Sicherheit Neobroker Apps

[Finanz.mond]

Ich habe noch ein "traditionelles" Depot bei der Consorsbank, möchte aber aufgrund der Gebühren dieses Konto auflösen.

 

Ich bin bereits Kunde bei TR und SC.

 

Bei der Consorsbank habe ich einen separaten Tan Generator und fühle mich damit sicher.

 

Bei TR und SC gibt es keine vernünftige

2-fach Authentifizierung??!

Diese besteht nur aus "meinem Handy"(1. Faktor) und meinem Passwort (2. Faktor) sehe ich das richtig?

 

Bei TR gibt es noch den Vorteil, dass dort das Konto nur geändert werden kann, wenn von dem Konto eine Einzahlung eintrifft. (Nicht wirklich großer Vorteil, bei SC kann es einfach so geändert werden)

 

1. Gibt es andere Neo Broker die eine richtige 2-fach Authentifizierung haben?

 

2. Wie schätzt ihr das Risiko ein? Gab es schon öfter hacks und fishing Angriffe von denen man weiß?

 

3. Was kann man zusätzlich tun, um die Sicherheit bei TR und SC zu erhöhen?

 

Danke 

 

[MarktengesWertpa]

Smartbroker hat 2FA, kann sogar sein, dass der Consors TAN Generator auch funktioniert

[Vogelhaus]

Risiko geht denke ich gegen Null. Insbesondere wenn man ein iOS Gerät benutzt. 

[Finanz.mond]

vor 1 Stunde von Vogelhaus:

Risiko geht denke ich gegen Null. Insbesondere wenn man ein iOS Gerät benutzt. 

Benutze Android Geräte ^^ kann man da etwas zusätzliches Unternehmen?

[Vogelhaus]

vor 27 Minuten von Finanz.mond:

Benutze Android Geräte ^^ kann man da etwas zusätzliches Unternehmen?

Per se ist das ja nicht schlimm. Sofern man immer Sicherheitsupdates einspielt und kein Schindluder macht (weil Android viel mehr Freiheiten als iOS bietet). 

[oktavian]

vor 8 Stunden von Vogelhaus:

Risiko geht denke ich gegen Null. Insbesondere wenn man ein iOS Gerät benutzt. 

die Pin zum Entsperren kann man beobachten. Gab da so eine Betrugsmasche in New York in der Kneipe ansprechen und mal handy geben lassen um Nr weiter zu geben oder was auch immer. Dabei unauffällig Iphone ausschalten und dann beim Einschalten mit Handy filmen oder Kollege beobachtet.mBeim Einschalten muss man wohl irgendwie einen Masterpin oder so bei Iphone eingeben (kenne mich da nicht so aus). Dann haben die damit eine virtuelle Kreditkarte erstellt und Geld abgehoben. Was genau ist denn sonst am Iphone sicherer? 

[Vogelhaus]

vor 6 Stunden von oktavian:

die Pin zum Entsperren kann man beobachten. Gab da so eine Betrugsmasche in New York in der Kneipe ansprechen und mal handy geben lassen um Nr weiter zu geben oder was auch immer. Dabei unauffällig Iphone ausschalten und dann beim Einschalten mit Handy filmen oder Kollege beobachtet.mBeim Einschalten muss man wohl irgendwie einen Masterpin oder so bei Iphone eingeben (kenne mich da nicht so aus). Dann haben die damit eine virtuelle Kreditkarte erstellt und Geld abgehoben. Was genau ist denn sonst am Iphone sicherer? 

Dass man eher einen alphanumerischen Code nutzt, wenn man komfortabler mit FaceID entsperren kann. 
 

soweit mir bekannt kann man die photoTAN Apps nochmals per Face ID Entsperren, um eine Transaktion freizugeben. 
 

Das Kneipenbeispiel ist ja social engineering und bedingt einen naiven Nutzer, was der Threadersteller wohl nicht ist, wenn er schon solche Bedenken hat. 

[Finanz.mond]

vor 7 Stunden von oktavian:

die Pin zum Entsperren kann man beobachten. Gab da so eine Betrugsmasche in New York in der Kneipe ansprechen und mal handy geben lassen um Nr weiter zu geben oder was auch immer. Dabei unauffällig Iphone ausschalten und dann beim Einschalten mit Handy filmen oder Kollege beobachtet.mBeim Einschalten muss man wohl irgendwie einen Masterpin oder so bei Iphone eingeben (kenne mich da nicht so aus). Dann haben die damit eine virtuelle Kreditkarte erstellt und Geld abgehoben. Was genau ist denn sonst am Iphone sicherer? 

Guter Hinweis, mir geht es eher um die "Online Sicherheit"

[BigSpender09]

Onlinesicherheit ist bei SC doch gegeben.

Wenn du nicht zufällig dein entsperrtes Handy rumliegen lässt und der, der es in die Hände bekommt auch noch zufällig dein PW kennt.

Mittlerweile auch am PC muss ne Freigabe am Handy erfolgen (Betastet läuft).

[maikel_dus]

Hallo,

wie BigSpender09 schon geschrieben hat, bei SC gibt es eine "neue" 2FA im Betatest. Ich nutze das jetzt seit Beginn des Testes  und es funktioniert sehr gut. Ich rede hier beim öffnen im Webbrowser auf dem PC, aber auch im Smartphone beim öffnen im Webbrowser klappt das, aber da nutze ich in der Regel die "normale" SC-App.

Der 2. Faktor ist einfach gesagt, und wie ich es verstanden habe, ein verkryptetes Verfahren bei dem ein Schlüsselpaar erzeugt wird. Ein Schlüssel liegt auf dem eigenen Handy, erzeugt durch aktivieren des 2FA in der App in einem geschützen Bereich (privater Schlüssel), und der zweite Schlüssel liegt auf dem Authentifizierungsserver von Scalable. Wenn man sich jetzt anmeldet wird eine Signatur auf dem Handy erzeugt, verschlüsselt zum Server geschickt und Authentifiziert, oder eben nicht. Es geht auch nur mit diesem einen Handy wo die 2FA aktiviert ist!

Für mich ist das schon ziemlich sicher, ich hoffe die neue 2FA wird bald für alle ausgerollt.

Abgesehen davon muss man natürlich auch selbst verantwortungsvoll mit seinen "Sicherheiten" umgehen. Ich denke es sollte klar sein was gemeint ist.

Schöne Ostertage noch...

 

[HalloAktie]

Seufz, ich wollte mich ja zu diesen Themen nicht mehr äußern, aber wenn der/die "naive Nutzer/in" als seltene Ausnahme dargestellt wird...Hier eine kurze Story aus meinem Nicht-IT-Alltag. Bei uns in der Firma gibt es eine Datenbank von 25000 Leuten. Davon nutzt ca. 1/4 den Webshop. Nahezu jede Woche trägt mindestens eine Neuanmeldung im ergänzenden Adressfeld das Passwort für den Online-Zugang ein. Man kommt mit dem rauslöschen kaum nach (wir verschicken mitunter auch Briefpost an die Leute). Wahrscheinlich dasselbe Passwort, was für x andere Accounts benutzt wird, die auf die identische Mailadresse registriert sind. So steht es um die Vorsicht allgemein.

Man kann das wirklich überhaupt nicht aus der Vogelperspektive beurteilen- man muss es gesehen oder untersucht haben, was da abgeht. Deshalb maximal mögliche Sicherheit und Datensparsamkeit, immer mit dem Weg des geringsten Widerstandes der Programmierer/innen (das sind längst nicht alles Nobelpreisträger/innen- im Gegenteil) und Nutzenden rechnen.

[oktavian]

Am 8.4.2023 um 04:39 von Vogelhaus:

Am 7.4.2023 um 22:15 von oktavian:

Was genau ist denn sonst am Iphone sicherer? 

Dass man eher einen alphanumerischen Code nutzt, wenn man komfortabler mit FaceID entsperren kann. 
 

soweit mir bekannt kann man die photoTAN Apps nochmals per Face ID Entsperren, um eine Transaktion freizugeben. 
 

Das Kneipenbeispiel ist ja social engineering und bedingt einen naiven Nutzer, was der Threadersteller wohl nicht ist, wenn er schon solche Bedenken hat. 

Android ist opensource, da ist alles möglich. Apple hingegen ist closed source und jeder Angreifer kann exakt die möglichen Sicherheitseinstellungen recherchieren. Bei Android kannst du z.B. ein zweites Profil (z.B. Arbeitsprofil) mit Extra-Passwort für die 2. Faktor app nutzen etc. Also wenn dies ein Sicherheitsvorteil bei Apple sein soll sehe ich es anders. Ja face ID ist bei Apple besser als bei Android, aber würde ich eh nicht nutzen beim Banking, dann eher fingerprint zusätzlich.