(gelöst) online banking, Einloggen im Browser

[fischig]

Ich kann mich bei meiner Bank im firefox (91.4.1esr) neuerdings nur noch via TAN-Eingabe einloggen.
Wenn ich recht vermute, wird das dadurch bewirkt, dass die Bank ein cooky/cookies setzten möchte, was ich ihr aber via „Einstellungen Chronik niemals anlegen“ nicht erlaube.
Erreichen möchte ich, dass die Bank ihr TAN-Verhalten wie bisher auf meine Kontenbewegungen beschränkt und mich nicht bereits bei jedem Einloggen damit nervt. Nichtsdestotrotz möchte ich dem Browser weiterhin nicht erlauben, irgendeine Chronik anzulegen. Lässt sich das via Änderung(en) de rFirefox-Einstellungen erreichen?

[OrangeJuice]

Ich kann mich bei meiner Bank im firefox (91.4.1esr) neuerdings nur noch via TAN-Eingabe einloggen.

Sicher, dass du diese Version des Firefox verwendest?
Eigentlich sollte es schon lange der 102er ESR Zweig des Firefox sein.

[hikaru]

Was war jetzt die Frage?
Meine Bank will beim Login ebenfalls eine TAN haben, als 2. Faktor zum Loginname und Passwort. Es hat also nichts mit Cookie-Einstellungen zu tun.
Diese TAN ist aber konzeptuell eine andere, als die TANs, die für Kontenbewegungen generiert werden. Letztere erstellt mein TAN-Generator nach Scannen eines QR-Codes auf der Website, Erstere generiert er ganz allein, ohne externen Input.

[spiralnebelverdreher]

Vermutlich macht deine Bank das, da der Nutzer mindestens alle 90 Tage eine Starke Kundenauthentifizierung durchführen muss wenn er online Zugriff aufs Konto haben will. Ist eine Vorgabe der Finanzaufsicht https://www.bafin.de/SharedDocs/Veroeff ... erung.html .

[fischig]

Stimmt soweit, als der firefox nicht aktuell für stable ist. Hole ich gleich nach. Mal schauen.

als 2. Faktor zum Loginname und Passwort

Für mich ist das Faktor Nr.3 und den benötigte ich bisher nicht.

Letztere erstellt mein TAN-Generator nach Scannen eines QR-Codes auf der Website, Erstere generiert er ganz allein, ohne externen Input.

Ich erkenne da keinen Unterschied, den TAN-„Generatur“ (für den „Flicker-Code“ im Browser) muss ich in beiden Fällen benutzen.

[fischig]

firefox upgedatet. Same procedure

Vermutlich macht deine Bank das, da der Nutzer mindestens alle 90 Tage eine Starke Kundenauthentifizierung durchführen muss

Ist bekannt und kann ich ausschließen.

Für mich ist das Faktor Nr.3 und den benötigte ich bisher nicht.

Faktor 3 würde dann die (vor)letzte Änderung der Bank ad absurdum führen: Die bestand darin, dass (abgesehen von der 90-Tage-Frist) für Kleinbeträge die TAN-Nutzung abgeschafft wurde.

Mag sein, dass hikura recht hat, aber das hätte man dann deutlich besser kommunizieren können. Ich werde bei der Bank nachfragen. Die Auskunft traue ich den Angestellten zu.

edit:
Weiteres Indiz für Browser-Einstellungs-Problem: Meine Frau kann sich ohne TAN-Eingabe einloggen (gleiche aktualisierte Firefox-Version)

[spiralnebelverdreher]

Für mich ist das Faktor Nr.3 und den benötigte ich bisher nicht.

Faktor 3 würde dann die (vor)letzte Änderung der Bank ad absurdum führen: Die bestand darin, dass (abgesehen von der 90-Tage-Frist) für Kleinbeträge die TAN-Nutzung abgeschafft wurde.

Die Bankaufsicht sieht das etwas strenger bei Kleinbeträgen:

Die Karte darf nur für maximal fünf aufeinander folgende Zahlungen ohne Starke Kundenauthentifizierung genutzt werden. Alternativ darf der Zahlungsdienstleister auch darauf abstellen, ob die ohne Starke Kundenauthentifizierung getätigten Zahlungen in der Summe 150 Euro nicht überschreiten. Ist keine der beiden Alternativen erfüllt, muss der Karteninhaber eine Starke Kundenauthentifizierung durchführen. Dies erfolgt in der Regel durch die zusätzliche Eingabe der PIN. Danach ist die Ausnahme wieder freigeschaltet.

By the way, wie kommst du auf drei Faktoren? Hat deine Bank dir sonst noch was zur Verfügung gestellt? In meiner Zählung sehe ich bei deinem Beispiel beim Einloggen mit SMS-TAN ich nur zwei Faktoren: Statisches, selbst gewähltes Passwort / PIN als Faktor der Kategorie "Wissen", sowie die per SMS übermittelte TAN als Faktor der Kategorie "Besitz (einer spezifischen SIM-Karte)". Die Kontonummer ist kein unabhängiger Faktor der Kategorie "Wissen".

[kalle123]

Meine Bank will beim Login ebenfalls eine TAN haben, als 2. Faktor zum Loginname und Passwort.

Hier ebenso.

Wenn ich dann drin bin, für jede weitere Aktion meinerseits jeweils noch ne TAN .....

Ist aber schon länger so und nicht erst seit heute

cu KH

[fischig]

Ich wiederhole nochmal:
meine Frau kann sich im gleichen Browser bei derselben Bank ohne TAN einloggen.
Für mich ein eigentlich nicht zu falsifizierendes Indiz dafür, dass es nicht an der Bank/Bankenaufsicht liegen kann, sondern an den Browser-Einstellungen.

OT:

Statisches, selbst gewähltes Passwort / PIN als Faktor

Für mich sind das bereits zwei Faktoren.

[michaa7]

...

OT:

Statisches, selbst gewähltes Passwort / PIN als Faktor

Für mich sind das bereits zwei Faktoren.

"/" ist wohl als entweder - oder gemeint , nicht als "+". Dann kommt man auf "eins".

[spiralnebelverdreher]

Meine Erfahrung ist, dass die Banken das unterschiedlich handhaben:

Bank A benötigt zum Einloggen Kundennummer und PIN und alle drei Monate zusätzlich Bestätigung in der App (oder Bestätigung per Flicker-TAN). Jede Überweisung muss per Einmalcode oder per Bestätigung in der App bestätigt werden, es sei denn Überweisungsempfänger ist als vertrauenswürdigt getagged.

Bank B benötigt zum Einloggen Kundennummer und PIN und immer zusätzlich Bestätigung in der App (oder SMS-TAN). Jede Überweisung muss per SMS-TAN oder per Bestätigung in der App bestätigt werden.

Bank C benötigt zum Einloggen Kundennummer und PIN und immer zusätzlich die Bestätigung in der App. Jede Überweisung muss per App bestätigt werden, es sei denn ich habe in meinem Profil eingestellt, dass für die während einer Session erstellten Überweisungen keine extra Bestätigung nötig ist.

[DeletedUserReAsG]

Für mich sind das bereits zwei Faktoren.

Nein, User/Pass|PIN ist ein Faktor.

Ansonsten käme zumindest mir als erste Ansprechstelle der Support der betreffenden Bank in den Sinn – ein Forum zu einer Linuxdistribution wäre wahrscheinlich nicht einmal unter den ersten fünf Möglichkeiten, die ich in Erwägung ziehen würde. Wenn ich die Browsereinstellungen in Verdacht hätte, wär’s für mich die einfachste Möglichkeit, das einfach zu überprüfen – etwa, indem ich die vermutete Einstellung testweise auf den Defaultwert setzen würde.

[spiralnebelverdreher]

Ich wiederhole nochmal:
meine Frau kann sich im gleichen Browser bei derselben Bank ohne TAN einloggen.
Für mich ein eigentlich nicht zu falsifizierendes Indiz dafür, dass es nicht an der Bank/Bankenaufsicht liegen kann, sondern an den Browser-Einstellungen.

OT:

Statisches, selbst gewähltes Passwort / PIN als Faktor

Für mich sind das bereits zwei Faktoren.

Geht es um ein gemeinsames Konto mit jeweils eigenen Zugangsdaten? Oder einem anderen Konto bei derselben Bank? Frag deine Frau doch mal, ob sie nicht innerhalb der letzten 90 Tage nach der TAN gefragt wurde.

[electri]

Einige Banken verlangen 2FA sofern man sich von einem neuen (anderen) Browser einwählt. Ob der Browser neu ist, wird anhand eines Cookies geprüft. Löschst du also Cookies bei jedem Beenden des Firefox, dann musst du dich bei dem Onlinebankingportal jedes mal neu mit 2FA einwählen. Das ist gesetzlich meines Wissens nicht erforderlich, manche Banken machen das aber um die Sicherheit zu erhöhen.
Der Ausweg wäre, die Cookies nicht zu löschen. Das ist die Voreinstellung bei Firefox. Je nachdem, ob der zweite Faktor kostenpflichtig ist oder nicht, macht es Sinn die Cookies beizubehalten. Das ist vermutlich auch der Grund warum es bei der Frau funktioniert, und bei dir nicht.
Ausprobieren geht ganz einfach. Im Onlinebanking anmelden, dann abmelden, Firefox nicht beenden, und dann erneut anmelden. Beim zweiten Anmeldevorgang sollte keine 2FA verlangt werden, da das Cookie ja nicht gelöscht wird. Sofern du Cookies ganz verbietest, klappt natürlich auch das nicht.

[fischig]

Wenn ich die Browsereinstellungen in Verdacht hätte, wär’s für mich die einfachste Möglichkeit, das einfach zu überprüfen – etwa, indem ich die vermutete Einstellung testweise auf den Defaultwert setzen würde.

Ich weiß noch nicht, ob ich das dann auch will. Der Vergleich mit Gattin wird durchgeführt werden. Ich hatte auf schnelle Hilfe im Forum ( unter Einbeziehung von Browsersicherheitsaspekten) gehofft. Hoffen ist erlaubt?

Der Ausweg wäre, die Cookies nicht zu löschen. Das ist die Voreinstellung bei Firefox. Je nachdem, ob der zweite Faktor kostenpflichtig ist oder nicht, macht es Sinn die Cookies beizubehalten. Das ist vermutlich auch der Grund warum es bei der Frau funktioniert, und bei dir nicht.
Ausprobieren geht ganz einfach. Im Onlinebanking anmelden, dann abmelden, Firefox nicht beenden, und dann erneut anmelden. Beim zweiten Anmeldevorgang sollte keine 2FA verlangt werden, da das Cookie ja nicht gelöscht wird. Sofern du Cookies ganz verbietest, klappt natürlich auch das nicht.

Hmm, so in etwa hatte ich ebenfalls überlegt.
Kostenpflichtig ist das TAN-Verfahren nicht.Das An-Abmelden hatte ich getestet, mit dem von dir erwarteten Ergebnis (kein 2FA). Gibt's die Möglichkeit im firefox, ausschließlich der Bank das Setzen von cookies zu erlauben? Sowas habe ich gesucht, aber bisher nicht gefunden. Ansonsten müsste ich wohl auf den generellen „privaten Modus“ verzichten und das schmeckt mir noch nicht.

edit:
Problem ist wohl nicht die Erlaubnis zu Setzen des cookies (in meiner Einstellung (siehe 2FA-Test)), sondern das Löschen nach jeder Sitzung. Ich meine zu erinnern, dass ich der Bank das Setzen erlaubt hätte. Nur hilft das nicht, wenn 's am Ende der Sitzung gelöscht wird.

[OrangeJuice]

Ich weiß noch nicht, ob ich das dann auch will. Der Vergleich mit Gattin wird durchgeführt werden. Ich hatte auf schnelle Hilfe im Forum ( unter Einbeziehung von Browsersicherheitsaspekten) gehofft. Hoffen ist erlaubt?

Der Sicherheitsaspekt der Bank ist doch schon mit der Verwendung von Firefox 91.4.1esr(Release December 16, 2021) obsolet. Ich würde dann grundsätzlich nachsehen, was da schief läuft mit den Updates. Den .mozilla Ordner sichern und einen neuen anlegen lassen, sollte auch nicht das Problem sein.

[fischig]

firefox upgedatet. Same procedure

, s.o.

[DeletedUserReAsG]

Ich weiß noch nicht, ob ich das dann auch will.

Die Seite würde dann ein Cookie setzen. Das wär’ natürlich unter allen Umständen zu vermeiden, weil ja jeder weiß, dass Cookies noch viel schlimmer als implantierte Nanochips vom Gates sind. Oder irgendwie so⸮

[fischig]

Wie gesagt, vermutlich ist nicht das Setzen des cookies das Problem.

Beim Forum muss ich dem auch zustimmen, in jeder Browser-Sitzung. Stört mich auch nicht. Der TAN-Generator beim Einloggen schon.

[electri]

Der private Modus wird regelmäßig kritisiert, da er Sicherheit vorgaukelt, die nicht existiert. Im wesentlichen werden beim privaten Modus Cookies, Historie etc. beim Beenden gelöscht. Das kann man aber auch von Hand einstellen. Wenn du beim Onlinebanking den privaten Modus verwendest, dann löschst du Cookies automatisch beim Beenden. Deine Bank denkt dann, dass du beim nächsten mal einen neuen Browser verwendest, und verlangt 2FA. Wie gesagt, so sicherheitsbewusst sind m.E. nur einige wenige Banken. Google & Co machen das ja ähnlich, wenn ich mich von einem neuen Browser anmelde, bekomme ich eine Warnung per Mail. Das gleiche gilt auch, wenn ich bei jedem Beenden des Browsers die Cookies lösche.

Es sollte möglich sein, dem Firefox zu erklären, dass alle Cookies beim Beenden gelöscht werden, nur nicht das Onlinebanking. Unter "Chronik" dürfen Cookies und Webseiteneinstellungen nicht gelöscht werden, und bei "Cookies und Website-Daten" muss das Onlinebanking als Ausnahme definiert sein. Löschst du die Webseiteneinstellungen, dann wird die Cookie-Ausnahme beim Beenden gelöscht. Im privaten Modus geht das nicht.

[fischig]

bei Cookies muss das Onlinebanking als Ausnahme definiert sein.

Ist es, Ich hab's nachgesehen.

Es sollte möglich sein, dem Firefox zu erklären, dass alle Cookies beim Beenden gelöscht werden, nur nicht das Onlinebanking.

Das wäre die gewünschte Lösung. Und die kriege ich bisher nicht hin - dazu blicke ich bei der Komplexität der Sicherheits-Einstellungs-Möglichkeiten des firefox nicht genügend durch - falls es tatsächlich möglich ist.

[electri]

1.) Du verwendest nicht den privaten Modus.
2.) In den FF-Einstellungen unter "Datenschutz und Sicherheit" wird bei "Chronik" alles beim Beenden gelöscht, außer Websiteeinstellungen und Cookies. Bei "Cookies und Webseitdaten" stellst du ein, dass die Cookies beim Beenden gelöscht werden, fügst aber als Ausnahme das Onlinebanking hinzu.
Somit wird ... sofern ich das richtig überblicke .... alles gelöscht (Chronik, Cookies, Suchbegriffe, etc.) außer eben dem Cookie des Onlinebankings und den Websiteeinstellungen von FF.

[fischig]

Bei 1. geht's schon los:
Der „private Modus“ wird ausschließlich über die Einstellungen unter „Chronik“ geregelt, taucht als als eigenständiger Begiff im Sicherheits-Dialog nicht auf - richtig? Einstellen kann ich da („Chronik“): „anlegen/niemals anlegen/nach benutzerdefinierten Einstellungen anlegen“. Z.Z. gewählt ist „niemals anlegen“, synonym mit, wenn ich recht sehe, „immer den privaten Modus anwenden“. Um den auszuknipsen müsste ich „nach benutzerdefinierten Einstellungen anlegen“ auswählen; nur dann kann ich „immer den privaten Modus verwenden“ ausknipsen - richtig? Die Auswahl erforderte Firefox-Neustart. Weitermachen mit 2. kann ich dann in der aktuellen Sitzung erst mal nicht.

Ist das soweit richtig?

[electri]

Stimmt, ich war etwas schnell, und haben von meinen Einstellungen auf andere Geschlossen.
Rubrik Chronik:
Firefox wird eine Chronik-> nach benutzerdefinierten Einstellungen anlegen
Immer den privaten Modus verwenden -> kein Haken, also nicht aktiviert.
Die Chronik löschen wenn FF geschlossen wird -> alles anhakeln, außer "Websiteeinstellungen" und "Cookies"
Rubrik Cookies und Websitedaten
Cookies und Websitedaten beim Beenden löschen - > Haken, also aktiviert, und bei den Ausnahmen dein Onlinebanking eingeben.

[fischig]

Hmm, ich denke, ich hab's soweit, trotzdem noch ein paar Unsicherheiten:

Die Chronik löschen wenn FF geschlossen wird -> alles anhakeln, außer "Websiteeinstellungen" und "Cookies"

was meinst du mit „alles anhakeln“? Von „Websiteeinstellungen und Cookies“ steht da nichts. Vor der Zeile „Die Chronik löschen wenn FF geschlossen wird“ stehen noch zwei weitere: „Besuchte Seiten und Download-Chronik speichern“ und „Eingegebene Suchbegriffe und Formulardaten speichern“. Die sind nicht gemeint? Kann ich ausknipsen/ausgeknipst lassen?
Neben/Hinter „Besuchte Seiten und Download-Chronik speichern“ gibt's den Button „Einstellungen“. Klicke ich den an, kommt ein neues Auswahlmenü mit Anklickfeldern und da habe ich dann „Besuchte Seiten & Download-Chronik“ sowie „Cookies“ ausgeclickt.

Rubrik Cookies und Websitedaten

Das bezieht sich auf den gleichlautenden Abschnitt vor der „Chronik“?

Falls ich nichts falsch verstanden habe:
Einstellungen wie empfohlen vorgenommen. Ich bin gespannt!