Smartbroker / Smartbroker+

[morini]

vor 13 Stunden von Federer273:

Das ist eine absolute Katastrophe mit dieser App!!! Warum lassen Sie einem nicht einfach die SMS-Funktion??? Um die TAN-Generatoren zu verkaufen??? 

 

Man stelle sich nur mal vor, man verliert sein Smartphone mit den im Internet-Browser gespeicherten Kontozugangsdaten, und es fällt jemandem in die Hände, der Böses im Schilde führt. Anhand der SMS-TAN könnte derjenige dann schalten und walten, wie er gerade möchte, beispielsweise alle Aktien verkaufen, irgendwelche Optionsscheine kaufen oder einfach das Geld vom Verrechnungskonto auf irgendein anders Konto überweisen, da es bei Smartbroker kein obligatorisches Referenzkonto gibt. Das wäre dann für den Verlierer des Smartphones der finanzielle Super-Gau!

 

Aus diesem Grund kann ich schon sehr gut nachvollziehen, dass die SMS-TAN als zu unsicher eingestuft wird....

 

Am besten gefallen hat mir immer noch die iTAN-Liste auf Papier (wie z.B. bei FlatEx), aber auch diese gilt ja inzwischen als zu unsicher.

 

Inwieweit die Secure-App sicherer ist, weiß ich allerdings nicht, da ich sie noch nicht verwendet habe.

[kublai]

vor 13 Stunden von cnn:

Weil jetzt ein paar SB Neulinge da sind, zitiere nochmal meinen Beitrag vom Juni :-)

Ein kleines Workaround

Danke! Hört sich gut an, ich werde es testen...

[dev]

vor 46 Minuten von morini:

Inwieweit die Secure-App sicherer ist, weiß ich allerdings nicht, da ich sie noch nicht verwendet habe.

So sicher wie Software nun mal ist, nicht umsonst ist das Updateintervall so gestiegen. 

[PeterPan]

vor 57 Minuten von morini:

 

Man stelle sich nur mal vor, man verliert sein Smartphone mit den im Internet-Browser gespeicherten Kontozugangsdaten, und es fällt jemandem in die Hände, der Böses im Schilde führt. Anhand der SMS-TAN könnte derjenige dann schalten und walten, wie er gerade möchte, beispielsweise alle Aktien verkaufen, irgendwelche Optionsscheine kaufen oder einfach das Geld vom Verrechnungskonto auf irgendein anders Konto überweisen, da es bei Smartbroker kein obligatorisches Referenzkonto gibt. Das wäre dann für den Verlierer des Smartphones der finanzielle Super-Gau!

 

Aus diesem Grund kann ich schon sehr gut nachvollziehen, dass die SMS-TAN als zu unsicher eingestuft wird....

 

Am besten gefallen hat mir immer noch die iTAN-Liste auf Papier (wie z.B. bei FlatEx), aber auch diese gilt ja inzwischen als zu unsicher.

 

Inwieweit die Secure-App sicherer ist, weiß ich allerdings nicht, da ich sie noch nicht verwendet habe.

Die SMS-TAN ist nach Erhalt immer nur für einige Minuten gültig und zudem nur pro Sitzung verwendbar. Der geschilderte Fall ist deshalb praktisch ausgeschlossen. Das (auch eher geringe) Mißbrauchsrisiko kommt immer daher, dass die SMS-TANs abgegriffen werden (weil die im Konto hinterlegte Mobilnummer geändert wurde).

[lothar-hh]

vor 13 Stunden von Federer273:

Das ist eine absolute Katastrophe mit dieser App!!! Warum lassen Sie einem nicht einfach die SMS-Funktion??? Um die TAN-Generatoren zu verkaufen??? 

Ich habe überhaupt keine Probleme mit der App!! Was macht ihr falsch, was mache ich richtig damit?

[odensee]

vor einer Stunde von morini:

Man stelle sich nur mal vor, man verliert sein Smartphone mit den im Internet-Browser gespeicherten Kontozugangsdaten,

aus genau dem Grund kommen bei mir SMS-TAN an einem Nicht-SmartPhone-Handy an.

[morini]

 

vor 14 Minuten von PeterPan:

Die SMS-TAN ist nach Erhalt immer nur für einige Minuten gültig und zudem nur pro Sitzung verwendbar. Der geschilderte Fall ist deshalb praktisch ausgeschlossen. Das (auch eher geringe) Mißbrauchsrisiko kommt immer daher, dass die SMS-TANs abgegriffen werden (weil die im Konto hinterlegte Mobilnummer geändert wurde).

 

Lass es mich mal erklären:

 

1. Jemand findet mein Smartphone und loggt sich über die im Browser abgespeicherten Zugangsdaten in meine Konto/Depot ein.

2. Derjenige schaltet per SMS-TAN eine Session frei. Für jede Transaktion eine SMS-TAN anzufordern, wäre auch kein Problem.

3. Derjenige hat die volle Kontrolle über mein Konto/Depot und kann schalten und walten, wie er möchte.

 

Die Tatsache, dass die SMS-TAN nach Erhalt immer nur für einige Minuten gültig und zudem nur pro Sitzung verwendbar ist, ist somit völlig irrelevant.

Wer mein Smartphone besitzt, der kann nach Belieben über mein Smartbroker-Konto/Depot verfügen und einen immensen Schaden anrichten.

 

Wie kommst du darauf, dass der geschilderte Fall praktisch ausgeschlossen ist? Ganz im Gegenteil gehe ich davon aus, dass sowas schon oftmals vorgekommen ist.....

 

[dev]

vor 3 Minuten von morini:

1. Jemand findet mein Smartphone und loggt sich über die im Browser abgespeicherten Zugangsdaten in meine Konto/Depot ein.

4) Jemand nutzt eine Sicherheitslücke und hat dann alles auf einem Gerät im Zugriff.

 

vor 6 Minuten von odensee:

aus genau dem Grund kommen bei mir SMS-TAN an einem Nicht-SmartPhone-Handy an.

Genau so, immer ein Offline-Gerät nutzen bzw. dumme Geräte ohne Installationsmöglichkeit von Software.

 

[morini]

vor 16 Minuten von odensee:

aus genau dem Grund kommen bei mir SMS-TAN an einem Nicht-SmartPhone-Handy an.

 

Damit wird das Ganze natürlich deutlich sicherer, wobei ich davon ausgehe, dass viele Leute die SMS-TAN nicht über ein Zweithandy angefordert haben, sodass Smartbroker (und auch andere Broker/Banken) sich aus Sicherheitsgründen gezwungen gesehen haben, komplett auf das SMS-TAN-Verfahren zu verzichten.

[morini]

vor 13 Minuten von dev:

Genau so, immer ein Offline-Gerät nutzen bzw. dumme Geräte ohne Installationsmöglichkeit von Software.

 

Du hast auf jeden Fall recht, obwohl ich aus Bequemlichkeit darauf verzichtet habe. Dazu gibt es ja jetzt den Kobil-TAN-Generator als eigenständiges Gerät, welches ich mir zwar zugelegt, aber bislang noch nicht registriert habe.

 

Besteht eigentlich auch ein erhebliches Sicherheitsrisiko, wenn die Secure-App auf demselben Smartphone, mit welchem man sich ins Depot einloggt und Transaktionen ausführt, installiert ist?

Falls dies der Fall sein sollte, würde man ja auf jeden Fall ein Zweit-Smartphone oder halt den Kobil-TAN-Generator benötigen....

[dev]

vor 11 Minuten von morini:

Dazu gibt es ja jetzt den Kobil-TAN-Generator als eigenständiges Gerät.

Ein TAN-Generator ist meiner Meinung nach, das Optimum.

 

Allerdings unterscheiden sie sich stark voneinander, ich habe 3 verschiedene.

 

1) TAN-Generator mit Flackerbalken auf dem Monitor, man muß seine Girocard rein stecken, kann den auch bei mehren Banken verwenden ( wenn die dieses Gerät nutzen )

2) Phototan, Bunten QR-Code abfotografieren, gesichert mit 4-Stellige PIN, nur für ein Konto nutzbar ( schade wenn zwei im selben Haushalt bei der selben Bank sind )

3) QR-Code-Generator ( Smartbroker ), ohne Zusatzsicherung des Gerätes ( Mehrfachnutzung unbekannt )

 

Zitat

Besteht eigentlich auch ein erhebliches Sicherheitsrisiko, wenn die Secure-App auf demselben Smartphone, mit welchem man sich ins Depot einloggt und Transaktionen ausführt, installiert wird?

Falls dies der Fall sein sollte, würde man ja ein Zweit-Smartphone benötigen....

Ein Betriebssystem kann Sicherheitslücken haben und hat dann Zugriff auf beide Apps.

Installierte Apps können Trojaner enthalten und haben dann Zugriff auf beide Apps.

[morini]

vor 15 Minuten von dev:

Ein TAN-Generator ist meiner Meinung nach, das Optimum.

 

Allerdings unterscheiden sie sich stark voneinander, ich habe 3 verschiedene.

 

1) TAN-Generator mit Flackerbalken auf dem Monitor, man muß seine Girocard rein stecken, kann es auch mit mehren Banken verwenden

2) Phototan, Bunten QR-Code abfotografieren, gesichert mit 4-Stellige PIN

3) QR-Code-Generator ( Smartbroker ), ohne Zusatzsicherung des Gerätes

 

Ein Betriebssystem kann Sicherheitslücken haben und hat dann Zugriff auf beide Apps.

Installierte Apps können Trojaner enthalten und haben dann Zugriff auf beide Apps.

 

Danke für die Erklärungen!

 

Wenn man auf Nummer Sicher gehen möchte, bleibt einem dann nichts anderes übrig, als sich den Kobil-TAN-Generator (der ausschließlich für ein einziges Konto/Depot geeignet ist) zuzulegen. Ein Nicht-Smartphone-Handy hilft einem in Zukunft nicht mehr weiter, und auch ein Zweit-Smartphone mit installierter Secure-App birgt gewisse Risiken....

[Federer273]

gelöscht

 

[Federer273]

Habe nochmal auf Systemupdates gecheckt und jetzt den DAB-Support kontaktiert wegen meiner Login-Probleme bei der Secure-App. Leider konnte mir nicht kompetent geholfen werden. Lediglich eine schriftliche Rückmeldung wurde in Aussicht gestellt. Es gebe auch keine andere Möglichkeit. Die Einrichtung eines anderen Gerätes geht schließlich auch nur über die Secure App des Erstgeräts. Ich bin nun komplett handlungsunfähig:(

 

Edit:

 

Ein Aktiverungsbrief soll das Problem nun lösen, ich bin gespannt!

[murks86]

Hat es eigentlich irgendjemand schon geschafft bei Smartbroker ein Gemeinschaftsdepot zu eröffnen? Ich bin da seit Ewigkeiten auf einer Warteliste und wurde auch auf Nachfrage bei Smartbroker nur vertröstet.

[alsuna]

vor 8 Stunden von dev:

Ob eine App da sicherer ist, bezweifle ich

Oh, da bin ich ganz bei dir.

Aber da gegen SMS-TAN schon erfolgreich Angriffe gefahren wurden und man dabei keine Chance hat, was zu verbessern, finde ich es sehr nachvollziehbar, dass das nicht mehr angeboten wird.

[kublai]

vor 5 Stunden von kublai:

Danke! Hört sich gut an, ich werde es testen...

Vielen Dank! Dein Name hat mich zuvor "ver ängstig". Jetzt habe ich weniger Angst..

lg

k.

p.s: bezüglich der "Gerüchte" und smartbroker, ich kann obwohl ich telefonisch den anbieter noch nie erreichen musste, keine Auffälligkeiten entdecken.

[dev]

vor 8 Minuten von alsuna:

Oh, da bin ich ganz bei dir.

Aber da gegen SMS-TAN schon erfolgreich Angriffe gefahren wurden und man dabei keine Chance hat, was zu verbessern, finde ich es sehr nachvollziehbar, dass das nicht mehr angeboten wird.

Es ist immer unsicher Banking und Sicherheit mit dem selben Gerät zu betreiben, so wie es @odenseemacht, mit einem Dummen Telefon, ist es sicher, denn das Telefonnetz ist vom Internet entkoppelt.

[alsuna]

Vollständig einverstanden. Wer aber diese grundlegenden Themen der Zwei-Faktor-Authentifizierung schon aus Gründen der Bequemlichkeit aufgibt, muss ich sich über die Sicherheit der Verfahren eigentlich keine Gedanken machen.

[Raccoon]

vor 2 Stunden von dev:

... denn das Telefonnetz ist vom Internet entkoppelt.

Das glaubst du aber auch nur - jedes digitale Telefonnetz hat eine Verbindung zum Internet, der Inhalt der SMS muß ja auch irgendwie vom Broker in das Handy-Netz (spezifisch das SMSC) kommen um von dort als SMS verschickt zu werden.

[odensee]

vor 7 Minuten von Raccoon:

Das glaubst du aber auch nur - jedes digitale Telefonnetz hat eine Verbindung zum Internet,

Schon richtig, aber der Aufwand, meine Handynummer (kein Smartphone) mit der IP-Adresse meines PCs oder meines Smartphones zusammenzubringen, ist einigermaßen hoch.

[dev]

vor 14 Minuten von Raccoon:

Das glaubst du aber auch nur - jedes digitale Telefonnetz hat eine Verbindung zum Internet, der Inhalt der SMS muß ja auch irgendwie vom Broker in das Handy-Netz (spezifisch das SMSC) kommen um von dort als SMS verschickt zu werden.

Du hast schon verstanden was ich schrieb?

vor 2 Stunden von dev:

Es ist immer unsicher Banking und Sicherheit mit dem selben Gerät zu betreiben, so wie es @odenseemacht, mit einem Dummen Telefon, ist es sicher, denn das Telefonnetz ist vom Internet entkoppelt.

Aber ein dummes Telefon hat kein Internet, kann aber SMS empfangen.

Wie will man das im zweiten Gerät abfangen?

 

Klar wer ne Alexa im Haus hat und seine SMS vorließt - ja geht

[Mangalica]

vor 3 Stunden von dev:

so wie es @odenseemacht, mit einem Dummen Telefon, ist es sicher, denn das Telefonnetz ist vom Internet entkoppelt.

Genau, ein völlig unverschlüsseltes Medium, bei dem man die unverschlüsselte TAN über SS7-Angriffe einfach mal nach Russland routen kann, ist bestimmt ganz sicher, schließlich ist es ja vom Internet entkoppelt.

[Raccoon]

vor einer Stunde von dev:

Du hast schon verstanden was ich schrieb?

Aber ein dummes Telefon hat kein Internet, kann aber SMS empfangen.

Wie will man das im zweiten Gerät abfangen?

Du hast geschrieben, daß das Telefonnetz keine Verbindung zum Internet hat. Aber mit einigem Aufwand und unter bestimmten Bedingungen wäre es möglich, das dumme Handy zu klonen und die SMS auf dem 2. Gerät in parallel zu empfangen. Das ging übrigens schon lange bevor es Internet im Handy gab.

[dev]

vor 5 Minuten von Mangalica:

Genau, ein völlig unverschlüsseltes Medium, bei dem man die unverschlüsselte TAN über SS7-Angriffe einfach mal nach Russland routen kann, ist bestimmt ganz sicher, schließlich ist es ja vom Internet entkoppelt.

Kannte ich noch nicht, somit fällt die von mir nie genutzte TAN-SMS  auch aus.