Welche Kreditkarte?

[Honolulubernd]

Für den Angreifer führt also keine Weg daran vorbei: Er braucht Administratorzugriff auf meinen PC. Und den habe ich (glaube ich) gut im Griff, und so sorgfältig wie möglich gegen Angriffe gehärtet.

Diese Systeme werden nicht für Menschen mit gesundem Menschenverstand entwickelt, sie werden für die Homer Simpsons unserer Gesellschaft entwickelt:

Du gehörst zu den 0,1% die wissen was sie tun, aber für diesen kleinen Anteil an Kunden wird keine Extrawurst entwickelt und gewartet.

 

[tobsel]

alle kreditkarten haben doch mittlerweile 2FA, die Anbieter bieten 2FA über App oder über SMS an.... verstehe daher noch nicht das Problem des ThreadOpeners...

 

[TomGerm]

Ohne Zwei-Faktor-Authentifizierung? Das wird schwer.

Die Zwei-Faktor-Authentifizierung ist seit dem 14. September durch das Inkrafttreten der neuen Europäischen Zahlungsdienstrichtlinie für alle Online Banken oder Banken, die ihren Kunden die Möglichkeit zum Online Banking geben, verpflichtend.

Ich empfehle immer noch die DKB, da sie die besten Konditionen im Aktivkonto hat. Bisher hat man die Credit immer akzeptiert, die Debit eben leider nicht (Kaution bei Mietwagen z.B..). Aber ich habe beide KK dabei.
Und weltweit kostenlos Geldabheben haben die wenigsten.

Die App ist m.E. nicht zwingend notwendig, aber praktisch, wenn man die Karte temporär sperren oder für ein Land freischalten möchte, weil man sonst alle anderen deaktiviert hat. Und ich finden es hilfreich und sicher, wenn die Karte benutzt wird und mir der Betrag direkt live auf der Uhr angezeigt wird oder, dass soeben erfolglos eine Buchung im Restaurant probiert wurde...

 

[juniorm]

@elsa7
Zur ausführlichen Erklärung:
Deutsche Sim-Karte, seperates Handy - kein Smartphone, Verwendung der Sim (Handy-Nr.) nur für 2-Wege-Identifikation; Einsatz bei verschiedenen Instituten.

Im Urlaub bleibt dieses Handy im Hotel (-Safe), nicht eingeschaltet. Nur vor Transaktionen aktiv. => größte Sicherheit

Alternativ - im Urlaub Smartphone mit 2 - Simkarten, wobei die deutsche Sim deaktiviert bleibt, bis kurz vor Transaktionen. => hohe Sicherheit,
aber Risiko bei Verlust des Smartphones im Urlaub, sehr großer Aufwand notwendig!

Allumfassende Sicherheit gibt es nicht - im Mobilfunk oder Internet schon gar nicht.

 

[Pungparamee]

Alternativ - im Urlaub Smartphone mit 2 - Simkarten, wobei die deutsche Sim deaktiviert bleibt, bis kurz vor Transaktionen.

Egal welche SIM ich in Thailand aktiviert habe die Online Transaktion funktioniert bei mir immer. Ob ich nun mit meinem thailändischen Konto, oder meinem deutschen Konto eine Transaktion mache. Das Verfahren läuft bei beiden Banken über die IMEI meines Smartphones und nicht über die Telefonnummer !

 

[Alwaro]

Das Verfahren läuft bei beiden Banken über die IMEI meines Smartphones und nicht über die Telefonnummer !

Deswegen muss auch bei einem Wechsel des Smartphones das neue aktiviert werden.

 

[TomGerm]

SIM-Karte wäre doch nur relevant bei SMS-Zustellung, ansonsten reicht doch eine beliebige Internetverbindung für das registrierte Endgerät vollkommen aus.

----------------------

Noch mein Statement zu Euren unten aufgeführten Kommentaren. Ich kenne wirklich viele Programmierer und nahezu alle sind sind vernünftige, intelligente und gut ausgebildete Menschen. Sie setzen aber letztlich die Anforderungen um, die der Kunde (auch Fachseite oder Produktowner genannt) wünscht.

Und sie beraten auch, wenn es bessere technische Lösungen oder regulatorische Regelungen gibt, die dem Fachkonzept bzw. der Anforderung entgegenstehen. Am Ende entscheiden aber i.d.R. die Kunden und selten die Programmierer.

Wenn Manager und Entscheider dann Blödsinn entscheiden, dann ist das so, aber die Software ist "worked as designed"...

Klar, dass das Ärgerlich ist, aber beleidigt bitte nicht pauschal die Programmierer, wenn Euch etwas so nicht gefällt.
Gebt der Bank ein sachliches Feedback, das hilft allen.

dass die Programmierer nur gequirlte Scheisse im Hirn haben. Völlig realitätsfremd.

eider sind die Programmierer so abgehoben oder... es fehlt in diesem Falle einfach nur am nötigen IQ

Die so genannten Programmierer sind leider sehr weit vom menschlichen Denken weg

 

[Riva]

SIM-Karte wäre doch nur relevant bei SMS-Zustellung, ansonsten reicht doch eine beliebige Internetverbindung für das registrierte Endgerät vollkommen aus.

----------------------

Noch mein Statement zu Euren unten aufgeführten Kommentaren. Ich kenne wirklich viele Programmierer und nahezu alle sind sind vernünftige, intelligente und gut ausgebildete Menschen. Sie setzen aber letztlich die Anforderungen um, die der Kunde (auch Fachseite oder Produktowner genannt) wünscht.

Und sie beraten auch, wenn es bessere technische Lösungen oder regulatorische Regelungen gibt, die dem Fachkonzept bzw. der Anforderung entgegenstehen. Am Ende entscheiden aber i.d.R. die Kunden und selten die Programmierer.

Wenn Manager und Entscheider dann Blödsinn entscheiden, dann ist das so, aber die Software ist "worked as designed"...

Klar, dass das Ärgerlich ist, aber beleidigt bitte nicht pauschal die Programmierer, wenn Euch etwas so nicht gefällt.
Gebt der Bank ein sachliches Feedback, das hilft allen.

Hat mich schon gewundert, dass dieses schwachsinnige Bashing so lange unbeantwortet blieb. Das sind vermutlich die gleichen Leute die der studentischen Aushilfe bei Aral eins aufs Maul geben wollen, weil der Spritpreis zu hoch ist.

 

[lakmakmak66]

alle kreditkarten haben doch mittlerweile 2FA, die Anbieter bieten 2FA über App oder über SMS an.... verstehe daher noch nicht das Problem des ThreadOpeners...

Wenn einer eine KK hat,und sie ewig lange nicht benutzt...wen wundert es dann ,dass die nicht mehr auf aktuellen Sicherheitsstandard ist...?! ...online vieles erledigen und dann sich beschweren,dass die Bankarbeiter nicht länger arbeitenfür wen sollen sie mehr arbeiten....? Da werden sie wohl auch weniger verdienen oder viele wurden ja auch ausgestellt...bisschen darüber nachdenken...

 

[savoy]

Für den Angreifer führt also keine Weg daran vorbei: Er braucht Administratorzugriff auf meinen PC. Und den habe ich (glaube ich) gut im Griff, und so sorgfältig wie möglich gegen Angriffe gehärtet. Bei PCs geht sowas viel besser im Vergleich zu Smartphones. Möglicherweise unsichere Handys und ihre möglicherweise unsicheren Apps sind mir Latte, und ich würde sie auch im Verdachtsfall weiter benutzen. Hauptsache einer der beiden Übertragungswege ist noch sicher.

Also ich kann mich eigentlich von jedem beliebigen PC in das Banking-Portal einloggen, der PC stellt keinerlei Schutz da. Das ist beim Smartphone besser.
Auch was unsichere Sofware angeht, ist ein PC deutlich anfälliger als ein Smartphone mit aktuellen Sicherheitsupdates. Ich verstehe die Vorliebe für PC und SMS aber sicherer als Push-TAN an ein Smartphone ist das keinesfalls.
BSI - smsTAN wird abgeschafft – Was nun? (bund.de)

2-Faktor-Authentifizierung ist schon ne gute Sache, weil 2 Dinge abgeprüft werden: Besitz und Wissen.

Besitz, Wissen oder Inhärenz (z.B. Fingerabdruck). Ein Smartphone bietet alle diese Möglichkeiten, ein PC häufig nur das Wissen.
Ich kann den Zugang nur für ein bestimmtes Smartphone erlauben (Besitz), ein biometrisches Merkmal (Inhärenz) und zusätzlich noch ein Passwort (Wissen) abfragen.
Über einen Chipkartenleser und die passende Chipkarte kann man auch auf dem PC den Besitz nachweisen.

 

[savoy]

Zur ausführlichen Erklärung:
Deutsche Sim-Karte, seperates Handy - kein Smartphone, Verwendung der Sim (Handy-Nr.) nur für 2-Wege-Identifikation; Einsatz bei verschiedenen Instituten.

Im Urlaub bleibt dieses Handy im Hotel (-Safe), nicht eingeschaltet. Nur vor Transaktionen aktiv. => größte Sicherheit

Es ist technisch mittlerweile möglich und auch schon so ausgenutzt, die TAN abzugreifen / umzuleiten ohne Zugang zu deiner SIM-Karte oder dem Handy im Safe. Genau deshalb gilt das smsTAN als unsicher und wird ersetzt. Bei einer SMS wird nicht geprüft, ob diese an die passende SIM oder Handy übermittelt wurde.

 

[Bitshock]

Ouwh, das ist viel Stoff für eine Antwort. Ich versuchs mal.

Also ich kann mich eigentlich von jedem beliebigen PC in das Banking-Portal einloggen, der PC stellt keinerlei Schutz da. Das ist beim Smartphone besser.
Auch was unsichere Sofware angeht, ist ein PC deutlich anfälliger als ein Smartphone mit aktuellen Sicherheitsupdates. Ich verstehe die Vorliebe für PC und SMS aber sicherer als Push-TAN an ein Smartphone ist das keinesfalls.
BSI - smsTAN wird abgeschafft – Was nun? (bund.de)

Besitz, Wissen oder Inhärenz (z.B. Fingerabdruck). Ein Smartphone bietet alle diese Möglichkeiten, ein PC häufig nur das Wissen.

@savoy Du hat Unrecht. Gleich der erst Halbsatz stimmt zwar, aber der zweite Halbsatz ist nach den Gesetzen der Logik keine Schlussfolgerung daraus. Dass ein Smartphone besser sei ist nur eine Behauptung, kein Beweis. Dein Satz zur Software: Ebenfalls nur Behauptung, und anscheinend gehst du davon aus, dass der PC nicht mit aktuellen Sicherheitsupdates versorgt ist. Inhärenz ist de fakto das gleiche wie Besitz, du benutzt nur ein anderes Wort dafür. Aber viel wichtiger ist: Beim letzten Satz zeigst du das genaue Gegenteil von dem, was du beweisen möchtest. Genau weil beim Smartphone alle Möglichkeiten in einem einzigen Gerät vereinigt sind, ist die alleinige Nutzung eines Handys unsicher. Ein Angreifer hat es einfacher, er braucht nur ein einziges Gerät und dessen Übertragungskanal zu übernehmen. Es geht hier nicht um Smartphone anstelle von PC, das hast du nicht verstanden, lies nochmal meine vorherigen Beiträge. Für eine sicherere 2FA muss man beides nutzen. Du hättest nur dann Recht, wenn es um Bequemlichkeit versus Sicherheit ginge.

@lakmakmak66 Unterstellungen und blafaselsülz. Hauptsache du hast was gesagt. Nicht der Rede wert.

@Riva, @TomGerm, @Pungparamee , @juniorm, @elsa7 : Welche SIM-Karte genutzt wird (oder werden sollte) ist eine andere Dabatte. Dazu kann ich nichts sagen.

Ohne Zwei-Faktor-Authentifizierung? Das wird schwer.

Du hast nicht nur Recht, sondern Sicherheit ist ohne 2FA komplett unmöglich. Ich sträube mich nicht gegen die 2FA. Ich behaupte nur, dass die Installation einer Handyapp, die dann gleich alles erledigen soll, ein unsicherer Weg ist.

alle kreditkarten haben doch mittlerweile 2FA, die Anbieter bieten 2FA über App oder über SMS an.... verstehe daher noch nicht das Problem des ThreadOpeners...

Mein Problem war, dass die Bankangestellte nur die App erwähnt hatte. Von SMS als Alternative hat sie nichts gesagt. Ich wußte es einfach nicht besser, und deshalb war die Mastercard für mich in diesem Moment wertlos. Die gesamte 2FA ausschliesslich über eine App zu erschlagen kommt für mich nach wie vor nicht in die Tüte. Basta.

Für alle die mich immer noch missverstehen: Kreditkartendaten vom PC übers Internet per TCP/IP zum Zahlungsdienstleister, Rückübermittlung der SMS (des Freischaltcodes) aufs Smartphone. Daten, Transportweg, und Geräte sind also sauber voneinander getrennt. Alles über eine App machen wollen ---> nix ist voneinander getrennt.
Genau deshalb ist es unsicher, Angreifer haben es einfacher.

Dumme Frage, was hast Du gegen eine App an dieser Stelle? Interessiert mich, weil das mit dem 2FA bei den Karten und Konten eines der Dinge ist bei der mir die Apps eigentlich ganz recht sind. Ich kann meine Sim hin und her wechseln wie ich lustig bin erst mal und erst mal zählt nur das Handy. Klar ohne Internet is es doof, dafür bekomme ich aber auf der anderen Seite auch immer sofort eine Meldung wenn auf der Karte was passiert. Ich finde es praktisch und es ist auch echt ziemlich ausgereift.

Es ist bequem.

Ja ... wurde insbesondere in den USA massiv ausgenutzt und auch in Deutschland gab es dazu eine Menge fälle ... ich sehe gerade ... wurde gerade schon geschrieben. Deutsche Telekom: Hacker haben Online-Banking per SMS-Tan ausgehebelt Betraf aber nicht nur Telekom, gab es auch insbesondere bei Vodafone soweit ich mich erinnern kann.

Ja, sowas passiert. Kann aber alleine noch nicht meine Sicherheit beeinträchtigen.

Nee ... deine Kreditkarten-Daten hat er ja schon, damit kann der dann brav einkaufen gehen. Sonst bräuchte man ja den ganzen Mist überhaupt nicht.

Nein. Wo sollte ein Angreifer die herhaben? Das geht nur, wenn er gleichzeitig ebenfalls meinen PC zu Hause kapert (Keylogger oder MitM-Attacke, es gibt mehrere Möglichkeiten). Oder aber er hat gleichzeitig die Datenbank des Zahlungsdienstleisters gekapert. Letzteres würde sich schnell herumsprechen, mein Verwundsbarkeitsfenster wäre also zeitlich recht kurz. Gegen Ersteres habe ich alles selbst in der Hand und kann vorbeugen/verhindern. Meine Kreditkartendaten kriegt ein Angreifer nur dann ohne allzu hohen Aufwand, wenn ich alles per Handyapp erledige - denn er braucht nur einen einzigen Faktor des Zwei-Faktor-Authentifizierungsverfahrens zu kompromittieren.

Jetzt mal ganz allgemein für Alle:

Wer von euch hat das Gefühl, er hätte sein Smartphone wirklich im Griff? Wer von euch hat für den Mailverkehr auf dem Handy einen eigenen guten Spamfilter, und beim Surfen einen vernünftigen Werbeblocker? Wer von euch kann verhindern, dass irgendwelche Apps in Bereichen eures internen Speichers Daten hinterlegen, die ihr selbst nicht seht und an die ihr nie im Leben rankommen werdet? Wer von euch kann auf dem Handy I/O Ports sperren (Ports bei iOS und Android, hihi und roflkopter).

Darüber hinaus wollen sich alle Apps deutlich öfter als vergleichbare PC-Programme updaten. Verhindert ihr das erstmal und macht euch schlau, was jedes Update eigentlich vom Vorgänger unterscheidet? Wie wollt ihr erkennen, ob nicht per Update ein Schaf plötzlich zum Wolf wird, weil die Programmierer vor den Marketingleuten kuschen? Wie erkennt ihr und was macht ihr dann, wenn ein Angreifer den Update-Mechanismus des Anbieters kapert (oder den Google-Store austrickst) und plötzlich Schadcode ausgeliefert wird?

Aber die hochbezahlte Bankkauffrau erzählt mir, ich muss mir eine App installieren, damit das funktioniert was ich will.
Versteht jetzt jemand meine Wut?

 

[Bitshock]

Nachtrag:

Über einen Chipkartenleser und die passende Chipkarte kann man auch auf dem PC den Besitz nachweisen.

Das ist technisch gesehen nicht ausgeschlossen. Das hat die Banktussi auch im Gespräch mir erwähnt, allerdings aufs Handy bezogen (Hirn vom Himmel...). Auf meine Frage hin, ob mir ein solches Lesegerät (teuer, weil es zertifiziert sein muss, kein Billig-Chinateil) bei neuem Vertagsabschluß von der Bank gestellt würde, hat sie ganz ernsthaft und mit Bedauern mit "Nein" geantwortet.

Ich glaube aber, sie hat die Anzeichen nicht richtig gelesen und nicht erkannt, dass meine Stimmung kippt.

 

[savoy]

@savoy Du hat Unrecht. Gleich der erst Halbsatz stimmt zwar, aber der zweite Halbsatz ist nach den Gesetzen der Logik keine Schlussfolgerung daraus. Dass ein Smartphone besser sei ist nur eine Behauptung, kein Beweis.

Aber sicher. Den Banking-Zugang kannst du nicht an deinen PC binden, an ein Smartphone schon. Es ist gängige Praxis, dass die Bankingsoftware per Freischaltbrief an das Smartphone gebunden wird. Passwort brauchst du in beiden Fällen zusätzlich. Also ist das Smartphone diesbezüglich sicherer.
Gleichstand würdest du mit Chip-Tan am PC schaffen. Aber …

Dein Satz zur Software: Ebenfalls nur Behauptung, und anscheinend gehst du davon aus, dass der PC nicht mit aktuellen Sicherheitsupdates versorgt ist.

Alleine dadurch, dass nicht alle Programme auf dem PC sich automatisch aktualisieren, geschweige denn das wie beim Android und iOS nur zentral über ein Appstore verwaltet, freigegeben und aktualisiert wird. Das hast du auf dem PC allenfalls für das Betriebssystem selbst.

Inhärenz ist de fakto das gleiche wie Besitz, du benutzt nur ein anderes Wort dafür.

Nein.



Den Besitz kannst du durch Diebstahl erlangen, Chip-Karte, Schlüssel, etc.
Inhärenz-Faktor ist Fingerabdruck, Gesichtserkennung, Stimme, etc.

Aber viel wichtiger ist: Beim letzten Satz zeigst du das genaue Gegenteil von dem, was du beweisen möchtest. Genau weil beim Smartphone alle Möglichkeiten in einem einzigen Gerät vereinigt sind, ist die alleinige Nutzung eines Handys unsicher. Ein Angreifer hat es einfacher, er braucht nur ein einziges Gerät und dessen Übertragungskanal zu übernehmen.

Damit erlangt er nur einen Faktor, den Besitz. Um das auszunutzen, benötigt er zusätzlich das Wissen also das Passwort ggf. Inhärenz also Fingerabdruck.

Es geht hier nicht um Smartphone anstelle von PC, das hast du nicht verstanden, lies nochmal meine vorherigen Beiträge. Für eine sicherere 2FA muss man beides nutzen. Du hättest nur dann Recht, wenn es um Bequemlichkeit versus Sicherheit ginge.

Das habe ich schon verstanden, jeweils 2 Faktoren:

Ich verstehe die Vorliebe für PC und SMS aber sicherer als Push-TAN an ein Smartphone ist das keinesfalls.

 

[lakmakmak66]

Ouwh, das ist viel Stoff für eine Antwort. Ich versuchs mal.




@savoy Du hat Unrecht. Gleich der erst Halbsatz stimmt zwar, aber der zweite Halbsatz ist nach den Gesetzen der Logik keine Schlussfolgerung daraus. Dass ein Smartphone besser sei ist nur eine Behauptung, kein Beweis. Dein Satz zur Software: Ebenfalls nur Behauptung, und anscheinend gehst du davon aus, dass der PC nicht mit aktuellen Sicherheitsupdates versorgt ist. Inhärenz ist de fakto das gleiche wie Besitz, du benutzt nur ein anderes Wort dafür. Aber viel wichtiger ist: Beim letzten Satz zeigst du das genaue Gegenteil von dem, was du beweisen möchtest. Genau weil beim Smartphone alle Möglichkeiten in einem einzigen Gerät vereinigt sind, ist die alleinige Nutzung eines Handys unsicher. Ein Angreifer hat es einfacher, er braucht nur ein einziges Gerät und dessen Übertragungskanal zu übernehmen. Es geht hier nicht um Smartphone anstelle von PC, das hast du nicht verstanden, lies nochmal meine vorherigen Beiträge. Für eine sicherere 2FA muss man beides nutzen. Du hättest nur dann Recht, wenn es um Bequemlichkeit versus Sicherheit ginge.

@lakmakmak66 Unterstellungen und blafaselsülz. Hauptsache du hast was gesagt. Nicht der Rede wert.

@Riva, @TomGerm, @Pungparamee , @juniorm, @elsa7 : Welche SIM-Karte genutzt wird (oder werden sollte) ist eine andere Dabatte. Dazu kann ich nichts sagen.



Du hast nicht nur Recht, sondern Sicherheit ist ohne 2FA komplett unmöglich. Ich sträube mich nicht gegen die 2FA. Ich behaupte nur, dass die Installation einer Handyapp, die dann gleich alles erledigen soll, ein unsicherer Weg ist.



Mein Problem war, dass die Bankangestellte nur die App erwähnt hatte. Von SMS als Alternative hat sie nichts gesagt. Ich wußte es einfach nicht besser, und deshalb war die Mastercard für mich in diesem Moment wertlos. Die gesamte 2FA ausschliesslich über eine App zu erschlagen kommt für mich nach wie vor nicht in die Tüte. Basta.

Für alle die mich immer noch missverstehen: Kreditkartendaten vom PC übers Internet per TCP/IP zum Zahlungsdienstleister, Rückübermittlung der SMS (des Freischaltcodes) aufs Smartphone. Daten, Transportweg, und Geräte sind also sauber voneinander getrennt. Alles über eine App machen wollen ---> nix ist voneinander getrennt.
Genau deshalb ist es unsicher, Angreifer haben es einfacher.



Es ist bequem.



Ja, sowas passiert. Kann aber alleine noch nicht meine Sicherheit beeinträchtigen.



Nein. Wo sollte ein Angreifer die herhaben? Das geht nur, wenn er gleichzeitig ebenfalls meinen PC zu Hause kapert (Keylogger oder MitM-Attacke, es gibt mehrere Möglichkeiten). Oder aber er hat gleichzeitig die Datenbank des Zahlungsdienstleisters gekapert. Letzteres würde sich schnell herumsprechen, mein Verwundsbarkeitsfenster wäre also zeitlich recht kurz. Gegen Ersteres habe ich alles selbst in der Hand und kann vorbeugen/verhindern. Meine Kreditkartendaten kriegt ein Angreifer nur dann ohne allzu hohen Aufwand, wenn ich alles per Handyapp erledige - denn er braucht nur einen einzigen Faktor des Zwei-Faktor-Authentifizierungsverfahrens zu kompromittieren.

Jetzt mal ganz allgemein für Alle:

Wer von euch hat das Gefühl, er hätte sein Smartphone wirklich im Griff? Wer von euch hat für den Mailverkehr auf dem Handy einen eigenen guten Spamfilter, und beim Surfen einen vernünftigen Werbeblocker? Wer von euch kann verhindern, dass irgendwelche Apps in Bereichen eures internen Speichers Daten hinterlegen, die ihr selbst nicht seht und an die ihr nie im Leben rankommen werdet? Wer von euch kann auf dem Handy I/O Ports sperren (Ports bei iOS und Android, hihi und roflkopter).

Darüber hinaus wollen sich alle Apps deutlich öfter als vergleichbare PC-Programme updaten. Verhindert ihr das erstmal und macht euch schlau, was jedes Update eigentlich vom Vorgänger unterscheidet? Wie wollt ihr erkennen, ob nicht per Update ein Schaf plötzlich zum Wolf wird, weil die Programmierer vor den Marketingleuten kuschen? Wie erkennt ihr und was macht ihr dann, wenn ein Angreifer den Update-Mechanismus des Anbieters kapert (oder den Google-Store austrickst) und plötzlich Schadcode ausgeliefert wird?

Aber die hochbezahlte Bankkauffrau erzählt mir, ich muss mir eine App installieren, damit das funktioniert was ich will.
Versteht jetzt jemand meine Wut?

Nein mein Lieber,du verwechselst da was ,das sind Feststellungen bzw.deine Angaben...und du hast wohl keine Ahnung was ein "einfache" Bankangestellte verdient...Blabla...und wenn man das alles so liest,bist du ein Kandidat für Handy abmelden,Konto auflösen und Geld unters Kopfkissen,dann kannst du sicher ruhiger schlafen und brauchst dich nicht mehr so aufregen...gut für die Gesundheit.Auch deine Ausdrucksweise diesbezüglich spricht schon Bände ...

 

[wiwowa]

Über einen Chipkartenleser und die passende Chipkarte kann man auch auf dem PC den Besitz nachweisen.

Hach das waren noch Zeiten ... bis auf die ab und zu mal auftretenden Treiberprobleme vermisse ich das mit der Chipkarte echt (schöner Kobil mit Pin-Pad) ... also ehrlich, das einzige was so ein bisschen ran kommt ist eben jetzt mit den Handys (was eigentlich sogar praktischer ist). Tan-Listen auf Papier und der SMS Kram fand ich Mist und nicht sicher. Das mit diesen Tan Generatoren die man an den Bildschirm gehalten war auch nie meins.

Nein. Wo sollte ein Angreifer die herhaben? Das geht nur, wenn er gleichzeitig ebenfalls meinen PC zu Hause kapert (Keylogger oder MitM-Attacke, es gibt mehrere Möglichkeiten). Oder aber er hat gleichzeitig die Datenbank des Zahlungsdienstleisters gekapert. Letzteres würde sich schnell herumsprechen, mein Verwundsbarkeitsfenster wäre also zeitlich recht kurz. Gegen Ersteres habe ich alles selbst in der Hand und kann vorbeugen/verhindern. Meine Kreditkartendaten kriegt ein Angreifer nur dann ohne allzu hohen Aufwand, wenn ich alles per Handyapp erledige - denn er braucht nur einen einzigen Faktor des Zwei-Faktor-Authentifizierungsverfahrens zu kompromittieren.

Deine Daten verlassen den PC jedesmal wenn Du sie wo eingibst (oder die Karte aus der Hand gibst), wann auch immer. Das ist doch das Thema .. die Daten der allermeisten Kreditkarten sind in irgendwelchen Listen, deshalb brauchen wir doch den Mist. Einmal Karte aus der Hand gegeben, einmal irgendwo eingegeben wo einer ne Man in the Middle Attack ausführt ODER aber ein Leak im Backend entsteht und da sind die Daten. Die Kreditkartendaten verbleiben ja nicht bei Dir, die musst ja her geben und die sind erstmal unveränderlich so lange Du diese Karte hast. Sorry aber da hast Du aktuell einen Denkfehler drin und solltest dankbar sein, dass es 2FA gibt, weil Du die Risiken nicht im Ansatz überblickst. Musst Du auch nicht, das is der Job der Kreditkartenherausgeber und wenn es schief gehst sind die Schuld und dürfen sich damit rumschlagen.

Es ist bequem.

Naja .. aber Du sperrst ja deine Bude auch weiterhin ab obwohl es nicht bequem ist (hab gehört das sogar Kanadier damit anfangen) ... es geht echt um Sicherheit und das hat durchaus Sinn. Ich bin recht faul und bequem ... aber grad diese Lösung (Smartphone) für 2FA bei Kreditkarten und Kontogeschichten kommt mir halt echt entgegen. Viel mehr als ein leeres Konto oder aber auch nur eine gesperrte Karte weil irgendwer eine verdächtige Transaktion versucht hat, was halt dadurch vermieden wird und ich brauch keine 5 Listen oder Karten oder eine Mischung von Lösungen. Klar Handy weg is scheiße ... deswegen hab ich auch zwei und eine Verteilung (weil ich eh paranoid bin an manchen Stellen)

geschweige denn das wie beim Android und iOS nur zentral über ein Appstore verwaltet, freigegeben und aktualisiert wird.

Wichtiger Secure Enclave (trotzdem wäre ich mit App Sideloading etc. insb. bei Android vorsichtig) ... könnten inzwischen auch manche Computer darstellen und wären damit auch sicher ... aber Smartphones sind einfach weiter verbreitet ... da wandern die Keys hin ... sollte in Thailand wirklich IMEI Binding stattfinden wie @Pungparamee das sagt wäre das ziemlich interessant, denn IMEIs könnte man durchaus fälschen ... die Secure Enclave kopieren hingegen (eher) nicht. @Bitshock diese Secure Enclave ist sowas wie eine "Chip-Karte" sprich wie der Chip auf deiner EC-/Kredit-Karte (nicht der Magnetstreifen!) das ist verschlüsselt und ein "Mini-Rechner" UND der Schlüssel verlässt diese Secure-Enclave nie, die Anfrage der App wird an die Secure-Enclave geschickt und dort signiert, das signieren wird erst durch eine Autorisierung per PIN/Fingerabdruck/Face-ID freigegeben diese Mechanismen laufen in direkter Verbindung zur Secure-Enclave ab und können NICHT durch Apps oder ähnliches abgefangen werden (ja gibt auch da Angriffsmodelle). Wenn Du das nicht glaubst, frag mal das FBI wie viel Spaß die mit iPhone entsperren haben .... die würden die Secure Enclave gerne knacken nutzen aber derzeit wenn eher andere Schwachstellen.

Kurz: Ein modernes Smartphone zu nutzen ist eine einfache praktische und recht benutzerfreundliche Methode ein hohes Maß an Sicherheit und Verlässlichkeit in das System zu bringen. Nein ich bin kein Programmierer und ja Programmierer programmieren manchmal ganz schönen Scheiß und Manager beschließen manchmal einen ganz schönen Scheiß und Berater beraten manchmal einen ganz schönen Scheiß aber diese Lösung ist m.E. echt vernünftig und eher kundenfreundlich. 100mal besser als die Sicherheit von Autos mit Keyless-Go oder Fahrrad-Schlössern oder oder oder

 

[Riva]

@savoy, mit den Ergänzungen von @wiwowa bringt alles sehr gut auf den Punkt.

Mein Senf: Auch ein nicht perfekt sicherer 2. Faktor, macht eine Authentifizierung um das zigfache sicherer. SMS Spoofing machen Geheimdienste aber eher nicht Kriminelle. MFA ist die Lösung gegen Phishing!

 

[Pungparamee]

Hin, oder her, wer sich gegen die neusten Sicherheitsmaßnamen und Auflagen entscheidet, hat irgendwann das Nachsehen. Jedenfalls wird in Zukunft alles schwerer und vor allen Dingen auch undurchschaubarer für Menschen, die sich gegen jegliche Veränderung sperren (auch wenn ich die Gründe „teils“ verstehen kann)

Verstehen kann ich allerdings nicht die Leute, die ihre Daten freiwillig und ohne Scheu Unternehmen wie Facebook & Co ausliefern.

 

[TomGerm]

Wer von euch hat das Gefühl, er hätte sein Smartphone wirklich im Griff?

Ich habe ein gutes Gefühl mit meinen Smartphones, beschäftige mich aber auch damit.

Wir sind uns sicher einig, dass jede IT, jedes System oder Gerät angreifbar ist?

Ich verstehe nur deine Sorge nicht.
Ist dir oder einem Bekannten denn schon einmal ein Schaden entstanden?

Stelle doch der netten Bankangestellten die Frage, ob im Mißbrauchs- oder Schadensfall dafür dann die Bank aufkommt?
Ohne grobe Fahrlässigkeit deinerseits sollte das so sein.