Ich bin bei der Postbank. Seit gefühlt einem halben Jahr kommt bei mir jedes mal wenn ich mich im Online Banking einlogge dieses Fenster.

https://abload.de/img/pbylj3n.png

Ich klicke jedes mal auf "habs gelesen" und es verschwindet. Dort steht, dass ich mich ab dem 8. September nur noch mit smartphone app oder einem Pingerät einloggen kann, mtan soll nicht mehr funktionieren auch nicht für Überweisungen.

Der Witz ist, ich logge mich mit mtan ein und bestätige alles mit mtan, genauso wie ich es immer gemacht habe und es funktioniert wunderbar (stand: 04.11.). Trollt mich die Postbank? Ist das ein bug das ich das weiterhin kann oder gewollt? Sollte ich sowas melden, oder lieber nicht, eigtl. würde ich gern auf die blöde smartphone app verzichten und weiterhin mtan benutzen. :D

Ich denke, dass die irgendwann das bemerken und reparieren.

BestSign ist imho eh viel einfacher als mTans eintragen zu müssen. Was hindert dich daran?

Ich glaube die können mtan nicht abschalten solange ich mich nicht für bestsign registriert habe, weil man die Registrierung für bestsign mit mtan bestätigt. Wenn ich mich also nie für bestsign registriere, kann ich ewig mtan verwenden. :freak:

BestSign ist imho eh viel einfacher als mTans eintragen zu müssen. Was hindert dich daran?
Wenn jemand mein smartphone klaut, findet oder hackt, lenkt die Postbank-App seine Aufmerksamkeit direkt auf das Wesentliche, die sms lösche ich immer. Was soll daran sicherer sein?!

Wenn jemand mein smartphone klaut, findet oder hackt, lenkt die Postbank-App seine Aufmerksamkeit direkt auf das Wesentliche, die sms lösche ich immer. Was soll daran sicherer sein?!

Die Banking-Apps bieten die Funktion, die App nur mit Fingerabdruck nutzen zu können... so einfach ist also selbst bei Smartphone-Verlust kein Hacking möglich.


PS: 'ne SMS mit einer bereits benutzten TAN zu löschen, ist wie einen gezündeten Blitzknallen nochmal zünden zu wollen. ;)

Wenn du dich registriert hast, vergibst du eine ID und ein Passwort. Für das BestSign vergibst du dann ein weiteres.

Du musst dann jedem Login am PC über die App bestätigen und dann eventuelle Transaktionen einzeln mit dem BestSign Passwort freigeben.
Eine mTan muss man nur einmal abtippen, das geht schon wesentlich schneller.

Solange du ein gutes Passwort wählst (was den Prozess noch länger macht), hast du kein Sicherheitsproblem wenn jemand dein Handy findet.

Der Witz ist, ich logge mich mit mtan ein und bestätige alles mit mtan, genauso wie ich es immer gemacht habe und es funktioniert wunderbar (stand: 04.11.). Trollt mich die Postbank? Ist das ein bug das ich das weiterhin kann oder gewollt? Sollte ich sowas melden, oder lieber nicht, eigtl. würde ich gern auf die blöde smartphone app verzichten und weiterhin mtan benutzen. :D

Gewollt ist das sicher nicht. Wahrscheinlich ist es einfach kein fester Stichtag und sie sind dabei es zu entfernen.

Ich glaube die können mtan nicht abschalten solange ich mich nicht für bestsign registriert habe, weil man die Registrierung für bestsign mit mtan bestätigt. Wenn ich mich also nie für bestsign registriere, kann ich ewig mtan verwenden. :freak:

Sehr wahrscheinlich werden sie die Funktion einfach irgendwann deaktivieren und du darfst zur nächsten Postbank Filiale latschen, um chipTAN oder dieses BestSign zu aktivieren.

Wenn jemand mein smartphone klaut, findet oder hackt, lenkt die Postbank-App seine Aufmerksamkeit direkt auf das Wesentliche, die sms lösche ich immer. Was soll daran sicherer sein?!

SMS und speziell SS7 sind direkt aus dem Urschleim abstammende Technologien. Aktuell kann jeder mit minimaler, krimineller Energie deine SIM-Karte klonen und Kopien deiner SMS inklusive mTANs erhalten. Es gibt keine Authentifizierung zwischen den Providern. Jeder Provider kann weltweit deine SMS umleiten.

Wenn jemand dein Smartphone hackt, dann bringt dir mTAN genau so wenig wie BestSign.

Wenn jemand dein Smartphone klaut, sollte nichts weiter passieren, wenn du die ganz normale Full Disk Encryption von Android oder iOS und eine ausreichend starke Passphrase verwendest.

Der Vorteil bei den Banking-Apps mit Push-TANs ist, dass du dem Netzwerk nicht vertrauen musst. Ich kenne die Architektur der Banking-Apps nicht im Detail, aber sehr wahrscheinlich wird mindestens TLS zur Transportverschlüsselung und Versand der TANs benutzt. Schon alleine das hebt dich sicherheitstechnisch in ganz andere Sphären als eine unverschlüsselte SMS, die auch noch beliebig ohne dein Wissen weltweit umgeleitet werden kann.

Banken sind sicher nicht die Hochburg der IT-Sicherheit, aber alles ist heute besser als SMS als zweiten Faktor zu nutzen.