Depot und Girokonto bei der selben Bank

[dimido]

Bei mir gab es mal einen Einbruchsversuch der knapp gescheitert ist, da wäre mein iPad als Freigabegerät sicher mit verschwunden.
Mein iPhone als Freigabegerät hätte ich dann noch (ist ja immer dabei).
Und wenn mein iPhone unterwegs gestohlen, verloren, defekt etc. wäre, dann hätte ich zuhause immer noch mein iPad.
Es hat schon seinen Grund warum ich ein "mobiles" und ein "stationäres" 2FA-Freigabegerät habe.
Ich komme aus der IT und da arbeitet man halt gerne mit Redundanzen nach dem Motto: no Backup, no Mitleid

[hattifnatt]

vor 56 Minuten von dimido:

Und wenn mein iPhone unterwegs gestohlen, verloren, defekt etc. wäre, dann hätte ich zuhause immer noch mein iPad.

Dann wäre meine größte Sorge aber nicht, wie ich möglichst schnell wieder im Depot handeln kann, sondern wie ich die App auf meinem gestohlenen Gerät gesperrt kriege. Und das funktioniert zumindest bei den Banken, bei denen ich bin, nicht mit einer TAN, sondern nur mit einem Anruf bei der Hotline. Deswegen hinkt m.E. auch der Vergleich mit den Backups, denn hier erhöht jedes zusätzliche Device tatsächlich das Risiko, wie @W.Heisenberg richtig bemerkt hat.

[chirlu]

vor 12 Minuten von hattifnatt:

wie ich die App auf meinem gestohlenen Gerät gesperrt kriege. Und das funktioniert zumindest bei den Banken, bei denen ich bin, nicht mit einer TAN, sondern nur mit einem Anruf bei der Hotline.

 

Interessant, dass es da offenbar entgegengesetzte Ansätze gibt. Bei allen meinen Banken (Postbank, Comdirect, DAB) ist es umgekehrt, ich kann aus dem Onlinebanking den Zugang für einzelne Geräte sperren.

[odensee]

vor 32 Minuten von chirlu:

Bei allen meinen Banken (Postbank, Comdirect, DAB) ist es umgekehrt, ich kann aus dem Onlinebanking den Zugang für einzelne Geräte sperren.

Sofern du den Login nicht über die PhotoTAN-App bestätigen musst.

[chirlu]

vor 2 Minuten von odensee:

vor 35 Minuten von chirlu:

ich kann aus dem Onlinebanking den Zugang für einzelne Geräte sperren.

Sofern du den Login nicht über die PhotoTAN-App bestätigen musst.

 

Die angenommene Lage ist doch, dass ich zwei Geräte habe, von denen eines gestohlen wurde. Mit dem anderen, noch vorhandenen Gerät kann ich den Zugang des gestohlenen sperren.

[W.Heisenberg]

vor 38 Minuten von chirlu:

 

Interessant, dass es da offenbar entgegengesetzte Ansätze gibt. Bei allen meinen Banken (Postbank, Comdirect, DAB) ist es umgekehrt, ich kann aus dem Onlinebanking den Zugang für einzelne Geräte sperren.

Davor hat aber höchstwahrscheinlich der Betrüger das PW geändert, sodass du mit anderem Gerät gar nicht mehr rein kommst. Oder schmeißt das andere Gerät raus, dann kommt man auch nicht rein.

 

Und ich ich kenne es eigentlich so, dass die App bei den meisten Banken/Brokern nur auf einem Gerät funktioniert.

[Lazaros]

Am 31.7.2024 um 23:43 von Belgien:

Sofern mit viel Phantasie ein Bedrohungsszenario theoretisch vorstellbar ist, wird es im WPF mit hoher Wahrscheinlichkeit von zig Usern dazu eine seitenlange Sicherheitsdiskussion geben. Dies erleben wir doch hier mit schöner Regelmäßigkeit alle paar Wochen in Endlosschleife seit vielen Jahren, wobei die Anlässe für die Diskussionen zwar unterschiedlich sind, die Sicherheitsbedenken jedoch stets ähnlich sind. Ich würde nicht so weit gehen und formulieren, dass das WPF voller paranoider User ist, doch kann man schon sagen, dass alle deutschen Onlinebanking-Sicherheitsparanoiker im WPF als User angemeldet sind, um sich hier über theoretische Bedrohungsszenarien austauschen zu können und sich gegenseitig bestätigen zu können, das Onlinebanking/broking eine höchst unsichere Angelegenheit ist.

Zu viele Redudanzen (Rehe tun tanzen) 

[chirlu]

vor 5 Minuten von W.Heisenberg:

Davor hat aber höchstwahrscheinlich der Betrüger das PW geändert, sodass du mit anderem Gerät gar nicht mehr rein kommst. Oder schmeißt das andere Gerät raus, dann kommt man auch nicht rein.

 

Für beides müsste der Dieb erst einmal das Passwort herausfinden.

 

vor 5 Minuten von W.Heisenberg:

ich kenne es eigentlich so, dass die App bei den meisten Banken/Brokern nur auf einem Gerät funktioniert.

 

Wie gesagt:

vor 43 Minuten von chirlu:

Interessant, dass es da offenbar entgegengesetzte Ansätze gibt.

Auch interessant, dass ich nur bei Banken mit dem einen Ansatz bin und ihr nur bei Banken mit dem anderen Ansatz seid.

[Lazaros]

vor 2 Minuten von chirlu:

Für beides müsste der Dieb erst einmal das Passwort herausfinden.

Naja - dafür habe ich den beschrifteten Ordner:  Passwörter und Karten-Geheimzahlen

[hattifnatt]

vor 49 Minuten von chirlu:

Bei allen meinen Banken (Postbank, Comdirect, DAB) ist es umgekehrt, ich kann aus dem Onlinebanking den Zugang für einzelne Geräte sperren.

Ah, OK, bei der DAB habe ich es jetzt auch gefunden unter "Secure Plus Verwaltung", ich dachte, man könnte nur mit der "Super-Pin" den gesamten Online-Zugang sperren.

[chirlu]

vor 3 Minuten von Lazaros:

dafür habe ich den beschrifteten Ordner:  Passwörter und Karten-Geheimzahlen

 

Die Passwörter für die Freigabe-Apps und die PIN für meine Girokarte habe ich tatsächlich ausschließlich im Kopf.

[Lazaros]

Gerade eben von chirlu:

 

Die Passwörter für die Freigabe-Apps und die PIN für meine Girokarte habe ich tatsächlich ausschließlich im Kopf.

Oh da hätte ich Angst - ich kenne meinen Kopf. Ich denke da an web.de, die mich kürzlich zwangen mein Passwort (Geburtstag) zu ändern, seitdem mache ich es fast jedes mal falsch.

[odensee]

vor 20 Minuten von chirlu:

Die angenommene Lage ist doch, dass ich zwei Geräte habe

Das habe ich dann wohl überlesen.

[SlowHand7]

vor 20 Minuten von W.Heisenberg:

Und ich ich kenne es eigentlich so, dass die App bei den meisten Banken/Brokern nur auf einem Gerät funktioniert.

Dann nutzt du wohl etwas ungewöhnliche Banken. 

Ich habe die Apps von 5 Banken auf 2-3 Geräten aktiviert und habe damit immer ein Backup falls ein Gerät kaputt oder abhanden kommen sollte.

[dimido]

Wie andere es auch schon gesagt haben: ich kann mit dem verbliebenen Zweitgerät das erste defekte/verlorene/whatever Gerät ganz leicht entfernen (bei allen 4 Banken die ich online nutze) und bin weiter handlungsfähig.

Genauso mit meinen anderen Non-Banking 2FA Freigabeverfahren über Authenticator-Apps.
Und das nicht aus einer Paranoia heraus, daß der Dieb die Biometrie oder Code meines iPad oder iPhones in der Zwischenzeit geknackt haben könnten.

Ich mache es genauso entspannt, wie ich das entsprechende Gerät in meinem iCloud-Account auf "verloren" setzen würde und gut ist's.

 

Wo sind denn die Fälle in denen Online-Banking hier in Deutschland ohne zutun des Kunden gehackt wurde?
Auch in diesem Thread wurde keiner aufgeführt.
Das SMS Beispiel ist nicht valide, weil SMS Tan eben aus guten Gründen abgeschafft wurde.
Stattdessen wird diffuse Unsicherheit gestreut und Leuten Glauben gemacht, ohne Linux, Graphene OS oder so ginge es nicht.
Und gerade verunsicherte Leute die nicht so technikaffin sind, sollen auf solche Lösungen gehen?
Damit werden die doch nur doppelt empfänglich gemacht für solche SMS-smishing Attacken in denen mit dem Namen von bekannten Antiviren Programmen Sicherheit vorgegaukelt wird. Stattdessen laden sie den Feind selbst runter, das ist doch pure Ironie.

 

Seitdem es die rückkanalfähige Freigabeverfahren mit Gerätebindung gibt, hat das Ganze meine Ansicht nach einen sehr soliden Level erreicht.
Wie ich bereits gesagt hatte, der Mensch ist der Schwachpunkt und somit klassischer Ausgangspunkt für Angriffe.
Keine Frage, man sollte auf technischer Ebene alles machen, was es Angreifern weiter erschwert, aber "First Line of Defense" ist und bleibt der eigene Verstand.

[dimido]

vor 9 Stunden von hattifnatt:

Deswegen hinkt m.E. auch der Vergleich mit den Backups, denn hier erhöht jedes zusätzliche Device tatsächlich das Risiko, wie @W.Heisenberg richtig bemerkt hat.

Jein ...
Bei einem Backup gemäß 3-2-1 Methode mixe ich absichtlich verschiedene potentiellen Schwachstellen, damit am Ende hoffentlich ein Backup "überlebt".
Bei einer Redundanz wie ich es hier mache, ist es mehr eine 1:1 Spiegelung.
Beides iOS, beides die gleiche App und somit die gleichen potentiellen systemischen Schwachstellen.
Somit keine Erhöhung der Anzahl der verschiedenen potentiellen Schwachstellen, außer Anzahl Geräte.
Anders wäre es z.B. wenn ich iOS und Android mixen würde.

[Neverdo]

Eieiei...kann man alles machen, auch ich trenne grundsätzlich alles an Monetären Ereignissen vom online, habe für derartiges ein eigenes Gerät, dazu ein eigenes Excel Programm und gearbeitet wird ohnehin nur auf Stick der zudem mit back up gesichert ist.

Da kann man dran bleiben, alles eine Frage des Alters und des Vermögens.

Und wer glaubt, irgendwann im Alter den Kopf nicht mehr so ganz unter Kontrolle zu haben, oder wer bereits an seine Erben denkt, der sollte ohnehin die Finger von all dem lassen.

Wenn jemand wie hier angesprochen siebenstellig ist und Fragen zum Online Banking stellt, dann sollte er bei der klassischen Bank bleiben und dort wenn nicht persönlich so doch telefonisch agieren, wenn dann etwas schiefläuft, haftet die Bank.

[Sherlock_Fuchs]

heute ist der Tag des Passwortes. Wie lautet Eures?

[LongtermInvestor]

vor 18 Stunden von Malvolio:

Wenn dein einziger 2FA Weg mal ausfällt und du dringend eine Transaktion machen willst, reden wir nochmal.

Dann rufe ich bei meiner Bank an. 

[Lazaros]

vor 26 Minuten von Sherlock_Fuchs:

heute ist der Tag des Passwortes. Wie lautet Eures?

Lazaros - wie denn sonst?

[west263]

vor 31 Minuten von Sherlock_Fuchs:

heute ist der Tag des Passwortes. Wie lautet Eures?

Standard

1 2 3 4 

[hattifnatt]

vor 21 Minuten von west263:

Standard

1 2 3 4 

Schwach, nur Zahlen! "test1234" 

[chirlu]

vor 5 Stunden von Sherlock_Fuchs:

heute ist der Tag des Passwortes. Wie lautet Eures?

 

SocEng100

[hattifnatt]

vor einer Stunde von chirlu:

SocEng100

Joah, echt fies! Vor allem ist heute gar nicht Tag des Passworts, der ist immer am ersten Donnerstag im Mai! 

[Malvolio]

Am 3.8.2024 um 09:50 von LongtermInvestor:

Dann rufe ich bei meiner Bank an. 

Schöne Grüße  .... aber dann dauert es trotzdem ... im besten Fall ... mindestens zwei Tage, bis der Brief mit den neuen Zugangsdaten da ist ... und man dann auch zu Hause und nicht unterwegs ist ... und das ggf. fällige neue Handy auch schon da und fertig eingerichtet ist. 

 

Man sollte natürlich seine Zugangsdaten nicht alle zusammen in einem gut sichtbar mit "Bankdaten" beschrifteten Ordner aufbewahren das ein potentieller Einbrecher sie sofort findet. Es ist ja gerade die Idee hinter 2FA, dass man zur Sicherheit zwei voneinander getrennte Legitimationen braucht. Absolute Sicherheit gibt es eh nicht, selbst wenn man ganz auf Online- und Mobile-Banking verzichtete ... man sollte es möglichen Gaunern eben nicht zu einfach machen und muss für sich einen gesunden Mittelweg zwischen Komfort und Sicherheit zu finden. Verglichen mit früher (mit PIN und TAN) ist es heute nach meinem Empfinden schon sehr viel sicher geworden, jedenfalls wenn man sich nicht ganz blöd anstellt. Das größte Risiko sitzt meistens immer noch vor dem Bildschirm.