Neue Richtlinien für das Online-Banking, ich bin erschrocken von der schlechten Umsetzung der VR

Roman78

Roman78

Aktives Mitglied
Thread Starter
Dabei seit
02.10.2006
Beiträge
6.707
Reaktionspunkte
4.049
Ich dachte ich verkünde mal meine soeben gemachte Erfahrung und wollte mal wissen ob andere VR-Kunden die Online-Banking haben dies auch schon festgestellt haben oder ob meine Bank in der Eifel irgendwie etwas nicht verstanden hat mit der PSD2 Richtlinie.

Also vor zwei Wochen wurde bei meiner Bank wegen der PSD2-Richtlinie das Online-Banking umgestellt und heute habe ich zum ersten mal eine Überweisung getätigt. Ich war einigermaßen überrascht, dass ich mich noch immer mit meinem Benutzernamen und 5-stelliger Pin anmelden kann, also keine Zweiwege-Autentifizierung schon beim anmelden. Nun gut dachte ich mir, immer hin sind wir in Deutschland und Deutschland hängt eh 15 Jahre hinter den anderen EU-Ländern hinter her. Dann habe ich meine erste Überweisung getätigt und bin gewohnt nach jedem Zahlungsvorgang diesen mit einer TAN-SMS (willkommen in den 90ern) zu bestätigen. Allerdings wurde der Auftrag ohne TAN-Abfrage durchgeführt.

Also sollte jemand meine 5 Stellige PIN wissen, könnte dieser in kleinen Schritten mein Konto leer räumen. Ich bin begeistert.

Dann habe ich per Online-Portal eine Nachricht verfasst und diese verschickt. Da bekam ich eine TAN-SMS um die Nachricht zu verschicken. Also wenn ich 21,65 Überweise geht das so, aber für das verschicken einer Textnachricht wollen die ne TAN haben. Da fehlen mir die Worte.

Zum anderen bin ich voll begeistert, dass man während des Schreibens der Nachricht einfach abgemeldet wird und von vorne anfangen kann.
 
Bei vielen Volksbanken kannst du Beträge bis €30 ohne Tan ausführen. Ab einer Summe X (z.B. €100), musst du dann wieder eine Tan eingeben. Beim Login bin ich allerdings auch noch nie nach einem zweiten Faktor gefragt worden. Das ist aber in meinen Augen auch bei vielen anderen Banken lasch implementiert: Ich kann als zweiten Faktor (Besitz) das Handy angeben, von dem aus ich mich gerade einlogge. Das sollte in meinen Augen nicht gehen. Aber da muss ich bei Apple auch immer grinsen, wenn ich mich auf einem Gerät anmelde und auf diesem dann die sechsstellige PIN zur Zweifaktorauthorisierung aufploppt. Dann kann man‘s eigentlich auch lassen.
 
Da Du schreibst "Dann habe ich per Online-Portal...", heißt das, die Überweisung wurde nicht per Online-Portal gemacht, sondern per Tablet/ect?
Wenn die Überweisung z.B. per Tablet und der VR App gemacht wurde, gilt das für die App freigegebene Gerät als zweites Sicherheitsmerkmal und somit sind 2 Merkmale der 3 Möglichen erfüllt.
Deine Zweiwege-Autentifizierung ist ehr eine 2 von 3 Sicherheitsmerkmalen müssen erfüllt sein Bestimmung. (wenn ich es Richtig im Kopf habe - man möge mich korrigieren)

Wissen = Etwas, das nur Sie wissen, z. B. PIN oder Benutzerkennung
Besitz = Etwas, das nur Sie besitzen, z. B. Smartphone oder TAN-Generator
Inhärenz = Ein biometrisches Merkmal von Ihnen, z. B. Fingerabdruck oder Gesichtserkennung
 
Ok. Das mit der App als zweites Merkmal am Mac war mir nicht bewusst. Dann würde sich der zweite Faktor beim Login erübrigen. Das kenne ich bisher nur aus iOS.
 
Ne ne, nicht App am Mac ich bezog mich auf ein Tablet bzw. Handy. (Gibt es ne VR App für OSX? Diese muss wahrscheinlich auch einmal per TAN verifiziert werden.)
Deshalb musste er ja auch anscheinend im Browser Online-Portal ja auch ne Tan generieren, weil das Zweite Merkmal fehlte.
Jetzt bleibt halt die Frage, wo rüber die Überweisung ausgelöst wurde.

Wo bei, wenn ich per Tablet ne Überweisung anstoße, muss ich das per TAN vom Handy verifizieren.
Vom Handy selbst geht keine Überweisung (nur mit TAN Generator), da eine Überweisung nicht auf dem Gleichen Gerät ausgelöst werden kann, wohin die TAN per SMS geschickt wird.

(Ich beziehe mich jetzt auf mein Halbwissen - bei mir Sparkasse)

Das mit dem geringen Überweisungswert könnte aber auch sein - allerdings keinen Plan wie VR das handhabt, ich muss immer per SMS-TAN bestätigen.
 
Ist bei Sparkasse exakt so - Mit Ausnahme das die TAN mit einem kleinen Kartengerät generiert wird. :)
 
Ich nutze die VR-app auf dem iPad.

Kleinere Beträge gehen ohne Tan, stattdessen kommt sinngemäß die Meldung „Diese Überweisung können Sie ohne Tan“ ausführen.

Ich melde mich in der app per Fingerabdruck-Sensor an, die Tan-SMS landen auf dem iPhone.
 
Stompy schrieb:
Da Du schreibst "Dann habe ich per Online-Portal...", heißt das, die Überweisung wurde nicht per Online-Portal gemacht, sondern per Tablet/ect?
Wenn die Überweisung z.B. per Tablet und der VR App gemacht wurde, gilt das für die App freigegebene Gerät als zweites Sicherheitsmerkmal und somit sind 2 Merkmale der 3 Möglichen erfüllt.
Deine Zweiwege-Autentifizierung ist ehr eine 2 von 3 Sicherheitsmerkmalen müssen erfüllt sein Bestimmung. (wenn ich es Richtig im Kopf habe - man möge mich korrigieren)

Wissen = Etwas, das nur Sie wissen, z. B. PIN oder Benutzerkennung
Besitz = Etwas, das nur Sie besitzen, z. B. Smartphone oder TAN-Generator
Inhärenz = Ein biometrisches Merkmal von Ihnen, z. B. Fingerabdruck oder Gesichtserkennung
Zum Vergrößern anklicken....

Nein, ich hab nur vom PC aus per Browser das Online-Portal geöffnet und die Überweisung getätigt. Hier wurde kein anderes gerät genutzt. Ich habe auch kein andres Gerät bei der VR angemeldet, die habe nur meine Handy-Nummer für die TAN-SMS

Ich habe noch gar keine App installieren müssen. Ich nutze auch das Handy eigentlich nur zum telefonieren, weil ich ja eigentlich immer an irgendeinen Rechner sitze.
 
Dann läuft es darauf hinaus:

Kleinere Beträge gehen ohne Tan, stattdessen kommt sinngemäß die Meldung „Diese Überweisung können Sie ohne Tan“ ausführen.
 
Ezekeel schrieb:
Ist bei Sparkasse exakt so - Mit Ausnahme das die TAN mit einem kleinen Kartengerät generiert wird. :)
Zum Vergrößern anklicken....

Du kannst das TAN-Verfahren auch umstellen, dass Du mit pushTAN-App die Codes bekommst auf Dein Handy z.B.
 
  • Gefällt mir
Reaktionen: DeltaFoxtrot
Roman78 schrieb:
Nein, ich hab nur vom PC aus per Browser das Online-Portal geöffnet und die Überweisung getätigt. Hier wurde kein anderes gerät genutzt. Ich habe auch kein andres Gerät bei der VR angemeldet, die habe nur meine Handy-Nummer für die TAN-SMS

Ich habe noch gar keine App installieren müssen. Ich nutze auch das Handy eigentlich nur zum telefonieren, weil ich ja eigentlich immer an irgendeinen Rechner sitze.
Zum Vergrößern anklicken....

bei meiner bank muss man schon das login beim online banking über die app bestätigen.
so kann man auch die nutzung der app forcieren.

wobei das ziemlich merkwürdig ist, für die nutzung der app braucht es ja keine 2-faktor autorisierung, da reicht der einfache code.
ist schon absurd, ist die frage was häufiger geklaut wird, handys oder login daten am rechner.
 
  • Gefällt mir
Reaktionen: dg2rbf
Roman78 schrieb:
Nein, ich hab nur vom PC aus per Browser das Online-Portal geöffnet und die Überweisung getätigt. Hier wurde kein anderes gerät genutzt. Ich habe auch kein andres Gerät bei der VR angemeldet, die habe nur meine Handy-Nummer für die TAN-SMS

Ich habe noch gar keine App installieren müssen. Ich nutze auch das Handy eigentlich nur zum telefonieren, weil ich ja eigentlich immer an irgendeinen Rechner sitze.
Zum Vergrößern anklicken....

Hm, das sollte so eigentlich nicht sein. Wenn ich die Richtlinie richtig verstanden habe sollte bereits die Anmeldung über den Browser am PC mittels 2FA abgesichert sein (Bestätigung per App). Bei Zugang über das Mobiltelefon kommt dann bei meiner Bank die Verifizierung mittels biometrischer Merkmale dazu.

Bei einer Überweisung genauso, ich kann sie online anlegen, muss sie aber dann auf dem iPhone in der App bestätigen.
 
Roman78 schrieb:
meine 5 Stellige PIN
Zum Vergrößern anklicken....

Die würde ich als erstes ändern und ein sicheres Passwort verwenden. ;)

Und dazu auch noch einen Alias vom VR-NetKey.

Edit:

Roman78 schrieb:
Also wenn ich 21,65 Überweise geht das so,
Zum Vergrößern anklicken....

Was schreibt denn deine Bank dazu? Hier ist das klar kommuniziert. ;)

Bildschirmfoto 2019-10-25 um 10.46.28.jpg
 
  • Gefällt mir
Reaktionen: TMacMini, MacEnroe und dg2rbf
Roman78 schrieb:
Also wenn ich 21,65 Überweise geht das so, aber für das verschicken einer Textnachricht wollen die ne TAN haben. Da fehlen mir die Worte.
Zum Vergrößern anklicken....
Bei der Comdirect geht das mit der Comdirect-App bis 30€. Ich finde es komfortabel. Für sichere Kennworte zum Onlinebanking ist jeder User selbst verantwortlich

Zur Volksbank: https://www.vb-ml.de/banking-service/banking-brokerage/onlinebanking/ueberweisen-ohne-tan.html
comdirect: https://www.comdirect.de/konto/tan-freiheit.html
 
  • Gefällt mir
Reaktionen: dg2rbf
ekki161 schrieb:
Die würde ich als erstes ändern und ein sicheres Passwort verwenden. ;)

Und dazu auch noch einen Alias vom VR-NetKey.

Edit:


Was schreibt denn deine Bank dazu? Hier ist das klar kommuniziert. ;)

Anhang anzeigen 276965
Zum Vergrößern anklicken....

Man kann jetzt in der tat den Pin ändern und komplexe Passwörter vergeben, dies ist dann in der tat neu weil bisher konnte man nur Zahlen verwenden. Dies macht aber keine Zweiwege-Authentifizierung.

Hmmm was ist ein VR-NetKey? Habe ich sowas? Wenn ja wurde das noch nicht kommuniziert.

Dies schreibt die Bank:

Sie haben z. B. die Möglichkeit, einen neuen Benutzernamen mit bis zu 35 Zeichen zu vergeben.
(Zulässig sind Ziffern, Buchstaben und einige Sonderzeichen)
Die PIN kann auch geändert werden: Maximal 20 Zeichen.
(Zulässig sind Ziffern, Buchstaben und einige Sonderzeichen)
Informationen für weitere TAN-Verfahren finden Sie auf unserer Homepage.
(Banking&Service - Banking&Brokerage - TAN-Verfahren für das Onlinebanking)
Informationen zum Thema "Abmeldung im Onlinebanking" sowie zur "Zweiwege-Authentifizierung"
finden sich auch dort :
(Banking&Service - Banking&Brokerage - Onlinebanking für Privatkunden)
Zum Vergrößern anklicken....

Also zum Punkt Benutzernamen und Pin ändern, macht ja noch keine Zweiwege-Authentifizierung. Mal zur info: ich habe bis 2012 in den Niederlanden gewohnt, dort war ich bei der Rabo- und der AmroBank und dort gab es immer nur Zweiwege-Authentifizierung schon seit Anfang an. Sogar um sich nur anzumelden im Portal. Dies per TAN-Generator wo man seine Bank-Karte einstecken musste. Ich war 2012 total entsetzt, als hier in Deutschland nur ein Password ausreicht um sich anzumelden.

Zu dem Punkt Weiter Tan-Verfahren, dies ist der link: https://www.vr-banknordeifel.de/banking-service/banking-brokerage/tan-verfahren.html Und traurig, dass alle links bis auf "Mehr zur TAN-App" ins 404 führen. Und ich sehen überall so schöne orangen Häkchen aber wofür die sind sehen ich weder in FireFox noch in Safari, bei mir sieht das so aus

Bildschirmfoto 2019-10-25 um 14.17.31.png


Nunja. Zum letzten Thema gibt es dann diesen Link: https://www.vr-banknordeifel.de/banking-service/banking-brokerage/onlinebanking.html

Hmmm ich rufe da mal an, es kann doch nicht sein, dass es jetzt noch unsicherer ist als vorher. Das man unter 30€ keine TAN braucht finde ich ja ok, dann sollte aber das Anmelden über eine Zweiwege-Authentifizierung laufen.
 
Roman78 schrieb:
Hmmm ich rufe da mal an, es kann doch nicht sein, dass es jetzt noch unsicherer ist als vorher. Das man unter 30€ keine TAN braucht finde ich ja ok, dann sollte aber das Anmelden über eine Zweiwege-Authentifizierung laufen.
Zum Vergrößern anklicken....

Und sauber implementiert wäre die Sache für meinen Geschmack nur, wenn der zweite Faktor nicht auf dem verwendeten Gerät ankommt. Was bringt‘s wenn ich mich auf dem Handy einlogge und man mir automatisch an dieses Handy eine Tan schickt. Dann kann man den Zirkus auch gleich lassen.
 
  • Gefällt mir
Reaktionen: dg2rbf
alemkra schrieb:
Und sauber implementiert wäre die Sache für meinen Geschmack nur, wenn der zweite Faktor nicht auf dem verwendeten Gerät ankommt. Was bringt‘s wenn ich mich auf dem Handy einlogge und man mir automatisch an dieses Handy eine Tan schickt. Dann kann man den Zirkus auch gleich lassen.
Zum Vergrößern anklicken....

Ja das stimmt. Mit 2wege meine ich ja auch 2 Wege, also am Computer einloggen und über das Handy oder TAN-Generator eine TAN zu generieren.

Hmmm wenn man dann nur mit dem Handy Bankgeschäfte erledigen will - was bei mir nicht vorkommen wird - müsste man sich über einen anderen zweiten Weg identifizieren, eventuell Fingerabdruck oder Gesichtserkennung. Wenn da nur ein Password reichen würde, hoffe ich mal das niemand sein Handy verliert. Am besten noch das Password gespeichert damit es einfacher geht, dann ist gleich das ganze Konto leer.

/edit: Ich bin ja auch noch Kunde bei der Consorsbank, die haben das in der tat besser geregelt. Da kann man sich nur per Zweiwege-Authentifizierung einloggen. Momentan geht das noch mit einer TAN-SMS, aber in kürze nur noch mit einer TAN-App oder TAN-generator.
 
Roman78 schrieb:
Hmmm was ist ein VR-NetKey? Habe ich sowas? Wenn ja wurde das noch nicht kommuniziert.
Zum Vergrößern anklicken....

Den habe ich bei der Volksbank schon seit über 10 Jahren. Den brauchst du doch z.B. für
Sofort-Überweisung oder andere Bezahl-Dienste, auch für Homebanking..?
 
Roman78 schrieb:
Mit 2wege meine ich ja auch 2 Wege, also am Computer einloggen und über das Handy oder TAN-Generator eine TAN zu generieren.
Zum Vergrößern anklicken....
ein immerwährendes missverständnis und deswegen heisst es ja auch 2faktor und nicht 2wege. es werden 2 faktoren benötigt, mehr heisst es nicht. wenn das strikt über getrennte pfade gefordert wäre, würden viele das nicht mehr nutzen wollen (sicherheitsgewinn vs. komfortverlust).
 
  • Gefällt mir
Reaktionen: win2mac
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten