N26 Sicherheitsstandards

    Was mich bei allen Diskussionen, Beurteilungen und auch bei der Beschreibung von Finanztip wundert ist, dass nirgendwo auf den meiner Meinung nach einfachsten Sicherheitsstandard von N26 eingegangen wird. Anmeldung an der App mit Daumen, Geld überweisen mit feststehender (!) Tan, fertig. Wenn man das mit anderen Banken vergleicht ist das sicherheitsmäßige Steinzeit. Das hat mich zumindest veranlasst, mein Konto wieder zu kündigen.

    Steinzeit deshalb, da heute fast überall eine Anmeldung durch 2 Faktor Authentifizierungstandard ist, also Pin oder Touch ID plus weitere Sicherheitskomponente. Auftragsbestätigung dann durch eine jedesmal neu erzeugte TAN, die nur einmal verwendet wird. Das Verfahren von N26 ist meines Erachtens betrugsanfällig.

    Mit der neuen DKB App kann man auch per Fingerabdruck / PIN Überweisungen vornehmen. Ohne TAN. Man kann es aber auch lassen.


    Verstehe die Intention dieses Threads nicht wirklich. Dass sich Konten wie N26 maximal als Zweitkonto eignen, weiß man spätestens seit den willkürlichen Kontosperrungen, die manche Unternehmer fast in den Ruin getrieben hätten.

    Auch bei der ING kann ich über die Handy App (fast) alles machen, also auch überweisen - und trotzdem entspricht das der PSD2-Richtlinie, da zwei Faktoren nötig sind und abgefragt werden (Besitz = Handy mit der APP; Inhärenz = Fingerabdruck oder Face ID).


    Damit ist der Thread eigentlich irreführend. Damit jemand Missbrauch durchführen kann, müsste er dein Smartphone UND deinen Daumen haben. Wenn das der Fall ist, hat man glaube ich ein ganz anderes Problem.

    Gibt es technische Richtlinien für Fingerabdruckscanner innerhalb der PSD2-Richtlinie? Immerhin lassen sich manche duch mit Sekundenkleber und Silikon hergestellte Attrappen überlisten. Und dann kann ich das Smartphone entsperren sowie auch die Überweisung vornehmen.


    Für mich sind das alles nette Spielereien, aber das Konto, dessen Verlust kurzfristig existenzbedrohende Auswirkungen haben kann, sichere ich dann doch lieber per ChipTAN o.ä. ab.

    Zitat von bamf

    Gibt es technische Richtlinien für Fingerabdruckscanner innerhalb der PSD2-Richtlinie? Immerhin lassen sich manche duch mit Sekundenkleber und Silikon hergestellte Attrappen überlisten. Und dann kann ich das Smartphone entsperren sowie auch die Überweisung vornehmen.

    Anscheinend nicht: https://eur-lex.europa.eu/lega…T/?uri=celex%3A32015L2366


    Aber: Wie viel nachgewiesenen Missbrauch gibt es durch diese theoretisch vorhandenen Lücken, in Europa?
    Einfacher geht's für Betrüger immer noch durch Trojaner, gefakte Banken-Websites, manipulierte Geldautomaten, den Enkeltrick (in allen Varianten) oder Fake-Shops.

    Da hilft dann auch die chipTAN nicht.

    2FA ist in der Praxis leider nicht einmal annähernd so sicher wie in der Theorie. Ist das Handy übernommen, dann nützt auch eine SMS mit TAN nix oder eine Bestätigung über eine zweite App. Ist ein Gerät komprimittiert, dann ist es grundsätzlich nicht mehr sicher. 2FA ist entsprechend nur dann sinnvoll wenn auch 2 Geräte involviert sind.


    Fingerabdruck kann man bei allen Banking/Trading Apps die ich habe abstellen bzw muss ihn überhaupt erst aktivieren. Ob eine 4 stellige (Trade Republic) oder 5 stellige (ING) PIN dann wirklich mehr Sicherheit bietet, sei mal dahin gestellt.


    An ChipTAN stören mich zwei Dinge:

    1. die Banken wälzen die Kosten auf den Kunden über, dabei wäre es deren Job für Sicherheit zu sorgen.

    2. man benötigt ein Gerät das man nicht immer dabei hat. Im Urlaub oder von der Dienstreise was abschicken ist dann nicht mehr so einfach.

    Zitat von LebenimSueden

    An ChipTAN stören mich zwei Dinge:

    1. die Banken wälzen die Kosten auf den Kunden über, dabei wäre es deren Job für Sicherheit zu sorgen.

    2. man benötigt ein Gerät das man nicht immer dabei hat. Im Urlaub oder von der Dienstreise was abschicken ist dann nicht mehr so einfach.

    Aus meiner persönlichen Erfahrung würde ich noch


    3. die Dinger funktionieren einfach miserabel oder gar nicht


    ergänzen. Ich habe zwei Geräte von unterschiedlichen Herstellern (naja, jedenfalls unterschiedliche Gehäuse und anderem Branding) probiert. Es dauert Ewigkeiten, bis man die richtigen Einstellungen findet, begleitet von ständigen Timeouts. Vielleicht bin ich auch nur zu doof, aber ich finde die Teile völlig unzumutbar.

    Zitat von monstermania

    ChipTan QR

    Ah, ok, dann bin ich wohl in die Early-Adopter Falle geraten. Als ich das versucht habe, gab es noch gar keine QR-Codes, sondern nur einfache Bar-/Strichcodes, die auf dem Bildschirm rumflackerten. Da musste man mühselig die Breite der Darstellung auf dem Bildschirm einstellen und den Abstand des Tan-Generators zum Monitor variieren, bis die beiden zueinander gefunden hatten, was selten genug der Fall war.

    Mir sind die Absichten dahinter schon lange ein Rätsel. Bei ING habe ich stets den Desktop-Zugang genutzt, sprich: zum Einloggen 2 verschiedene PINs + SMS-TAN, für jede Überweisung eine extra SMS-TAN (und für den SMS-Empfang benötigt man auch noch die PIN des Handys, ein gestohlenes, ausgeschaltetes Handy alleine würde nichts nutzen). Dann haben sie die SMS-TAN abgeschafft und die App beworben, explizit auch mit dem Hinweis, das sei viel sicherer. Ergebnis: Per App kann man den Login und die Überweisungen mit einer, fünfstelligen PIN erledigen. Wie kann es sicherer sein, wenn man statt zwei Geräten und insgesamt drei PINs nur noch ein Gerät mit einer PIN braucht?

    Zitat von Mkm

    Wie kann es sicherer sein, wenn man statt zwei Geräten und insgesamt drei PINs nur noch ein Gerät mit einer PIN braucht?

    Auch das entspricht den Richtlinien, zwei verschiedene Faktoren benötigt sind:

    - Besitz (das Handy)

    - Wissen (mobile PIN)


    Oder schreibt sich jemand die mobile PIN hinten auf's Handy rauf?

    Zitat von lieberjott

    Auch das entspricht den Richtlinien, zwei verschiedene Faktoren benötigt sind:

    - Besitz (das Handy)

    - Wissen (mobile PIN)

    Aber das führt es doch ad absurdum. Als ich online-banking noch ausschließlich über den Browser mit iTAN Listen, später Photo-TAN betrieben habe, waren das wenigstens zwei räumlich getrennte Faktoren (PC und Listen in der Schublade, bzw. Handy mit Photo-TAN App). Bei der Photo-TAN Geschichte von Comdirect hätte ich ursprünglich nicht mit der Handykamera den farbigen Barcode auf der Webseite oder meinetwegen der Comdirect-App einlesen können. Es brauchte also mindestens 2 Geräte. Und jetzt? Mit den Push-TANs öffnet die Comdirect-App im Hintergrund die Photo-TAN-App auf demselben Gerät, bekommt ihre TAN und führt die Aktion direkt aus. Das ist in meinen Augen kein Sicherheitsplus.


    Bei der Postbank derselbe Mist. Erst wird umständlich und mit vielen technischen Problemen die BestSign App eingeführt, und dann kommt die Finanzassistent-App raus, die BestSign gleich "eingebaut" hat. Da wird der zweite Faktor nicht einmal mehr durch eine zweite App simuliert. In ein und demselben Vorgang authorisiert sich die App bei einer Überweisung selber. Das ist albern, oder?

    Zitat von lieberjott

    Auch das entspricht den Richtlinien, zwei verschiedene Faktoren benötigt sind:

    - Besitz (das Handy)

    - Wissen (mobile PIN)


    Oder schreibt sich jemand die mobile PIN hinten auf's Handy rauf?

    Das mag der Regulierung genügen, aber wenn man Malware auf dem Handy hat, dann besitzt die Malware das Handy und kann die PIN mitschreiben. Entsprechend ist das nur noch ein Faktor in genau dem Fall wenn man zwei Faktoren wirklich bräuchte

    Zitat von LebenimSueden

    Das mag der Regulierung genügen, aber wenn man Malware auf dem Handy hat, dann besitzt die Malware das Handy und kann die PIN mitschreiben. Entsprechend ist das nur noch ein Faktor in genau dem Fall wenn man zwei Faktoren wirklich bräuchte

    Wenn ein Rootkit oder Trojaner dein Handy übernommen hat, dann könnte es, je nach Sicherheitsmechanismus, irgendwas vorgaukeln, was du dann trotzdem mit deinem ChipTAN-Gerät oder was auch immer als unabhängigen Faktor freigibst.
    Beispiel: Du versuchst eine legitime Überweisung zu tätigen, aber im Hintergrund wird einfach der Empfänger ausgetauscht.
    Letztendlich stellt sich die Frage, ob die PSD2-Richtlinie denn solchen Missbrauch überhaupt verhindern kann oder soll.


    Die ganze Huddelei gibt's ja vermutlich eh nur, weil in der Vergangenheit zu viele Personen einen laxen Umgang mit ihren Zugangsdaten gepflegt und fleissig iTANs auf betrügerischen Websites eingetippt haben.


    Und Achtung, jetzt kommt die größte Sicherheitslücke: Wenn ich deine IBAN weiß, könnte ich einfach offline einen Überweisungsschein ausfüllen und irgendeine Unterschrift draufschreiben. Und darüber regt sich niemand auf.