PSD2: Wie sicher sind Banking-Apps bei einem infizierten Gerät?

  • 21 Antworten
  • Letztes Antwortdatum
Hellkeeper

Hellkeeper

Erfahrenes Mitglied
116
Die 2-Faktoren-Authenfizierung hat endlich auch bei den Banken Einzug gehalten, allerdings nicht so, wie ich es mir das vorgestellt habe. Ich habe angenommen, dass man sich am PC ins Bankkonto einloggt, dort die App-Verknüpfung initiert, man einen QR-Code mit der Bank-App scannt, wodurch alles verknüpft wird und die App künftig TANs generiert. Die Praxis sieht hingegen vor, dass man sich mit seinen Bankdaten in der App erstmals einloggen muss, damit das Ganze funktioniert. Und da stellt sich mir die Frage, wie sicher das ist? Denn eigentlich will ich nicht mein Bankkonto am Smartphone eintragen, da wieder alles vereint wäre. Die Zugangsdaten und der TAN-Generator auf einem Gerät. Natürlich kann man argumentieren, dass man bei einem infizierten Smartphone andere Sorgen haben wird, jedoch schwirrt mir dieser Gedanke einfach im Kopf herum. Denkfehler?
 
@Hellkeeper Das ist je nach Bank unterschiedlich. Manche Banken haben eine Extra-App zur Verifizierung, manche nicht.

Um welche Bank geht es dir?
 
Diese 2FA finde ich etwas schwachsinnig. Für den Desktop mag das Sinn ergeben.

Smartphone 1- Banking APP für 2FA
Smartphone 2 - TAN-Generator
PC - für Bankgeschäfte

Nur verifiziere ich den Zugriff auf die Banking-App mit dem selbem Smartphone in der eigentlichen Banking-App. Das erhöht in meinen Augen nicht die Sicherheit.

Bank: DKB
 
@Dr.No Das ist bei der DKB etwas anders als du beschreibst:

Du musst festlegen, auf welchem einen Gerät XY du die Anmeldung verifizieren willst. Also 2 Geräte nötig, wenn man sich nicht auf Gerät XY anmeldet.

Meldet man sich dagegen direkt auf Gerät XY an, wird beim ersten Mal die TAN-App benötigt, danach 90 Tage lang nichts. Danach wieder die TAN-App.

Der letzte Satz ist jedoch eine Vermutung, die ich erst in einigen Wochen überprüfen kann ;). So ist es aber bei anderen Apps. Die 90 Tage maximal sind aber allgemein vorgeschrieben.
 
@cadIch melde mich aber auf Gerät XY an. Ich benötige die Banking-App zum verifizieren. Und um mich verifizieren zu können muss ich mich in der Banking-App anmelden, ein Widerspruch in sich, egal ob Zweit- oder Drittgerät.

Wie gesagt: für die Desktop-Anwendung mag das Sinn ergeben, für die Sicherheit am Smartphone nicht.
 
Zuletzt bearbeitet:
@Dr.No Ich muss bei Anmeldung auf meinem Gerät XY nicht verifizieren, die Anmeldung geht mit einer einzigen Anmeldung so durch (ich sehe dabei kurz die Bestätigung der Verifizierung).

Das ist auch bei anderen Banken so, nachdem ich mich einmal verifiziert habe. Das hält dann 90 Tage (muss die Bank aber so eingerichtet haben).

Übrigens greife ich normalerweise per Drittapp "Banking4A" auf mein DKB-Konto zu. Auch da muss ich 90 Tage lang auf keinem Gerät eine Verifizierung durchführen.

Nur bei der VISA Karte hat die DKB das mit den 90 Tagen nicht gemacht, wenn man von Drittapp zugreift, da muss jedes Mal über die Banking App bestätigt werden.
 
@cad Nicht das wir uns falsch verstehen. Ich musste einmal mein Telefon auf welchem die Banking-App läuft verifizieren. Bei der erneuten Nutzung der Banking-App verifiziert sich diese natürlich von selbst, sehe da auch kurz die Einblendung. Am PC muss ich dann jedes mal die Verifizierung über das Smartphone bestätigen.

Was mich stört, und da hilft auch keine andere Banking-App, ist dass ich mich in der Banking-App anmelden muss um die Verifizierung zu bestätigen. Ein Angreifer der meine Zugangsdaten und das Telefon hat, kann somit ohne weitere 2FA auf mein Konto zugreifen. Mir wäre hier ein Token bei z.B. AndOPT lieber, da ich diese App mit einem Passwort geschützt habe, welches nichts mit den Zugangsdaten zur Bank zu tun hat.
 
Dr.No schrieb:
Ein Angreifer der meine Zugangsdaten und das Telefon hat, kann somit ohne weitere 2FA auf mein Konto zugreifen.
Zum Vergrößern anklicken....
Ja, für die genannten maximal 90 Tage.

Immerhin kann er das Konto aber "nur" einsehen, nichts machen.
 
cad schrieb:
@Hellkeeper Das ist je nach Bank unterschiedlich. Manche Banken haben eine Extra-App zur Verifizierung, manche nicht.
Zum Vergrößern anklicken....

Ja, das ist mir bewusst und die All-In-One-Lösung, wo das pushTAN-Verfahren direkt in der Banking App integriert ist halte ich sicherheitstechnisch für äußerst bedenklich. Mir geht es um die Banken, die eine zusätzliche App besitzen und man dort seine Zugangsdaten von seinem Online Banking eintragen muss, so wie es @Dr.No angedeutet hat. Das ist doch nicht sicher? Die Sparkasse verschickt anscheinend Registrierungsbriefe, wo das Login nicht mit dem Konto kombinierbar ist. Das halte ich z. B. für eine bessere Lösung, aber deswegen will ich nicht Bank wechseln, dann bleib ich weiterhin bei smsTAN, wovon ich eigentlich abweichen wollte.
 
@Hellkeeper Bei einer zusätzlichen App extra zur Verifizierung hat diese ein eigenes Login. Wenn du dort dasselbe Passwort bzw. denselben PIN gewählt hast, ist das natürlich nicht so sicher als wenn du verschiedene für beide Apps verwendest.
 
@cad
Eben nicht. Ich hab mal ein Beispiel rausgesucht. Ist zwar eine österreichische Bank, aber es zeigt meine Bedenken:

DADAT ID - Apps on Google Play

Zur Registrierung der smartID App geben Sie bitte Ihre Online-Banking Zugangsdaten ein.
Zum Vergrößern anklicken....

Man trägt also direkt in der App alles ein. Wo ist da die Sicherheit gewährleistet?
 
@Hellkeeper Ich verstehe dein Zitat anders. Zur erstmaligen Registrierung wird der "normale" Bankzugang benötigt - wie soll man auch sonst sein Bankkonto mit normaler App verknüpfen.

Im Alltag dann:
Die App ist mit der persönlichen Short-PIN oder mit dem Fingerabdruck des Kunden geschützt.
Zum Vergrößern anklicken....
Ich verstehe das so, dass der "persönliche Short-PIN" eben nicht die normalen Zugangsdaten sind.

Aber ich kenne die App nicht, ich interpretiere nur aus der Beschreibung... ;)
 
Ich würde auf einem gerooteten Handy überhaupt keine Banking oder ähnliche App drauf machen.
Vor lauter Faulheit schaltet man dann noch die Root request Info ab und schon hat man ein völlig offenes Scheunentor.

Also, so war es bei mir immer. Mich hat diese "will root rechte haben" Info genervt als ich noch ROMs gebaut hab. ☺
 
  • Danke
Reaktionen: cad
@MrT69 Um root geht es hier im Thread überhaupt nicht ;). Das ist schon klar.

Hier geht es um die durch Banken vorgesehenen Wege der zweiten Authentifizierung beim Einloggen.
 
Das ist auch das wo ich seit Jahren predige. 2FA ist schon lange überfällig. Das Problem sind halt aber auch die Nutzer. Wenn es nicht mit einem Klick geht ist es blöd und kompliziert.
Beides geht leider nicht. Da aber mehr und mehr passiert denke ich das die Sensibilisierung doch dafür vorhanden ist.

Wenn es nach mir geht, alles mit 2FA, vor allem gerade bei SSL und Webserverern. Dann wäre auch schnell Schluss mit Ransomware, Malware und Co. aber das ist halt anderseits ein irrer Aufwand. Aber das ist n anderes Thema.
 
Yubikey oder Nitrokey für Alles wäre wünschenswert.
 
Da haben wir schon was ganz anderes Entwickelt. Unter www.cardioid.eu schon mal die Basics. Robertino entwickelt da gerade den Prototypen dazu.

Dabei geht es darum das der eigene Körper als Passwort dient, wo z.B. der Herzschlag und der Puls als ein Teil des Passwords dient. Der Herzschlag an sich ist mit ein paar Parametern so eindeutig wie ein Fingerabdruck. Wenn man da noch 8 verschiedene eindeutige Paramter mit dazu packt, dann ist das Passwort unknackbar. Und das über ein einfaches Armband.

Die Idee ist eine einfach simple aber höchst effektive und sicher durch Multi Faktor Authentifizierung. Also selbst wenn das Armband geklaut wird, damit kann niemand anderer etwas anfangen.

Also mal ganz simple erklärt. Würde auch hier zu weit führen. 😉
 
  • Danke
Reaktionen: Dr.No
Der Nachteil solcher Lösungen: Ändert sich dein Herzschlag oder Puls auf Grund einer Krankheit, verliert man den Zugriff auf seine Daten. Die Idee ist aber gut.
 
@Dr.No
Nee, das ist mitberücksichtigt. Dein Armband wächst mit dir mit. Klar, wenn du einen Schrittmacher dann drin hast muss es neu adaptiert werden. Oder wenn du es mal 2 oder 3 Monate nicht dran hast. Aber, das kann man selbst machen durch die Software.

Ich hatte die Idee das in Waffen zu verbauen. So kann nur der Besitzer die Waffe abfeuern. Und beim Militär kannst du sagen, nur innerhalb des Kommandos, also selbst der Waffenwart kann das Ding nicht abfeuern. Oder der Feind.

Wir hatten da schon mal die Diskussion mit jemanden aus dem Bereich, kam die Aussage, ja aber wenn der sein Armband vergisst? Klar, die packen die Waffen ein zum Einsatz, aber die Munition und das Armband liegen zu Hause. UPS, hab da was vergessen, können wir nochmal umdrehen? Völlig hirnrissig.

Aus meiner Sicht würde das den illegalen Handel und Missbrauch von Waffen sowas von drastisch reduzieren. Na ja, das ist so ein extremes Beispiel, aber eine Möglichkeit. Man kann die Welt immer besser und sicherer machen. Ich glaub daran.
 
  • Danke
Reaktionen: Dr.No
Welcome to the Future.
 
  • Danke
Reaktionen: MrT69
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Passkeys - neues oder altes Gerät defekt - was tun?
  • mairo
Antworten
0
Aufrufe
137
mairo
M
Baumstamm
Wie prüfe ich ob eine APK aus alternativer App-Datenbank sicher ist?
  • Baumstamm
2
Antworten
33
Aufrufe
2.220
hsl-berlin
H
jandroid
Unterschiede zwischen den Apps Exodus und TrackerControl?
  • jandroid
Antworten
7
Aufrufe
515
holms
holms
Zurück
Oben Unten