Bei der Zwei-Faktor-Authentisierung (2FA), erfolgt der Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Die Betonung liegt hier auf "unabhängig". Eine 2FA über ein und dasselbe Gerät (bspw. Smartphone) ist keine echte 2FA, sondern Security-Murks.

Follow

@stardenver Mein Konto bei einer Volksbank ist mit einem optischem TAN-Generator verknüpft. Das ist mittlerweile so gut integriert, dass ich den Generator auf Telefondisplay halte.
Also bitte nicht für alle Volksbanken sprechen. In der Software von dem IT-Dienstleister hinter den Volksbanken Raiffeisenbanken ist das alles ordentlich gemacht. Wenn die Filialen das ihren Kunden nicht verkauft bekommen, ist nicht die Technik schuld.

@txt_file Darum geht es mir ja auch gar nicht. Wenn du es sicher benutzt ändert das ja nichts daran, dass es Volksbanken (und andere) ihren Kunden dennoch ermöglichen, das Ganze unsicher zu verwenden. Wenn sowohl die Banking App, als auch die mTAN App auf dem selben Gerät laufen können und beides mit der selben Sperrmethode gesichert wird, ist die gesamte Idee dahinter einfach kaputt. Und die Volksbanken ermöglichen ja sogar die automatiche Übergabe von Secure an die Banking-App.

@txt_file Ich finde also nicht, dass das ordentlich gemacht ist, wenn man den Nutzern aus Bequemlichkeit ermöglicht, das Ganze so unsicher zu verwenden.

mTAN und Desktop wäre sicher. Per SMS und Desktop sicher auch. Oder mobile App und optischer Generator. All diese Kombinationen wären - wie du sagst - gut gemacht. Aber Banking-App und mTAN auf dem selben Gerät und mit den selben Zugangsbeschränkungen (Fingerabdruck, Face-ID) ist es mMn eben nicht.

@txt_file Ich meinte eben mTAN und PushTAN. Hatte mich vertippt. Sorry

@stardenver wenn das mit TAN-App + Bank-App beworben wird, ist das wirklich Rotz. Wenn beide Apps dann noch miteinander reden, finde ich das Doppelrotz.

Auf der anderen Seite sehe ich, wie Menschen lieber Paypal nutzen, weil es einfacher und schneller ist.
Sicherheit bringt halt nichts, wenn sie niemand nutzen möchte.
Ich weiß leider keine Lösung für den Spagat zwischen Sicherheit & Benutzbarkeit.

@txt_file Also grundsätzlich halte ich dein Vorgehen fur bedeutend sicherer. Ich kann jedoch aus eigener Erfahrung bestätigen, dass die Volksbank bzw VR Banking App so aufgebaut ist, dass ich am selben Gerät, ohne jemals ein Passwort oder einen Code eingeben zu müssen, eine Transaktion einleiten und dann auch ausführen kann.

Über Face ID wird das Banking gestartet, dann eine Transaktion eingeleitet, die PushTAN bezogen und dann an die Banking App übergeben.

@txt_file All dies geschieht, ohne dass ich auch nur einmal einen Code oder Passwort eingeben muss. Ich bin dabei selbstverständlich nicht gezwungen, es so zu machen. Ich kann auch deine Methode verwenden. Aber ermöglicht wird es.

Meine eigene Methode war ja eigentlich immer die SMS auf ein Billig-Handy ohne Internet. Optisch mit eigener EC-Karte war aufwändiger, aber auch sicherer.

@txt_file Was PayPal betrifft: Ich muss gestehen, dass ich es selbst gerne nutze. Der Käuferschutz scheint einige Händler abzuschrecken und so geben die sich wirklich Mühe.

Ich nutze Paypal jedoch ausschließlich auf dem Desktop und jede Transaktion oder Interaktion erfordert einen Code, den mir ein Generator auf einem zweiten Gerät bereitstellt.

Ich bezahle damit aber in der Regel nur Kleinstbeträge. Netflix, einen VPS, emby. Große Anschaffungen wären mir damit dann eher nichts.

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community