HBCI hat die SSK München vor wenigen Jahren eingestellt und als ich fragte warum, war ich danach auf 180 weil mir ins Gesicht gelogen wurde, dass die Karte das 2FA nicht erfüllen würde....
Die Aussage ist in den Top 10 der "ich halte den Kunden für dämlich" allerdings ziemlich weit oben, unglaublich.
Die Aussage ist in den Top 10 der "ich halte den Kunden für dämlich" allerdings ziemlich weit oben, unglaublich.
Allerdings stellt man sich mit einer solchen Aussage direkt an die Spitze der Evolution. "Ich verkaufe jemanden für dämlich" hin zu "ich bin selbst höchst unterbelichtet" ist meist ein sehr schmaler Grat.
Bei einer solchen Aussage fehlt einem ja erstmal die Spucke, um angemessen zu antworten.
Kommt sicher darauf an von wem die Aussage kommt. Von der 17-jährigen Bank-Azubine hinterm Schalter die halt das nachplappert was ihr darüber vorgesagt wurde obwohl sie eigentlich keinerlei Ahnung hat für was HBCI eigentlich die Abkürzung ist oder ob man vielleicht tatsächlich einen Entscheider (und das ist nicht der Filialleiter der genau wenig technische Ahnung hat) an der Strippe hat.
Sicher ist HBCI auch 2FA, das ergibt sich ja schon aus MusshabenKarte und MusshabenPIN. Insofern gesehen ist ja sogar die normale Karte für den Geldautomaten 2FA. 
Nur will halt in der heutigen Zeit keiner mehr mit einem Kartenleser, einer Chipkarte und einer PIN hantieren nur weil er eine Rechnung überweisen soll. Das mag in Firmen noch ok sein für die Buchhaltungen und Zahlstellen, aber ehrlich, welcher Privatmensch tut sich das noch an? Die Zahl der Desktoprechner und Laptops ist im privaten Bereich seit Jahren rückläufig, Tablets und Smartphones die aktuellen Geräte die verwendet werden. Und darauf muss das abgestimmt werden und nicht auf das "Ich will das aber behalten" von einer Handvoll Leuten.
Erinnert mich an den Haushaltswarenladen der meinen Eltern erzählte der Staub Gusseisentopf würde den Braten saftig halten in dem das Wasser auf dem Deckel durch diesen hindurch tröpfeln würde….
Insofern gesehen ist ja sogar die normale Karte für den Geldautomaten 2FA.
Und genau an Geldautomaten gab (gibt?) es ja genug Fälle von Datenabgriff durch Manipulation. Der beste Beweis, dass 2FA auf nur einem Gerät nicht vollständig vertrauenswürdig sein kann.
Nur will halt in der heutigen Zeit keiner mehr mit einem Kartenleser, einer Chipkarte und einer PIN hantieren nur weil er eine Rechnung überweisen soll. Das mag in Firmen noch ok sein für die Buchhaltungen und Zahlstellen, aber ehrlich, welcher Privatmensch tut sich das noch an?
Ja. Hier.
Wer einigermassen sorgfältig ist, hat ja auch für Zahlungsdienstleister den zweiten Faktor auf einem anderen Gerät aktiviert. Warum man das bei Mailanbietern wie beispielsweise Google tut, aber beim eigenen Konto nicht, verstehe ich nicht so ganz. Muss ich ja aber auch nicht verstehen
Meine APO-Bank arbeitet noch mit der SMS-TAN finde ich sehr viel besser als die Apps der Volksbank oder des MLP... Und geht sogar auf einem Nokia 6310i....
Das muss er sich dann halt überlegen.
Fand ja diesen Satz sehr erheiternd:
Na, komplett bar hat das ja auch kaum mal jemand bezahlt.... aber ansonsten:
Doch, ist durchaus vorgekommen, bei kleineren Grundstücken, oder Obstwiesen. Da wurde dann gerne auch mal in Naturalien bezahlt.
Aber da reden wir teilweise von 1000-2000€.
Ich hatte mal eine Anfrage, wo ich eine Geldwäsche Meldung machen musste, da eine bekannte Schaustellerfamilie ein Anwesen in Bar bezahlen wollte, aber erst nach dem Weihnachtsmarkt…
Ihr Bargeldkocher 
Verschoben in die Kochecke 
Bei meinem Firmenkonto brauche ich die 2 Faktor Authentifizierung zum einloggen nur alle paar Monate mal, die anderen Banken wollen es aber immer.
Aber bei Sparkasse und Volksbank kann man den eigenen Rechner als vertrauenswürdig klassifizieren, dann funktioniert das Einloggen nur mit PIN.
Das wurde bei der ING bewusst abgeschafft, nachdem einige Konten leer gemacht wurden. Gestern in Bayern 1 in den Nachrichten kam wieder so ein Fall mit einem Rentner...generell ist das mit der Push TAN da schon gut gemacht, weil man zwei mal bestätigen muss, dass man nicht gerade angerufen wird 
Für unterwegs wird doch immer die Kreditkarte propagiert, gibts die nicht mehr? Muss man in 2 Wochen Urlaub plötzlich geplante Überweisungen machen? Ist mir jedenfalls so vollkommen unbekannt.
Brauche ich regelmäßig wenn der Verfügungsrahmen leer läuft. Schnell Überweisung an die KK Firma und es läuft wieder. So finde ich das besser als nen riesigen Verfügungsrahmen bereit zu halten.
Sicher ist HBCI auch 2FA, das ergibt sich ja schon aus MusshabenKarte und MusshabenPIN. Insofern gesehen ist ja sogar die normale Karte für den Geldautomaten 2FA.
HBCI hat nur das Problem "zu teuer". Per Gesetz ist PSD2-API für Bankprogramme vorgeschrieben. HBCI ist da einfach nur ein paralleles, veraltetes Verfahren welches ne eigene Infrastruktur braucht.
Ich glaube das Thema ist hier insgesamt der Kostenfaktor. Eine Chip Karte kann ja (fast) jeder haben, man muss sie dann nur bezahlen. 
Und genau an Geldautomaten gab (gibt?) es ja genug Fälle von Datenabgriff durch Manipulation. Der beste Beweis, dass 2FA auf nur einem Gerät nicht vollständig vertrauenswürdig sein kann.
Das ist aber am Smartphone mit der Biometrie deutlich sicherer. Auf nem modernen Smartphone kann man sowohl Fingerabdruck als auch FaceID kaum fälschen, zudem fast die Funktion eines Hardware Token...und abgeschnittener Finger geht auch nur schwerlich.
Dagegen Karte kopieren und PIN abgreifen...sehr easy...
Bei mir ist es zum Beispiel so, dass die TAN Apps lange Passwörter haben, die daheim im Passwort Safe sind. Ich muss halt vor ner Reise mal kurz schauen, ob die TAN App ein blödes Update gemacht hat und die Biometrie gelöscht ist....ansonsten kann selbst ich nicht rein.
Meine APO-Bank arbeitet noch mit der SMS-TAN finde ich sehr viel besser als die Apps der Volksbank oder des MLP... Und geht sogar auf einem Nokia 6310i....
SMS gilt als schwache Authentifizierung, an der Grenze, dass das überhaupt noch erlaubt ist. Eher ein Zeichen, dass die Bank technisch nicht auf dem Stand der Zeit ist...
SMS gilt als schwache Authentifizierung, an der Grenze, dass das überhaupt noch erlaubt ist. Eher ein Zeichen, dass die Bank technisch nicht auf dem Stand der Zeit ist...
Sehr gut. Älter ist immer besser. 
und abgeschnittener Finger geht auch nur schwerlich.
Meine APO-Bank arbeitet noch mit der SMS-TAN finde ich sehr viel besser als die Apps der Volksbank oder des MLP... Und geht sogar auf einem Nokia 6310i....
Und vermutlich ist es sogar sicherer weil Hacker sich immer auf das neueste Zeug stürzen.
Siehe auch alte PC Betriebssysteme die bei Cyberkriminalität keine Rolle mehr spielen 
Siehe auch alte PC Betriebssysteme die bei Cyberkriminalität keine Rolle mehr spielen
Bevor Du solche gewagten Aussagen raus haust solltest Du Dich vielleicht damit beschäftigen wie Angriffe in freier Wildbahn ablaufen.
SMS gilt als schwache Authentifizierung, an der Grenze, dass das überhaupt noch erlaubt ist.
Es gibt Angriffe bei denen sich Angreifer gezielt haben eine SIM für eine existierende Rufnummer ausstellen lassen. Und wenn es um größere Beträge geht sind solche gezielten Angriffe absolut denkbar. Könnten die Provider allerdings verhindern. In der breiten Masse glaube ich allerdings eher, dass das ein Vorwand ist die Kosten zu senken.
Es wäre in meinen Augen schon viel gewonnen, wenn die Banken sich da mal auf einen einheitlichen Standard einigen könnten, so dass man nicht zig TAN Apps braucht, die alle beim Wechsel des Telefons Probleme machen.
Tablets und Smartphones die aktuellen Geräte die verwendet werden. Und darauf muss das abgestimmt werden und nicht auf das "Ich will das aber behalten" von einer Handvoll Leuten.
Die Frage ist halt, mit welchen Kunden die Banken das meiste Geld verdienen und ab deren Bedürfnissen sollten sie sich dann idealer Weise orientieren.
Das wurde bei der ING bewusst abgeschafft, nachdem einige Konten leer gemacht wurden
Man vertraut dann halt darauf, dass der Browser den entsprechenden Cookie nicht an die falsche Seite weitergibt. Und sollte man den Rechner mal aus der Hand geben kann das auch problematisch werden. oder irgendwer setzt den Haken versehentlich auf einem fremden Rechner. Die Funktion aktiviere ich auch auf eigenen Rechnern nicht.
Nur will halt in der heutigen Zeit keiner mehr mit einem Kartenleser, einer Chipkarte und einer PIN hantieren nur weil er eine Rechnung überweisen soll. Das mag in Firmen noch ok sein für die Buchhaltungen und Zahlstellen, aber ehrlich, welcher Privatmensch tut sich das noch an?
Du solltest nicht nur von dir selbst oder von Vertretern der Gen Z ausgehen.
Es gibt durchaus noch Leute, die das aus Sicherheitsgründen machen - und die auch bereit sind, den Kartenleser zu bezahlen.
Du solltest nicht nur von dir selbst oder von Vertretern der Gen Z ausgehen.
Es gibt durchaus noch Leute, die das aus Sicherheitsgründen machen - und die auch bereit sind, den Kartenleser zu bezahlen.
Genau SO schaut es aus!
Du solltest nicht nur von dir selbst oder von Vertretern der Gen Z ausgehen.
Es gibt durchaus noch Leute, die das aus Sicherheitsgründen machen - und die auch bereit sind, den Kartenleser zu bezahlen.
Wird halt immer weniger. Was mir jetzt aber noch keiner erklärt hat, was an dieser Variante tatsächlich sicherer ist.
Naja.....
will halt in der heutigen Zeit keiner mehr
ist schon noch was anderes als
Wird halt immer weniger.
Sollte man dazu stehen können
Ersteres ist halt eine Übertreibung.
Was mir jetzt aber noch keiner erklärt hat, was an dieser Variante tatsächlich sicherer ist.
Sorry, aber zwischen nicht erklärt und nicht verstehen wollen ist ein Unterschied. Beispiele wurden genügend geliefert.
Aber jeder hat ja seinen eigenen Paranoialevel, und wenn man sich selbst damit gut fühlt, ist das okay. Deshalb sollte man anderen aber nicht ein vielleicht vollkommen unterschiedliches Sicherheitsempfinden madig sprechen, welches diese sich in Jahrzehnten beruflicher Erfahrung angeeignet haben. Schon zweimal nicht, wenn man nie mit sicherheitsrelevanten Thematiken in diesen Bereichen der Technik zu tun hatte. Das klingt für mich bei manchen so, als ob man einem Rennfahrer den verwendeten Sechspunktgurt absprechen möchte, weil ja der Dreipunktgurt für einen selber vollkommen ausreichend ist, und es im Stadtverkehr der Zweipunktgurt auch noch wäre. . Justmy2ct.
Ersteres ist halt eine Übertreibung.
Oder Wortklauberei.
Sorry, aber zwischen nicht erklärt und nicht verstehen wollen ist ein Unterschied. Beispiele wurden genügend geliefert.
Aber jeder hat ja seinen eigenen Paranoialevel, und wenn man sich selbst damit gut fühlt, ist das okay. Deshalb sollte man anderen aber nicht ein vielleicht vollkommen unterschiedliches Sicherheitsempfinden madig sprechen, welches diese sich in Jahrzehnten beruflicher Erfahrung angeeignet haben. Schon zweimal nicht, wenn man nie mit sicherheitsrelevanten Thematiken in diesen Bereichen der Technik zu tun hatte. Das klingt für mich bei manchen so, als ob man einem Rennfahrer den verwendeten Sechspunktgurt absprechen möchte, weil ja der Dreipunktgurt für einen selber vollkommen ausreichend ist, und es im Stadtverkehr der Zweipunktgurt auch noch wäre. . Justmy2ct.
Beispiele die mich ehrlich gesagt eigentlich nur auf den zweiten Satz verweisen. Möglicherweise bin ich etwas "leichtsinniger", kann sein. Vielleicht liegt es aber auch daran dass ich mittlerweile ein Vierteljahrhundert keinerlei Probleme hatte, aber im Gegenzug halt auch schaue wer meine Daten kriegt.
Das mit dem Sechspunktgurt ist so eine Sache, glaubt man den Versprechen sind die neuen Mechanismen nämlich Achtpunktgurt, auch weil altes mit neuen arbeitet wenn man das so vereinfacht nennen mag.
Also von daher bitte: Warum soll ich als Anwender mir noch ein Kartenlesegerät mit einer physischen Karte mit all den damit einhergehenden Gefahren und Problemen antun? Ich verstehe ja durchaus das Argument "alles auf einem Endgerät" beim Smartphone, wobei man hier ja aber eigentlich eine maximale Anzahl an Faktoren haben kann (wenn man das will), aber was macht jetzt eine Überweisung von einem Rechner aus unsicherer wenn man kein HBCI sondern ein aktuelles Pushtan-Verfahren benutzt?
Oder Wortklauberei.
Schade.
Dann belasse ich es bei den bisherigen Erklärungen. Aber weil du es bist:
Ich verstehe ja durchaus das Argument "alles auf einem Endgerät" beim Smartphone, wobei man hier ja aber eigentlich eine maximale Anzahl an Faktoren haben kann
Ist ein altbekanntes Problem und eine altbekannte Regel in diversen Techniken:
Wenn das Gerät, welches die Sicherheit anfragt dasselbe ist, welches sie garantieren oder bestätigen soll, wie viele Angriffspunkte benötigt man in diesem Fall?
Die Antwort ist eigentlich ganz einfach, und wenn man sie sich selber geben kann, hat man das Problem gelöst.
Ein einfacher Chipkartenleser, in den man die Girocard reinsteckt und sich für die jeweiligen Überweisungsdaten eine TAN generieren läßt, ist ein offline-Gerät, das nicht mit dem Internet in Kontakt kommt.
Ganz im Gegensatz zu einem Smartphone.
So viel zu einem ganz wesentlichen Unterschied hinsichtlich der Angreifbarkeit von außen.
Was mir jetzt aber noch keiner erklärt hat, was an dieser Variante tatsächlich sicherer ist.
Die CB zumindest ist offensichtlich der Meinung, dass es sicherer ist, sonst würde sie bei HBCI mit Chipkarte nicht signifikant höhere Limite erlauben.
Der Grund dürfte sein, dass der private Schlüssel die Karte nicht verlässt.
