(gelöst) online banking, Einloggen im Browser

[electri]

Falls ich nichts falsch verstanden habe:
Einstellungen wie empfohlen vorgenommen. Ich bin gespannt!

Ja, so funktioniert es zumindest bei mir.

[fischig]

Ich hab's mittlerweile selbst erfolgreich getestet, wollte aber - angesichts meiner Unsicherheiten - vor'm Veröffentlichen deine Rückmeldung abwarten!



Bevor ich den Thread auf gelöst setze, will ich erst nochmal im Kopf rekapitulieren, was ich eigentlich gemacht/verändert habe. Ich brauch' für sowas Zeit!

[electri]

Naja, die Folge ist, dass du den privaten Modus nicht mehr verwenden kannst. Was das genau bedeutet, weiß ich nicht. Mit dem Löschen der Cookies (außer Banking), von Chronik, Cache und Suchanfragen beim Beenden von FF, gehe ich davon aus, dass die Einstellungen sehr nahe an den privaten Modus heran kommen.

Angesichts des modernen Browser-fingerprinting habe ich kapituliert und mich nicht weiter in die FF-Einstellungen eingearbeitet. Anhand von Betriebssytem (Linux), FF-Version (LTS), Netzanbieter (regional statt groß), Auflösung (16:10 statt 16:9), der Schriftarten und der Grafik bin ich vermutlich eindeutig im Netz identifizierbar. Insofern hat für mich das Löschen der Cookies und anderer FF-Einstellungen etwas an Priorität verloren. Trotzdem mache ich das noch, weil Cookies wohl immer noch das billigste Verfolgungsmittel für die großen Firmen sein dürften. Will ich wirklich unerkannt surfen, komme ich wohl um Tails nicht herum.

[fischig]

Mit dem Löschen der Cookies (außer Banking), von Chronik, Cache und Suchanfragen, gehe ich davon aus, dass die Einstellungen sehr nahe an den privaten Modus heran kommen.

Das wäre auch alles, was ich mir von der Aktion versprochen habe. ich tu', was mein Laienverstand mir sicherheitstechnisch ermöglicht. Von mehr lass' ich komplett die Finger, wenn ich's für mich für zu gefährlich halte.

[reox]

Um noch ein wenig OT in den Thread zu streuen: Eine Österreichische (mittlerweile Italienische) Bank fordert zu einer "Browseraktivierung" (oder so ähnlich heißt es - jedenfalls deskriptiv was sie wollen) auf, wenn man sich das erste mal mit einem Browser anmelden will. Nachdem sie da auch ein Cookie setzen, ist es halt immer das erste mal und ziemlich nervig.
Ich glaube die Idee dahinter ist, dass man verhindern will, dass sich die Leute unabsichtlich irgendwo anders anmelden - oder zumindest eine Information bekommen, dass sie hier vorher noch nicht waren.
Spaßigerweise führt das eher dazu, dass die Leut dann nur noch die Handy App verwenden - denn dort kann man den Verfüger und die TAN einfach speichern ...

[fischig]

Eine Österreichische (mittlerweile Italienische) Bank fordert zu einer "Browseraktivierung" [...] auf, wenn man sich das erste mal mit einem Browser anmelden will. Nachdem sie da auch ein Cookie setzen, ist es halt immer das erste mal und ziemlich nervig.

Nein, nein. Ich denke, das ist nicht OT, sondern genau das gleiche Vehalten wie bei meiner Bank. Interessant ist halt, was mit mit diesem Cookie passiert, nachdem's gesetzt ist. Wird's nach der Browser-Sitzung gelöscht, geht der Spuk von vorn los. Ob das in irgend einer Form der Sicherheit dient, vermag ich nicht zu beurteilen.
Vielleicht stell' ich mal beim DF die gleiche Ausnahme wie jetzt bei meiner Bank ein, In der Furcht, dass feltel mal auf die Idee kommen könnte, statt der Cookie-Akzeptanz einen TAN-Generator zu fordern - man weiß ja nie.

[fischig]

Ich will das nochmal hochspülen:
Was mich störte, lag eindeutig an meinen Cookie-Einstellungen in meinem Browser, nicht an der Bank. Ist jetzt dank electri geklärt. Nachdem ich kürzlich einen „Markt“-Beitrag im NDR zu diesem Thema gesehen habe, bin ich mir nicht so sicher, wie sinnvoll meine Einstellungs-Wahl ist. Dort wurden Banken kritisiert, die keine TAN beim Einloggen verlangen. Wie beurteilen die hiesigen IT-Experten das Procedere meiner Bank unter Sicherheitsaspekten:
Mein Firefox ist jetzt so konfiguriert, dass der Bank als Ausnahme erlaubt wird, cookies zu setzen. Damit entfällt die TAN-Eingabe beim Einloggen. Einmal eingeloggt wird eine TAN-Eingabe erst nötig bei Geldtransaktionen > 30€. Kann man das unter Sicherheitsaspekten so lassen oder sollte ich auf die Bequemlichkeit besser verzichten, heißt Via Cookie-Einstellung eine TAN beim Einloggen erzwingen (und gegebenenfalls eine weitere bei Transaktionen > 30€)?

[debilian]

Also ich sehe das für mich so:

TAN zum Einloggen; sinnfrei, ist mit doch egal, wer meinen Kontostand sehen kann.
TAN frei bei Überweisungen; genauso schlecht wie kontaktfreies Zahlen mit Karte.

Die TAN beim Einloggen geht mir total auf die Nerven, da ich oftmals nur kurz den Kontostand sehen möchte
und normalerweise nichts im Browser speichere - also Cookies, Verlauf, what ever.

Cookie Ausnahme für die Bankseite wirds wohl auch für mich werden.

gruss

[OrangeJuice]

Das hat einen Sicherheitsgrund, warum eine TAN auch beim Login verlangt wird. Es gab wohl Phishing Angriffe die es ausgenutzt haben, das es beim Login keinen zweiten Faktor gab und so konnte Apple Pay oder Google Pay hinterlegt werden und damit das Konto leer geräumt werden. Wenn jemand genügend Geld auf dem Konto hat lohnt sich wahrscheinlich auch ein Spear-Phishing Angriff.

Mobiles Bezahlen mit dem Smartphone – wie sicher ist Apple Pay?

[uname]

Einige Banken verlangen wohl nicht immer, sondern nur in gewissen Zeitintervallen eine TAN beim Anmelden. Dann bringt das wenig bis nichts.

[debilian]

Wer Banking, und vieles mehr, mit dem Smartphone betreibt ist imho verloren ;-P
Der ganze Smart Schrott macht mir das Banking online komplett unsympathisch -
da es eigentlich eine Text Geschichte sein sollte und kein Apple Werbe Unternehmen -

mit Web 8.0 Features, die ich, mit Verlaub, nicht brauche.


duck&wech

[Tintom]

Der Grund für das scheinbar widersprüchliche Verhalten beim Login, für die Zwei-Faktor-Authentifizierung (2FA), wann sie angewendet wird und wann nicht, ist die EU-Richtlinie PSD2 und spezifisch noch die EU-Verordnung 2018/389, die die Banken umsetzen mussten. Es wurden einige Ausnahmen definiert, wann die 2FA (im Juristendeutsch: „starke Kundenauthentifizierung“) umgangen werden darf, z.B. wenn lediglich der Kontostand abgerufen wird, wenn Kleinbeträge (bis 30 EUR) gezahlt werden usw.

Ausnahmen sind in der entsprechenden Verordnung aufgeführt: https://eur-lex.europa.eu/legal-content ... 1e642-23-1

Greifen die Ausnahmen nicht, gilt automatisch immer 2FA.

Etwas hübscher ist das noch einmal hier beschrieben: https://www.bundesbank.de/de/aufgaben/u ... sd2-775434

[OrangeJuice]

Wer Banking, und vieles mehr, mt dem Smartphone betreibt ist imho verloren ;-P

Auf dem Computer kann man sich ein Programm(z.B. Browser) auch aus einer unsicheren Quelle holen und ggf. Probleme bekommen. Wobei ich selber das Smartphone nicht für das Banking verwenden wollen würde, was da an Verbindungen alleine z.B. zu Samsung aufgebaut werden sollen.

[debilian]

Wer Banking, und vieles mehr, mt dem Smartphone betreibt ist imho verloren ;-P

Auf dem Computer kann man sich ein Programm(z.B. Browser) auch aus einer unsicheren Quelle holen und ggf. Probleme bekommen. Wobei ich selber das Smartphone nicht für das Banking verwenden wollen würde, was da an Verbindungen alleine z.B. zu Samsung aufgebaut werden sollen.

Das ist ja leider das "normale", ich verbiete hier, per Hosts Datei das halbe Internet
weil jede lokale Nachrichtenseite meint, auf Facebook, Whatsapp, Twitter oder Tiktok verlinken zu müssen...

komisch "Sicherheit" im Internet neuerdings.

[fischig]

Das hat einen Sicherheitsgrund, warum eine TAN auch beim Login verlangt wird.

Wird sie ja nicht. Meine Bank macht das abhängig von der Existenz eines Cookies.

Es gab wohl Phishing Angriffe die es ausgenutzt haben, das es beim Login keinen zweiten Faktor gab und so konnte Apple Pay oder Google Pay hinterlegt werden und damit das Konto leer geräumt werden.

Das war wohl auch der Hintergrund der NDR-Reportage. Taschenrechner mit Android oder Apple-OS könnte ich für's banking gar nicht benutzen, denke ich. Der hat gar keine SIM-Karte.
Z.Z. benutzt wird ausschließlich Debian-Firefox.

[uname]

Wird sie ja nicht. Meine Bank macht das abhängig von der Existenz eines Cookies.

Das erlebe ich auch auf immer mehr Internetseiten. Da wird man bestraft, wenn man aus Sicherheitsgründen die Cookies mit Beenden des Browsers löscht.

[OrangeJuice]

Wird sie ja nicht. Meine Bank macht das abhängig von der Existenz eines Cookies.

Das kannte ich so noch nicht. Die TAN-Abfrage anhand eine Cookies zu entscheiden...

Noch mehr Sicherheit im Online-Banking durch "Device-Fingerprint"
ab dem 15.02.2022

Beim Login im Online-Banking speichert die Anwendung, mit welchem Gerät oder Browser Sie sich anmelden. Wir sprechen hier vom Device-Fingerprint, also dem ‚Fingerabdruck des Endgeräts‘.

Bei jeder weiteren Anmeldung im Online-Banking prüft die Anwendung, ob es sich um dasselbe Gerät oder denselben Browser handelt. Wenn nicht, dann müssen Sie eine TAN eingeben, um das neue Gerät oder den neuen Browser zu bestätigen. Für den ersten von Ihnen ermittelten Fingerprint ab dem 15.02.2022 erfolgt allerdings keine TAN Abfrage.

Es werden maximal 5 Fingerprints gespeichert. Wird ein 6. Fingerprint erkannt, wird der älteste Fingerprint ersetzt.

So sind Sie noch besser gegen Betrüger und Hacker im Online-Banking geschützt!
Quelle

[MSfree]

Das hat einen Sicherheitsgrund, warum eine TAN auch beim Login verlangt wird.

Wird sie ja nicht. Meine Bank macht das abhängig von der Existenz eines Cookies.

Cookies sind immer im Spiel, wenn es um "Logins" bei einem Webserver geht.

Wenn du dich einlogst, schickt der Webserver immer ein Cookie zurück, das dein Browser sich merkt. Dieser Keks wird immer von Browser an den Server gesendet, wenn irgendeine Aktion mit der Webseite stattfindet, beispielsweise ein simples Refresh oder der Klick auf "Überweisung tätigen".

Browser speichern diese Kekse auch auf der Festplatte, so daß sie beim nächsten Browserstart wieder vorhanden sind. Der Webserver entscheidet dann, ob der Keks noch gültig ist oder ob der dir einen neuen schickt. So wird z.B. für 2FA oft ein zweiter Keks verwendet, der eine längere Gültigkeit hat als der Keks, der dich mit Namen/Passwort identifiziert. Daher kann es sein, daß du dich zwar einlogen mußt, auf 2FA aber verzichtet wird, weil der Keks noch nicht abgelaufen ist.

Nur, wenn du den Browser so einstellst, daß beim Beeneden alle Kekse gelöscht werden, mußt du dich beim Login wieder komplett neu inklusive 2FA identifizieren.

[fischig]

Jetzt wäre für mich interessant zu erfahren ob, und wenn ja, wie das die Sicherheit vor „Betrügern und Hackern im Online-Banking“ unterstützen soll. Oder so herum gefragt: Was habe ich, bzw. hat die Bank davon, dass sie weiß, von welchem Browser aus auf ein Konto zugegriffen wird?

[gatnnos]

Was habe ich, bzw. hat die Bank davon, dass sie weiß, von welchem Browser aus auf ein Konto zugegriffen wird?

Di eBank unterstützt nur aktuelle Browser bis zur Version x abwärts. Bist Du außerhalb deren Fenster, keine Verbindung.

BTW: Wenn man mit einer Banking Software auf dem Rechner arbeitet, gilt eine TAN, nur zum Abrufen der Umsätze natürlich, für 90 Tage.

[thoerb]

Jetzt wäre für mich interessant zu erfahren ob, und wenn ja, wie das die Sicherheit vor „Betrügern und Hackern im Online-Banking“ unterstützen soll. Oder so herum gefragt: Was habe ich, bzw. hat die Bank davon, dass sie weiß, von welchem Browser aus auf ein Konto zugegriffen wird?

Wenn du früher regelmäßig in deine Bankfiliale gegangen bist, haben dich die Angestellten dort an deinem Gesicht erkannt. Heute erkennen sie dich an deinem Browser bzw. dem gespeicherten Cookie.

Edit: Wenn du das Cookie löschst, bist du jedes mal wieder ein Fremder, der sich neu ausweisen muss.

[fischig]

Heute erkennen sie dich an deinem Browser bzw. dem gespeicherten Cookie.

Auch Browser kann man hacken, vermute ich mal.

[thoerb]

Auch Browser kann man hacken, vermute ich mal.

Erreichen möchte ich, dass die Bank ihr TAN-Verhalten wie bisher auf meine Kontenbewegungen beschränkt und mich nicht bereits bei jedem Einloggen damit nervt.

Was ist dir jetzt wichtiger, Sicherheit oder Bequemlichkeit?

[fischig]

Du hast den Threadverlauf nicht vollständig rezipiert. Das letzte Zitat dürfte aus einem Beitrag stammen, bevor ich den Thread als gelöst markiert hatte. Danach ging's mir (veranlasst von einem TV-Beitrag) darum, ob das cookie-procedere der Bank als Äquivalent zur TAN-Abfrage gewertet werden kann. Aber gut. Ich hätte auch einen neuen Faden aufmachen können.

[thoerb]

Ja ich habe tatsächlich nicht mehr alles gelesen und nur grob überflogen. Es ging mir eigentlich nur um die Antwort auf deine letzte Frage.