iPhone-Banking mit gravierenden Lücken

Zitat

Original geschrieben von harlekyn Wenn du dein Handy verlierst, jemand Zugang zu deiner Homebanking-App erhaelt und du dann auch noch mTAN verwendest - gute Nacht.

Dann braucht er auch noch meine PIN, um überhaupt eine Transaktion starten zu können. Und wohin will er das Geld überweisen. Sinn würde z.B. sein eigenes Konto machen. Da würde eine Anzeige bei der Polizei auch schnell zum Erfolg führen.

Aber das stimmt. Eine mTAN ist, wenn man das Banking am gleichen Gerät betreibt, nochmals deutlich unsicherer als iTANs zum Beispiel. Derjenige bekommt die TAN sozusagen auf dem Silbertablett serviert. Ich würde mir aber bei meiner Bank trotzdem das mTAN Verfahren wünschen.

Aber Sicherheit geht immer zu Lasten des Komforts. Und ich meine, Banking Passwort, Konto-PIN und TAN sollten eigentlich völlig ausreichend sein. Wie der Bericht zeigt, ist das Banking Passwort aktuell ausgehebelt, aber dies werden sich die Programmierer nicht auf sich sitzen lassen und mit Sicherheit bald ein Sicherheits Update für ihre Apps herausbringen.

Zitat

Original geschrieben von harlekyn
Die mTAN als 2-Faktor-Authorisierung hat auch nur Sinn, wenn man nicht am gleichen Geraet Homebanking betreibt. Bei Mobile Banking ist sie zwar sehr praktisch, aber auch sehr unsicher. Wenn du dein Handy verlierst, jemand Zugang zu deiner Homebanking-App erhaelt und du dann auch noch mTAN verwendest - gute Nacht.

Die Sparda Bank Suedwest bietet mTAN uebrigends kostenlos an, ebenso Cortal Consors.

Das ist vollkommen richtig, mobile TAn sollte man nicht am gleichen Gerät, (Handy) mit dem man seine Homebanking- Geschäfte abwickelt. Ist z.B. bei HVB sogar verboten. Macht man seine Bangeschäfte aber mit dem PC, Laptop oder einen anderen Smartphone dann ist "Mobile TaN" sicherheitsmäßig unschlagbar. Die Gründe habe ich ja schon weiter oben dargelegt. "ITAN" ist generell viel unsicherer als "Mobile TaN" weil man hier nicht erkennen kann, ob die "TAN" durch "Betrüger" abgefangen wird.

Zitat

Original geschrieben von ViP
Bei der Volksbank z.B. sind die mTANs grundsätzlich kostenlos. Meine Sparkasse dagegen spendiert nur die ersten 4 im Monat, weitere kosten 10 Cent pro Stück. Ich kann damit leben

Das stimmt nicht so ganz. Meine Volksbank nimmt immer 15 Cent pro mTAN.
Aber ich zahle diese gerne, weile wirklic es schön einfach ist damit zu überweisen.

Zitat

Original geschrieben von bernbayer
Das ist vollkommen richtig, mobile TAn sollte man nicht am gleichen Gerät, (Handy) mit dem man seine Homebanking- Geschäfte abwickelt. Ist z.B. bei HVB sogar verboten. Macht man seine Bangeschäfte aber mit dem PC, Laptop oder einen anderen Smartphone dann ist "Mobile TaN" sicherheitsmäßig unschlagbar. Die Gründe habe ich ja schon weiter oben dargelegt. "ITAN" ist generell viel unsicherer als "Mobile TaN" weil man hier nicht erkennen kann, ob die "TAN" durch "Betrüger" abgefangen wird.

Ich glaube, ein anderes Smartphone bringt Dir gar nichts, wenn Du das andere verlierst und der andere Zugang zu Deinem Onlinebanking hat. Davon kann sollte man aber eigentlich nicht ausgehen, dass der andere meine Zugangsdaten kennt. Wie oben schon erwähnt, wenn ich mein Handy verliere und der andere meine Zugangsdaten (Benutzername und Kennwort) nicht hat, dann kann er mit dem Handy auch nichts anfangen. ChipTAN hat grundsätzlich die gleiche Sicherheit wie SmsTAN, weil ich da ja zu meinen Zugangsdaten anstatt dem Handy auch noch meine Karte habe. Der Nachteil ist halt, dass ich den TAN Generator immer mitschleppen muss. Zuhause nehme ich sowieso noch HBCI mit Tastatur am Lesegerät her. Zwei Handy mitzuschleppen wegen smsTAN unterwegs ist auch nicht grad der Brüller;-)

Was nützt ihn das verlorene Smartphone wenn die mobile TAN an ein anderes Handy gehen. Konto plündern geht damit dann trotzdem nicht. HBCI mit Lesegerät und mobile TAN sind sicherheitsmäßig gleichwertig. Man darf nur bei letzteren nicht den (verbotenen) Fehler machen für das Online-Banking und mobile TAN ein und dasselbe Endgerät zu verwenden.

Nochmal. Wenn ich nur ein Handy habe und das findet jemand, wenn ich es verloren habe. Was kann er damit anfangen, wenn er meine Logindaten für das Onlinebanking nicht hat? Meiner Meinung nach gar nichts.

Unabhängig davon, dass er ohne die Logindaten nichts anfangen kann, lass ich beim Provider sowieso meine Karte sperren und bei meinem Kreditinstitut die Handy-Nummer ändern oder löschen.

Ist schon klar, trotzdem sollte man für "mTAN" und Homebanking nicht ein und dasselbe Endgerät verwenden. Konto sperren lassen und Handynummmer löschen lassen sind in so einen Fall selbstverständlich notwendig, allerdings muß man dabei berücksichtigen, das ja schon einige Zeit verstrichen sein kann bis man den Verlust oder Diebstahl bemerkt.

iControl ist glaube ich sowieso das einzige (mir bekannte) App, mit dem man das mit einem Handy machen kann. Bei den anderen Apps kommt die SMS gar nicht an.

Die App hat mit dem SMS-Empfang nichts zu tun.