TAN-system vor dem aus?

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5200

22.10.2023 - 14:07

ja, der titel ist extrem clickbaity

Gericht hält Push-TAN-Verfahren für unsicher

Ein Gerichtsurteil zweifelt die Wirksamkeit der Zwei-Faktor-Authentifizierung beim Push-TAN-Verfahren an.

Die Nutzung einer Zwei-Faktor-Authentifizierung ohne separate Geräte könnte für Banken künftig zum Problem werden. Denn das Landgericht Heilbronn erklärte in einem Urteil zu einem Betrug beim Onlinebanking, dass das sogenannte Push-TAN-Verfahren "die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt" (Bm 6 O 10/23). Das könnte für Banken zur Folge haben, dass sie in Betrugsfällen eher die entstandenen Schäden ihrer Kunden ausgleichen müssen.

Link: www.golem.de

ich predige seit jahren, dass tan-sms und banking-app am gleichen gerät keine 2FA ist, und die alten papierlisten sicherer waren.
schön, dass langsam bewegung in die sache kommt

chris281080

Big d00d

Registered: Jul 2001
Location: near Vienna
Posts: 149

22.10.2023 - 14:11

Als Alternative zu den Papierlisten gibt es auch noch CardTan.

Daimyo

Bloody Newbie

Registered: Jun 2023
Location: Mödling
Posts: 47

22.10.2023 - 14:39

Das witzige ist ja, dass viele Banken SMS-Tan als Backup bzw. Wiederherstellungs-Option für andere Verfahren haben. Weakest link, just sayin'.

WONDERMIKE

Administrator
kenough

Registered: Jul 2001
Location: Mojo Dojo Casa H..
Posts: 10665

22.10.2023 - 14:47

Ich finds nur sehr lustig, dass der Kläger dachte die Bank würde für sein Fehlverhalten haften

dope

formerly siT

Registered: Apr 2002
Location: downstairs
Posts: 1492

22.10.2023 - 15:25

Zitat aus einem Post von WONDERMIKE
Ich finds nur sehr lustig, dass der Kläger dachte die Bank würde für sein Fehlverhalten haften

eine bank für etwas haftbar machen ist auch ca. so wahrscheinlich wie a lottogewinn

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16827

22.10.2023 - 20:11

Zitat aus einem Post von smashIt
ja, der titel ist extrem clickbaity

Gericht hält Push-TAN-Verfahren für unsicher

Ein Gerichtsurteil zweifelt die Wirksamkeit der Zwei-Faktor-Authentifizierung beim Push-TAN-Verfahren an.

Die Nutzung einer Zwei-Faktor-Authentifizierung ohne separate Geräte könnte für Banken künftig zum Problem werden. Denn das Landgericht Heilbronn erklärte in einem Urteil zu einem Betrug beim Onlinebanking, dass das sogenannte Push-TAN-Verfahren "die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt" (Bm 6 O 10/23). Das könnte für Banken zur Folge haben, dass sie in Betrugsfällen eher die entstandenen Schäden ihrer Kunden ausgleichen müssen.

Link: www.golem.de

ich predige seit jahren, dass tan-sms und banking-app am gleichen gerät keine 2FA ist, und die alten papierlisten sicherer waren.
schön, dass langsam bewegung in die sache kommt

Sicherer wenn man keine Kopien anlegt und es nicht zwangsweise mit dabei haben muss neben Laptop oder Smartphone weils sonst absolut unpraktikabel ist.
2nd factor App kann man mit weiterem pin sichern bzw. Macht zb. FaceID das auch obsolet und wahnsinnig schwer zu umgehen.
In dem Fall hätte die Papier TANs aber auch nichts mehr gebracht.

dio

Here to stay

Registered: Nov 2002
Location: Graz
Posts: 4854

22.10.2023 - 21:10

Ich seh das Problem in der weit verbreiteten Verwendung von Authentifizierungsapp und Bankinapp auf einem Gerät. Das macht "jeder" so und muss zwangsläufig mal ins Auge gehen.

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5200

22.10.2023 - 22:26

Zitat aus einem Post von Smut
Macht zb. FaceID das auch obsolet und wahnsinnig schwer zu umgehen.

biometrie ist das kaputteste verfahren von allen.
das ist gerade mal einen deut besser als garkein passwort/pin zu verwenden.

verFehler

Little Overclocker

Registered: Feb 2021
Location: Meidling OIDA
Posts: 96

23.10.2023 - 00:45

ich finds ja immer noch grotesk, dass man auf meinem iphone 5 se die TAN komplett in der Vorschau lesen kann, wenn das Handy gesperrt ist und einem ein TAN zugestellt wird

WONDERMIKE

Administrator
kenough

Registered: Jul 2001
Location: Mojo Dojo Casa H..
Posts: 10665

23.10.2023 - 02:01

Ist dir Sicherheit besonders wichtig bei deinem 10 Jahre alten Handy, das seit 5 Jahren EOL ist?

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3691

23.10.2023 - 07:22

Ich kenne so einen Fall von uns auf der Arbeit, da wurden allerdings Handy und PC beide geknackt. Also Banking am PC, aber TAN am Handy. Und weg waren 10.000€. Die Dame hat das aber damals von der Bank tatsächlich zurückerhalten.

Ich selber habe zwei CardTAN Generatoren, einer daheim, und einer im Rucksack. Leider sind die Dinger die meine Bank ausgibt enorm schrottig und es sterben oftmals die Displays, aber najo.

Kann ansonsten ganz gut mit dem System leben, hab' ich jetzt schon ein paar Jahre so. Meine Angst da ist eher, daß ich irgendwann von meiner Bank keine funktionsfähigen Reader mehr kriege. Geräte von anderen Banken funktionieren scheint's nicht, schon versucht.

pre2k

Addicted

Registered: Dec 2001
Location: Wiener Neustadt
Posts: 483

23.10.2023 - 07:47

Zitat aus einem Post von smashIt
biometrie ist das kaputteste verfahren von allen.
das ist gerade mal einen deut besser als garkein passwort/pin zu verwenden.

Ich dachte, dass FaceID sehr sicher sei. Ich halte es für unwahrscheinlicher, dass jemand den technischen Aufwand betreibt, um es per FaceID zu entsperren, wenn man doch viel einfacher jemanden dabei beobachten/filmen kann, während er den PIN am Smartphone eingibt.
Hast du irgendwelche Quellen dafür, dass die nur marginal sicherer ist, als gar kein PIN?

berndy2001

Registered: Feb 2003
Location: Vienna
Posts: 2008

23.10.2023 - 09:38

Zitat aus einem Post von verFehler
ich finds ja immer noch grotesk, dass man auf meinem iphone 5 se die TAN komplett in der Vorschau lesen kann, wenn das Handy gesperrt ist und einem ein TAN zugestellt wird

keine Ahnung wie das bei ios ist, bei Android kann man das einstellen.

WONDERMIKE

Administrator
kenough

Registered: Jul 2001
Location: Mojo Dojo Casa H..
Posts: 10665

23.10.2023 - 09:46

Zitat aus einem Post von berndy2001
keine Ahnung wie das bei ios ist, bei Android kann man das einstellen.

Bei iOS auch, jedoch wird SMS denk ich per default in der Vorschau angezeigt. Muss der User entscheiden und wissen, ob er da sensible Nachrichten erhält. Generell sicherheitsrelevante Apps zeigen per default nur eine Benachrichtigung an wie zB sIdentity.

Daeda

Here to stay

Registered: Aug 2007
Location: Graz
Posts: 1532

23.10.2023 - 09:51

Zitat aus einem Post von pre2k
Ich dachte, dass FaceID sehr sicher sei.

nicht nur das komische faceID von den handys ist unsicher, auch die hochgelobten "Video Ident" Verfahren können ausgetrickst werden:

CCC offenbart Schwachstellen im "Video-Ident-Verfahren"

smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5200	22.10.2023 - 14:07 ja, der titel ist extrem clickbaity Gericht hält Push-TAN-Verfahren für unsicher Ein Gerichtsurteil zweifelt die Wirksamkeit der Zwei-Faktor-Authentifizierung beim Push-TAN-Verfahren an. Die Nutzung einer Zwei-Faktor-Authentifizierung ohne separate Geräte könnte für Banken künftig zum Problem werden. Denn das Landgericht Heilbronn erklärte in einem Urteil zu einem Betrug beim Onlinebanking, dass das sogenannte Push-TAN-Verfahren "die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt" (Bm 6 O 10/23). Das könnte für Banken zur Folge haben, dass sie in Betrugsfällen eher die entstandenen Schäden ihrer Kunden ausgleichen müssen. Link: www.golem.de ich predige seit jahren, dass tan-sms und banking-app am gleichen gerät keine 2FA ist, und die alten papierlisten sicherer waren. schön, dass langsam bewegung in die sache kommt
chris281080 Big d00d Registered: Jul 2001 Location: near Vienna Posts: 149	22.10.2023 - 14:11 Als Alternative zu den Papierlisten gibt es auch noch CardTan.
Daimyo Bloody Newbie Registered: Jun 2023 Location: Mödling Posts: 47	22.10.2023 - 14:39 Das witzige ist ja, dass viele Banken SMS-Tan als Backup bzw. Wiederherstellungs-Option für andere Verfahren haben. Weakest link, just sayin'.
WONDERMIKE Administrator kenough Registered: Jul 2001 Location: Mojo Dojo Casa H.. Posts: 10665	22.10.2023 - 14:47 Ich finds nur sehr lustig, dass der Kläger dachte die Bank würde für sein Fehlverhalten haften
dope formerly siT Registered: Apr 2002 Location: downstairs Posts: 1492	22.10.2023 - 15:25 Zitat aus einem Post von WONDERMIKE Ich finds nur sehr lustig, dass der Kläger dachte die Bank würde für sein Fehlverhalten haften eine bank für etwas haftbar machen ist auch ca. so wahrscheinlich wie a lottogewinn
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16827	22.10.2023 - 20:11 Zitat aus einem Post von smashIt ja, der titel ist extrem clickbaity Gericht hält Push-TAN-Verfahren für unsicher Ein Gerichtsurteil zweifelt die Wirksamkeit der Zwei-Faktor-Authentifizierung beim Push-TAN-Verfahren an. Die Nutzung einer Zwei-Faktor-Authentifizierung ohne separate Geräte könnte für Banken künftig zum Problem werden. Denn das Landgericht Heilbronn erklärte in einem Urteil zu einem Betrug beim Onlinebanking, dass das sogenannte Push-TAN-Verfahren "die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt" (Bm 6 O 10/23). Das könnte für Banken zur Folge haben, dass sie in Betrugsfällen eher die entstandenen Schäden ihrer Kunden ausgleichen müssen. Link: www.golem.de ich predige seit jahren, dass tan-sms und banking-app am gleichen gerät keine 2FA ist, und die alten papierlisten sicherer waren. schön, dass langsam bewegung in die sache kommt Sicherer wenn man keine Kopien anlegt und es nicht zwangsweise mit dabei haben muss neben Laptop oder Smartphone weils sonst absolut unpraktikabel ist. 2nd factor App kann man mit weiterem pin sichern bzw. Macht zb. FaceID das auch obsolet und wahnsinnig schwer zu umgehen. In dem Fall hätte die Papier TANs aber auch nichts mehr gebracht.
dio Here to stay Registered: Nov 2002 Location: Graz Posts: 4854	22.10.2023 - 21:10 Ich seh das Problem in der weit verbreiteten Verwendung von Authentifizierungsapp und Bankinapp auf einem Gerät. Das macht "jeder" so und muss zwangsläufig mal ins Auge gehen.
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5200	22.10.2023 - 22:26 Zitat aus einem Post von Smut Macht zb. FaceID das auch obsolet und wahnsinnig schwer zu umgehen. biometrie ist das kaputteste verfahren von allen. das ist gerade mal einen deut besser als garkein passwort/pin zu verwenden.
verFehler Little Overclocker Registered: Feb 2021 Location: Meidling OIDA Posts: 96	23.10.2023 - 00:45 ich finds ja immer noch grotesk, dass man auf meinem iphone 5 se die TAN komplett in der Vorschau lesen kann, wenn das Handy gesperrt ist und einem ein TAN zugestellt wird
WONDERMIKE Administrator kenough Registered: Jul 2001 Location: Mojo Dojo Casa H.. Posts: 10665	23.10.2023 - 02:01 Ist dir Sicherheit besonders wichtig bei deinem 10 Jahre alten Handy, das seit 5 Jahren EOL ist?
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3691	23.10.2023 - 07:22 Ich kenne so einen Fall von uns auf der Arbeit, da wurden allerdings Handy und PC beide geknackt. Also Banking am PC, aber TAN am Handy. Und weg waren 10.000€. Die Dame hat das aber damals von der Bank tatsächlich zurückerhalten. Ich selber habe zwei CardTAN Generatoren, einer daheim, und einer im Rucksack. Leider sind die Dinger die meine Bank ausgibt enorm schrottig und es sterben oftmals die Displays, aber najo. Kann ansonsten ganz gut mit dem System leben, hab' ich jetzt schon ein paar Jahre so. Meine Angst da ist eher, daß ich irgendwann von meiner Bank keine funktionsfähigen Reader mehr kriege. Geräte von anderen Banken funktionieren scheint's nicht, schon versucht.
pre2k Addicted Registered: Dec 2001 Location: Wiener Neustadt Posts: 483	23.10.2023 - 07:47 Zitat aus einem Post von smashIt biometrie ist das kaputteste verfahren von allen. das ist gerade mal einen deut besser als garkein passwort/pin zu verwenden. Ich dachte, dass FaceID sehr sicher sei. Ich halte es für unwahrscheinlicher, dass jemand den technischen Aufwand betreibt, um es per FaceID zu entsperren, wenn man doch viel einfacher jemanden dabei beobachten/filmen kann, während er den PIN am Smartphone eingibt. Hast du irgendwelche Quellen dafür, dass die nur marginal sicherer ist, als gar kein PIN?
berndy2001 Registered: Feb 2003 Location: Vienna Posts: 2008	23.10.2023 - 09:38 Zitat aus einem Post von verFehler ich finds ja immer noch grotesk, dass man auf meinem iphone 5 se die TAN komplett in der Vorschau lesen kann, wenn das Handy gesperrt ist und einem ein TAN zugestellt wird keine Ahnung wie das bei ios ist, bei Android kann man das einstellen.
WONDERMIKE Administrator kenough Registered: Jul 2001 Location: Mojo Dojo Casa H.. Posts: 10665	23.10.2023 - 09:46 Zitat aus einem Post von berndy2001 keine Ahnung wie das bei ios ist, bei Android kann man das einstellen. Bei iOS auch, jedoch wird SMS denk ich per default in der Vorschau angezeigt. Muss der User entscheiden und wissen, ob er da sensible Nachrichten erhält. Generell sicherheitsrelevante Apps zeigen per default nur eine Benachrichtigung an wie zB sIdentity.
Daeda Here to stay Registered: Aug 2007 Location: Graz Posts: 1532	23.10.2023 - 09:51 Zitat aus einem Post von pre2k Ich dachte, dass FaceID sehr sicher sei. nicht nur das komische faceID von den handys ist unsicher, auch die hochgelobten "Video Ident" Verfahren können ausgetrickst werden: CCC offenbart Schwachstellen im "Video-Ident-Verfahren"

TAN-system vor dem aus?

Forum Index > Real Life > World Events & Politics

smashIt

chris281080

Daimyo

WONDERMIKE

dope

Smut

dio

smashIt

verFehler

WONDERMIKE

GrandAdmiralThrawn

pre2k

berndy2001

WONDERMIKE

Daeda