MFA via SMS ist sicher…

MFA via SMS ist sicher… (127 Beiträge, 1356 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

… nicht mehr als sicher anzusehen.

https://www.derstandard.at/story/2000138976547/e-sim-plus-phishing-hacker-greifen-mit-perfidem-trick-oesterreichische

Leute, installiert die Apps oder besorgt euch TAN Generatoren eurer Bank.

Mir war schon klar, dass SMS unsicher ist. Aber dass es SO trivial ist, dachte ich nicht.

Die SMS war aber nicht das auslösenden Problem, sondern das klicken auf random Links in Spammails.
Ohne SMS hättens sie ihn wahrscheinlich angerufen und gebeten den TAN vorzulesen und er hätts gemacht

Leute, installiert die Apps oder besorgt euch TAN Generatoren eurer Bank.

Nein.

--

echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

So long, and thanks for all the uptime!

Leute, installiert die Apps

wer das nicht macht hat eh kein problem, geld zu verlieren. aber welche bank verschickt noch sms für einen tan?
--------------------------------------------------------------------------------

Bank Austria bei Altusern
Visa
Paypal
Amazon

Sind die, die mir aus dem Stand einfallen.

amazon versendet keine tans. paypal und bank austria haben auch schon lange die nöglichkeit geboten umzusteigen. paypal ebenfalls. mann muss es halt nutzen. wie schon gesagt: wer nichts annimmt hat eh zuviel geld.
aber genau bei amazon jetzt habe ich mal nachgeschaut ob es da die zwei faktor authentifizierung auch schon gibt : natürlich und auch da schon aktiviert.
danke für den anstsoß mal wieder den rest durchzuschauen.
--------------------------------------------------------------------------------

09.09.2022, 23:06 Uhr - Editiert von soul, alte Version: hier

Amazon verlangt in meinem Fall einen TAN, wenn ich mich an einem neuen Gerät anmelde. https://www.amazon.de/gp/help/customer/display.html?nodeId=G9MX9LXNWXFKMJYU

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

beitrag geändert: https://forum.geizhals.at/t904613,8125577.html#8125577
--------------------------------------------------------------------------------

Welche Bank zeigt die SMS-Telefonnummer im Klartext an wenn man sich einloggt?

----------------------------------------------------------------------------------------------------------
Der ärgste Feind und Verderber der Menschen [ist] der auf Denkfaulheit und Ruhebedürfnis beruhende Drang nach dem Kollektiv. (Hermann Hesse)

- Laut einer Umfrage ist Russisches Roulette völlig ungefährlich!
- Österreichische Mentalität in einem Satz: "wenn wir mehr Steuern zahlen, kriegen wir mehr Gratisleistungen!"

Vermutlich keine.
Aber die Kunden wurden anscheinend auf den Phishing-Seiten dazu aufgefordert diese einzugeben, bzw. zu bestätigen.

von trivial zu sprechen ist aber schon bissl gar übertrieben, hast du den Artikel überhaupt gelesen und verstanden ?

Aber die Vollzeitparanoiker kriechen hier eh schon aus den Löchern und sträuben sich wie der Suppernkasper gegen eine simple Banking App. Irgendwann schauns eh in die Röhre
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Ich dachte mir, dass man, um SMS „umzuleiten“, einen Mitspieler beim Netzwerkbetreiber benötigt. Aber dass das (hoffentlich jetzt nicht mehr) mit der normalen Großkunden-Administrations-GUI, die auch wir in der Firma verwenden, via e-SIM möglich ist, war mir neu!

aber von "so trivial" kann man da nicht sprechen. Trivial ist wenn jeder x beleibige irgendeinen 10 Cent Artikel bei Aliexpress bestellen und damit Unfug treiben kann
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

https://www.a1.net/home-business-admin-cockpit

Punkt Network Admin

Offensichtlich war es einfach möglich, mit dem GUI, auf das tausende Firmen in Österreich Zugriff haben, für Nummern AUSSERHALB des eigenen Mandanten eine e-SIM auszustellen und damit die Nummer einfach zu „kapern“. Und da bin dann doch etwas erstaunt.

Aber ein Oberchefexperte wie du weiß das sicher besser. Schlaf gut!

Was aber keine Schwachstelle von SMS an sich ist, der Fehler ist hier ein gänzlich anderer. Sicher ist der Fehler mehr als peinlich, aber bedingt schon ordentliche kriminelle Energie die sich dann auch lohnen muss, sonst macht das ja keiner. Hier wird schon etliches verkettet.

Man braucht den Zugang. Idealerweise einer der einem nicht gehört, sonst ist man schnell dran
Man braucht Opfer wo auch was zu holen ist und deren Credentials fürs login
Es darf aber auch nicht zu viel sein, das fällt schnell auf bzw geht ein Auftrag dann nicht durch.
Dem Betroffenen darf der "Verlust" der Nummer nicht auffallen
die Handys auf die man die e sims provisioniert kannst nachher weghaun

Das wären mal so Stolpersteine die mir da einfallen die mit trivial eben nix mehr zu tun haben.

Ich selbst hab bei einem Provider schon mal mitbekommen was da für Chaos entsteht wenn man Verträge falschen Kunden zuordnet, das ist schon sehr unangenehm. War damals halt dem stümperhaften Aktivierungsprozess geschuldet
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Großkunden-Administrations-GUI

Soweit ich das rausgelesen habe, war es die Händler-Admin-GUI. Aber grundsätzlich können/konnten beide immer schon Kartentausch, mit oder ohne e-SIM. Nur braucht man halt bei der e-SIM keine physischen Blanko-Karten mehr im Zugriff, die das ganze erschweren.

..welche aber ja wohl rumliegen müssen, sonst könnte keiner mehr einen SIM Tausch durchführen. da gabs ja auch div Varianten, One hat früher die "leeren" SIM Karten Kunden direkt auch zugeschickt

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Soviel Rot für einen verlinkten Artikel, und der Schlussfolgerung vielleicht doch lieber die Berechtigungs-App der eigenen Bank zu verwenden. Wow…

Klar muss hier zumindest mal der Kunde auf den Phishing-Versuch hereinfallen - das eigentliche Problem sitzt also mal wieder VORM Rechner, es ist nicht IM Rechner, also ein ein EDV-System per se - aber trotz allem ist das SMS-TAN Verfahren unsicherer, alleine weil eben im Klartext versendet und ein Man in the Middle Angriff möglich.

Wenn man seiner Bank nicht traut, warum dann dort sein Geld haben?

Als Insider verstehe ich das Mißtrauen gegenüber der eigenen Bank. Auch die kocht IT mäßig nur mit Wasser. Wenn die sich über die tausenden eingesetzten Frameworks (Open Source…) im Rahmen der Entwicklung Malware oder andere Probleme in die App reinzieht, wird das plötzlich ein Risiko für den Handybesitzer. Klar gibts PEN Test, Reviews etc. Aber durch die Apps hat sich der Perimeter klar in Richtung Kundengerät verschoben.

Wer davor Angst hat, muss sich um einen TAN Generator bemühen.

Wer davor Angst hat, muss sich um einen TAN Generator bemühen.

Das machen einem aber immer mehr Banken schwer, bzw. verlangen zusätzliche Gebühren für die Nutzung.

Es ist ein freier Markt und Sicherheit kostet.

Bei einem unserer Gastgeber im Italienurlaub sind 3 Generatoren unterm Monitor im Büro gelegen. Ich habe sanft gelächelt…

Es ist eben auch die Frage ob diese zusätzliche Sicherheit den geforderten Preis wert ist. Wie immer, eine rein persönliche Entscheidung.

Ich hab weder rot noch grün vergeben, aber die roten kommen wahrscheinlich von der Schlussfolgerung.

ja SMS ist unsicher. Nichtmal der Provider weiß wann und ob eine SMS angekommen ist.
Aber die Sache hat begonnen weil der Depp auf einen Link in einer Spammail geklickt hat und nicht wegen der unsicheren SMS.

Ich hab weder rot noch grün vergeben

Ich habe ein Konter-Grün gegeben

aber die roten kommen wahrscheinlich von der Schlussfolgerung.

Wahrscheinlich. Alles Mimimi

Aber die Sache hat begonnen weil der Depp auf einen Link in einer Spammail
geklickt hat und nicht wegen der unsicheren SMS.

Klar! Deswegen hast oben auch von mir ein Grün erhalten. Das Problem ist fast immer der User...

Ich "Wo hast du draufgeklickt?"
User (Verwandter) "Nirgends"
Ich "Wiederholen wir mal..."
KLICK
Ich "Ja, da hast du geklickt"
User "Ich? Nein, wo?"

Ich "Was stand bei der Meldung, und was hast du angeklickt?"
User "Ich hab's nicht lesen können, hab's zu schnell weggeklickt"

Zwei Klassiker... Wer da die Apps verteufelt, sollt lieber mal woanders ansetzen.

ich betreu nur noch meine Eltern und die hab ich drauf traniert, dass sie mir sagen was sie getan haben.

lustiger finde ich:
eltern: "da steht was!"
ich: "jo dann lies es halt"
eltern: "das ist english"
ich: (vorlesend): wo ist da jetzt was ein english?

manchmal echt mühsam.

ich betreu nur noch meine Eltern

Ich schon seit vielen Jahren nur noch die unmittelbare Familie. Alles andere ist mir zu blöd geworden.

manchmal echt mühsam.

eben

Oben viel grün, hier nur rot. Da soll sich einer auskennen

ich wundere mich hier über gar nix mehr

ja SMS ist unsicher. Nichtmal der Provider weiß wann und ob eine SMS angekommen ist.

natürlich weiß der das. jede SMSC zeichnet das auf. Kommt dann natürlich wieder auf Vorgaben an wie lange das vorgehalten wird, aber schon aus Gründen der Abrechnung muss das ne Weile vorrätig sein. Du kannst dir ja als Absender auch Empfangsberichte schicken lassen, wo kommen die deiner Meinung nach her ?

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

wo kommen die deiner Meinung nach her ?

die sagt lediglich aus, dass Deine SMS beim Mobilfunkprovider des Empfängers angekommen ist.

Blödsinn
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

bei dir is sowieso alles blödsinn und *PIEP* und schlecht und negativ.
verzupf dich einfach.

ja dann probiers doch bitte aus, hat eh scho jeder SMS gratis dabei, der Bericht kostet ja eine. Dann schick halt eine SMS an eine abgeschaltete Nummer. Da wird kein Bericht kommen bis die wieder im Netz ist.

Und im Fall der Fälle werden die Provider die logs der SMSC rausrücken müssen, bitte laber keinen Mist das der Provider das nicht nachvollziehen kann, das ist purer Unsinn

So als Tipp...

ich habs eben grade selber getestet, Absender 3, Empfänger A1 nur um sicher zugehen dasdas auch über Provider hinweg funktioniert.
A1 Handy abgeschaltet, da steht dann bei der SMS einfach nur "SMS" unter der Nachricht. (also Android jetzt, vermute mal Standard Messager App), erst NACHDEM das A1 Handy wieder im Netz hängt steht da dann zugestellt. Wer verzupft sich jetzt ?

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

12.09.2022, 14:22 Uhr - Editiert von Desolationrob, alte Version: hier

so wie ich das interprediere, war es kein klassischer mail oder whatsapp oder so pishing versuch

sondern ein ganz anderer hergang

entweder wurden die beim aufrufen der bank homepage abgefangen und umgeleitet
oder über tipfehler umgeleitet

warum ich so was denke?
a: es wird mit keinem wort die pishing methode erwähnt, nirgenst steht , dass sie einen falschen link angeklickt hätten

b: die betroffene bank wird nicht genannt

ist natürlich nur ein bauchgefühl von mir...

Gruß Sonic The Hedgehog

Aus "Sicherheitsgründen" wurde im Artikel auf Details verzichtet

ich bin echt gespannt, ob wir in nächster zeit genaueres lesen
ich werwarte jetzt schon gespannt, die übernächste ausgabe der c't

Gruß Sonic The Hedgehog

Ich tippe mal auch nein

Den Zugang, zum Durchführen eines solchen Angriffs haben nicht viele und jetzt funktionierts eh nimmer.

Aber so kompliziert muss man es meistens gar nicht machen. Wenn ich daran denke, wie oft die Service Mitarbeiter bei der Hotline irgendwelche Vertragsänderungen bei mir vorgenommen haben, ohne nach dem Kundenkennwort zu fragen, dann wird mir schlecht.

Musst nur Pech haben und dein Mobilfunker schickt eine physische SIM (oder auch eine eSIM) an einen Angreifer. Ganz ohne Zugang zu irgendwelchen GUIs.

Deswegen verstehe ich auch nicht, wieso so viele wichtige Dienste noch auf das Hinterlegen einer Handy Nummer bestehen. Als Sicherheitsvorkehrung ist das zu vergessen.

eben dieses zuschicken von physischen SIM Karten für einen SIM Tausch macht zumindest 3 nicht. Am gscheitesten wäre natürlich das das Kundenkennwort von jedem Verkäufer, Agent etc IMMER einzugeben geben ist bevor auch nur irgendwas gelesen, geschweige denn verändert werden kann.
Nur...was macht man wen der Kunde sein kennwort einfach nicht mehr weiß und mit dem Ausweis angedackelt kommt ? Da muss man zumindest die Änderugn des Kennwports vornehmen können.
In Wirklichkeit ists wohl weiterhin so das man als Bearbeiter da furhwerken kann ohne ein Kennwort vom Kunden zu haben. War zumidnest ind en CRM/Provisionierungssystemen früher so.

Zu dem Tool von A1 bei Großkunden...ja, da gibts jetzt die Möglichkeiten:
garnicht ge(pen)testet: fahrlässig
nicht ausreichend ge(pen)testet: peinlich

Die Rufnummer als ZUSÄTZLICHEN Faktor (wurscht jetzt ob Anruf oder SMS, kommt sich ziemlich aufs gleiche raus) ist prinzipiell ok finde ich. Sicher gibts besseres, aber man darf nciht vergessen das man da evtl zehntausende, hunderttausende, gar Millionen Kunden hat. Da muss ein gewisser Bequemlichkeitsfaktor einfach sein oder die Daten um die es geht haben ohnehin keinen hohen Schutzwert.
Ablehnugn iner bestimmten App, in dem Fall halt Banking, gibts für mich nur einen validen Grund: Spielwiesengerät und jemand arbeitet da mit root Rechten drauf, die App verweigert den Dienst. Gerätebindung kann zwar mühsam werden, je nach Insititut halt, aber sie trägt zur Sicherheit bei und die ist weder gratis, noch ist sie dafür bekannt das irgendwas schneller oder bequemer wird. Aber sollens weiter den Suppenkaspar spielen

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

häää???

Du hast wohl den Beitrag nicht verstanden!

Die Geschädigten waren Vollhonks, die auf irgendwelche pishing-links geklickt haben.
Das wahre Sicherheitsproblem war aber A1 und deren EDV, nicht die SMS an sich.

Fazit: mit "Hirn" durchs Leben gehen und due bist weiterhin sehr safe unterwegs

Leute, installiert die Apps oder besorgt euch TAN Generatoren eurer Bank.

das macht banking nur zur Qual.

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

13.09.2022, 12:40 Uhr - Editiert von AVS_reloaded, alte Version: hier

Bitte sein nicht so aggressiv. Das nervt.

Natürlich habe ich es gelesen! Und natürlich lag in dem Fall der "Hauptfehler" beim Kunden.

Aber ich wusste nicht, dass A1 ein Scheunentor offen hat(te), mit dem man quasi jede A1 Nummer einfach übernehmen kann.

Womit ALLE über SMS abgesicherten Services (Microsoft, Amazon...) potentiell gefährdet sind. Denn die Handynummer irgend eines Kleingewerblers herauszufinden ist trivial. Und dass die meisten Passwörter der Menschen für'n Hugo sind ist bekannt. Womit man mit etwas (Social)Engineering relativ easy in viele Webservices einbrechen konnte. Weil der 2. Faktor de facto nicht existierte.

+ Anruf natürlich

Gibt ja auch Leute sich zb vom MS Authenticator anrufen lassen

da macht man ja nicht mehr als abheben...oder noch # drücken ? weiß nimmer
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Bitte sein nicht so aggressiv. Das nervt.

Schneeflöckchen hat heute in einem Bett von Mimosen geschlafen und ist deshalb so extraempfindlich? DAS NERVT!

natürlich lag in dem Fall der "Hauptfehler" beim Kunden.

EINER der BEIDEN Hauptfehler

Weil der 2. Faktor de facto nicht existierte.

bei einer Hendiapp ist der 2. Faktor immer komplett weg. Weil dann sind ALLE Rechte in EINER Hand. Ich halte das sicherheitstechnisch für den größten Unsinn überhaupt.

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

naja, wenn mir wer jemand meine Nummer unterm Hintern wegzieht, bemerke ich das zb nicht umgehend. Ich verwende die zwar kaum als 2. Faktor und meine Kennwörter sollten alle sicher sein, aber so 100% kann man da nie sein.Verdächtig wäre zb irgendeine Passwortwiederherstellung. Aber ich vermute mal, nur mit meiner Nummer wäre halt ein wenig Unfug drin, kein größerer finanzieller Schaden.

Wenn nicht App oder TAN Generator...was ist dann die Alternative ? Wenn du dir SMS zuschicken lässt, brauchst ja weiterhin ein Gerät mit SIM die sie empfängt. Seh da keinen besonderen Mehraufwand, außer eben bei Generatoren die man noch extra benötigt.
Banking an sich findet bei mir ohnehin zu 100% am Mobile statt, da kann ich direkt in der App signieren und fertig, Aufwand 0. Lgon und signieren per Fingerabdruck
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

> Fazit: mit "Hirn" durchs Leben gehen und due bist weiterhin sehr safe unterwegs

Najo net bös sein, aber die Vollhonks in den Führungsetagen der betroffenen Buden die irgendwelche Werbe-Mails auf Telegram-Scammer-Niveau abnicken und die Kundschaft dadurch daraufhin konditionieren jeden Scheiß anzuklicken sind auch net unbedingt besser. Oder die BA mit ihren "Hinweismeldungen" (za wos?) in komplett entstelltem Deutsch/Englisch.

die Vollhonks in den Führungsetagen der betroffenen Buden die irgendwelche
Werbe-Mails auf Telegram-Scammer-Niveau abnicken

Da hast du bedingt recht. Aber jede halbwegs vernünftige Bank schickt dir per MAil NUR die NAchricht "sie haben eine neue Nachricht in ihrer Banking-Postfach, bitte loggen sie sich ein"
Und das macht man dann eben, direkt, auff der Bankenseite, ned per link.

Wer was anderes macht, sollte das Internetz eh ned nutzen, weil zu blöd dafür. Der stellt dann dann auch die Goldbarren im Müllsack vor die Tür, weil ihm ein Anrufer erklärt, dort wären sie sicherer als im Safe oder auf der Bank.
OUPS, das machen Leute ja!!!

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

> Aber jede halbwegs vernünftige Bank schickt dir per MAil NUR die NAchricht "sie haben eine neue Nachricht in ihrer Banking-Postfach, bitte loggen sie sich ein"

Wie'st richtig sagst: Vernünftige Bank. Und was ich schon an Schund bekommen hab (Kreditkartendreck) würde überall anders als Spam geflaggt werden. Beim letzten Gespräch mit der Betreuerin gab's da einige lustige Ausdrücke ihrerseits.

> Wer was anderes macht, sollte das Internetz eh ned nutzen, weil zu blöd dafür.

Auf die Gefahr dass ich mich wiederhole, aber: Wenn schon "halbwegs vernünftige" Institutionen mit so einem Dreck um sich werfen gibst den Leuten halt auch eine Steilvorlage für so einen Pfusch.

und um es hart auszudrücken...man ist auch idiot gezwungen "das Internet" zu nutzen. Bei vielen alltäglichen Dingen ist man ja quasi ohne Internet, Smartphone und digitalen IDs quasi aufgeschmissen, alternativlos oder eben höchst ungemütlichen Prozessen ausgesetzt
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

passend dazu:

https://www.derstandard.at/story/2000139018285/app-statt-sms-bank-austria-dreht-sms-tans-fuer-online?utm_term=Autofeed&utm_medium=Social&utm_source=Facebook#Echobox=1663021399

weg damit :D

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

weg damit

womit?

Wenn du die BA meinst, bin ich bei dir

Weg mit SMS TAN...aber wenn damit mein Kredit auch obsolet wäre, dann gern auch die BA
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

aber wenn damit mein Kredit auch obsolet wäre, dann gern auch die BA

"Hauptkritikpunkt bleibt, dass hier sowohl die Transaktion als auch der zweite Faktor am selben Gerät erfolgen, also keine klare Trennung besteht."

Noch dazu in der selben App. Bravo, Bank Austria.

(Kann man das eigentlich von vornherein als grob fahrlässiges Verhalten der Bank feststellen? Das würde die Diskussion im Schadensfall abkürzen.)

Gesichtserkennung und ein gemerktes Passwort sind auch am gleichen Schädel und sind trotzdem 2 Faktoren

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

1. stimmt ned
2. is a Schaß

SMS als 2FA ist nur im privaten banking abgeschafft. Da hab ich jetzt eine deppate App, wo ALLES zusammenrennt, auf einem Gerät. Sicherheit, wenn Gerät verloren: NULL

Als Business-Kunde hab ich weiterhin SMS als 2FA. Ich steig nur mehr übers Business-Portal ein und wechsle dann ins Private-Produkt. Dann kann ich ganz normal mit SMS zeichnen. VIEL angenehmer als über die Deppen-App

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

Da hab ich jetzt eine deppate App, wo ALLES zusammenrennt, auf einem Gerät.

Wenn man sein Online-Banking partout auf dem mobilen Endgerät machen muss. Ich hab nur die 2FA-App installiert. Genaugenommen ärgert mich da nur, dass es da keinen übergreifenden Standard gibt und jede Bank ihr eigenes Ding macht, so dass ich zwei brauche.

Sicherheit, wenn Gerät verloren: NULL

Die 2FA-App ist nochmal durch eine Pin gesichert. Und um damit was anfangen zu können, müsste man neben dieser Pin auch noch die Zugangsdaten des zugehörigen Onlinebankings kennen. Das ist im Handling unglaublich umständlich, soweit bin ich bei Dir. Aber "Sicherheit: NULL" würde ich es nicht nennen.

Ich hab nur die 2FA-App installiert.

Soweit ich das aus dem verlinkten Artikel verstanden habe, ist das bei der BA die selbe App wie das Online Banking. Du wirst damit gezwungen, die Banking App zu installieren.

Ich habe von meiner Bank auch eine separate Authentifizierungs-App, die ich verwende. Den Bank-Login mache ich auf anderen Geräten im "privaten" Browserfenster. Banking-App habe ich keine installiert.

Aber wie bereits erwähnt, das scheint bei der BA anders zu sein.

Soweit ich das aus dem verlinkten Artikel verstanden habe, ist das bei der BA
die selbe App wie das Online Banking. Du wirst damit gezwungen, die Banking
App zu installieren.

Das ist dann aber streng genommen auch kein 2FA mehr, es sei denn, sie nutzen dann eine PIN _und_ ein biometrisches Merkmal. Denn der Besitz des Geräts zählt nicht mehr als zweiter Faktor, wenn es dasselbe ist, auf dem man gerade seine Transaktionen durchführen will.

der Besitz des Geräts zählt nicht mehr als zweiter Faktor, wenn es dasselbe
ist, auf dem man gerade seine Transaktionen durchführen will.

Sehe ich auch so. Werde mal meine Liebste interviewen, die ist noch bei dem Laden.

Werde mal meine Liebste interviewen, die ist noch bei dem Laden.

Schon gemacht? Und wenn ja, kam dabei was verwertbares rum?

doch, wenn man weiß was 2 Faktor bedeutet
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

wenn man weiß was 2 Faktor bedeutet

hmmm

den Identitätsnachweis eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren).

Alle Komponenten sind: ein Hendi

du bist dran

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

Die Definition ist eine andere. Eine Kombination folgender Donge

Etwas das man weiß
etwas man hat/besitzt
etwas das man ist

man meldet sich per Verfüger/Pin an und gibt zb mit generierten TANs Aufträge frei.

Weiteres Beispiel: Laptop mit Softtoken am Gerät für VPN Einwahl. Kein Mensch jammert da herum das da ja alles am gleichen Gerät stattfindet.

Aber wems auf dem Handy zu unsicher ist, Generatir extra nehmen.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Etwas das man weiß
etwas man hat/besitzt
etwas das man ist

das Hendi ist ALLES in einem und ich brauch genau 1x am Bildschirm tippen

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

2 mal mindestens und das du dein login per Biometrie machst ist deine Entscheidung, nicht die der Bank.
+ das Gerät ist ja meist gesperrt, das muss man auch erst überwinden. Weiters gibts ja auch Appsperren die man ebenfalls nutzen kann.
Du sagst ja ständig, die Leut sollens Hirn einschalten, dann mach das doch gleich selbst und nutze all die Sicherheitsfeatures die möglich sind.

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Du sagst ja ständig, die Leut sollens Hirn einschalten, dann mach das doch
gleich selbst und nutze all die Sicherheitsfeatures die möglich sind.

RICHTIG!!!!
Nicht ALLE sicherheitsrelevanten Parameter auf EINEM Gerät zusammenlaufen lassen. Ist das für dich so schwer zu verstehen?

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

was war denn dann bitte bei SMS in Verbindung mit Mobile Banking anders ? Und dann nimm doch einfach den Generator, dann hast deine 2 Geräte.
Und es ist trotzdem MFA.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

was war denn dann bitte bei SMS in Verbindung mit Mobile Banking anders ?

BAnking am PC, SMS am Hendi - DAS sind 2 völlig unabhängige Geräte!
Denn Banking am Hendi konnte ich ja weglassen, mußte ich nicht aktivieren.
Jetzt brauch ich aber die blöde, alles könnende App um meine Aufträge am PC zu zeichnen und versau mir damit mein Hendi mit Superpower. DAS ist definitiv NICHT sicherer, wenns Hendi abhanden kommt.

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

komm zur ersten Bank, da sind es zwei unabhängige Apps.

Ist bei der Bank Austria genauso. Und bei Hello und Bawag ebenso.

Bei der BA ist dafür das ganze OB einfach nur sch....

Ist bei der Bank Austria genauso.

Blödsinn!

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

ich weiß, daß es dort 2 Apps sind

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

andere Bank, TAN Generator. Die Alternativen sind da.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

die BACA ist für mich alternativlos

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

SCNR: das klingt ja schon fast so, als würde dich keine andere Bank mehr nehmen

aktuell tät sich jede Bank um mich reissn

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

also ich habs Konto und Kredit dort, bislang keinerlei Probleme. Ergo wird auch nicht gewechselt. Dazu müsstens die Kontoführung teurer und das Filialnetz kleiner machen.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Jedem sein Fetisch! Die einen stehen drauf ihr Zumpfi in einen Mixer zu halten, die anderen gehen halt zur BACA.

dann aber doch lieber BACA

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

Dann https://www.bankaustria.at/cardtan.jsp
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

interessant.
werd nachfragen

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

das is jetzt wieder so n Punkt.....ich hab zb keinen persönlichen Betreuer mehr. Anfragen via App werden aber brauchbar beantwortet.

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

die BACA ist für mich alternativlos

Bist du Gemeindebediensteter mit Zwangskonto bei der Z?

ned ganz, aber die gebotenen Konditionen sind für mich alternativlos.

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

Ich hab nur die 2FA-App installiert.

bei der ERSTEN sind das 2 Apps, bei der BACA aber ist es nur EINE, die dann eben ALLES erlaubt.
Wie das bei ING, N26 oder EASY ist, weiß ich nicht.

Die 2FA-App ist nochmal durch eine Pin gesichert.

ja, den Hendipin bzw Fingerabdruck/Gesichtserkennung

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

Sicherheit, wenn Gerät verloren: NULL

Stimmt nicht. Erstens sind alle Handys heutzutage mit Pin Codes, Fingerabdruck- oder Gesichtsscanner abgesichert. So leicht kommt man also gar nicht erst zur App. Zweitens ist die App selbst auch nochmal mindestens mit PIN abgesichert.

Generell richtig! Bei der Hello (jetzt BAWAG) auch so umgesetzt.

Bei der B~A muss ich mich aber NICHT (oder nur alle heiligen Zeiten) bei der App selbst anmelden.

Mir erscheint aber die Diskussion schräg - wenn ich einen Key Generator verliere, bin ich genauso im A... wie wenn ich mein Handy verliere.

also ich hab die BA App und muss mich JEDES Mal in der App authentifizieren wenn ich sie öffne und eben das übliche alle max 90 Tage im onlinebanking via TAN. Es spielt keine Screenshots und keien Vorschau im Taskmanager etc

Handy verlieren ist halt unbequem, endlich sind wir das Problem der verlorenen Kontaktdaten los (wer nicht mit de Cloud synct, selber schuld) und jetzt hat man x Apps die alle auf eine Gerätebindung bestehen. Ein Wechsel des Gerätes ist halt mit einem zusätzlichen Schritt erledigt, bei Banking eben eine TAN das man das Gerät jetzt ändert....aber wenns verlustig geht, ist man schnell wieder bei "wir schicken ihnen einen Brief zu" angelangt
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

... nachdem nun schon seit ca. 10 Jahren gewarnt wird, dass mobile Tan unsicher ist sollen die Leute die Apps verwenden ... die ... richtig ... ebenfalls keine Sicherheit bieten.

Schauen wir den Tatsachen ins Gesicht - unsere Banken sind unfähig.
Die wenigen sicheren Systeme die es gibt, werden abgelehnt.

Papier-TAN waren sicher
Die Digitale Unterschrift mit der e-Card war sicher
Die Unterschrift mit den Bar-Code Scanner wäre sicher.

Aber unsere Banken und der Staat promotet viel lieber die Methoden, welche keine Sicherheit bieten können.

Die Unterschrift mit den Bar-Code Scanner wäre sicher.

Wasn das?

Leute, installiert die Apps oder besorgt euch TAN Generatoren eurer Bank.

Würde ich sofort machen, wenn die Schrott-Apps auch ohne Google Play Services lauffähig sind oder gerootete Geräte nicht von Haus aus als unsicher eingestuft werden. So habe ich leider kein kompatibles Gerät im Haus.

Und TAN-Generatoren o.ä. würde ich sofort nutzen, bietet meine Bank aber nicht an.

Manchmal vermisse ich die alten TAN-Papierlisten...

Die Listen sind schon ewig passe. Kauf halt ein zusätzliches Handy oder wechsle die Bank.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Klar, ich werde mir ein weiteres Endgerät kaufen, das dann voll mit Bloatware ist, seit Monaten oder Jahren keine Updates bekommt und über das ich absolut keine Kontrolle habe. Das ist dann natürlich sichererer

Es wäre alles so einfach mit TOTP, aber das erlaubt der Gesetzgeber ja aus dem gleichen Grund nicht mehr, weshalb wir keine Papierlisten mehr haben. Fortschritt ist das so leider keiner. Aber womöglich DAU-freundlicher...

Damit wirst dich einfach abfinden müssen.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Wenn du das ganze Handy unsicher machst, indem du es rootest, wirst du klarerweise Probleme haben, darauf Sicherheits-Apps zu betreiben.

rooten hat absolut nichts mit unsicher zu tun.

Ich mache mein Gerät unsicher, weil ich die volle Kontrolle darüber habe, was darauf läuft? Du hast nicht verstanden, worum es geht.

Fun Fact: Mein Handy hat wenigstens aktuelle Sicherheitsupdates. Geräte die seit fünf Jahren keine Updates mehr sehen, werden hingegen als "sicher" eingestuft. Muss man nicht verstehen

Selbstüberschätzung kann auch ein Risiko sein.

tja, die telekomprovider waelzen halt immer alles auf andere ab. ich erinnere mich an einen oesterreicher, den in spanien in einer disko sein handy gestohlen wurde, er es drei stunden(sic) spaeter sperren lies und da war schon 1000 stunden damit telefoniert worden. feature der telekom das sim karten geclont und gleichzeitig verwendet werden koennen (und das bei privatkunden).

zum thema, auf so ein phishing reinfaellt, der liest einem “bankmitarbeiter” auch den tan vor. persoenlich bin ich der meinung das mobile bankings wesentlich aicherer sind als web bankings, weil der kunde auf seinem mobile gerät kein admin ist.

https://forum.geizhals.at/t904613,8126197.html#8126197

Sprich mit dem Kollegen über dir. Der glaubt dir nicht!

Ich bin halt der Meinung, dass MFA zusätzliche Sicherheit bringt. Und daher setze ich keine Transaktionen vom Handy ab sondern verwende es nur als 2. Faktor.

Weil Deine Aussage einfach pauschal ist.
Pishing Opfer helfen selber sehr brav mit, betrogen zu werden.

Leute wie Patrick Star sollten das vielleicht nicht machen, denn die wissen nicht was sie tun.
Wenn man weiß was man macht, ist das kein Problem.

Klar, wenn man nur iPhones hat, weiß man nicht wie toll das ist, keine Beschränkungen auf dem EIGENEN Gerät zu haben.

Ich gehe davon aus, dass 90% der Geräte von Unwissenden gerootet werden, um sich gefährlichen Blödsinn zu installieren. Die verbleibenden 10% würde ich als Bank ignorieren. Die haben halt Pech gehabt.

Die Bank überprüft aber auch nicht die Sicherheit meines PCs oder Notebooks oder ob ich über ein offenes fremdes WLAN verbinde oder auf einen komplett fremden PC.

Die Bank überprüft auch nicht das Alter und den Updatestatus meines Mobiltelefones.

Also tausendmal mehr Security Issues als ein gerootetes Smartphone von jemanden der auf sein Gerät achtet und nicht jedes Banner bestätigt.

ist eine entscheidung der jeweiligen bank ob sie es zulaesst ob ihre mobile app auf gerooteten devices laeuft. fuer den otto normalverbraucher gibt es defakto keinen grund mehr sein device zu rooten.
oder was machst du so tolles mit deinem bada das du es rooten musst?

Die Bank überprüft auch nicht das Alter und den Updatestatus meines
Mobiltelefones.

Sie könnte es und würde es verdammt gerne tun. Mein Handy muss gepached sein, sonst komm ich zB nicht in die Firma. Aber bei Millionen von Endgeräten kannst du das vergessen. Da schließt du 50% der Bankkunden plötzlich aus.

https://www.kaspersky.de/blog/android-root-faq/13229/

Mehr als 7% der Andoiden weltweit sind gerootet. Denkst du, dass so viele Menschen auf der Welt eine Ahnung haben, was Android ist und wie seine Sicherheitsarchitektur aufgebaut ist und wirkt?

Und die restlichen Argumente sind Whataboutismus. Gurtenpflicht ist sinnlos, solange man 180 fahren kann? Dass man Windows und die 1000 Browser nicht sicher bekommt, ist jedem bekannt.

Denkst du, dass so viele Menschen auf der Welt eine Ahnung haben, was Android
ist und wie seine Sicherheitsarchitektur aufgebaut ist und wirkt?

Das ist ja deren Problem.
Wenn einer nicht weiß was er tut, ist vielleicht sein Konto leer.
Wenn einer auf Pishing reinfällt ist sein Konto ebenfalls leer.

Whataboutismus

da ich nicht das Thema wechsle, kann es kein Whataboutism sein.
Gurtenpflicht hat übrigens schon viele Leben gerettet.

Dass man Windows und die 1000 Browser nicht sicher bekommt, ist jedem bekannt.

eben, also warum wird Windows Clients nicht verboten zu connecten?
Warum für die 7% eine extra Prüfung reinprogrammieren?

Warum für die 7% eine extra Prüfung reinprogrammieren?

Weil du versuchen solltest, alles dem Kunden „zumutbare“ zu tun, das einfach ist und wenig kostet. Die Überprüfung, ob ein Device gerootet ist, ist ein minimaler Aufwand. Kann jedes Framework. Und schon hast du 6% vor einem gröberen Unglück bewahrt.

Whataboutismus ist, wenn du die ewige Baustelle Windows & Browser nutzt, um simple Security Vorgaben auf Android zu ignorieren.

und meine Meinung ist: entweder die Bank kümmert sich um alles oder um gar nichts.

Die letzten Pishingopfer die ich via orf.at mitbekommen habe, hatten kein gerootetes Handy, sondern sind auf die ganz altmodische Art drauf reingefallen.

letzten Pishingopfer die ich via orf.at mitbekommen habe, hatten kein
gerootetes Handy, sondern sind auf die ganz altmodische Art drauf
reingefallen.

"gute" alte Deppensteuer - und sonst gar nix

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

Klar, wenn man nur iPhones hat, weiß man nicht wie toll das ist, keine
Beschränkungen auf dem EIGENEN Gerät zu
haben.

die einzig negative Einschränkung, die mir auffällt: mp3 als Klingenton, das ist ein Problem. So wie generell MP3s einfach so aufs Eierfon zu schieben.

Aber sonst???

mfg
AVS

aus gegebenem Anlaß: keine Toleranz für Vladolph Putler!

Das ist halt Benutzerabhängig.
Ich brauch viel mehr, was mir die Android 12 Security Settings nicht erlauben.

und was? fake gps um deine frau beim family tracking zu be*PIEP*? 😅

Lass hören! Jetzt lauscht die Welt gespannt!

sitz auch schon mit popcorn, cola und 3d brille 😅

Ich hab mir ein Craft Beer aufgemacht und die Katze am Schoß! Das wird sicher interessant!

Du weißt vermutlich nicht, was Android kann aber verbietet.
Somit ist das recht wenig interessant für andere.

Schon WLAN automatisiert zu deaktivieren/aktivieren verbieten Dir die Settings.
Ich darf seit A12 auch nicht mehr mit einer weiteren App auf den Wallpaper Folder der nextcloud App zugreifen, da jede App seinen Ordner hat und andere Apps nicht mehr hindürfen.

und noch paar mehr Sachen die mir eine komplette automatisierung verbieten.

Aber ja, das verstehen wohl nur Menschen die ihr Handy auch wirklich sinnvoll benutzen möchten.
Wenn euch als Grund nur ein illegales Stalking von Personen einfällt, seid ihr wohl weit weg davon.

Das ist aber eh voll in Ordnung, wenn man sein Smartphone nur zum telefonieren und zum authen ins OB verwendet, aber dann sollte man nicht über andere lästern.

Samsung Bixby Routine? Oder irgend eine andere Automatsisierungsapp?

Und der Zugriff auf fremde Daten geht nicht - oh welch Wunder!!!

Selbst als Laie habe ich geschafft, im Google Maps in der laufenden Navigation die aktuell erlaubte Höchstgeschwindigkeit aus einer anderen App einzublenden. Ohne zu rooten.

Und der Zugriff auf fremde Daten geht nicht - oh welch Wunder!!!

es hat bei Android 11 noch funktioniert und es sind immer noch MEINE Daten.
Und wenn ich einer App erlaube, auf den Storage zuzugreifen ist das immer noch meine Entscheidung.

Ich benutze nix von Samsung.
https://play.google.com/store/apps/details?id=com.llamalab.automate

Das Ergebnis von „meine Entscheidung“ heißt Windows. Alles is möglich, nix is fix und jeder ein selbsternannter Experte wie du.

Aber ich verstehe deine Begründung.

Und folgendes sehe ich vorm geistigen Auge: Irgendwann knallt es und ein Kunde hat viel Geld mit dem Handy verloren. Arbeiterkammer unterstützt ihn im Prozess gegen die bösen Bankster.

Der Richter fragt die Bank: Und, was haben sie für Sicherheitsmaßnahmen am Gerät durchgesetzt, um ihre Kunden (vor sich selbst) im Sinne der DSGVO und anderer Gesetze zu schützen?

Bank: Unser Berater Herr DrDr Tuxtux (der mit seinem kompletten privaten Vermögen haftet) hat uns geraten, NICHTS zu tun. Denn 3% der Kunden würden Sicherheitsmaßnahmen nicht akzeptieren, weil sie ohnehin genauestens zu wissen glauben, was sie tun. Und die soll man schließlich nicht vergrämen und benachteiligen.

18.09.2022, 14:32 Uhr - Editiert von Paulas_Papa, alte Version: hier

eigentlich sag ich genau das Gegenteil.
Sie sollen alles schützen nicht nur ob ein Android gerootet ist, weil es einfach zum umsetzen ist, wie du geschrieben hast.

Die Banken machen auf so super sicher, weil sie Handys auf gerootet prüfen, während nebenbei Menschen per Telefon und SIM Karten Betrug um ihr Geld gebracht werden.

Die Bank kann nur das absichern was auch wirklich in ihrer Hand liegt

I sags immer weider, dann nimtm man eben ein Banking Gerät und fertig.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung