Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsPhoto-Tan: Sicherheitsprobleme bei Apps verschiedener Banken
Mit dem Photo-TAN-Verfahren soll das Online-Banking sicherer gemacht werden. Doch nun hat eine Studie aufgezeigt, dass die Apps der Deutschen Bank, Commerzbank und Norisbank angreifbar sind. Problem ist dabei der fehlende Schutz der Zwei-Faktor-Authentifizierung.
Hmmm, hab mir absichtlich das Standalone Gerät (PhotoTan Lesegerät) geholt von der Commerzbank und nicht einfach die Smartphone App, ist quasi sowas wie ein Blizzard Authenticator nur dass man halt ein kleines Foto damit vom Screen vorher macht.
Funktioniert und ist sicher, ich versteh den Trend nicht dass Leute immer ihre Sicherheit auf ihr Handy übertragen, meiner Meinung nach wäre das doch WESENTLICH unsicherer als auf dem Desktop PC, grade bei den heutigen Datenkraken und Bullshit was alles durch automatische updates da drauf landet etc...
Online-Banking vom Smartphone aus ist und bleibt für mich ein Tabu! Genau wegen dieser Problematik. Ich nutze meine Telefon für den Empfang der mTAN und alles andere passiert am PC. Wenn ich unterwegs etwas bargeldlos bezahlen möchte, dann nehme ich EC oder MC... das reicht völlig.
Verstehe ich aber nicht wirklich. Ein Smartphone im eigenen WLAN ist das gleiche, wie ein PC im eigenen WLAN/LAN. Lediglich, wenn man alles an einem Gerät nutzt (also mTAN aufs Handy, mit welchem man auch den Browser oder die Banking-App nutzt), wird es unsicher(er).
mTAN mag ich sowieso nicht nutzen, weil meine Frau und ich ein gemeinsames Konto nutzen und es somit nicht mit beiden Smartphones funktionieren würde (soweit ich informiert bin). Bei unserer ehemaligen Bank nutzten wir SmartTAN mittels dieses EC-Kartenlesegerätes, was man dann an den Monitor hielt oder die Daten in das Gerät eingegeben hat und so konnte man dann auch übers Handy "onlinebanken".
Aktuell nutzen wir wieder die gute alte TAN-Liste (und das auch mit dem Smartphone, allerdings einfach nur im Browser), weil es als Alternative nur mTAN gibt. Ist nicht unsicherer, als andere Verfahren.
Generell verstehe ich also den Standpunkt vieler nicht, dass Banking auf dem Handy per se schlecht ist.
Sparkassen haben mit Chiptan das sicherste Verfahren für den Massenmarkt. Ohne "man in the middle" ist das nicht knackbar weil man 2 Faktoren braucht (Passwort und dazugehörige EC-Karte + Genrator). Auch sicher ist HBCI mit separater Chipkarte + Chipkartenleser.
Sobald beide Faktoren auf ein und dem selben Gerät verarbeitet werden ist das ein absolutes no go. Vor allem die ganzen Push-Dienste sobald man Onlinebanking auf dem Mobilgerät macht
Ich begruesse Online bzw Handybanking. Solangsam kommen auch die Banken mal im 21. Jahrhundert an und man kann schnell und bequem jemandem Geld ueberweisen.
Wie vielen Geld kommt denn Leuten durch solche Angriffe tatsaechlich abhanden, ohne dass es a) ein klarer Fehler des Benutzers oder b) die Bank nicht selbst dafuer aufkommt.
Ich will damit nicht sagen, dass es gut so ist, nur, dass das Hauptrisiko eigentlich die Banken selbst tragen und nicht der Benutzer.
Dass die 2 Faktor Authentifizierung mit Smartphones komprimiert wird ist nichts neues. Vor diesem Problem stehen viele Entwickler in der heutigen Zeit. Egal ob der zweite Faktor per SMS/E-Mail/App kommt, heutzutage muss man davon ausgehen, dass alles auf einem Gerät läuft. Auch die E-Mail, mit der ich den ersten Faktor zurücksetzen lassen kann.
Der einzig sichere Weg ist ein dediziertes Zusatzgerät aber das ist teuer und unflexibel.
Ein guter Kompromiss zwischen Comfort und Sicherheit sind 2 separate Konten.
Das "große" Konto erhält alle Geldeingänge und sendet monatlich per Dauerauftrag Summe X auf das "kleine" Konto.
Die Summe sollte den tatsächlichen Bedarf übersteigen, wenn einem das Guthaben vom "kleinen" Konto nach einigen Monaten zu groß werden sollte, kann man den Überschuss einfach zurücküberweisen. Für alle Zahlungen, welche nicht per Dauerauftrag laufen, verwendet man das "kleine" Konto.
Für das "große" Konto kann man jede beliebige Sicherheit nutzen, egal wie unpraktisch sie im Alltag ist, da man es nur noch für seltene, große Geschäfte und Anpassungen der Daueraufträge benötigt.
Das "kleine" Konto wird entspannt mit SMS-TAN genutzt. Außerdem bietet sich das Modell gut für gemeinsam genutzte Haushaltskonten an. Ich vertraue meiner Freundin zwar, aber will ich ihr wirklichen den Zugriff auf alle meine laufenden Einkünfte mehrerer Monate geben?
Das ist genauso Schlangenöl. Macht das Gerät nicht sicherer, sondern nervt nur wenn man auf dem Gerät root hat. Der von dir verlinkte Artikel sagt auch, dass es hauptsächlich um root geht. Es liegt also nahe, dass es nur darum geht die Nutzer weiter einzuschränken.
Für mich kommt ein Gerät ohne root jedenfalls nicht in Frage.
Doch, es macht das Geraet sicherer. Zumindest gegen Angriffe von Drittapps. Man verbietet im Grunde den superuser Zugriff fuer alles was nicht zum System selbst gehoert. Gepaart mit der Moeglichkeit die Unversehrtheit des Systems zu ueberpruefen (Attestation) ist das definitiv ein Sicherheitsgewinn.
Natuerlich ist 'kein root' fuer den Benutzer der dies moechte eine Einschraenkung...das heisst aber im Umkehrschluss nicht, dass es nicht fuer zusaetzliche Sicherheit sorgt.
Die Annahme ist hier natuerlich, dass man Google selbst nicht als Angreifer betrachtet, das muss aber jeder fuer sich entscheiden.
Apps können nur root-Rechte erlangen, wenn man es ihnen explizit erlaubt.
root ist auf den meisten Geräten überhaupt erst die Voraussetzung um das Gerät sicher zu machen, z.B. durch die Installation von AdAway, XPrivacy und neueren ROMs, in denen bekannte Sicherheitslücken wie ShellShock und Stagefright gefixt sind. Viele Hersteller schließen solche Lücken nicht. Insofern ist der Mangel von root-Rechten ein Sicherheitsdefizit, und dabei rede ich nur von den Möglichkeiten zur Malware-Prävention.
Auf der anderen Seite muss man die su-Binaries nicht im default-Pfad ablegen. Das ist zwar für den normalen Gebrauch umständlich, für eine Schadsoftware aber kein Hindernis.
Verstehe mich nicht Falsch, ich bin nicht gegen eine Integritätsüberpfüfung des Systems, aber:
1. Es darf den Nutzer nicht einschränken (z.B. Rechte beschneiden)
2. Es darf nicht verhindern, dass Sicherheitslücken geschlossen werden können(z.B. durch Installation von ROMs mit geschlossenen Lücken)
3. Es darf nur dann greifen, wenn sich keine bekannten Sicherheitslücken auf dem System befinden.
Hab mal von einem CCC Spezi zu dem Thema gehört, dass egal welche Version man wählt bestenfalls niemals nur ein Gerät für mehrere Schritte herhalten darf.
Er hielt Chip-TAN für das sicherste verfahren, weil hier keine Realisierung nur mit dem Telefon möglich ist. Der Generator mag einige nerven, ist jedoch ein hoher Sicherheitsfaktor. Denn der Dieb bräuchte Zugang zum Banking & den Schlüssel vom Chip der Bankkarte. An diesen kommen die Ganoven jedoch so gut wie nicht dran.
