Hier die Änderungen der neuesten Android-Beta:
Danke, dass du als Beta Tester*in dabei bist und uns unterstützt!
Überweisungen ohne SMS-TAN funktionieren super. Wie im nachfolgenden Bild zu sehen, wird ein Fingerabdruck verlangt, wenn er eingerichtet ist:
Damit scheint die SMS-TAN dann komplett ersetzt zu sein, wenn ich nichts vergessen habe. Eventuell kann Tomorrow damit zukünftig sogar auf die Abfrage der Telefonnummern verzichten.
Ist die Telefonnummer nicht relevant, um die Signatur auf dem Telefon selbst einzurichten? Die Authentifizierungskette ist: Telefonnummer wird bei Videoident verifiziert, landet dann im Kontoprofil, und wird im nächsten Schritt für die Gerätebindung (Erstellen der digitalen Signatur auf dem Gerät) herangezogen.
Fällt die Telefonnummer weg, wird auch der Umzug auf ein neues Gerät schwieriger – wenn man Zugriff auf sein altes Handy verliert, verliert man auch Zugriff auf die dort abgelegte Signatur.
Da hast du vermutlich vollkommen Recht.
Möglicherweise ist die Telefonnummer aber nicht mehr dauerhaft notwendig - eventuell reicht eine einzelne Abfrage aus, nach deren Abschluss der Eintrag gelöscht werden könnte?
Wäre datensparsamer und würde es etwaigen Hackern unattraktiver machen, Daten abzugreifen. Vielleicht.
Machbar ist das sicher. Aber will man zum Beispiel Nutzern zumuten, sich neu zu identifizieren, wenn sie das Smartphone verloren haben? Welchen Prozess zur erneuten Gerätebindung bei verlorenem Handy schlägst du vor? Brief mit QR-Code per Post?
Machbar ist das sicher. Aber will man zum Beispiel Nutzern zumuten, sich neu zu identifizieren, wenn sie das Smartphone verloren haben? Welchen Prozess zur erneuten Gerätebindung schlägst du bei Handyverlust vor?
Die Handynummern ist ja auch ein Sicherheitsmerkmal. Deine Mails kannst du von überall abrufen, für Telefonate/SMS benötigst du i.d.R. den physischen Zugang. Auch wenn das durch MultiSIM und E-SIM bald anders sein kann.
An Multi-SIM bzw eSIM habe ich noch gar nicht gedacht. Und das Problem der erneuten Identifizierung war mir so nicht bewusst. Wobei andere Banken das natürlich auch können/machen. Bei der Comdirect geht es tatsächlich über einen Brief, mit dem man den 2FA-Prozess aufsetzt. Soweit ich weiß, ist das immer der exakt selbe Brief, man muss also nicht auf einen neuen warten, sondern nur den alten Brief behalten.
Ob das besser ist, als eine Telefonnummer zu speichern? Das ist sicher eine Frage der Präferenzen. Einen Zettel im Ordner „wichtige Dokumente“ aufzubewahren stört mich nicht besonders. Aber ich hab auch nix dagegen, wenn meine Bank meine Telefonnummer hat.
Ja, genau. Comdirect nutzt einen Brief. Idee dahinter: die Postanschrift ist ebenfalls einmal bei Kontoeroeffnung verifiziert worden. Bei Verlust des Briefs wird ein neuer an die registrierte Adresse gesendet.
Die DKB und Sparkassen (und vermutlich die meisten Anbieter) können beides. Wenn im Konto die Handynummer hinterlegt und verifiziert ist, kann man neue TAN-Apps auf neuen Geräten selbst freischalten.
Nicht immer ist man zuhause in Reichweite seines Ordners „wichtige Dokumente“, wenn das Handy abhanden kommt. Und der Postweg ist nicht unbedingt weniger Anfällig für Angriffe Dritter, wenn’s um Phishing und die Übernahme von Konten geht.
Ich sehe nicht, warum ein App-Banking-Fintech hier einen weiteren Flow mitsamt den nicht unerheblichen Erweiterungen im Backend für den Postversand der öffentlichen Schlüssel per QR-Code implementieren sollte, alleine um auf Telefonnummern in Kundendaten verzichten zu können.
