Fragen zur photoTAN der Deutschen Bank - Test?

[pstein]

Die Deutschen Bank erzwingt ja bekanntlich für Ihre Banking-Kunden den Wechsel von iTAN auf photoTAN.

 

Soviel ich verstanden habe muss die photoTAN App der DB auf einem SmartPhone installiert sein. Damit scannt dann der Kunde einen BarCode und lässt die App eine TAN dazu generieren. Fragen:

 

1.) Muss die App auf einem SmartPhone installiert sein deren MobilTelefonnummer exakt mit der Telefonnummer übereinstimmt die im Konto hinterlegt ist? Oder kann ich diese App auch auf einem Zweit-Handy installieren mit einer beliebigen anderen Telefonnummer?

 

2.) Gibt es eine Testwebseite auf der TestBarcodes eingeblendet werden, die ich testweise mit der photoTAN App einscannen kann?...und prüfen kann ob alles richtig funktioniert?

 

3.) Nach max.3 maligem Login MUSS der Wechsel auf photoTAN erfolgen. Kann man die Zahl der Logins irgendwie erhöhen (auf 20)? ..also mit anderen Worten den Wechselzwang irgendwie hinauszögern/deaktivieren?

 

[reko]

vor 42 Minuten schrieb pstein:

Die Deutschen Bank erzwingt ja bekanntlich für Ihre Banking-Kunden den Wechsel von iTAN auf photoTAN.

 

Soviel ich verstanden habe muss die photoTAN App der DB auf einem SmartPhone installiert sein. Damit scannt dann der Kunde einen BarCode und lässt die App eine TAN dazu generieren. Fragen:

 

1.) Muss die App auf einem SmartPhone installiert sein deren MobilTelefonnummer exakt mit der Telefonnummer übereinstimmt die im Konto hinterlegt ist? Oder kann ich diese App auch auf einem Zweit-Handy installieren mit einer beliebigen anderen Telefonnummer?

 

2.) Gibt es eine Testwebseite auf der TestBarcodes eingeblendet werden, die ich testweise mit der photoTAN App einscannen kann?...und prüfen kann ob alles richtig funktioniert?

 

3.) Nach max.3 maligem Login MUSS der Wechsel auf photoTAN erfolgen. Kann man die Zahl der Logins irgendwie erhöhen (auf 20)? ..also mit anderen Worten den Wechselzwang irgendwie hinauszögern/deaktivieren?

Aus Sicherheitsgründen würde ich nur ein Smartphone nehmen, das fast immer offline ist. Insbesondere während des Scannens einer PhotoTAN.

Öffentliche Testcodes gibt es m.W. nicht. Man bekommt nach der Anmeldung einen Brief mit Initialisierungsbild (PrivateKey), das man zum Testen nehmen kann.

Ich benutze das Lesegerät für 15€ (kann man telefonisch oder in der Filiale anfordern). Bisher funktioniert PhotoTAN bei mir gut. Nur ein Knopfdruck zum Einschalten, Kamera auf das PhotoTAN-Bild richten und die TAN erscheint im Display.

 

Ich vermute, dass die MobilTelefonnummer keine Rolle spielt.

[Shonsu]

Guten morgen,

 

ich bin bei maxblue und benutze auch das Lesegerät, das kann man sogar im Onlinebanking bestellen (wo, habe ich aber auch erst mit Hilfe des Supports gefunden  )

[xfklu]

zu. 1) Telefon-Nummer ist egal

 

zu 2.) Hier kannst Du mal probieren:

[reko]

@xfklu

Ich nehme an, dass das eine PhotoTAN von dir ist. Sie wird also nur auf einen Gerät funktionieren das deine InitalisierungsTAN hat.

Bei mir erscheint: "Die gescannte PhotoTAN Graphik kann von diesen Gerät nicht gelesen werden"

 

Ich gehe davon aus, dass PhotoTAN ähnlich wie PGP funktioniert. Jeder der deine InitialisierungsTAN hat, kann Transaktionen in deinen Namen freigeben. Deshalb muß man die InitialisierungsTAN wie einen PrivateKey geheim halten.

outbank-security-whitepaper.pdf

Zitat

Authentifizierung mit 2 Geräten durchführen

Im Herbst 2016 sorgte eine Sicherheitslücke im photo-

TAN-Verfahren deutschlandweit für großes Aufsehen.

Grund der Sicherheitslücke war die TAN-Authentifizierung

über nur ein Endgerät. Üblicherweise werden in sicheren

TAN-Verfahren zwei, voneinander unabhängige Geräte

benutzt, damit der Vorgang nur von dem durchgeführt

werden kann, der im Besitz beider Geräte ist. Da die TAN im

photoTAN-Verfahren nicht mehr auf einem zweiten Gerät

generiert wird, haben Hacker leichtes Spiel. Sie nisten sich

über ein Schlupfloch im Smartphone ein und hacken die

TAN-Generator-App und können die TAN-Generierung

somit manipulieren, aufzeichnen, abfangen oder die Über-

weisung so abändern, dass das Geld mit diesem TAN auf ein

anderes Konto geleitet wird.

 

[xfklu]

Das Bild habe ich einfach irgendwo im Internet gefunden.

 

Die angezeigte Meldung "Die gescannte PhotoTAN Graphik ..." zeigt, dass eine Photo-TAN erkannt wurde. Das sollte als Funktionstest reichen.

[reko]

vor einer Stunde schrieb xfklu:

Das Bild habe ich einfach irgendwo im Internet gefunden.

 

Die angezeigte Meldung "Die gescannte PhotoTAN Graphik ..." zeigt, dass eine Photo-TAN erkannt wurde. Das sollte als Funktionstest reichen.

Diese Meldung erhalte ich auch mit jeden beliebigen Bild (dauert aber etwas länger als normal) z.B.

[xfklu]

Okay, dann vergessen wir das.

 

Ich konnte erst mich nur schwer von den TAN-Listen in Papierform trennen, habe aber jetzt auch keine großen Bedenken bei der Photo-TAN, solange man Onlinebaning und TAN-Generierung auf zwei unterschiedlichen Geräten macht.

[Holgerli]

vor 11 Stunden schrieb pstein:

Die Deutschen Bank erzwingt ja bekanntlich für Ihre Banking-Kunden den Wechsel von iTAN auf photoTAN.

Nein, die neue Gesetzgebung macht das.

Nur zur Info: Die Comdirect leitet aktuell auch schon den Abschied von der iTan ein.

[west263]

vor 5 Minuten schrieb Holgerli:

 

Nur zur Info: Die Comdirect leitet aktuell auch schon den Abschied von der iTan ein.

da würde letztes Jahr doch schon so einiges geändert. iTan kostet 0,09€ und Phototan kostenlos.

Ich habe umgestellt.

[odensee]

Gerade eben schrieb west263:

da würde letztes Jahr doch schon so einiges geändert. iTan kostet 0,09€ und Phototan kostenlos.

Ich habe umgestellt.

Streiche iTan und setze mTan

[Holgerli]

vor 2 Minuten schrieb west263:

da würde letztes Jahr doch schon so einiges geändert. iTan kostet 0,09€ und Phototan kostenlos.

Ich habe umgestellt.

Kann es sein, dass Du gerade mobileTAN (SMS) mit iTAN (eine Zahl auf Papier) verwechselst?

[west263]

Du hast vollkommen Recht. mTan.

Die Arbeit stresst mich heute Abend.