mTan vs (z.B.) chipTan

Ja, klar, andere Alternativen zu hören wäre natürlich auch super.
Mir persönlich gefällt Chip-TAN nur aktuell am besten, NFC-TAN kann ich gerade nicht so gut einschätzen, klingt nur als wäre da auch wieder eine Handy-Abhängigkeit.

Postbank Bestsign, das ist doch auch nur eine extra App???

Ja, das mag vielleicht sein, das es sicherer ist mit Gerätebindung. Sollte das Thema aber nicht verharmlosen (nett gemeint. :slight_smile:)

Für Bestsign gibts auch eine Hardwarelösung. Aber halt nicht auf Basis einer Chipkarte.

Ah okay, habe auch gerade was dazu gefunden: https://www.postbank.de/privatkunden/bestsign-mit-geraet.html

Kann sicher auch eine Möglichkeit sein.

2 Like

Auch ich möchte hier nochmal um Kenntnisnahme seitens Tomorrow bitten @Ron @Vinz . mTan/SMSTan ist einfach ein sehr unsicheres Verfahren. Nicht nur um datenschutzsensible Nutzer nicht abzuschrecken, sondern gerade auch um unsensible Personen zu schützen, sollte Tomorrow hier einen Schritt weitergehen und ein modernes und sicheres Tan-Verfahren aussuchen und implementieren. Die bereits erwähnte Methode NFC-Tan, bei der die Debitkarte ans Smartphone gehalten werden muss, würde sich hier wunderbar anbieten, da kein zusätzliches Gerät benötigt wird, der zweite Faktor mit der Karte allerdings dennoch gegeben ist.
Hier noch ein Interessanter Artikel zu generellen Risiken und Problemen bei Banking-Apps vom IT-Sicherheitsexperten und Mitarbeiter der Dienststelle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Geht das auch mit einem iPhone? Vermutlich nicht, oder?

Kommt drauf an ob Apple irgendwann seinen Nutzern erlaubt ihr Gerät so zu nutzen wie es technisch möglich ist

Ein simples „Nein“ hätte genügt - der Seitenhieb gegen Apple wäre nicht nötig gewesen. :wink:

1 Like

Aber Spaß macht er schon jedes Mal :heart_eyes: Ich muss mich auch immer zusammenreißen…

Ich finde die Idee der NFC-TAN extrem gut, muss ich sagen. Die Tatsache, dass Apple diese Lösung möglicherweise für iPhone-Nutzer unmöglich macht, zeigt (aus meiner Sicht), dass es einfach mehrere Lösungen geben sollte, die man als Nutzer frei wählen darf. TAN per SMS dürfte dabei die Backup-Lösung sein, denn die funktioniert quasi immer. NFC-TAN für Android (und irgendwann auch iOS, wenn sich da mal was ändern sollte), TAN-Generatoren für alle, die ein solides separates Gerät haben wollen und natürlich ein in der Tomorrow-App generierter TAN-Code für die Nutzer der (zukünftig hoffentlich existierenden) Web-Oberfläche.

Meine bisherige Bank fragt auch im Zuge der Überweisung, welches TAN-Verfahren man anwenden möchte. Zur Auswahl stehen nur die, die man auch tatsächlich aktiviert hat.

Ich bin skeptisch bei NFC-TAN, denn im Falle des Handyverlustes (Diebstahl, verloren, kaputt) dient es nicht als Backup. Im Zweifelsfall sind einziger Kontozugang und TAN-Medium durch das gleiche Ereignis futsch. Und einige Backup-Methoden beruhen darauf, dass man das eine beim Verlust mithilfe des noch vorhanden wiederherstellen kann.

Praktsich und sicher, ja. Aber mit ganz eigenen Nachteilen gegenüber Methoden mit eigenem Lesegerät.

(Apple erlaubt übriges bereits diesen Anwendungsfall. Siehe die App zum neuen Personalausweis. Hier kann das iPhone als Reader für den NFC-Chip des Persos dienen. Das kann man dann als Sicherheitsmedium für die Anmeldung z.B. bei Elster nutzen.)

Ich weiß nicht, ob ich eventuell einen Denkfehler habe, aber ist bei NFC-Tan (und auch chip-Tan) nicht die Karte das zweite Authentifizierungsmedium? Der Faktor wäre ja besitzen und dabei geht es um die Karte, die ich besitzen muss und nicht um das Tan-Gerät (da kann man ja ein x-beliebiges nehmen).
Wenn man also das Smartphone verliert, könnte man auf einem neuen Gerät die Anmeldung normal machen und genau wie aktuell auch die Gerätebindung des alten Geräts aufheben. NFC-Tan könnte hier sogar als zusätzlicher Schutz dienen, wenn sich ein neues Gerät nur durch Anhalten der Debitkarte aktivieren ließe.

1 Like

Nee, stimmt schon. Ich dachte an den Fall, dass man nach Handyverlust Onlinebanking nutzen will. Ich weiß, vielleicht naiv die Annahme, dass Tomorrow Onlinebanking über Browser früher anbietet als alternative TAN-Verfharen, aber davon gehe ich persönlich doch irgendwie aus.

Wobei für mich persönlich das NFC-TAN gerade auch komisch klingt, so wie es hier erklärt wird.
So wie es scheint wird doch dann die TAN trotzdem auf dem Handy generiert, was ja kompromitiert sein könnte. Somit scheint es als bringe NFC-Tan nur einen ganz geringfügigen Sicherheitsvorteil (wenn überhaupt).
Der Hauptvorteil ist ja eben, das bei ChipTAN die TAN-Generierung auf einem anderen Gerät passiert und auf dem Display des TAN-Generators nochmal die IBAN des Empfängers und die Geldsumme angezeigt wird. Somit können diese beiden wichtigen Daten nochmal überprüft werden, nicht das durch einen Angriff der Empfänger oder die Summe angepasst worden sind.
Wenn das alles passt, kann dann die TAN in das Gerät getippt werden.

1 Like

Ja, das sehe ich auch so. Der private Schlüssel selbst ist zwar besser geschützt, aber die Anzeige könnte kompromittiert sein. Die App zeigt einem an, man würde 100 Euro auf Konto X überweisen. In Wahrheit generiert man im Hintergrund aber eine TAN für eine Überweisung über 2000 Euro auf Konto Y.

1 Like

@Turbotomate und Community. Wir sind uns natürlich bewusst, dass das SMS-Tan-Verfahren inzwischen möglicherweise schon die besten Jahre hinter sich hat und es sicherere und einfachere Verfahren gibt. Hier sind wir aber an die solarisBank gebunden. Solange die das nicht umstellen, wird sich bei uns auch nichts tun. Wenn ich das mitbekommen habe, liegt das dort aber schon auf dem Tisch. Vielleicht dürfen wir uns da dieses Jahr ja noch auf eine Neuerung freuen.

5 Like

Hey @vinz, danke für dein Statement.
Diese Abhängigkeit macht natürlich Sinn. Ich persönlich hatte das zum Beispiel nicht bedacht.

Bin gespannt was da kommt! :slight_smile:

1 Like

Das wäre wirklich eine sehr coole Möglichkeit.

Sorry … Schlecht formuliert, aber die Intention war in der Tat die Kausalität darzustellen. Apple erlaubt ja mittlerweile einzelnen diensten die Nutzung der nfc Schnittstelle und ich hoffe, dass das irgendwann auch für mehr bzw. Alle Dienste gelockert wird.

Interessantes Thema, aber die NFC-TAN sieht für mich auch nicht wirklich durchdacht aus, vermutlich liefert die Karte einfach eine statische Komponente für die TAN-Generierung, d.h. einmal kompromittiert, kann auch jede weitere Transaktion ohne Karte freigezeichnet werden. Wenn ich es richtig verstehe, dann nutzt Tomorrow ja schon eine Art Device Binding zur Sicherung des Logins, daher kommt die mTAN praktisch on-top. Ob das Ganze so nutzerfreundlich ist kann man natürlich hinterfragen, warum nicht nur auf FaceID/TouchID setzen?

Weils der Regulator nicht erlaubt. Das hat den gleichen Stellenwert wie ein Passwort, also Wissen. Durchs Device Binding wird das Handy zum zweiten Faktor aus der Kategorie Besitz.

Das kann ich nicht glauben, FaceID bzw TouchID setzt ja auf eine Hardwarekomponente und ist eine Signatur, damit hat man ja schon Biometrie und Besitz, so macht es N26 und Revolut ja auch.