Ist die Photo-Tan abhängig vom Smartphone?
Hallo,
seit ein paar Tagen gibt es ja bei allen(?) Banken diese Neuregelung, dass man sofort nach dem Login (Eingabe Benutzer-Name und PIN) auch noch eine Photo-Tan eingeben muss. Ich halte also das Smartphone mit der Photo-TAN-App vor den Bildschirm und bekomme eine Ziffer angezeigt, die ich dann eingebe. Wenn diese korrekt ist, habe ich Zugang zu dem Konto. So weit, so gut.
Was ich mich frage: angenommen jemand gelangt in den Besitz meines Benutzer-Namens und meiner PIN. Und angenommen, er hätte auch die (im Google-Store für jedermann zugängliche) Photo-Tan-App meiner Bank auf seinem Smartphone installiert. Wenn er dann die Photo-Tan-App auf SEINEM Smartphone vor den Bildschirm hält, bekommt er dann auch auf SEINEM Smartphone die Ziffer angezeigt und kann sich einloggen? In dem Fall wäre der zusätzliche Schritt mit der Photo-Tan beim Einloggen ja völlig sinnlos. Oder wird auf irgendeine Weise (die der Anwender nicht sieht) noch die Telefonnr. des Smartphone abgefragt?
4 Antworten
Ja, ist sie. Die App funktioniert für ein bestimmtes Konto nur mit dem Smartphone, welches auch dafür verifiziert wurde. Diese Verifizierung führt man selbst durch bzw. hast Du nach der Installation bereits durchgeführt.
Dass ein Smartphone auch ohne SIM-Karte funktioniert, ist mir zwar neu, habe ich allerdings auch noch nicht ausprobiert. Ich hatte aber auch nichts von SIM-Karte geschrieben, sondern auf Deine Frage geantwortet, ob die Photo-TAN abhängig vom Smartphone ist.
Die App funktioniert für ein bestimmtes Konto nur mit dem Smartphone, welches auch dafür verifiziert wurde.
Dass zwei Leute ein Smartphone für verschiedene Konten benutzen, ist möglich und zulässig, wieso auch nicht? Dem Konto ist es doch egal, ob das Smartphone auch noch für ein anderes Konto verifiziert ist, bei dem dann ein anderer Benutzername + PIN erforderlich wäre.
Und wir bekommen damit Zugang zu ihrem und meinem Konto. d. h., bei dieser Konstellation hat die Photo-Tan beim Login keine zusätzliche Sicherheit gebracht(?)
Und wieso nicht? Vorher hat Benutzername und PIN ausgereicht, jetzt muss zusätzlich die Photo-TAN eingegeben werden.
Ein Dritter müsste also Benutzername, PIN und Dein Smartphone besitzen, um an Dein Konto zu gelangen. Vorher hätte Benutzername und PIN ausgereicht.
Ja, genau das ist die Frage: Müsste ein Dritter wirklich MEIN Smartphone besitzen? Wodurch mein Smartphone von der App(?) identifiziert?
Deswegen hatte ich ja geschrieben, dass dieses Handy keine Sim-Karte hat, sondern nur über Wlan genutzt wird. Anhand der Telefonnr. auf der Sim-Karte kann es also nicht identifiziert werden.
Du bist ja ein ganz hartnäckiger Geselle ;-))
Ich habe alles verstanden, was Du geschrieben hast.
Ja, ein Dritter müsste Dein Smartphone besitzen! Habe ich doch nun schon zweimal geschrieben, mehr kann ich nicht tun. Frag mich nicht nach der Technik. Ruf einfach Deine Bank an, vielleicht haben die in der EDV-Abteilung jemanden, der Dir das technisch genau erklärt.
Es ist jedenfalls so, dass der Zugang mit Deinem Smartphone auch möglich ist, wenn Du es mit einer beliebigen SIM-Karte benutzt. Auf irgendeine Weise, die ich Dir leider nicht erklären kann (interessiert mich, ehrlich gesagt auch nicht), wird das Smartphone erkennt. Die App hat sicher Berechtigungen, mit denen sie auf die IMEI-Nummer zugreifen und es eindeutig identifizieren kann.
Wenn Du eine Bestätigung brauchst, probier es doch einfach mit irgendeinem anderen Smartphone aus.
Danke für deine ausführlichen Antworten.
Wenn es um Sicherheitsaspekte geht, bin ich in der Tat ziemlich hartnäckig.
Die Bank habe ich in der Zwischenzeit angemailt, bislang ohne Antwort.
Die Erklärung "Die App hat sicher Berechtigungen, mit denen sie auf die IMEI-Nummer zugreifen und es eindeutig identifizieren kann" erscheint mir auch sehr plausibel.
Ist ja auch in Ordnung, wenn man vorsichtig ist, verstehe ich, aber der gleichen Person dreimal die gleiche Frage stellen, bringt nicht unbedingt konstruktive Ergebnisse.
Ich weiss nicht, wie die Hotline Deiner Bank erreichbar ist, aber ich würde es telefonisch versuchen. Oft kann man da zu einem Internetspezialisten weiter verbunden werden.
Man muss erstmal sein Smartphone/App in seinem Bankkonto hinterlegen und aktivieren. Es funktionieren nur im Konto hinterlegte Geräte.
Die Verifizierung des Gerätes wird in den App-Daten gespeichert und nicht an eine Telefonnummer gekoppelt.
Nun, vermutlich wird die App entweder ein einloggen mit deinem Account nur auf deinem Handy zulassen oder es wird andere Systemeigene Daten des Gerätes zum entschlüsseln nutzen, beispielsweise einen, beim einrichten der App angelegten Schlüssel.
Meine Frau und ich nutzen beide für Online-Banking das gleiche Smartphone mit der Cobank-App aus dem Google-Play-Store. Und wir bekommen damit Zugang zu ihrem und meinem Konto. D. h., bei dieser Konstellation hat die Photo-Tan beim Login keine zusätzliche Sicherheit gebracht. Man braucht (wie vorher) nur Benutzernamen und PIN kennen, um Zugang zu erhalten
Nein, du musstest doch deine App in deinem Account scannen. Also geht das nur mit deiner App, die du auf deinem Smartphone hast.
Danke für die Antwort.
Zu "Die App funktioniert für ein bestimmtes Konto nur mit dem Smartphone, welches auch dafür verifiziert wurde."
Dieses Smartphone hat KEINE Sim-Karte, sondern wird von uns nur mit dem häuslichen Wlan genutzt. Also wird das Smartphone NICHT anhand der Telefonnr. identifitziert.
Meine Frau und ich nutzen beide für Online-Banking das gleiche Smartphone mit der Cobank-App aus dem Google-Play-Store. Und wir bekommen damit Zugang zu ihrem und meinem Konto. D. h., bei dieser Konstellation hat die Photo-Tan beim Login keine zusätzliche Sicherheit gebracht(?) Man braucht (wie vorher) nur Benutzernamen und PIN kennen, um Zugang zu erhalten