Hey,
ich wollte mal nachfragen ob es Pläne gibt andere 2FA Methoden als SMS zu supporten. Momentan nutze ich Tomorrow nur als mein Tagesgeldkonto, aber würde gerne sobald die Better Future Stocks wieder verfügbar sind anfangen zu investieren. Allerdings kommt mir SMS als zweiter Faktor immer unsicherer vor (SIM-Swapping, SS7).
Deshalb wollte ich mal nachfragen ob es Pläne gibt eine andere 2FA Methode zuzulassen, falls ich irgendwas komplett falsch verstanden und das momentane System super sicher ist, klärt mich gerne auf, bin ein ziemlicher Leihe auf dem Gebiet.
ich vermute du fragst, weil du Überweisungen aktuell mit SMS bestätigen musst, richtig?
Es gibt in unserer App verschiede Sicherheitsvorkehrungen:
Login: Das erste offensichtlich ist, dass man Dinge in der App nur machen kann, solange man sich auch vorher eingeloggt hat.
Device Binding: Jede Person kann ihr Tomorrow Account nur mit einem Gerät verknüpfen. Nur mit genau diesem Gerät kann man sich einloggen und Dinge in der App tun.
Zusätzliche 2FA: Bei sicherheitskritischen Aktionen (wie Geld überweisen, Adresse ändern…) muss man dann nochmal eine zusätzliche 2FA durchführen. Ich glaube normalerweise ist das Fingerabdruck oder Gesicht scannen. Und falls das nicht geht wird auch SMS oder Geräte Pin zugegriffen.
Die ersten beiden Sicherheitsvorkehrungen sind am stärksten und eigentlich schon ausreichend. Die zusätzliche 2FA kommt nur für den unwahrscheinlichen Fall ins Spiel, wenn jemand Zugriff auf genau dein Handy bekommt, wo du auch noch eingeloggt bist.
Also sozusagen: Ja SMS ist nicht besonders sicher, aber das ist nur die Cherry on top und eigentlich ist Login und Device Binding für Sicherheit verantwortlich.
Und vllt kannst du auch statt SMS auf Fingerabdruck oder so wechseln. Ich meine das sollte gehen, wenn du in den App Einstellungen Biometrische Authentifizierung aktivierst. Es gibt aber glaube ich auch Geräte, wo das nicht möglich ist.
Also falls du in der Zukunft wieder investieren willst, ich hoffe jetzt ist für dich klarer, dass das auch durch andere Dinge als SMS gesichert ist
In der Regel nutzt Tomorrow ja schon Device-Binding und ggf. dann Freigaben über App-Benachrichtigungen, z.B. bei Kartenzahlungen im E-Commerce.
SMS-TAN ist halt immer ein Fallback, und trotz der bekannten Sicherheitslücken oft der einzige Weg, eine Kette der Identifizierung wieder herzustellen, ohne die/den Nutzer:in über andere Wege wie Video-Identifizierung komplett neu zu verifizieren.
Die Handynummer wird mittels SMS-TAN im Moment der Kontoeröffnung schon verifiziert. Von dort ausgehend, ist Device-Binding sozusagen eine „Verlängerung“ oder ein Platzhalter für den Indentifizierungs-Faktor „Besitz der SIM“.
Um die SIM (und damit SMS-TAN) ganz loszuwerden, müsste man schon bei der Kontoeröffnung eine Alternative finden, die vom Regulator auch anerkannt ist. Die SIM ist ja ein kryptografischer Schlüssel, der halt zufälligerweise bereits jedem vorliegt, der ein Handy hat, und bietet sich dadurch eben besonders an.
Ahh okay, ich glaube da habe ich das Device Bindung übersehen. Hab es gerade noch einmal mit einem anderen Handy getestet und hab gemerkt, dass um ein neues device zu binden man Zugriff auf die Email braucht.
Danke für die Hilfe
