streng. Diesen Beitrag teilen Link zum Beitrag
FI40 Juni 30, 2023 Das Problem ist m.E. nicht, dass man auch Methoden anbietet, welche ohne Smartphone funktionieren. Das Problem ist, dass es immer die Methode mit Smartphone geben wird. Soweit ich es sehe, wird die Smartphone-App alleine durch eine SMS verifiziert. Also, ich habe durch einen Hack die Zugangsdaten eines Nutzers erbeutet. Ich muss noch seine Handynummer wissen, okay. SMS lassen sich anscheinend immer abfangen, siehe hier: https://www.golem.de/news/sicherheitsluecken-so-einfach-lassen-sich-sms-mitlesen-1911-145274.html Beispiel also: Ich nutze nie die mobile App, nur Desktop-Banking mit chipTAN. Der Hacker hat meinen Nutzernamen und Passwort erbeutet, aber hat die chipTAN nicht. Jetzt kann der Hacker stattdessen ein frisches Handy nehmen, dort die DKB-App installieren und die SMS abfangen (das ist anscheinend kinderleicht), damit ist sein Handy verifiziert und er kann dort mit seinem Handy frei über das Konto verfügen. Alleine, dadurch, dass die Bank (in diesem Fall die DKB) auch andere Verfahren anbietet, entsteht ja die Sicherheitslücke, da kann ich selbst privat soviel chipPhotoTAN verwenden, wie ich möchte. Der Hacker nutzt einfach ein anderes Einfallstor. Voraussetzung, damit man die DKB weiter nutzen könnte, müsste also sein, dass man der DKB untersagen kann, eine andere Verifikation außer die chipPhotoTAN oder entsprechende Nachfolgelösungen zu verwenden. Ich weiß ja nicht, ob es jemand ausprobiert hat: Man kann ja die Mobilfunk-Nummer nicht einfach per Service aus dem DKB-Portal löschen, dann meckert er. Man kann aber die Festnetz-Nummer eintragen, dann müsste man die Mobilfunknummer löschen können. Hat da schon jemand gemacht? Ist dann die neue App nicht aktivierbar? Damit würde man dieses Sicherheitsloch schließen, denn um die neue App zu aktivieren muss erst eine Mobilfunknummer im Portal eingetragen werden. Dafür braucht es (hoffentlich!? sicher bin ich nicht) wieder eine TAN per chipTAN (TAN2GO bisher nie aktiviert). Ich habe auch mal testweise einen Antrag bei der ING auf Kontoeröffnung gestellt, dort geht es nur zwingend unter der Angabe der Mobilfunknummer. Fakt ist ja, mit der Aktivierung der App über eine SMS wird die Sicherheit der DKB-App auf das Niveau der SMS-TAN zurückgestuft. Diesen Beitrag teilen Link zum Beitrag
wpf-leser Juni 30, 2023 · bearbeitet Juni 30, 2023 von wpf-leser vor einer Stunde von FI40: Fakt ist ja, mit der Aktivierung der App über eine SMS wird die Sicherheit der DKB-App auf das Niveau der SMS-TAN zurückgestuft. Das ist falsch, da die zur angegebenen Telefonnummer gehörige SIM-Karte nicht in dem Telefon stecken muss, mit welchem die App genutzt wird. Auch wenn das eher die Regel ist: Der Benutzer hat im Zweifelsfall die Wahl, z.B. per Alt-/Billighandy und Prepaid-SIM (sogar ungefähr für den Preis eines TAN-Generators oder weniger ) das anders zu gestalten. Bzw.: Wer jede Verbindung technisch und logisch für gekapert erachtet, wird auch potenziell gegen ein nächstes gerätebasiertes TAN-Verfahren etwas haben, wenn die Geräte dann verbunden werden müssen sollten. (Im Prinzip wird in allen zugehörigen Diskussionen "lediglich" die Sicherheit von [technischen wie nicht-technischen] Schnittstellen betrachtet/angeprangert, wenn man da etwas abstrakter draufschaut. ) Diesen Beitrag teilen Link zum Beitrag
FI40 Juni 30, 2023 Die SMS wird ja verschickt und mit Erhalt der SMS hat man Vollzugriff, sofern man das Passwort kennt. Der Nutzername ist ja eh klar. Wie man unter anderem im Artikel auf Golem.de oder aber auch überall sonst liest: JEDER kann SMS mitlesen. Das wäre einfachst hackbar und eine SMS hat eine Sicherheit von 0%. Diesen Beitrag teilen Link zum Beitrag
mattes77 Juni 30, 2023 · bearbeitet Juni 30, 2023 von mattes77 Wenn die PSD III eine Möglichkeit der Nutzung ohne Smartphone vorschreiben wäre, wäre das wirklich toll. Leider habe ich aber die Befürchtung, dass die Umsatzung hier in Deutschland für die Verbraucher nichts "Positives" bringen würde. Schon bei der PSD II haben ja vor allem die VR Banken und Sparkassen die "Chance" genutzt, dass bei ihnen unbeliebte aber bei ihren Kunden äußerst populäre SMS Tan Verfajren abzuschaffen. Die stets dem Kunden gegenüber kommunizierte Begründung war, dass es durch die PSDII seites der EU "verboten" worden wäre. Dabei wollten Sie nur die Kosten nicht mehr tragen oder eben völlig auf die Verbaucher "abwälzen"! Das ist ja schon jetzt der Fall. Die "unsicheren" aber für die Bank "günstigen" App basierten Verfahren sind gebührenfrei. Wer aver "sichere" Verfahren mit "echter" 2 Faktor Autorisierung will, muss über die Bank teuer die entsprechende Hardware selbst kaufen. Oder kann eben ggf. Banking Software nutzen. wobei aber etliche Banken die fafür notwendigen Chip Karten gar nicht mehr anbieten! Diesen Beitrag teilen Link zum Beitrag
wpf-leser Juni 30, 2023 vor 21 Minuten von FI40: und eine SMS hat eine Sicherheit von 0%. Und ich habe mich schon gefragt, warum ständig fünf Minuten nach Erstellen von Benutzerkonten meine Identitäten entwendet werden. Alles klar... (SCNR...) Es ist schon spannend zu sehen, wie näherungsweise identische Probleme in verschiedenen (Lebens-)Bereichen sehr unterschiedlich eingeschätzt werden. Diesen Beitrag teilen Link zum Beitrag
trying Juni 30, 2023 · bearbeitet Juni 30, 2023 von trying vor 2 Stunden von FI40: Das Problem ist m.E. nicht, dass man auch Methoden anbietet, welche ohne Smartphone funktionieren. Das Problem ist, dass es immer die Methode mit Smartphone geben wird. Soweit ich es sehe, wird die Smartphone-App alleine durch eine SMS verifiziert. Also, ich habe durch einen Hack die Zugangsdaten eines Nutzers erbeutet. Ich muss noch seine Handynummer wissen, okay. SMS lassen sich anscheinend immer abfangen, siehe hier: https://www.golem.de/news/sicherheitsluecken-so-einfach-lassen-sich-sms-mitlesen-1911-145274.html Beispiel also: Ich nutze nie die mobile App, nur Desktop-Banking mit chipTAN. Der Hacker hat meinen Nutzernamen und Passwort erbeutet, aber hat die chipTAN nicht. Jetzt kann der Hacker stattdessen ein frisches Handy nehmen, dort die DKB-App installieren und die SMS abfangen (das ist anscheinend kinderleicht), damit ist sein Handy verifiziert und er kann dort mit seinem Handy frei über das Konto verfügen. Alleine, dadurch, dass die Bank (in diesem Fall die DKB) auch andere Verfahren anbietet, entsteht ja die Sicherheitslücke, da kann ich selbst privat soviel chipPhotoTAN verwenden, wie ich möchte. Der Hacker nutzt einfach ein anderes Einfallstor. Voraussetzung, damit man die DKB weiter nutzen könnte, müsste also sein, dass man der DKB untersagen kann, eine andere Verifikation außer die chipPhotoTAN oder entsprechende Nachfolgelösungen zu verwenden. Ich weiß ja nicht, ob es jemand ausprobiert hat: Man kann ja die Mobilfunk-Nummer nicht einfach per Service aus dem DKB-Portal löschen, dann meckert er. Man kann aber die Festnetz-Nummer eintragen, dann müsste man die Mobilfunknummer löschen können. Hat da schon jemand gemacht? Ist dann die neue App nicht aktivierbar? Damit würde man dieses Sicherheitsloch schließen, denn um die neue App zu aktivieren muss erst eine Mobilfunknummer im Portal eingetragen werden. Dafür braucht es (hoffentlich!? sicher bin ich nicht) wieder eine TAN per chipTAN (TAN2GO bisher nie aktiviert). Ich habe auch mal testweise einen Antrag bei der ING auf Kontoeröffnung gestellt, dort geht es nur zwingend unter der Angabe der Mobilfunknummer. Fakt ist ja, mit der Aktivierung der App über eine SMS wird die Sicherheit der DKB-App auf das Niveau der SMS-TAN zurückgestuft. Ich teile deine Einschätzung. Ebenso fällt mir negativ auf, daß bei einigen Banken das Passwort über Email zurückgesetzt werden kann. Die Sicherheit hängt damit auch am Emailaccount. Und bei einem großen Teil der Menschen dürfte per Emailzugang auch die (e)Sim in Reichweite sein. Es macht Sinn den für eine Bank benutzen Emailzugang gut zu schützen. Diesen Beitrag teilen Link zum Beitrag
FI40 Juni 30, 2023 vor einer Stunde von wpf-leser: Und ich habe mich schon gefragt, warum ständig fünf Minuten nach Erstellen von Benutzerkonten meine Identitäten entwendet werden. Alles klar... (SCNR...) Es ist schon spannend zu sehen, wie näherungsweise identische Probleme in verschiedenen (Lebens-)Bereichen sehr unterschiedlich eingeschätzt werden. Warum soll jemand ein Benutzerkonto hacken? Was meinst du genau, hier im Forum zum Beispiel? Dann würde jemand in deinem Pseudonym-Namen Nachrichten posten - oh Nein. Oder meinst du sowas wie Netflix & Co.? Oh nein, maximale Schadenshöhe, wenn überhaupt, 13 Euro. Das ist alles völlig irrelevant. Wenn so etwas jemand hackt, ist es dir völlig egal usw. Was ist, wenn du 500k im Depot bei der DKB hast als Altersvorsorge? Und jetzt ist jemand an dein Passwort gekommen, lässt die SMS zu sich routen und räumt dann das 500k-Depot leer ins Ausland? 30 Jahre Altersvorsorge umsonst? Da gibt es doch ein paar kleine Unterschiede, ob dir jemand einen Zugangsaccount für ein Forum oder Social-Media oder Amazon & Co. hackt oder ob jemand Zugriff auf deine Lebensersparnisse hat. Diesen Beitrag teilen Link zum Beitrag