iTAN vs Elektronik...

On Fri, 26 Aug 2022 07:37:04 +0200, Thomas Prufer wrote:
On Thu, 25 Aug 2022 23:01:43 +0200, Volker Bartheld <news2022@bartheld.net
wrote:
Volker,
muß jetzt noch kurz eine Erbschaftsangelegenheit regeln. Da ist offenbar
ein nigerianischer Adeliger in die ewigen Jagdgründe eingegangen und die
Witwe braucht mich dringend als Finanzmanager.
Du auch?

Ja, eh. Nachdem mein Penis mit all dem Gratis-Viagro jetzt schon ca.
150cm lang ist, brauche ich Kohle um den freundlchen Support-Inder zu
bezahlen, der mir die Viren vom PC kratzt. Da kommt eine fürstliche
Courtage für Maklerarbeiten gerade recht.

Bei mir kam mal sowas an: Erbe in Spanien, usw usf.
Aber nicht als Email -- hat ja jeder -- sondern per Post, auf Papier, mit echter
Briefmarke, aufgeklebt auf einen Umschlag und so. Die Rentabilität hab ich nicht
verstanden...

Für einen geglückten Coup kannst Du 1\'000 nigerianische Kinder 365 Tage
lang Briefmarken kleben lassen.

Volker,
macht jetzt schnell die Türe auf. Der freundliche Telekom-Ranger ist
grad da und will mir Terabit-ZVXXL-DSL verkaufen.

https://www.ranger.de/ueber-ranger/referenzen/telekom-1
https://telekomhilft.telekom.de/t5/forums/searchpage/tab/message?q=ranger
 
On Fri, 26 Aug 2022 10:08:16 +0200, Hergen Lehmann wrote:
Am 25.08.22 um 22:49 schrieb Thomas Einzel:
Die Tendenz ist klar, die Dummen bestimmen was passiert und alle müssen
mit den Nachteilen leben.
Das ist leider die logische Konsequenz, wenn alle Menschen unabhängig
von ihrem Bildungsstand gleichberechtigt am Wirtschaftsleben teilhaben
sollen...

Die Folgerung ist weder logisch noch konsequent. Sie entsteht aber
zwangsläufig in einem Gesellschaftssystem, welches Sicherheit deutlich
vor Freiheit positioniert, seine angeblich mündigen Bürger entmündigt
und jegliche Abwesenheit gesunden Menschenverstands in potentiellen
Schadensersatzklagen vor Gericht Erfolg hat. Das ist natürlich für all
diejenigen, die im Windschatten dieser Angstkultur mitschwimmen, ein
überaus lukratives Geschäftsfeld, weswegen auch langfristig kaum eine
Kursänderung erfolgen wird.

Ich kann außerdem nicht so ganz nachvollziehen, wieso man 99.99% der
Bevölkerung mit Sicherheitsfetisch gängelt und damit immense
volkswirtschaftliche Kosten generiert, anstatt den Aufwand in die
Verfolgung der (hoffentlich) 0.01% Verbrecher zu investieren.

Mich hat mal eine Arschgeige namens \"Markus Brunner\"
(markusbrunner.68@t-online.de) in diesem tragischen DSLR-Forum
(https://www.dslr-forum.de/) um den durchaus erheblichen Geldbetrag von
250€ geprellt. Konkret ging es dabei um ein fotografisches Objektiv
(ein 105mm F/2.8 AF Micro Nikkor), das am 11.06.2013 für 250€ zum
Verkauf stand, von mir nach Erhalt einer DHL-Tracking-ID per
Überweisung bezahlt jedoch nie geliefert wurde. Wie man eine gültige
DHL-ID fälscht, die in meinen Postleitzahlenbereich zeigt, wußte sich
die DHL auch nicht zu erklären. Sie verschwand jedenfalls einige Tage
später im digitalen Nirvana.

Die Telekom wollte sich zu den Personalien des Herrn Brunner trotz
vorliegendem Aktenzeichen wegen gewisser \"Persönlichkeitsrechte\" nicht
äußern: \"Bestandsdaten zur E-Mail Adresse müssen von den
Ermittlungsbehörden bei der für das Bundesland zuständigen Telekom AG,
ReSA abgefragt werden. Wir können Ihnen nicht helfen.\".

Der Forensbetreiber Rüdiger Hofner zeigte sich auch vergleichsweise
unkooperativ, u. A. mit dem Verweis darauf, daß er nicht für die von
ihm gehosteten Inhalte verantwortlich sei. Plötzlich war die
Verkaufs-URL: http://www.dslr-forum.de/showthread.php?t=1280692, die
ich zu Beweissicherungszwecken speichern wollte, nicht mehr abrufbar.
Einen Servercrash mit Rollback habe es gegeben, dabei seien leider
einige Daten verlorengegangen. Kann ja immer mal passieren.

Immerhin rutschte ihm der Spruch raus, ein Revierkommissariat
Aschersleben in Sachsen-Anhalt würde sich ebenfalls mit der
Angelegenheit befassen, und das schon seit geraumer Zeit und
interessanterweise bevor(!) das o. g. Inserat geschaltet wurde.

Die in Berlin ansässige Bank des Begünstigten (Norisbank, IBAN
DE66100777770029486800) ließ sich gar nicht zu einer Aussage mir
gegenüber herab und wollte auch kein Geld zurückerstatten. Der hiesigen
Staatsanwaltschaft ließ sie mitteilen, Herr Brunner hätte unter
falscher Identität ein Konto eröffnet und es nach der Tat maskiert am
Bankautomaten leergeräumt. Ich stelle mir das lustig vor, in der
Filiale aufzutauchen, mit Strumpfmaske über dem Kopf und gefälschtem
Perso ein Girokonto klar zu machen. Aber vielleicht sind die da genauso
kompetent wie die andere Bank mit den Goldbarren.

Schließlich wurde das Verfahren eingestellt, Täter nicht zu ermitteln.

Was lernen wir daraus? Ohne detaillierten Hintergrundcheck machst Du
besser keine Privat(ver)käufe gegen Vorlieferung oder -kasse,
zumindest, wenn es um relevante Beträge geht. Gut wirkt nach meinen
Erfahrungen der Bluff mit \"Bar bei Abholung\" (hätte sich Herr Brunner
wohl reiflich überlegt, mir vielleicht aber auch einen Prügel über die
Birne gezogen) und entsprechende Treuhandverwaltung.

Der Trick mit dem Versand irgendwelcher Ziegelsteine statt echter Ware
und die Rücksendung von wertlosem Müll in der Originalverpackung eines
kostspieligen Produkts an Amazon hat zwar auch schon einen Bart,
scheint aber immer noch prima zu funktionieren. Schätze, daß 90% der
Rezensionen à la \"das Teil ist total Scheiße!\" darauf zurückzuführen
sind, daß der verärgerte Rezensent keine oder total ramponierte
Originalware bekam.

Also wenn ich mal keinen Bock mehr auf redliche Arbeit hätte, ich wüßte
schon, was ich täte. Schafe gibts ja genug und die wollen offenbar
geschoren werden.

Das alte TAN verfahren ahtte uch Vorteile. Man konnte  eine oder wenige
TAN mit nehmen um ggf. im Urlaubbo.ä. eien Überweisung machen zu können.
Beim alten TAN-Verfahren genügte es für den Angreifer, eine einzige TAN
erfolgreich abzuphishen. Bei iTAN mussten es zumindest mehrere sein

TAN-iTAN-mTAN-SmartTAN... Was machst Du, wenn das Opfer durch soziale
Manipulation (oder ARP-Spoofing) auf https://spårkasse.de landet und
dort eine vermeintlich vollkommen unverdächtige Überweisung tätigt? Die
böse Eve in der Mitte schleift einfach den kompletten Traffic bis zu dem
Zeitpunkt durch, wo der Getäuschte seine *TAN im Frontend eingibt und
\"Bestätigen\" drückt.

Natürlich kriegt Letzterer eine SMS auf seinen Schlaufernsprecher, mit
Betrag und Kontodaten des Empfängers. Aber Du glaubst doch nicht im
Ernst, daß jemand, der seine TANs verschlampt, von Zertifikaten nichts
versteht und ein fixfertig installiertes Win10-Tablet vom ALDI benutzt,
die IBAN gegenprüft? Und wenn schon. Wenn es ein Promille nicht tut,
ist das Geschäftsmodell doch bereits lukrativ.

Und wenn man sich die Angriffsvektoren der letzten 10 Ransomwareangriffe
so ansieht...

https://phoenixnap.com/blog/ransomware-examples-types

...., dann ist in 9 von 10 Fällen wieder der Mensch das schwächste Glied
in der Kette. Lobenswerte Ausnahme WannaCry, das ein SMB-Schwäche
ausnutzt - der Benutzer muß also nicht aktiv etwas dazu tun. Allerdings
betrifft das Problem meist nur das Intranet, denn welcher Admin würde
ernsthaft die Ports 137–139 oder 445 nach außen öffnen?

Ergo: PC-Führerschein(prüfung) statt *TAN.

Selbst wenn ich eine Mail auf dem korrekten Informationskanal bekommen
sollte, wo ich mich einloggen soll um dieses und jenes zu tun, klicke
ich _nicht_ auf einen link sondern logge mich über die selbst
eingegebene Adresse ein und überprüfe neben dem SSL Zertifikat den
Sachverhalt.

*LOL*

>> Kann man niemandem beibringen? Dem widerspreche ich.

Dem Widerspruch widerspreche ich. Entschieden. Ich hatte lange Zeit mit
Intenga-Spamprotect-RedIce-Leogic-Ciphre zu tun (bitte selber googeln,
ich bin da jetzt zu faul für) und war an der Entwicklung von Ciphire
Mail beteiligt. Gemanagtes Gratis-Krypto für Jedermann. Hat nicht sollen
sein. Die am häufigsten gehörte Frage (sinngemäß): \"Kann ich dann auch
noch Webmail aus dem weißrussischen Internetcafé machen?\". \'nuff said.

Das haben sämtliche Gewerbetreibende, die irgendwas mit vertraulichen
Daten zu tune haben, auch schon gepeilt. Und deswegen benutzen sie
weder das mausetote S/MIME, das noch totere PGP oder das schon ziemlich
stinkende DE-Mail zur Kommunikation, sondern nötigen ihre Kunden dazu,
auf ihrer proprietären SSL-Website einen proprietären Account
einzurichten, mit 100-Faktor-Authentisierung, Sicherheitsabfrage,
PIN/TAN/SuperTAN, 100 Zeichen langen Superpaßworten mit 14 Tage
Verfallsdatum und Captcha.

Der Kunde benutzt das dann alles auf seinem Smartphone, bündelt es mit
dem Google-Account und trägt die (=sämtliche) Paßworte im Chrome-Browser
ein.

Die Praxis bestätigt leider, das du hier unrecht hast. Phishing
funktioniert besser denn je, und die Mehrzahl der Nutzer klickt blind
auf jeden coolen Link.

Jup. Neulich erst wieder ausprobiert. Die allerbilligste Form von
LetzteMahnung!.pdf.exe und mit Umlautdomains sogar Backspaces über die
URL in einer Mail hatte ich auch grandiosen Erfolg. Manch einem MUA
kannst Du in einem Multipart-Alternative auch zwei unterschiedliche
URLs unterjubeln, wo der User letztlich gar nicht sieht, worauf er
klickt.

Mit WiFi-Spoofing will ich gar nicht erst anfangen...:

https://www.cybertrust-it.com/2021/09/wifi-spoofing/
https://networkradius.com/articles/2021/08/04/wifi-spoofing.html
https://www.lookout.com/blog/spoofed-wifi-60-minutes
https://www.mobitrix.com/iphone-support/weak-security-wifi-iphone.html
https://www.howtogeek.com/204335/warning-encrypted-wpa2-wi-fi-networks-are-still-vulnerable-to-snooping/
http://www.smallnetbuilder.com/wireless/wireless-howto/31914-how-to-crack-wpa-wpa2-2012

Immer noch brandaktuell und die dazu notwendigen SDRs sind inzwischen
echt Schüttgut.

2FA ist zu einer oft unnützen Seuche wie die Cookie Zustimmung auf
Webseiten geworden, Sinn und Zweck mittlerweile oft verfehlt, leider.
Leider hat der Gesetzgeber 2FA vorgeschrieben, so das die Banken nicht
frei entscheiden können, bei welchen Aktionen 2FA Sinn macht und bei
welchen nicht.

Jup.

Volker
 
Helmut Schellong, 2022-08-25 17:28:

Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt.

Das benutzt auf Papier gedruckte TANs.
Diese Freigabe-Nummern auf Papier dürften >100 Jahre lesbar sein.
Sogar ein EMP aufgrund einer Atom-Explosion hat keine Wirkung auf das Papier.

Und was bringt Dir das? Wie wahrscheinlich ist es, dass Du diese TANs in
100 Jahren brauchst oder nach einer Atom-Explosion?

Die iTAN-Liste wird von der Bank generiert und der Kunde erhält eine sichere Kopie davon.
Neben dem Kunden ist _nur_ die Bank damit befaßt.
Die Bank wählt durch Zufall eine Freigabe-TAN aus, die der Kunde korrekt eingeben muß.
Danach ist diese TAN verbraucht.

Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.

Ja - das ist es auch, wenn es korrekt benutzt wird. Dummerweise sind
Leute bequem und speichern TAN-Listen auf ihrem Computer etc. und damit
sind sie dann eben nicht mehr sicher.

[...]
Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.

Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN
und kommt für mich gar nicht in Frage!
Du lieber Himmel - wie kann man so etwas tun?!

Warum? Das ist ein zweiter Kanal - ob da nun eine SMS mit TAN ankommt
oder eine App Dir eine TAN anzeigt, die dann für die Überweisung benutzt
werden soll, macht keinen Unterschied.

Wie genau sollte da ein Angreifer etwas ausrichten können? Er müsste
gleichzeitig den im Browser oder Homebanking-Software erfassten
Überweisungsauftrag modifizieren, bevor er endgültig ausgeführt wird,
ohne dass Du es merkst *und* den zweiten Kanal zu deinem Smartphone
beeinflussen.

photoTAN ist etwa gleich sicher wie iTAN - jedoch weniger robust.


Es wird also Elektronik+Software statt bedrucktem Papier eingesetzt.
Notwendig für mehr Sicherheit ist das gewiß nicht!
Es ist _insgesamt_ eher unsicherer, weniger komfortabel und teurer für den Kunden.

Ich finde es sehr komfortabel - bei Überweisungen bekomme ich am
Smartphone die Überweisung nochmal angezeigt zur Bestätigung und muss
diese mit einer PIN bestätigen, die nur ich kenne. Das dauert nicht
lange und ich muss nicht umständlich TAN-Listen aufheben oder mit einem
zusätzlichen Gerät für ChipTAN oder PhotoTAN hantieren.

> SMS über Mobil-Telefon ist auch so eine Sache.

Warum? Selbst wenn ein Angreifer es schaffen sollte, die SMS abzufangen,
muss er zusätzlich auch noch Man-in-the-Middle zwischen Dir und der Bank
sein, damit Du nicht merkst, dass die vermeintliche korrekte Überweisung
woanders hingeht.



--
Arno Welzel
https://arnowelzel.de
 
Helmut Schellong, 2022-08-25 18:25:

On 08/25/2022 18:17, Wolfgang Martens wrote:
Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager zur Überprüfung zugefaxt.


Das nützt den Empfängern aber nichts, denn die TANs sind nur mit Login
zum richtigen Konto zu nutzen.

Das gilt für Smartphone-Lösungen ebenso.


--
Arno Welzel
https://arnowelzel.de
 
Helmut Schellong, 2022-08-25 23:11:

On 08/25/2022 20:41, Hergen Lehmann wrote:
Am 25.08.22 um 17:28 schrieb Helmut Schellong:

Ich halte daher das iTAN-Verfahren für außerordentlich sicher und
robust.

iTAN hat einen gewaltigen Pferdefuß: Es ist relativ einfach,
Lieschen Müller via \"Social Engineering\" dazu zu bringen, Teile der
Liste preis zu geben. Phishing-Mails der Form \"Dringende
Sicherheitsüberprüfung - klicken sie hier und geben sie ihre
Kontonummer, ihre PIN sowie 10 TANs ein\" waren eine Zeit lang
alltäglich. Bei nur 100 möglichen Alternativen für die Anforderung
einer TAN ist die Wahrscheinlichkeit eines zufälligen Treffers
unter diesen 10 unangenehm hoch.

Wenn alle übermittelten TANs ungebrauchte sind.

Logisch. Der Angreifer fragt natürlich nach \"frischen\" TANs, die noch
nicht benutzt wurden.

Die ING sperrt den ganzen Zugang bei mehrfachen Falscheingaben. Ein
Betrüger braucht Zugangscode, Paßwort, DiBa-Key und TANs. Ich habe
meine Zweifel, daß eine solches erfolgreiches Phishing oft vorkommt.

Da die TAN-Liste von der Bank kommt, ist eine TAN-Nachfrage der Bank
kraß unlogisch.

Das wissen aber manche Bankkunden nicht.

Es geht nicht darum, was Du persönlich als logisch ansiehst, sondern
welche Möglichkeiten ein Angreifer hat. Und \"TAN-Listen in Erfahrung
bringen\" wird halt sehr effektiv verhindert, wenn man sie einfach abschafft.

Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv,
um Phishing zu vereiteln.

Nicht, wenn diese Hardware ein /SmartPhone/ ist! Außerdem ist eine
iTAN-Liste _das_ Stück Hardware.

Der Weg über das Smartphone *ist* sicher genug.

opticalTAN und photoTAN sind hier sicher. Diese Geräte haben mit gar
nichts Verbindung.

Dein Computer, der das Muster zur TAN-Erzeugung anzeigt, aber schon.

[...]
SMS über Mobil-Telefon ist auch so eine Sache.

Ja. Bei einigen Mobilfunkanbietern war/ist es sehr leicht, eine
Zweit-SIM mit Wunsch-Rufnummer sonstwohin schicken zu lassen.

Ja - *war*. Seit das Problem bekannt wurde, hat man das schnell geändert.


--
Arno Welzel
https://arnowelzel.de
 
On 08/26/2022 22:40, Arno Welzel wrote:
Helmut Schellong, 2022-08-25 17:28:

Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt.

Das benutzt auf Papier gedruckte TANs.
Diese Freigabe-Nummern auf Papier dürften >100 Jahre lesbar sein.
Sogar ein EMP aufgrund einer Atom-Explosion hat keine Wirkung auf das Papier.

Und was bringt Dir das? Wie wahrscheinlich ist es, dass Du diese TANs in
100 Jahren brauchst oder nach einer Atom-Explosion?

Normale Semantik verstehst Du offenbar nicht.

Die Alternativen nach Beendigung des iTAN-Verfahrens überstehen _keinen_ EMP!
Das Zerstören jeglicher Elektronik/Elektrik durch einen EMP von sehr weit oben
kann das einzige Ziel sein, oder das Hauptziel.

Und die Alternativen funktionieren maximal nur wenige Jahre ohne Batteriewechsel.
Es kann auch nach nur einem Jahr Kontaktschwierigkeiten zum Display geben.
Und viele weitere Probleme mehr, die es bei Papier als Träger nicht geben kann.
Ganz besonders, wenn die Alternative SmartPhone gewählt wird.

Ich will nur sagen, daß die iTANs auf Papier extrem robust und langzeitig aufbewahrt sind.

Die iTAN-Liste wird von der Bank generiert und der Kunde erhält eine sichere Kopie davon.
Neben dem Kunden ist _nur_ die Bank damit befaßt.
Die Bank wählt durch Zufall eine Freigabe-TAN aus, die der Kunde korrekt eingeben muß.
Danach ist diese TAN verbraucht.

Ich halte daher das iTAN-Verfahren für außerordentlich sicher und robust.

Ja - das ist es auch, wenn es korrekt benutzt wird. Dummerweise sind
Leute bequem und speichern TAN-Listen auf ihrem Computer etc. und damit
sind sie dann eben nicht mehr sicher.

Sabotage/Idiotie ist letztlich eigentlich überall möglich und wirksam.

[...]
Stattdessen sollen iTAN und DiBa-Key nun abgeschafft
und durch SmartPhone-App oder photoTAN ersetzt werden.

Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN
und kommt für mich gar nicht in Frage!
Du lieber Himmel - wie kann man so etwas tun?!

Warum? Das ist ein zweiter Kanal - ob da nun eine SMS mit TAN ankommt
oder eine App Dir eine TAN anzeigt, die dann für die Überweisung benutzt
werden soll, macht keinen Unterschied.

Im Internet und bei Banken ist es weit verbreitet, daß _insbesondere_
SmartPhones eklatant unsicher sind, im Online-Banking Sicherheits-Aufgaben
zu übernehmen.
Beim opticalTAN wurde schon vor langer Zeit sehr deutlich betont, daß ein
dedizierter TAN-Generator als kleines Gerät, das vollkommen unabhängig und mit
nichts Gefährdendem verbunden ist, einzig hohe Sicherheit bietet.

SmartPhones sind der Gipfel der Unsicherheit.
Pure Mobiltelefone sind viel besser, aber weit entfernt vom Optimalen.
Banken verbieten es, ein und dasselbe SmartPhone zum Online-Banking
und zum Empfang einer mTAN zu verwenden.

https://de.wikipedia.org/wiki/Transaktionsnummer#Sicherheit

Wie genau sollte da ein Angreifer etwas ausrichten können? Er müsste
gleichzeitig den im Browser oder Homebanking-Software erfassten
Überweisungsauftrag modifizieren, bevor er endgültig ausgeführt wird,
ohne dass Du es merkst *und* den zweiten Kanal zu deinem Smartphone
beeinflussen.

https://de.wikipedia.org/wiki/Transaktionsnummer#Sicherheit

photoTAN ist etwa gleich sicher wie iTAN - jedoch weniger robust.


Es wird also Elektronik+Software statt bedrucktem Papier eingesetzt.
Notwendig für mehr Sicherheit ist das gewiß nicht!
Es ist _insgesamt_ eher unsicherer, weniger komfortabel und teurer für den Kunden.

Ich finde es sehr komfortabel - bei Überweisungen bekomme ich am
Smartphone die Überweisung nochmal angezeigt zur Bestätigung und muss
diese mit einer PIN bestätigen, die nur ich kenne. Das dauert nicht
lange und ich muss nicht umständlich TAN-Listen aufheben oder mit einem
zusätzlichen Gerät für ChipTAN oder PhotoTAN hantieren.

https://de.wikipedia.org/wiki/Transaktionsnummer#Sicherheit

SMS über Mobil-Telefon ist auch so eine Sache.

Warum? Selbst wenn ein Angreifer es schaffen sollte, die SMS abzufangen,
muss er zusätzlich auch noch Man-in-the-Middle zwischen Dir und der Bank
sein, damit Du nicht merkst, dass die vermeintliche korrekte Überweisung
woanders hingeht.

https://de.wikipedia.org/wiki/Transaktionsnummer#Sicherheit

Dieser Aspekt wurde hier schon mehrfach beantwortet.
Aber bekanntlich liest Du nicht die Threads, sondern steigst quer ein.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
On 08/26/2022 22:40, Arno Welzel wrote:
Helmut Schellong, 2022-08-25 18:25:

On 08/25/2022 18:17, Wolfgang Martens wrote:
Am Do.,25.8.2022 um 17:28 schrieb Helmut Schellong:
Ich habe mich gefreut, daß die ING-Bank bis heute das iTAN-Verfahren nutzt... soll nun abgeschafft und durch eine APP ersetzt werden.
Es haben einfach zu viele Nutzer die Liste dem freundlichen Nachfrager zur Überprüfung zugefaxt.


Das nützt den Empfängern aber nichts, denn die TANs sind nur mit Login
zum richtigen Konto zu nutzen.

Das gilt für Smartphone-Lösungen ebenso.

Ein SmartPhone beim Banking zu benutzen und es zu verlieren, ist prekär.
Ein Verlieren meiner iTAN-Liste würde mich nicht /kratzen/.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
On 08/26/2022 22:48, Arno Welzel wrote:
Helmut Schellong, 2022-08-25 23:11:

On 08/25/2022 20:41, Hergen Lehmann wrote:
Am 25.08.22 um 17:28 schrieb Helmut Schellong:

Ich halte daher das iTAN-Verfahren für außerordentlich sicher und
robust.

iTAN hat einen gewaltigen Pferdefuß: Es ist relativ einfach,
Lieschen Müller via \"Social Engineering\" dazu zu bringen, Teile der
Liste preis zu geben. Phishing-Mails der Form \"Dringende
Sicherheitsüberprüfung - klicken sie hier und geben sie ihre
Kontonummer, ihre PIN sowie 10 TANs ein\" waren eine Zeit lang
alltäglich. Bei nur 100 möglichen Alternativen für die Anforderung
einer TAN ist die Wahrscheinlichkeit eines zufälligen Treffers
unter diesen 10 unangenehm hoch.

Wenn alle übermittelten TANs ungebrauchte sind.

Logisch. Der Angreifer fragt natürlich nach \"frischen\" TANs, die noch
nicht benutzt wurden.

Wie soll ein Idiot, der sich so phishen läßt, wissen, welche \'frisch\' sind?

Die ING sperrt den ganzen Zugang bei mehrfachen Falscheingaben. Ein
Betrüger braucht Zugangscode, Paßwort, DiBa-Key und TANs. Ich habe
meine Zweifel, daß eine solches erfolgreiches Phishing oft vorkommt.

Da die TAN-Liste von der Bank kommt, ist eine TAN-Nachfrage der Bank
kraß unlogisch.

Das wissen aber manche Bankkunden nicht.

Tut mir Leid - Vollidioten.

Es geht nicht darum, was Du persönlich als logisch ansiehst, sondern
welche Möglichkeiten ein Angreifer hat. Und \"TAN-Listen in Erfahrung
bringen\" wird halt sehr effektiv verhindert, wenn man sie einfach abschafft.

Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv,
um Phishing zu vereiteln.

Nicht, wenn diese Hardware ein /SmartPhone/ ist! Außerdem ist eine
iTAN-Liste _das_ Stück Hardware.

Der Weg über das Smartphone *ist* sicher genug.

Da habe ich Zweifel.
https://de.wikipedia.org/wiki/Transaktionsnummer#Sicherheit

Meine Wege sind auf jeden Fall beträchtlich sicherer.

opticalTAN und photoTAN sind hier sicher. Diese Geräte haben mit gar
nichts Verbindung.

Dein Computer, der das Muster zur TAN-Erzeugung anzeigt, aber schon.

Irrelevant.
Der Browser zeigt alle Pixel eines jeden grafischen Musters /blind/ an.
Ein Browser weiß einfach gar nichts darüber.
Das photoTAN-Muster kann auch Bestandteil einer größeren Grafik (<img>) sein.
Und der Browser wüßte das nicht.
Etc.
Nur das photoTAN-Gerät kann inhaltlich etwas damit anfangen.

[...]
SMS über Mobil-Telefon ist auch so eine Sache.

Ja. Bei einigen Mobilfunkanbietern war/ist es sehr leicht, eine
Zweit-SIM mit Wunsch-Rufnummer sonstwohin schicken zu lassen.

Ja - *war*. Seit das Problem bekannt wurde, hat man das schnell geändert.

https://de.wikipedia.org/wiki/Transaktionsnummer#Sicherheit


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/math87.htm http://www.schellong.de/htm/dragon.c.html
 
On Fri, 26 Aug 2022 16:55:56 +0200, Volker Bartheld <news2022@bartheld.net>
wrote:

Für einen geglückten Coup kannst Du 1\'000 nigerianische Kinder 365 Tage
lang Briefmarken kleben lassen.

Ja schon -- aber das war eine Briefmarke aus Spanien, im Bereich von einigen zig
Eurocents!


Thomas Prufer
 
On Sat, 27 Aug 2022 09:27:02 +0200, Thomas Prufer wrote:
On Fri, 26 Aug 2022 16:55:56 +0200, Volker Bartheld <news2022@bartheld.net
wrote:
[Nachlaßbetrug] Für einen geglückten Coup kannst Du 1\'000 nigerianische Kinder 365 Tage
lang Briefmarken kleben lassen.
Ja schon -- aber das war eine Briefmarke aus Spanien, im Bereich von einigen zig
Eurocents!

War sie auch in Spanien abgestempelt? Und selbst wenn. Kann mir schon
vorstellen, daß sich der eine oder andere Niedriglohnagrarsklave da noch
ein paar Euro dazuverdienen will:

https://dieunbestechlichen.com/2020/07/gemuese-und-obst-aus-plastikgarten-europas-ausbeutung-lohndumping-sklaverei-pestizide-genmanipulation-und-umweltverschmutzung-videos/
https://www.oekoreich.com/medium/profitabler-raubbau-bio-gemuese-aus-dem-spanischen-plastikmeer
https://www.topagrar.com/panorama/news/spanien-ordnet-ueberpruefung-auf-ausbeutung-von-erntehelfern-an-12067763.html
https://www.greenpeace.de/biodiversitaet/landwirtschaft/anbau/gestrandet-plastikmeer

Volker
 
Am 27.08.22 um 09:27 schrieb Thomas Prufer:
On Fri, 26 Aug 2022 16:55:56 +0200, Volker Bartheld <news2022@bartheld.net
wrote:

Für einen geglückten Coup kannst Du 1\'000 nigerianische Kinder 365 Tage
lang Briefmarken kleben lassen.

Ja schon -- aber das war eine Briefmarke aus Spanien, im Bereich von einigen zig
Eurocents!

Da hast Du wohl im Vorfeld schon was \"richtig\" gemacht, um
auf die short list zu kommen. ;-)

Gerhard
 
Thomas Prufer schrieb:
Volker Bartheld wrote:
Für einen geglückten Coup kannst Du 1\'000 nigerianische Kinder 365 Tage
lang Briefmarken kleben lassen.

Sollte immer noch viel zu teuer sein. Das Porto kostet ja auch, nicht
nur die Markenkleber. Dazu Papier, Umschläge, Toner...
Email kost fast nix

Ja schon -- aber das war eine Briefmarke aus Spanien, im Bereich von einigen zig
Eurocents!

Vielleicht wars ja echt und du hast durch dein unbegründetes Misstrauen
die Chance liegen gelassen, zum Millionär zu werden!!!
Ach ja. Gelegentlich werden tatsächlich Erben gesucht, wenn ein mehr
oder minder reicher Mensch das Zeitliche gesegnet hat. Und dazu werden
von den Gerichten, nicht nur in Spanien, auch hierzulande, spezielle
Firmen, Erbenermittler, beauftragt, die angeblich in USA, in Sibirien
oder Marokko oder woauchimmer sitzenden Erben ausfindig zu machen - auch
wenns meistens nicht gleich um viele Millionen geht

MfG
Rupert
 
Am 25.08.22 um 22:49 schrieb Thomas Einzel:
Die Tendenz ist klar, die Dummen bestimmen was passiert und alle müssen
mit den Nachteilen leben.

Eigentlich nicht. Es bestimmen aber nicht primär Leute, die in _meinem_
Interesse handeln.


Die meisten Banken sind daher schon vor Jahren davon abgekommen.

Das alte TAN verfahren ahtte uch Vorteile. Man konnte  eine oder wenige
TAN mit nehmen um ggf. im Urlaubbo.ä. eien Überweisung machen zu können.
Bei iTAN musste man die gesamte Lsite einpaken. Kein Sicherheitsgewinn.

iTAN ist _wesentlich_ sicherer als TAN, denn eine per gefälschter
Webseite abgegriffene iTAN ist für alles außer der Transaktion, für die
sie gedacht war, wertlos. Eine einzelne TAN hingegen reicht, um das
Konto zu räumen.


Heute mit der 2 Faktor, Multi Faktor, wie auch immer Authentifizierung
darf man entweder alles Equipment mitschleppen, oder mobil geht gar
nichts.

Das ist der Preis für die Sicherheit.

Super sicher immer alles dabei zu haben. Wer mTAN nutzt und sich
die TANs schlauer weise _nicht_ auf sein Smartphone senden läßt, darf
ein weiteres \"Dumm\"-Mobilfunkgerät mitschleppen und hat die Chance dass
am betreffenden Ort das betreffende Netz nicht da ist, oder man das
andere adegerät nicht mit hat. Alles mit/auf einem Gerät ist natürlich
die absolut \"sicherste\" Art und entspricht in Puncto Sicherheit ungefähr
dem iTAN verfahren und \"die ganze Liste immer mit dabei\".

Alles auf einem Gerät ist unsicherer als iTAN. Ein Trojaner auf den
Gerät genügt, um die Sache auszuhebeln.


Eine App auf SmartPhone ist beträchtlich unsicherer als iTAN

Nein! Die Kopplung an ein Stück Hardware ist sogar extrem effektiv, um
Phishing zu vereiteln.

Phishing zu vereiteln geht am besten durch Wissen, nicht durch die
neuste coole Methode, die in ein paar Wochen ausgehebelt wird.

Graue Theorie.
Einen gut gemachten Phishing-Test dürfte kaum ein normal sterblicher
bestehen, auch IT-Fachleute nicht, so meine Erfahrung.

Selbst wenn ich eine Mail auf dem korrekten Informationskanal bekommen
sollte, wo ich mich einloggen soll um dieses und jenes zu tun, klicke
ich _nicht_ auf einen link sondern logge mich über die selbst
eingegebene Adresse ein und überprüfe neben dem SSL Zertifikat den
Sachverhalt. Kann man niemandem beibringen? Dem widerspreche ich.

Dann registriere ich eine (zertifizierte) Domain mit einem Tippfehler
und warte 10 Minuten...

Marketing \"einfach nur 1x klicken\" ist eher das Problem. Komplexe Sachen
bleiben komplex, auch wenn man sie bunt anmalt.

Eigentlich ist nur die Vernetzung und die daraus resultierende
Geschwindigkeit und Entfernung das Problem. Früher musste Ganoven
zumindest für einige Teilschritte immer irgendwo vor Ort sein. Das ist
immer ein Risiko. Und man konnte nicht so schnell so großen Schaden
anrichten.


> ChipTAN finde ich ok und zumindest zu Hause gut nutzbar.

Angenehm ist es nicht. Notwendig und hinreichend sicher i.a. schon.


2FA ist zu einer oft unnützen Seuche wie die Cookie Zustimmung auf
Webseiten geworden, Sinn und Zweck  mittlerweile oft verfehlt, leider.

2FA ist einfach nur eine Sache von Wahrscheinlichkeit und Aufwand.
Der Aufwand, um 2 Faktoren _gleichzeitig_ zu knacken steigt in erster
Näherung quadratisch. Der Aufwand für den User für 2FA nur linear.

Verbrechen müssen in erster Linie ökonomisch rentabel sein. Ist der
Aufwand zu hoch lohnt es sich nicht mehr. Das ist der primäre
Ansatzpunkt für Sicherheitsmaßnahmen. Es geht niemals darum 100% sicher
zu sein.


Marcel
 
Marcel Mueller wrote:
Einen gut gemachten Phishing-Test dürfte kaum ein normal sterblicher
bestehen, auch IT-Fachleute nicht, so meine Erfahrung.

Mag sein. Wenn es so ist, warum sind dann ausschließlich so extrem
schlecht gemachte im realen Umlauf?

Dann registriere ich eine (zertifizierte) Domain mit einem Tippfehler
und warte 10 Minuten...

Der Eerfolg ist nicht null aber um den Faktor 100 reduziert. (Grobe
Schätzung. Wieviele potentielle Opfer vertippen sich und wieviele auf
genau eine ganz bestimmte Weise?)


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --
 
Marcel Mueller wrote:

Am 25.08.22 um 22:49 schrieb Thomas Einzel:
Die Tendenz ist klar, die Dummen bestimmen was passiert und alle müssen
mit den Nachteilen leben.

Eigentlich nicht. Es bestimmen aber nicht primär Leute, die in _meinem_
Interesse handeln.

Das auch. Man macht es sich aber auch gerne bequem und kassiert ab.

Das alte TAN verfahren ahtte uch Vorteile. Man konnte  eine oder wenige
TAN mit nehmen um ggf. im Urlaubbo.ä. eien Überweisung machen zu können.
Bei iTAN musste man die gesamte Lsite einpaken. Kein Sicherheitsgewinn.

iTAN ist _wesentlich_ sicherer als TAN, denn eine per gefälschter
Webseite abgegriffene iTAN ist für alles außer der Transaktion, für die
sie gedacht war, wertlos. Eine einzelne TAN hingegen reicht, um das
Konto zu räumen.

Das sehe ich noch nicht. Kannst Du das etwas mehr ausführen?

Heute mit der 2 Faktor, Multi Faktor, wie auch immer Authentifizierung
darf man entweder alles Equipment mitschleppen, oder mobil geht gar
nichts.

Das ist der Preis für die Sicherheit.

Super sicher immer alles dabei zu haben. Wer mTAN nutzt und sich
die TANs schlauer weise _nicht_ auf sein Smartphone senden läßt, darf
ein weiteres \"Dumm\"-Mobilfunkgerät mitschleppen und hat die Chance dass
am betreffenden Ort das betreffende Netz nicht da ist, oder man das
andere adegerät nicht mit hat. Alles mit/auf einem Gerät ist natürlich
die absolut \"sicherste\" Art und entspricht in Puncto Sicherheit ungefähr
dem iTAN verfahren und \"die ganze Liste immer mit dabei\".

Funk und Handy haben meiner Ansicht nach nichts in der Nähe meines
Kontos zu suchen.

Graue Theorie.
Einen gut gemachten Phishing-Test dürfte kaum ein normal sterblicher
bestehen, auch IT-Fachleute nicht, so meine Erfahrung.

Dazu müßte zunächst die von mir aufgerufene Webseiten-URL gefälscht
sein. Das verursacht soviel Aufwand, dass es sich kaum rentiert.

Eigentlich ist nur die Vernetzung und die daraus resultierende
Geschwindigkeit und Entfernung das Problem. Früher musste Ganoven
zumindest für einige Teilschritte immer irgendwo vor Ort sein. Das ist
immer ein Risiko. Und man konnte nicht so schnell so großen Schaden
anrichten.

Ist es nicht so, dass die meisten Schäden noch immer durch social
engineering angerichtet werden (Im persönlichen Bereich)? Kürzlich
kam in RTL eine Sendung über nigerianische Lover Boys. Es war
schon tragisch, wie sich die gezeigten Witwen ihr Geld abnehmen
liessen.

Verbrechen müssen in erster Linie ökonomisch rentabel sein. Ist der
Aufwand zu hoch lohnt es sich nicht mehr. Das ist der primäre
Ansatzpunkt für Sicherheitsmaßnahmen. Es geht niemals darum 100% sicher
zu sein.

So ist e, wohl.

Grüße,
H.
 
Hallo Axel Berger,

Du schriebst am Sat, 27 Aug 2022 19:24:17 +0200:

Schätzung. Wieviele potentielle Opfer vertippen sich und wieviele auf
genau eine ganz bestimmte Weise?)

Alle, die die Web-Seite per Link aufrufen. Also die weitaus
überwiegende Mehrzahl.

Unddazu kommt noch, daß der _Text_ des Links und dessen _Inhalt_ nichts
miteinander zu tun haben. Und wer schaut sich schon bei einem Link an,
was der Browser ggfs. am unteren Fensterrand als Link-Ziel anzeigt?
Falls der (oder evtl. auch der Mail-Editor oder gar ein PDF-Reader) das
_überhaupt_ anzeigt.)

--
(Weitergabe von Adressdaten, Telefonnummern u.ä. ohne Zustimmung
nicht gestattet, ebenso Zusendung von Werbung oder ähnlichem)
-----------------------------------------------------------
Mit freundlichen Grüßen, S. Schicktanz
-----------------------------------------------------------
 
Am 27.08.2022 um 17:42 schrieb Marcel Mueller:
Am 25.08.22 um 22:49 schrieb Thomas Einzel:
Die Tendenz ist klar, die Dummen bestimmen was passiert und alle
müssen mit den Nachteilen leben.

Eigentlich nicht. Es bestimmen aber nicht primär Leute, die in _meinem_
Interesse handeln.

Es ist natürlich richtig dass nicht die Dummen bestimmen, sondern die,
die versuchen es den Menschen mit mangelndem Wissen scheinbar einfach zu
machen und dabei Nachteile für viele andere schaffen. Das ist aber
offenbar für die Mehrheit ok.

Die meisten Banken sind daher schon vor Jahren davon abgekommen.

Das alte TAN verfahren hatte auch Vorteile. Man konnte eine oder
wenige TAN mit nehmen um ggf. im Urlaub o.ä. eine Überweisung machen
zu können. Bei iTAN musste man die gesamte Liste einpacken. Kein
Sicherheitsgewinn.

iTAN ist _wesentlich_ sicherer als TAN, denn eine per gefälschter
Webseite abgegriffene iTAN ist für alles außer der Transaktion, für die
sie gedacht war, wertlos. Eine einzelne TAN hingegen reicht, um das
Konto zu räumen.

Wie setzt man mit einer TAN das Limit herauf und räumt gleichzeitig das
Konto ab? Aber ich schrieb \"eine oder wenige TAN\", ok stimmt.
Allerdings benötigt man zum Ändern des Limits mehr Angaben als nur
Kontonummer, Pin und TAN.

Den nur historischen Hinweis, dass man bei iTAN immer die gesamte Liste
mitnehmen muss - was ich für noch unsicherer halte - hast du sicher
gelesen, aber für nicht relevant befunden. Bei der gesamten Liste steigt
das IMO Risiko.

Heute mit der 2 Faktor, Multi Faktor, wie auch immer Authentifizierung
darf man entweder alles Equipment mitschleppen, oder mobil geht gar
nichts.

Das ist der Preis für die Sicherheit.

IMO wird es dadurch unsicher oder:

Ich bin aus eigenem Entschluss praktisch nicht in der Lage _mobil_
Überweisungen am Rechner zu tätigen, weil ich nicht den ganzen
Krimskrams mit mir herum schleppe, aus Sicherheitserwägungen.

Super sicher immer alles dabei zu haben. Wer mTAN nutzt und sich die
TANs schlauer weise _nicht_ auf sein Smartphone senden läßt, darf ein
weiteres \"Dumm\"-Mobilfunkgerät mitschleppen und hat die Chance dass am
betreffenden Ort das betreffende Netz nicht da ist, oder man das
andere Ladegerät nicht mit hat. Alles mit/auf einem Gerät ist natürlich
die absolut \"sicherste\" Art und entspricht in Puncto Sicherheit
ungefähr dem iTAN verfahren und \"die ganze Liste immer mit dabei\".

Alles auf einem Gerät ist unsicherer als iTAN. Ein Trojaner auf den
Gerät genügt, um die Sache auszuhebeln.

Ja, genau das machen aber leider viele Leute, sie haben nur ein
Smartphone und nur eine Rufnummer. Damit wird es nach deinen Worten
sogar noch unsicherer als iTAN. Kein Sicherheitsgewinn.
....
Phishing zu vereiteln geht am besten durch Wissen, nicht durch die
neuste coole Methode, die in ein paar Wochen ausgehebelt wird.

Graue Theorie.
Einen gut gemachten Phishing-Test dürfte kaum ein normal sterblicher
bestehen, auch IT-Fachleute nicht, so meine Erfahrung.

(A)* Nie auf entsprechende links zu klicken und bei entsprechenden
Anrufen einfach aufzulegen halte ich für mündige Menschen für
prinzipiell erlernbar.
Ich verlange ja _nicht_ von jedem die fingerprints des TLS Zertifikates
seiner Bank vorher aufzuschreiben und dann stets zu prüfen.

Aber das ist eben nicht ganz \"einfach mit einem Klick von der Couch...\"
lt. gerade amtierenden Marketingdruiden.

Selbst wenn ich eine Mail auf dem korrekten Informationskanal bekommen
sollte, wo ich mich einloggen soll um dieses und jenes zu tun, klicke
ich _nicht_ auf einen link sondern logge mich über die selbst
eingegebene Adresse ein und überprüfe neben dem SSL Zertifikat den
Sachverhalt. Kann man niemandem beibringen? Dem widerspreche ich.

Dann registriere ich eine (zertifizierte) Domain mit einem Tippfehler
und warte 10 Minuten...

siehe oben (A)*

Ja, minimal mehr Aufwand, der aber nicht genannt werden soll, man könnte
eventuell Kunden verlieren, die mehr als 1x clicken sollen.

Dass die grüne Kennzeichnung bei TLS EV-Zertifikaten (seit 2019?) bei
den meisten Browsern weggefallen ist, ist auch so ein Ding. \"Grün\"
konnte ich jedem erklären... es ist zum verzweifeln.

Marketing \"einfach nur 1x klicken\" ist eher das Problem. Komplexe
Sachen bleiben komplex, auch wenn man sie bunt anmalt.

Eigentlich ist nur die Vernetzung und die daraus resultierende
Geschwindigkeit und Entfernung das Problem. Früher musste Ganoven
zumindest für einige Teilschritte immer irgendwo vor Ort sein. Das ist
immer ein Risiko. Und man konnte nicht so schnell so großen Schaden
anrichten.

Ja, was außer Bildung, Aufklärung, Wissen,... soll sonst dagegen real
helfen?

ChipTAN finde ich ok und zumindest zu Hause gut nutzbar.

Angenehm ist es nicht. Notwendig und hinreichend sicher i.a. schon.

IMO nicht unangenehmer als irgendeine andere 2FA die es derzeit gibt.
....
2FA ist zu einer oft unnützen Seuche wie die Cookie Zustimmung auf
Webseiten geworden, Sinn und Zweck  mittlerweile oft verfehlt, leider.

2FA ist einfach nur eine Sache von Wahrscheinlichkeit und Aufwand.
Der Aufwand, um 2 Faktoren _gleichzeitig_ zu knacken steigt in erster
Näherung quadratisch. Der Aufwand für den User für 2FA nur linear.

Ich habe überhaupt nichts gegen 2FA, im Gegenteil, es muss nur gut
gemacht sein, es kommt darauf an, wie sie angewendet wird.
Heute 5 Banken, 5 Verfahren, teilweise muss man sich bei jedem login
doppelt authentifizieren, teilweise auch wenn man sich mal Kontoauszüge
von vor einigen Monaten ansieht.
--
Thomas
 
Sieghard Schicktanz wrote:
Unddazu kommt noch, daß der _Text_ des Links und dessen _Inhalt_ nichts
miteinander zu tun haben. Und wer schaut sich schon bei einem Link an,
was der Browser ggfs. am unteren Fensterrand als Link-Ziel anzeigt?

Toll wie schön Du Selbstverständlichkeiten, die jeder hier weiß,
Mansplainen kannst. Das funktioniert also genau dann, wenn jemand den
Link klickt. Und worum ging es eigentlich?

Marcel Mueller wrote:
Am 25.08.22 um 22:49 schrieb Thomas Einzel:
klicke
ich _nicht_ auf einen link sondern logge mich über die selbst
eingegebene Adresse ein

Dann registriere ich eine (zertifizierte) Domain mit einem Tippfehler
und warte 10 Minuten...

Und nu?


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --
 
Thomas Einzel wrote:
teilweise muss man sich bei jedem login
doppelt authentifizieren, teilweise auch wenn man sich mal Kontoauszüge
von vor einigen Monaten ansieht.

Dahinter sehe ich einen ganz anderen Grund. Es begann mit der SMS-TAN.
Die kostete für jeden nachvollziehbar Fremdgebühr. Das war zwar
ärgerlich aber verständlich. Die Nachrichten an die App kosten die Bank
genau gar nichts. Trotzdem werden die Gebühren, an die sich Kunden ja
gewöhnt haben, einfach weiter erhoben und im Vergleich zu anderen
Buchungsgebühren pro Posten sind sie recht heftig. Auf Rückfrage faselt
man dann etwas von den -- unbestrittenen -- Fixkosten aus der
App-Entwicklung. Natürlich suchen und finden sie jetzt jede Eingabe, bei
der sich noch eine zusätzliche Bestätigung mehr anfordern läßt. \"Nice
little earner\" nennen das die Briten.


--
/¯\\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \\ Mail | -- No unannounced, large, binary attachments, please! --
 
Am 27.08.2022 um 23:12 schrieb Axel Berger:
Thomas Einzel wrote:
teilweise muss man sich bei jedem login
doppelt authentifizieren, teilweise auch wenn man sich mal Kontoauszüge
von vor einigen Monaten ansieht.

Dahinter sehe ich einen ganz anderen Grund. Es begann mit der SMS-TAN.
Die kostete für jeden nachvollziehbar Fremdgebühr. Das war zwar
ärgerlich aber verständlich. Die Nachrichten an die App kosten die Bank
genau gar nichts. Trotzdem werden die Gebühren, an die sich Kunden ja
gewöhnt haben, einfach weiter erhoben und im Vergleich zu anderen
Buchungsgebühren pro Posten sind sie recht heftig. Auf Rückfrage faselt
man dann etwas von den -- unbestrittenen -- Fixkosten aus der
App-Entwicklung. Natürlich suchen und finden sie jetzt jede Eingabe, bei
der sich noch eine zusätzliche Bestätigung mehr anfordern läßt. \"Nice
little earner\" nennen das die Briten.

Mir begegnet das mit PhotoTAN für die 2FA bei jedem login - das dürfte
zwar bei häufiger Nutzung den Kunden auf Trab halten, aber keine
Buchungsgebühren pro Posten zur Folge haben.
Die Kontoauszüge von vor einigen Monaten begegnet mir mit der ChipTAN,
was keine Buchungsgebühren pro Posten zur Folge hat.
--
Thomas
 

Welcome to EDABoard.com

Sponsor

Back
Top