• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Online Bank Festgeld eventuell auch Tagesgeld/Kreditkarte bei guten Konditionen

HeadsetKauf

NGBler

H
Registriert
17 Okt. 2020
Beiträge
45
Ich habe gerade mein C24 Bank Konto geschlossen nachdem mir der Telefonsupport (verpackt in jede Menge Marketing) bestätigt hat das die keinerlei unabhängigen 2. Faktor anbieten. :confused:
Ich dachte erst ich seh nicht richtig, ist das überhaupt legal? Tja Das Internet ist halt #Neuland...

Da das hier ein IT Forum ist muss ich vermutlich nicht erläutern warum alles was unter dem selben Betriebssystem läuft kein unabhängiger 2. Faktor ist. Der Support Mitarbeiter wollte das nämlich nicht einsehen. Gut, klar selbst wenn er es verstanden hätte Firmenpolitik ist Firmenpolitik...

Wie sieht das bei anderen Online Banken aus?

Konkret würde ich mich für Credit Plus interessieren: Creditplus Bank

Mir geht es aktuell um Festgeld. C24 Vertgleich dazu kenne ich, daher die Geschichte mit der c24 Bank. Damit wäre alles einfacher, aber sowas geht halt garnicht.
 
Zuletzt bearbeitet:

Zoldan

Aktiver NGBler

Z
Registriert
13 Okt. 2013
Beiträge
356
Was verstehst Du denn genau unter "keinerlei unabhängigen 2. Faktor" bzw. wie ist das denn genau bei der C24 Bank realisiert?
 

HeadsetKauf

NGBler

H
Registriert
17 Okt. 2020
Beiträge
45
  • Thread Starter Thread Starter
  • #3
Irgendetwas das nicht mit der selben Sicherheitslücke die Speicherzugriff auf dem einen Gerät ermöglicht abgefangen werden kann.

Übliche Ansätze wären:
datatracker.ietf.org

RFC 6238: TOTP: Time-Based One-Time Password Algorithm

This document describes an extension of the One-Time Password (OTP) algorithm, namely the HMAC-based One-Time Password (HOTP) algorithm, as defined in RFC 4226, to support the time-based moving factor. The HOTP algorithm specifies an event-based OTP algorithm, where the moving factor is an event...
datatracker.ietf.org datatracker.ietf.org
Email TAN
SMS Tan auf einer anderen Nummer (hier ginge das vielleicht wenn man es einrichtet und dann die Sim Karte in eine anderes Gerät einsetzt. Aber die App hat während meiner 2 Tägigen Nutzung schon eine Rufnummer re-validierung angefordert. Also denke ich nicht das sowas in der Praxis funktionieren wird.)

Bei der C24 Bank läuft alles direkt über die App und man kann keine zusätzliche Sicherheit einstellen. Die App ist KEIN Zusatz zum regulären Online Banking, das geht auch nur über die App.

Die Ist-Situation bedeutet also das man nur Systemzugriff auf einem Smartphone bekommen muss und dann frei über alles verfügen kann. Und ein derartiges Vertrauen verdienen die mobilen Betriebssystem meiner Meinung nach nicht. Beim regulären Online Banking tut meine Hauptbank das nicht mal bei einem richtigen Betriebssystem (unbegrenzt, kleine Überweisungen gehen teilweise ohne TAN, aber dort kann ich Limits festlegen die eine separate TAN benötigen...). Es ist einfach grob fahrlässig.

Ja das wäre der nächste Punkt, man kann dort auch keine Limits festlegen die eine zusätzliche Bestätigung außerhalb der App erfordern. Damit sind die halt reines Placebo.
Irgendein separater TAN würde das Problem lösen. Selbst eine antike TAN Liste wäre besser. Natürlich nach heutigen Maßstäben Inakzeptabel weil es ja rfc6238 gibt. Ich war ehrlich schockiert das es Banken gibt die das nicht nutzen in irgendeiner Form. Die Fidor Bank zB hat das auch genutzt, auch wenn es dort glaube ich nur Optional war, aber wäre ja in Ordnung.

Karten TAN Geräte nutzen zum Beispiel sowas wie rfc6238 falls dir das nichts sagt. Da liegt das Geheimnis dann in der Karte und der Rest kommt aus dem Code den du scanst (Zeit/Transaktionsdetails). Daher brauchen die Geräte keine (interne) Uhr.
 
Zuletzt bearbeitet:

BurnerR

Bot #0384479

BurnerR
Registriert
20 Juli 2013
Beiträge
5.507

HeadsetKauf

NGBler

H
Registriert
17 Okt. 2020
Beiträge
45
  • Thread Starter Thread Starter
  • #5
Ja, gewundert habe ich mich. So kann man das formulieren.

Deswegen dachte ich ich frage hier mal nach ob so ein Blödsinn jetzt üblich ist oder ob C24 einfach besonders scheisse ist. Und das klingt jetzt nach einfach besonders Scheisse und ich kann bedenkenlos die nächste testen. Denn Separate TAN Systeme sind durchaus die Norm (auch bei anderen online Banken) und ich muss sowas nicht nochmal erwarten.

Ganz im ernst am Telefon war ich unter Schock: Das kann doch nicht sein? Wie kann eine Bank schlechtere Security haben als irgendwelche Online Games? Das muss doch ein Missverständnis sein oder? Vielleicht muss ich nur was anderes Fragen? Aber was? Ich habe ja schon nach einem separaten TAN gefragt.

Also habe ich dann nach ein paar Sekunden nur noch gefragt wie ich das Konto schließe und bin dieser Anweisung dann gefolgt.

Was kommt als nächstes? Aktivierte Karten verschicken damit die Postboten damit schon bezahlen können ohne sie aus dem Umschlag zu nehmen?

Ich habe mir die DKB angesehen:
Die wäre so wie es aussieht auch von den Festgeld Konditionen Okay für 2 Jahre. Wie funktioniert das Bonus System bei der Visa? Gibts das auch bei der kostenlosen? Ich habe noch nie einen Debit Karte benutzt, aber ich denke die wird wohl auch überall akzeptiert wo die Visa Charge Karten gehen oder?

Charge war mir bisher auch lieber weil ich Gebühren auf Lastschriften zahle. Und dann kommt halt nur eine im Monat. Aber da wäre das wohl kostenlos oder?
 

BurnerR

Bot #0384479

BurnerR
Registriert
20 Juli 2013
Beiträge
5.507
HeadsetKauf schrieb:
Deswegen dachte ich ich frage hier mal nach ob so ein Blödsinn jetzt üblich ist oder ob C24 einfach besonders scheisse ist.
Zum Vergrößern anklicken....
Ehrlich gesagt ist das nicht mehr unüblich heute. Menschen wollen halt "einfach einfach einfach" und da Menschen heute sehr viel am Smartphone machen soll halt alles da "ohne Probleme" funktionieren. Ich hatte in den letzten Jahren die Erkenntniss, dass das lustig machen über den Spruch "Neuland Internet" sehr oft Ablenkung von der unangenehmen persönlichen Wahrheit ist.
 

Zoldan

Aktiver NGBler

Z
Registriert
13 Okt. 2013
Beiträge
356
BurnerR schrieb:
Ehrlich gesagt ist das nicht mehr unüblich heute. Menschen wollen halt "einfach einfach einfach" und da Menschen heute sehr viel am Smartphone machen soll halt alles da "ohne Probleme" funktionieren. Ich hatte in den letzten Jahren die Erkenntniss, dass das lustig machen über den Spruch "Neuland Internet" sehr oft Ablenkung von der unangenehmen persönlichen Wahrheit ist.
Zum Vergrößern anklicken....
Da ist sicher auch (sehr viel) was Wahres dran, was Du schreibst. Als Anbieter eines solchen Service (Online Banking) sollte man sich auch der Frage stellen, was unter dem Strich besser, sowohl für das Unternehmen, als auch für den Konsumenten ist.

Wenn man ein sehr sicheres System aufbaut, was aber für den User zu umständlich ist bedient zu werden, dann bringt es im Endeffekt auch nichts.
Ein Beispiel wäre aktuell für mich die Einrichtung der ePA. Aus meiner Sicht eine absolute Katastrophe, die technisch nicht affine Leute in die Verzweiflung treiben wird!

Ein anderes Beispiel aus meinen Unternehmen: Unsere User waren angehalten alle 100 Tage sich selber ein neues Passwort zu vergeben um compliant zu bleiben. Schon lange hat das BSI von dieser Praktik abgeraten, weil unter dem Strich folgendes passiert:
1. Der User vergisst zu häufig sein aktuelles Passwort -> Anzahl der Support-Tickets erhöht sich
2. Der User vergibt ein leicht zu merkendes Passwort -> Risiko das Passwort zu "erraten" steigt
3. Der User schreibt sich das aktuelle Passwort irgendwo auf -> Trägt ebenso wenig zur Sicherheit bei

Stattdessen wurde dieses Jahr ein permanentes Passwort eingeführt, was nicht erneuert werden muss. Dafür muss das Passwort gewisse Bedingungen erfüllen (Sonderzeichen etc.). Allerdings scheint es so zu sein, dass die User sich solch ein Passwort besser merken können, denn die Anzahl der Support-Tickets ist deutlich zurückgegangen.
Natürlich wäre es sicherer auch ein solches Passwort regelmäßig zu ändern, aber es ist eben in der Breite einfach nicht machbar. Menschen und sich ständig veränderende Informationen nicht nicht kompatibel zu einander.

Mal sehen wie das Zeitalter von Passkeys die Sache verändern wird.
 
Zuletzt bearbeitet:

one

Querulant

one
Registriert
21 Juli 2013
Beiträge
5.957
Ort
ja
Zoldan schrieb:
lange hat das BSI von dieser Praktik abgeraten
Zum Vergrößern anklicken....
Eigentlich rät der BSI schon sehr lange etwas anderes. Ein Zwang zum häufigen Passwortwechsel hat nur eins zur Folge: unsichere Passwörter. Eigentlich rät man ins Gegenteil. Sicheres Passwort, fertig. Genau so, wie es scheinbar nun bei euch praktiziert wird.
 

drfuture

Zeitreisender
Teammitglied

drfuture
Registriert
14 Juli 2013
Beiträge
8.754
Ort
in der Zukunft
Der erste Faktor ist das Gerät an sich, das zweite der Pin.

Den Pin kann ich evtl mit vollem Systemzugriff anfangen. Diesen muss man aber auch erst einmal auf einem fremden Handy erlangen.
Eine normale App, auch mit Zugriff auf Dateisystem etc reicht hier ja erst einmal nicht.

Klar gibt es auch hier wie bei jedem Betriebssystem einmal Sicherheitslücken. Das diese aber beliebigen Code mit root ausführen ist aber schon sehr selten.

Das Gerät selbst ist soweit ich weiß eine Art Zertifikat das auf Basis von imei und anderen einmaligen Parametern des Systems erstellt wird und nur auf diesem Handy funktioniert - selbst wenn du es schaffst dieses zu klauen.
Ob dann auch das Handy voll Virtualisierung werden kann? Gute Frage....

Dann kommt aber noch dazu, das dann bei einem Diebstahl die Bank haftet und nicht der Verbraucher.

Das in Summe macht das Problem für mich zu einem rein akademischen Problem und nicht zu einem das mich als Verbraucher - egal ob IT Experte oder nicht - tangiert.
 

one

Querulant

one
Registriert
21 Juli 2013
Beiträge
5.957
Ort
ja
Bei einem Diebstahl müsste man das Smartphone aber auch erstmal entsperren können. Eigene Verantwortung?
 

one

Querulant

one
Registriert
21 Juli 2013
Beiträge
5.957
Ort
ja
Auf die Entschlüsselung meines Smartphones hat die SIM-PIN keinen Einfluss. Auch für das Banking gibt es keine PIN. Die PIN kannste gerne haben. Aber machen kannst du damit nix. Nicht mal das Display entsperren.
 

drfuture

Zeitreisender
Teammitglied

drfuture
Registriert
14 Juli 2013
Beiträge
8.754
Ort
in der Zukunft
Ich meinte einen Banking Pin. Außer Handy entsperren braucht man bei dir nichts um das Konto leer zu räumen?
Gut das finde ich dann auch etwas wenig.
 

one

Querulant

one
Registriert
21 Juli 2013
Beiträge
5.957
Ort
ja
drfuture schrieb:
Außer Handy entsperren braucht man bei dir nichts um das Konto leer zu räumen?
Zum Vergrößern anklicken....
Ich glaube du hast mich falsch verstanden.

Das Handy entsperren wäre die erste Aufgabe, bei der keine SIM-PIN helfen kann. Es ist die Geräte-PIN oder ein Fingerabdruck erforderlich. Die Banking-App wiederum öffnet sich auch erst nach Fingerprint-Abgleich. Dann könnte man ganz toll meine Umsätze und den Kontostand angucken, Geld transferieren ist aber nicht möglich. Auch nicht mit einer Banking-PIN.

Ganz davon abgesehen: wenn ich den Verlust meines Handys bemerken würde, würde ich schauen, ob es an ist und unwiderruflich sperren. Wenn es sowieso aus ist, wäre mir das recht egal, denn dann braucht es zum Entschlüsseln noch mehr.

Sollte es jemand versuchen zu entsperren (bei eingeschaltetem Gerät) und scheitern, übermittelt es mir bei jedem falschen Versuch ein Bild der Frontkamera inkl. GPS-Daten.

Meine Aussage ist eher: du kannst mein Smartphone gerne haben. Mach was du willst, aber erreichen wirst du gar nichts. Du müsstest dann halt langsam anfangen zu beten, dass ich dich nicht finde. :D
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben