cross-posted from: https://feddit.org/post/2254870
geteilt von: https://feddit.org/post/2254613
Artikel von @rufposten@social.tchncs.de:
"Ich habe das Onlinebanking und die Banking-/Tan-Apps von 35 Banken getestet.
Nur eine kleine Privatbank ist datenschutzkonform - ein katastrophales Ergebnis auch für die Datenschutzbehörden.
Wie man sich bei manchen Banken trotzdem einen Zugang ohne Werbe- oder Analysetracking organisiert, erfahrt ihr im ausführlichen Test."
Es wird nicht berücksichtigt, dass bei vielen Banken die TAN-App auch eine Offline-Funktion anbietet. Das heißt meist Photo-TAN, QR-TAN oder Smart-TAN und besteht darin, dass man mit der App ein Bild einscannt und die App dann einen Code liefert. Das funktioniert ohne Internetverbindung und ist empfehlenswerter als Push-TAN.
Die Option wird schon berüchsichtigt, siehe im ersten Absatz: “Zum Glück gibt es aber noch sehr vielen Banken, bei denen man die richtige Kombination aus Offline-Tan-Gerät mit einem trackingfreien Banking-Zugang kombinieren kann, sodass keine unnötigen Drittanbieter eingebunden werden. In der Tabelle sind das die Banken ohne rote Felder.”
Allerdings bieten nur etwa die Hälfte der Banken die Option mit dem TAN-Generator an. Und auch bei diesen ist m.E.n. diese Option oft sehr gut versteckt und wird nur angeboten, wenn man proaktiv danach sucht bzw. nachfragt.
Ich habe nicht den TAN-Generator (aka Lesegerät) gemeint welchen man zusätzlich zum Handy bestellen und zahlen muss, sondern dass man die kostenlose App auf eigenem Handy ohne Netzzugang nutzen kann um Bilder mit der Handykamera scannen um TANs zu generieren. Z. Bsp. VR-Banken bieten ein Lesegerät aber deren Secure-Go-App hat die Offline-Funktion nicht.
ach so… Ist das eine dezidierte offline-App oder muss man sich da selbst drum kümmern, dass sie offline bleibt?
Man sieht in der Tabelle aus dem Blogbeitrag, dass es bei 1882direkt zwei getrennte Apps sind. Meist sind aber beide Funktionen in einer App integriert und dann hängt es von dem Softwarehersteller ab, welche Funktion welche Priorität erhält. Zum Beispiel PhotoTan App von Comdirect startet immer mit PushTAN und versucht direkt nach Start beim Google (Firebase) anzurufen um nach neuen Autentifizierungsanfragen zu schauen. Die App meckert dann wenn Internetverbindung nicht funktioniert und man kann dann in der App zum Skener wechseln und im Webbrowser muss man auf PhotoTan-Verfahren umschalten. Das ist allerdings erst ab diesem Jahr so. In den früheren Versionen der PhotoTan App wurde immer Skener zuerst angezeigt. Deswegen wurde diese damals auch PhotoTan App und nicht PushTan App genannt.
Ich habe Konto auch noch bei einer nicht-deutschen Bank und dort sind die Prioritäten PushTAN -> SMS -> Skener. Zusätlich habe ich auch noch den Eindruck, dass sich die Priorität auch in Abhängigkeit von der Art der Transaktion ändert, bzw. dass bei manchen Transaktionen bestimmte Tan-Verfahren gesperrt sind. Ich vermute dass hier auch die Verträge der Banken mit Zahlungsanbietern wie Visa oder Klarna eine Rolle spielen. Solche Zahlungen werden mit Hilfe der App verifiziert und diese Anbieter freuen sich sicher wenn sie von der Bank-App nicht nur Info über den Erfolg der Authentifizierung erhalten.
Es wäre natürlich spannend das systematisch zu untersuchen.
SecureGo+ läuft nicht wenn die App hinter nem VPN ist. Aber gut dass sie das immerhin kann
Das ist aber eine App und kein separates Gerät
Die Comdirect Phototan app heißt so, ich hab aber noch nie nen Code eingescannt