Erweiterte Sicherheit durch 2FA und Yubikeys

Hallo liebes Tomorrow-Team,

die Idee hinter eurer Bank finde ich einfach super!
Bezüglich des Logins und der Sicherheit hätte ich noch den Vorschlag, das Bankkonto durch eine 2FA Authentifizierung abzusichern. Gerade in der heutigen Zeit ist es wichtig, seine sensitiven Konten abzusichern.
Hierfür wäre beispielsweise der Login über einen Yubikey fantastisch! Im Gegensatz zu der normalen TOTP über die nervigen Authenticator Apps, kann man mit einem Yubikey mit nur einem physischen Klick seine Identität authentifizieren:

Auch die Implementierung in eure Apps müsste dank der schon von Yubikey bereitgestellten Schnittstellen einfach verlaufen (Die Software ist kostenlos und Open-Source):

Auf deren Github Accounts befinden sich bereits die Schnittstellen für sowohl iOS, als auch Android. Mehr als 2 Links konnte ich allerdings nicht beifügen, da ich ein neuer Benutzer bin.

Ich habe bereits nahezu alle meine Online-Konten mit einem Yubikey abgesichert. Vielleicht ja auch bald mein Bankkonto :slight_smile:
Einen Blick ist es auf jeden Fall Wert!

3 Like

image

@Gandalf: Vielleicht. Das Thema SCA via FIDO-Keys halte ich aber grundsätzlich für relevant und interessant.

Da die 2FA (soweit ich weiß) bei Banking-Apps mittlerweile Pflicht ist, hat auch Tomorrow diese integriert. Die Faktoren sind hierbei einmal Passwort oder Biometrie, sowie als zweites der Besitz des Geräts. Es gibt hier ein Device Binding, sodass nur mit dem bestätigten Gerät auf das Konto zugegriffen werden kann.

2 Like

Stimmt. Etliche Banken bieten aber durchaus diverse Methoden an, um den unterschiedlichen Komfort- und Sicherheitsanforderungen unterschiedlicher Nutzer gerecht zu werden. Wenn es Bedarf am Markt für auf Hardwareschlüsseln basierenden Methoden gibt, dann finde ich, kann man das doch hier auch diskutieren. Ich halte das jetzt auch nicht für realistisch, dass Tomorrow das in Bälde anbietet. TOPT oder FIDO würden die Bank nicht davor befreien, ein TAN-Verfahren zu nutzen. Aber sie würden die Sicherheit des regulären Passworts deutlich erhöhen. Und die Methoden sind geräteunabhängig, was später im Hinblick auf Onlinebanking via Desktop-Browser eventuell interessanter erscheinen könnte – auch für die, die aktuell ihr Smartphone für sicher genug empfinden.

4 Like

Oder einfach zusätzlich für die, die es wollen, Chiptan. So schwer kann das nicht sein, schließlich ließen sich die Geräte mancher Banken in der Vergangenheit wechselseitig verwenden.