Das ist doch sowieso lächerlich, die sollten lieber ein anerkanntes TOTP/HOTP einführen als irgendwelche SMS oder Pushmessage Krücken.
jetzt mal ehrlich, was sich heute TOTP/HOTP nennt und es auch einen RFC/Standard dazu gibt hat vor fast 20 Jahren damals schon eine Bank gemacht; die Bank gibts immer noch, aber dieses Verfahren nicht mehr;
das lief damals bei dieser einen Bank in etwa so: man hatte eine Scheckkarte - den TOTP-Generator - und ein TAN setzte sich aus ein paar Ziffern die man im Kopf hatte und den Ziffern welche der Generator ausgab zusammen - die 2 FA Anmeldung bei mailbox.org entspricht dem quasi;
zu diesem Zeitpunkt pfuschten die anderen Banken noch mit TAN-Listen in Papierform herum; bei manchen waren es indizierte TANs bei manchen musste man den einfach selbst den zuletzt verwendeten von der Liste streichen, um ihn nicht versehentlich nochmal zu verwenden und einen Fehler zu bekommen;
dann kamen die smsTANs, mobileTANs; sprich der TAN kam als SMS; zu beginn einfach nur der TAN, später kam dann mit dem SMS noch eine Info f. welche Transaktion dieser TAN eigentlich verwendet wird/werden soll;
problematisch waren hier sogenannte Sammelüberweisungen, man authorisierte so mehrere unterschiedl. Überweisungen, und die Info der SMS zeigte nur die Summe dieser Transaktionen an;
die PSD2-Richtlinie schreibt nun vor, bereits beim Einstieg ins Banking selbst einen 2ten Faktor zu haben; es wäre jetzt ganz trivial, hier einfach einen smsTAN/mobileTAN zu verwenden, ABER: das Nutzerverhalten haben sich die Banken natürlich auch angesehen, und dabei festgestellt, daß viele mehrmals ins Baning einsteigen nur schauen, und sich dann wieder abmelden;
und genau f. diesen Use wären dann jedesmal eine SMS fällig; diese SMS verursacht Kosten - die eine od. andere Bank läßt sich sogar diese SMS in Form von Konfospesen vergüten; das war die Geburt vom pushTAN; zum einen kostengünstiger - man kann sich z.B. eine Notification senden lassen wenn Buchungen vom Konto abgehen od. zugehen; zum anderen auch sicherer, weil auf das Gerät gebunden; und obendrein auch zuverläßiger, weil es sich um Daten handelt und man hier nicht mehr von irgendwelchen Mobilfunkbetreibern abhängig ist - es wäre ja nicht das erste mal, daß eine SMS nicht ankommt;
bei ING(-DiBa) welche erst in der jüngsten Vergangenheit in Österreich auch ein Girokonto anbietet, ist der 2te Faktor tatsächlich einfach nur ein SMS, auch nach dieser PSD2-Richtlinie;
in Österreich gibt es bereits 2 Banken, welche f. Kunden ohne SmartPhone, das Pendant der pushTAN App f. den Windows PC anbieten;
genau das ist der Grund wieso das nicht einfach bloß eine Notification auf dem Phone, sondern nur mit App (erhöht die Sicherheit, weil ohne PIN kein TAN)
möglich ist, weil das Pendant f. den Windows PC macht analoges;
ich hab diese Programme noch nicht zerlegt, aber bereits beim 1ten Eindruck mehrere Schwachpunkte festgestellt; JETZT so kurz bevor das endgültige Aus von Win7 besiegelt ist, diesen noch f. Win 7 zu erlauben halte ich f. sehr bedenklich; die Schilderung eines Arbeitskollegen aus der Steinzeit, daß die Sitzung in dieser App quasi so lange läuft so lange die App läuft schlägt ohnehin alles;
von einer dieser Banken hatte ich mich bereits vor fast 10 Jahren verabschiedet, nachdem diese in den AGBs eiskalt deren Kontoführungsgebühren nicht mehr nach dem VPI (Verbraucherpreisindex) anpasste sondern nach dem Gehaltsabschluss der Bankangestellten und mit dem Habenzins auf 0,125% im selben Atemzug 'runterkrachte;
Mittlerweile finde ich es umso faszinierter, was man da bei den pushTAN-Apps so f. 'böse' und doch wieder seltsame Kommentare liest;
