DKB erzwingt Tan2Go..?

136
eingestellt am 5. Jan
Hallo,

wurde bei euch durch die DKB auch Tan2Go erzwungen? Die alten ausgedruckten TAN-Listen sind ungueltig und werden nicht erneuert.

Ich finde ja, dass man die TANs prinzipiell auf dem Smartphone generieren (muss) sehr bedenklich. Die Sicherheit ist damit komplett im Keller - ich will das mal nicht im Detail ausfuehren.
Wenn man sich die Kommentare der Tan2Go App mal durchliest sehen das sehr viele Leute aehnlich:

itunes.apple.com/de/…t=8
play.google.com/sto…=en

Das freiwillig zu machen waere ja noch okay, aber es zu erzwingen ist ja total gaga. Die DKB hatte in letzter Zeit einige komische Aktionen gemacht die eindeutig nicht dem Kunden oder der Kundenzufriedenheit dienen. Es ging bisher nie um Sicherheit sondern es war einfach nur aergerlich. Aber scheinbar machen sie auch kein Halt wenn es um Sicherheit geht.

Auch ist die App auf Android zumindest handwerklich sehr schlecht umgesetzt. Viele User haben Probleme damit - selbst wenn sie alles richtig machen. Oft klappt es nicht und man muss es mehrmals probieren. Die Bedienung ist ziemlich mies und fuer nicht technikaffine Leute eigentlich absolut nix. Und Sicherheit ist wie erwaehnt eh ein No-Go.

Was denkt ihr?
Zusätzliche Info
Sonstiges
Beste Kommentare
Die Tan Liste müssen alle Banken bis September 2019 abgeschafft haben. Ich sehe da kein Problem, man hat doch alternative.
Bei den Kommentaren hier wundert es mich nicht, dass Deutschland selbst bei jungen Menschen so rückständig ist...
Habe letztens gelesen dass die Tanlisten gesetzlich "verboten" werden

Edit: Soll wohl zum September abgeschafft werden zdf.de/nac…tml
Bearbeitet von: "nissay" 5. Jan
El_Pato05.01.2019 14:34

Als Referenz nimmt man immer die schwächste Einstellung. Und sehr viele …Als Referenz nimmt man immer die schwächste Einstellung. Und sehr viele die ich kenne nutzen es so. Letztendlich ist man auch angesichert. Der ccc hat übrigens die push Tan app gehackt. Also auch ohne Fingerabdruck. Beim übermitteln der Tan Nummer zwischen den Apps.3 Schlösser sind doch recht alltäglich. Haustür, Wohnungstür, Aktenschrank oder safe...


Als gelernter Bankkaufmann mit Erfahrung bei der App Programmierung kann ich dir sagen, dass Itan Listen derart unsicher ist. Die Zahl von Phishing-Fällen und Betrugsfällen ist seit pushtan drastisch zurück gegangen. Darüber hinaus versichern Banken so oder so Fälle bei denen dich keine eigene Schuld trifft. Wieviele Leute können einen Fingerabdruck hacken? Darüber hinaus wird bei den meisten Apps dennoch zusätzlich ein Passwort verlangt. Eine ITan Liste kannst du nicht sperren oder sonst was.
136 Kommentare
Nervt mich auch bei der DKB, werde das demnächst kündigen
Dann nimm doch chiptan, dass gibts weiterhin
Habe letztens gelesen dass die Tanlisten gesetzlich "verboten" werden

Edit: Soll wohl zum September abgeschafft werden zdf.de/nac…tml
Bearbeitet von: "nissay" 5. Jan
Die Tan Liste müssen alle Banken bis September 2019 abgeschafft haben. Ich sehe da kein Problem, man hat doch alternative.
No way?
bei den Apps um Tans zu generieren wird immer darauf hingewiesen das man die Banking App auf einem anderen Gerät installieren soll, oder halt zu einer anderen Bank wechseln die das Tan Verfahren anbietet was du bevorzugst
Die TAN Listen sind ja wohl wesentlich unsicherer als generierte TANs...
Letztendlich wird nur bleiben für die ca. 8.- Euro pro Monat zur Filialbank zurückzugehen. Dafür hat man da dann wieder die guten alten beleghaften Überweisungen.
Die TAN Listen werden im Laufe des Jahres deutschlandweit verboten.
Tan2go ist sicherer als vorher generierte Tans. Da würde ich mir keine Gedanken machen.
ABC5605.01.2019 14:00

Die TAN Listen sind ja wohl wesentlich unsicherer als generierte TANs...


Unfug. Um die Tan app zu hacken reicht es aus um einen Fingerabdruck zu überlisten. Mit einem Finger kann ich mein iPhone entsperren, in den Apps anmelden und alles freigeben. Für die itan muss man ein Gerät entsperren, ein bis 3 Schlösser aufbrechen und dann auch noch wissen welche Tanliste zu was gehört.
Habe heute eine neue Liste bekommen. Hat mich schon gewundert, aber ich finde es natürlich ganz gut...
Warum nicht einfach Chip-TAN benutzen?
Pfennig_Fuchsvor 2 m

Tan2go ist sicherer als vorher generierte Tans. Da würde ich mir keine …Tan2go ist sicherer als vorher generierte Tans. Da würde ich mir keine Gedanken machen.


Nicht wenn man es auf dem gleichen Gerät verwendet. Das einzige was hinreichend sicher ist ist SMS Tan auf nicht Smartphone. Aber auch SMS können mitgelesen werden. Itan ist das sicherste was es gibt, wenn man damit entsprechend umgeht. Die Apps bekommst du so oder so niemals sicher. Daher verwenden Unternehmen und Regierungen auch für sichere Kommunikation offline-Schlüssel...
El_Pato05.01.2019 14:06

Unfug. Um die Tan app zu hacken reicht es aus um einen Fingerabdruck zu …Unfug. Um die Tan app zu hacken reicht es aus um einen Fingerabdruck zu überlisten. Mit einem Finger kann ich mein iPhone entsperren, in den Apps anmelden und alles freigeben. Für die itan muss man ein Gerät entsperren, ein bis 3 Schlösser aufbrechen und dann auch noch wissen welche Tanliste zu was gehört.


Wenn du überall die Entsperrung mit FA nimmst, ist das dein Problem. Bei Banking nimmt man sowas nicht. Aber die TAN Liste hinter „3 Schlössern“...ist klar.
Bei 99,9% aller Usern wird PushTAN besser gesichert sein: TAN Liste als höchstes der Gefühle in einem Ordner - wenn das Handy fehlt merkt man das aber normalerweise „sehr zeitnah“.
iTAN - hohes Phising-Risiko, da TAN nicht an Transaktionsdaten gekoppelt ist

tan2go - Generiert werden kann der Schlüssel nur mit physischem Zugang zum Gerät und App-Passwort

chipTan - Girokarte zum Generieren der Tans

Es ist wirklich, so, dass die beiden letzten Verfahren als sicherer betrachtet werden sollten als iTAN. Im Zweifelsfall haftet die Bank, sofern keine grobe Fahrlässigkeit vorliegt.
Persönlich nervt mich der Zwang zu einem anderen TAN-Verfahren auch sehr. Nur irgendwann konnte ich im Onlinebanking nichts mehr tun ohne ein neues TAN-Verfahren zu wählen. Durch root auf meinem Telefon (OnePlus 5) lief die Tan2Go trotz MagiskHide nicht und ich mute ein zweites Telefon ohne root verwenden. Von meinen restlichen DKB-Club-Punkten habe ich dann den chipTAN-Generator gekauft und werde den in Zukunft nutzen. Der Nachteil daran: man muss die DKB Maestro und den Generator dabei haben (erfülle ich beides nicht aber die DKB ist auch nicht mein Hauptkonto), der Vorteil: durch zwei getrennte Geräte zwischen Onelinebanking und Erzeugung der TAN hat mich höhere Sicherheit.

Aktuell gibt es einen Deal zum chipTAN-Generator im MediaMarkt:

/edit
Nach den Update auf Android 9 läuft Tan2Go mit Magisk hide.
Bearbeitet von: "jetzteinandererNick" 14. Jan
Wenn diese gammlige APP der DKB funktionieren würde...
Daher ChipTAN, ist auf sicherer.
ChipTan ist am sichersten. Bei der SMS-TAN und bei TAN-Apps auf dem Handy wird es kritisch aufgrund der in der Regel fehlenden Kanaltrennung. Die meisten möchten ja Komfort haben und bei Android-Endgeräten oder iPhones mit Jailbreak kann es dann durchaus teuer werden.

Die Sicherheit der iTAN-Liste ist leider an den Wissenstand in Sachen Phishing etc. des Nutzers gekoppelt
Bearbeitet von: "cibFel" 5. Jan
Und ich habe im Oktober noch eine neue Liste zugeschickt bekommen
ABC5605.01.2019 14:11

Wenn du überall die Entsperrung mit FA nimmst, ist das dein Problem. Bei …Wenn du überall die Entsperrung mit FA nimmst, ist das dein Problem. Bei Banking nimmt man sowas nicht. Aber die TAN Liste hinter „3 Schlössern“...ist klar. Bei 99,9% aller Usern wird PushTAN besser gesichert sein: TAN Liste als höchstes der Gefühle in einem Ordner - wenn das Handy fehlt merkt man das aber normalerweise „sehr zeitnah“.


Als Referenz nimmt man immer die schwächste Einstellung. Und sehr viele die ich kenne nutzen es so. Letztendlich ist man auch angesichert. Der ccc hat übrigens die push Tan app gehackt. Also auch ohne Fingerabdruck. Beim übermitteln der Tan Nummer zwischen den Apps.
3 Schlösser sind doch recht alltäglich. Haustür, Wohnungstür, Aktenschrank oder safe...
@TheLittleOne
Ich frag mich, wo das Problem ist? TAN-Listen dürfen künftig nicht mehr verwendet werden. Das ist keine "komische Aktion" der DKB und auch nicht "gaga", es wird einfach nur eine gesetzliche Vorgabe umgesetzt. Habe bei der DKB in 2 Minuten TAN2GO und Chip-TAN aktiviert. Funktioniert beides reibungslos. In meinem Bekanntenkreis nutzen alle die DKB-App ohne Probleme. Ich nutze die App auf meinem alten Samsung-Tablet und meinem Xiaomi Smartphone.
Und wie kannst du per Tan Liste feststellen das die Überweisung doch nicht auf ein anderes Konto geht?
El_Pato05.01.2019 14:34

Als Referenz nimmt man immer die schwächste Einstellung. Und sehr viele …Als Referenz nimmt man immer die schwächste Einstellung. Und sehr viele die ich kenne nutzen es so. Letztendlich ist man auch angesichert. Der ccc hat übrigens die push Tan app gehackt. Also auch ohne Fingerabdruck. Beim übermitteln der Tan Nummer zwischen den Apps.3 Schlösser sind doch recht alltäglich. Haustür, Wohnungstür, Aktenschrank oder safe...


Als gelernter Bankkaufmann mit Erfahrung bei der App Programmierung kann ich dir sagen, dass Itan Listen derart unsicher ist. Die Zahl von Phishing-Fällen und Betrugsfällen ist seit pushtan drastisch zurück gegangen. Darüber hinaus versichern Banken so oder so Fälle bei denen dich keine eigene Schuld trifft. Wieviele Leute können einen Fingerabdruck hacken? Darüber hinaus wird bei den meisten Apps dennoch zusätzlich ein Passwort verlangt. Eine ITan Liste kannst du nicht sperren oder sonst was.
Tonschi2vor 46 m

Letztendlich wird nur bleiben für die ca. 8.- Euro pro Monat zur …Letztendlich wird nur bleiben für die ca. 8.- Euro pro Monat zur Filialbank zurückzugehen. Dafür hat man da dann wieder die guten alten beleghaften Überweisungen.


Bei den Kommentaren hier wundert es mich nicht, dass Deutschland selbst bei jungen Menschen so rückständig ist...
Gibt doch auch SMS Tan kostet halt ;-)
goebas05.01.2019 14:37

Als gelernter Bankkaufmann mit Erfahrung bei der App Programmierung kann …Als gelernter Bankkaufmann mit Erfahrung bei der App Programmierung kann ich dir sagen, dass Itan Listen derart unsicher ist. Die Zahl von Phishing-Fällen und Betrugsfällen ist seit pushtan drastisch zurück gegangen. Darüber hinaus versichern Banken so oder so Fälle bei denen dich keine eigene Schuld trifft. Wieviele Leute können einen Fingerabdruck hacken? Darüber hinaus wird bei den meisten Apps dennoch zusätzlich ein Passwort verlangt. Eine ITan Liste kannst du nicht sperren oder sonst was.


Lustig was du da für quatsch erzählst. Die App der Sparkassen und dkb verlangt kein Passwort. Erst nach 10 Überweisungen. Tan Listen lassen sich jederzeit sperren. Telefonisch oder im Portal. Dass die Leute damit nicht klar kommen ja gut. Ich wurde noch nie Opfer. Auch nicht von Facebook oder so. Sollte im Chrome und bei https und anständigem link auch nicht passieren. Davor bricht alles andere erstmal auseinander...Und von Sicherheit weiß ich schon bescheid. Ich bin Projektleiter in der IT Entwicklung. pWLAN und so...Fingerabdruck ging früher mit Klebeband und einer Wurst. Wie es heute ist weiß ich nicht. Face id geht mit einem Foto...
El_Patovor 2 m

Lustig was du da für quatsch erzählst. Die App der Sparkassen und dkb v …Lustig was du da für quatsch erzählst. Die App der Sparkassen und dkb verlangt kein Passwort. Erst nach 10 Überweisungen. Tan Listen lassen sich jederzeit sperren. Telefonisch oder im Portal. Dass die Leute damit nicht klar kommen ja gut. Ich wurde noch nie Opfer. Auch nicht von Facebook oder so. Sollte im Chrome und bei https und anständigem link auch nicht passieren. Davor bricht alles andere erstmal auseinander...Und von Sicherheit weiß ich schon bescheid. Ich bin Projektleiter in der IT Entwicklung. pWLAN und so...Fingerabdruck ging früher mit Klebeband und einer Wurst. Wie es heute ist weiß ich nicht. Face id geht mit einem Foto...


Wird schon seine Gründe haben, dass Tan Listen jetzt verboten wird. Wird sicher nicht dran liegen, dass es so wenig Betrugsfälle damit gab
El_Pato05.01.2019 15:37

Lustig was du da für quatsch erzählst. Die App der Sparkassen und dkb v …Lustig was du da für quatsch erzählst. Die App der Sparkassen und dkb verlangt kein Passwort. Erst nach 10 Überweisungen. Tan Listen lassen sich jederzeit sperren. Telefonisch oder im Portal. Dass die Leute damit nicht klar kommen ja gut. Ich wurde noch nie Opfer. Auch nicht von Facebook oder so. Sollte im Chrome und bei https und anständigem link auch nicht passieren. Davor bricht alles andere erstmal auseinander...Und von Sicherheit weiß ich schon bescheid. Ich bin Projektleiter in der IT Entwicklung. pWLAN und so...Fingerabdruck ging früher mit Klebeband und einer Wurst. Wie es heute ist weiß ich nicht. Face id geht mit einem Foto...


Lustig was du für einen Quatsch erzählst. Beide PushTAN Apps benötigen ein Passwort. Ob du TouchID und Co verwendest liegt bei dir.
Die DKB App ist sogar so blöd, dass die FaceID und Co nicht alleine akzeptiert und zusätzlich nochmal die Daten eingeben werden müssen (zumindest unter iOS).


El_Pato05.01.2019 14:34

Als Referenz nimmt man immer die schwächste Einstellung. Und sehr viele …Als Referenz nimmt man immer die schwächste Einstellung. Und sehr viele die ich kenne nutzen es so. Letztendlich ist man auch angesichert. Der ccc hat übrigens die push Tan app gehackt. Also auch ohne Fingerabdruck. Beim übermitteln der Tan Nummer zwischen den Apps.3 Schlösser sind doch recht alltäglich. Haustür, Wohnungstür, Aktenschrank oder safe...


Da ich in meinem Eigenheim lebe, gibt es dort nur eine (gut gesicherte) Haustür. In einem Mehrfamilienhaus kann „der Feind“ auch innerhalb des Hauses kommen. Da wird die „Wohnungstür“ nicht den höchsten Sicherheitsansprüchen genügen. Und wenn du dann einen Aktenschrank nutzt ist das schön. Viele machen das aber nicht - und merken ggf nicht einmal, wenn die TAN Liste weg ist.
Mein Beispiel ist jetzt genau so konstruiert wie deins - nämlich nicht der „normale“ „TAN Betrug“.
Du versuchst einfach eine total abstruse Situation darzustellen - alleine schon „Foto + FaceID“. In der Praxis wirst du da NIEMALS zu kommen - alleine durch das „Fehlen“ des Smartphones. Das wird dann innerhalb weniger Sekunden ferngelöscht. Bei einer TAN-Liste (oder einer Kopie davon) geht das nicht.
Böse Technik. Teufelswerk...
ABC56vor 2 m

Lustig was du für einen Quatsch erzählst. Beide PushTAN Apps benötigen ein …Lustig was du für einen Quatsch erzählst. Beide PushTAN Apps benötigen ein Passwort. Ob du TouchID und Co verwendest liegt bei dir. Die DKB App ist sogar so blöd, dass die FaceID und Co nicht alleine akzeptiert und zusätzlich nochmal die Daten eingeben werden müssen (zumindest unter iOS). Da ich in meinem Eigenheim lebe, gibt es dort nur eine (gut gesicherte) Haustür. In einem Mehrfamilienhaus kann „der Feind“ auch innerhalb des Hauses kommen. Da wird die „Wohnungstür“ nicht den höchsten Sicherheitsansprüchen genügen. Und wenn du dann einen Aktenschrank nutzt ist das schön. Viele machen das aber nicht - und merken ggf nicht einmal, wenn die TAN Liste weg ist. Mein Beispiel ist jetzt genau so konstruiert wie deins - nämlich nicht der „normale“ „TAN Betrug“. Du versuchst einfach eine total abstruse Situation darzustellen - alleine schon „Foto + FaceID“. In der Praxis wirst du da NIEMALS zu kommen - alleine durch das „Fehlen“ des Smartphones. Das wird dann innerhalb weniger Sekunden ferngelöscht. Bei einer TAN-Liste (oder einer Kopie davon) geht das nicht. Böse Technik. Teufelswerk...


Amen, Bruder.
Hat jemand Erfahrung mit SMS Tan ins außereurop. Ausland? Kommen die SMS der Banken auf dem handy an, vor allem ohne Zusatzkosten, , wenn eine deutsche SIM Karte drin steckt ?
Mir wurde Mal die DKB Kreditkarte inklusive PIN aus dem Briefkasten geklaut und damit wurde Geld abgehoben. Von daher verstehe ich nicht, was an TAN Listen sicher oder besser sein soll.
El_Patovor 40 m

Face id geht mit einem Foto...


Du meist FaceID vom iPhone kann mit einem Foto entsperrt werden? Dazu gerne mal belegbare Quellen

El_Patovor 40 m

Tan Listen lassen sich jederzeit sperren. Telefonisch oder im Portal.


Wenn die TAN Liste abfotografiert wird, merkst du dies nicht mal. Was willst du dann sperren lassen? Vielleicht merkst du auch nicht das eine TAN durch Phishing abgefangen wurde. Oder das die neue TAN Liste nie angekommen ist, in einen neuen Briefumschlag gesteckt wurde. Des weiteren wie kannst du bei einer TAN Liste prüfen ob das Geld auf das gewünschte Konto transferiert wird?
Wie du selber gesagt hast:

El_Patovor 1 h, 43 m

Als Referenz nimmt man immer die schwächste Einstellung.


Und die ist bei einer TAN Liste überall gegeben.
ABC5605.01.2019 16:07

Lustig was du für einen Quatsch erzählst. Beide PushTAN Apps benötigen ein …Lustig was du für einen Quatsch erzählst. Beide PushTAN Apps benötigen ein Passwort. Ob du TouchID und Co verwendest liegt bei dir. Die DKB App ist sogar so blöd, dass die FaceID und Co nicht alleine akzeptiert und zusätzlich nochmal die Daten eingeben werden müssen (zumindest unter iOS). Da ich in meinem Eigenheim lebe, gibt es dort nur eine (gut gesicherte) Haustür. In einem Mehrfamilienhaus kann „der Feind“ auch innerhalb des Hauses kommen. Da wird die „Wohnungstür“ nicht den höchsten Sicherheitsansprüchen genügen. Und wenn du dann einen Aktenschrank nutzt ist das schön. Viele machen das aber nicht - und merken ggf nicht einmal, wenn die TAN Liste weg ist. Mein Beispiel ist jetzt genau so konstruiert wie deins - nämlich nicht der „normale“ „TAN Betrug“. Du versuchst einfach eine total abstruse Situation darzustellen - alleine schon „Foto + FaceID“. In der Praxis wirst du da NIEMALS zu kommen - alleine durch das „Fehlen“ des Smartphones. Das wird dann innerhalb weniger Sekunden ferngelöscht. Bei einer TAN-Liste (oder einer Kopie davon) geht das nicht. Böse Technik. Teufelswerk...


Ich habs iOS und die dkb app und ich kann Überweisungen ohne jegliche Passwörter raus hauen. Ich weiß nicht woher deine Infos stammen.
Bearbeitet von: "El_Pato" 5. Jan
El_Pato05.01.2019 16:28

Ich habs iOS und die dkb app und ich kann Überweisungen ohne jegliche …Ich habs iOS und die dkb app und ich kann Überweisungen ohne jegliche Passwörter raus hauen. Ich weiß nicht woher deine Infos stammen.


Ich nutze sowohl die DKB App, als auch Sparkasse + PushTAN. Daher meine „Info“. Wenn du die Daten im Schlüsselbund speicherst, liegt das nicht an der Bank oder der App
Ihr alle mit eurem Hacking und co.

In den allermeisten Fällen ist es der Benutzer, der seine Daten wo auch immer "verifizieren" muss und dies auch sehr gerne tut, da zu unerfahren.

Irgendwelche Tans oder SMS abzufangen durch Hacking, Fernzugriff auf die Smartphones und was auch immer, ist einfach zu aufwändig.

Außer jemand hat es gezielt auf euch abgesehen, weil da viel Kohle zu holen ist - und nicht ein paar Hundert Euro bei einem durchschnittlichen Mensche.
- Face ID kann definitiv nicht einfach durch ein Foto "gehackt" werden.
- Die Anzahl der Betrugsfälle, in der TAN-Listen aus Büros geklaut werden, kann man wohl an einer Hand abzählen.
- Bei jeder anderer TAN-Art ist diese nach wenigen Minuten nicht mehr gültig, zudem steht dabei, wieviel Geld wohin gesendet werden soll.
- Zumindest am iPhone ist mir kein Betrugsfall mit Push-Tan-Apps bekannt.
Mir will doch niemand erzählen, dass ausgerechnet bei einem Android-System die Sicherheit höher wäre als bei der Verwendung eines NON-Smartphones mit SMS-TAN?

Und bei den Systemen, welche einen TAN-Generator + die Anzeige einer Internetseite (QR-Code, etc.) verwenden wäre es also Utopisch, dass diese Anzeige z. B. per Trojaner abgefangen würde? Woher weiß denn die Bank welcher TAN-Generator jetzt die der des Kunden ist? Ist da bei der Bank ein Hardwareschlüssel (ID) hinterlegt?

Gut TAN-Listen sind ggf. tatsächlich ein (pot.) Problem, da diese keine Ablaufzeit für die einzelne TAN haben...
PreiseC05.01.2019 17:09

Mir will doch niemand erzählen, dass ausgerechnet bei einem Android-System …Mir will doch niemand erzählen, dass ausgerechnet bei einem Android-System die Sicherheit höher wäre als bei der Verwendung eines NON-Smartphones mit SMS-TAN?Und bei den Systemen, welche einen TAN-Generator + die Anzeige einer Internetseite (QR-Code, etc.) verwenden wäre es also Utopisch, dass diese Anzeige z. B. per Trojaner abgefangen würde? Woher weiß denn die Bank welcher TAN-Generator jetzt die der des Kunden ist? Ist da bei der Bank ein Hardwareschlüssel (ID) hinterlegt? Gut TAN-Listen sind ggf. tatsächlich ein (pot.) Problem, da diese keine Ablaufzeit für die einzelne TAN haben...


Ich habe jetzt kein QR Scanner, aber ich musste die ID des Gerätes eintragen und dann per TAN, welche zugesendet wurde, bestätigen. Sollte die Seite manipuliert worden sein, sieht man immer noch auf dem jeweiligen Zweitgerät wohin überwiesen wird - dies sieht man bei einer TAN Liste übrigens auch nicht.

Welche Vorteile hat den die TAN Liste?
Dein Kommentar
Avatar
@
    Text

    Diskussionen