Habt ihr ein Bankkonto? Benutzt ihr für euren E-Banking-Zugang eine Zwei-Faktor-Authentisierung (2FA)? Die meisten werden mit Ja und Ja antworten. Der springende Punkt ist, wie ihr den zweiten Faktor bei eurer Bank abliefert. Falls ihr dafür einen Token-Generator (als eigenes Gerät) verwendet, seid ihr auf der sicheren Seite. Doch viele Banken bieten ein dediziertes Gerät für den zweiten Faktor nicht, oder nicht mehr an.
Wie war das noch einmal mit dem zweiten Faktor? Die Wikipedia definiert 2FA so:
Die Zwei-Faktor-Authentisierung (2FA), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte und PIN beim Geldautomaten, Fingerabdruck und Zugangscode in Gebäuden, oder Passphrase und Transaktionsnummer (TAN) beim Online-Banking.
Dass es sich um zwei unterschiedliche Komponenten handeln muss, liegt auf der Hand, da man ansonsten nicht von einem zweiten Faktor sprechen kann. Wichtiger ist die Tatsache, dass es sich um unabhängige Komponenten handeln muss. Genau dort liegt der Hase im Pfeffer. Dabei geht es um Besitz, Wissen und Inhärenz (biometrische Charakteristika):
- Besitz: ich habe den Faktor physisch in meiner Hand, z. B. einen Token-Generator oder Haustürschlüssel
- Wissen: ich kenne ein Geheimnis, z. B. ein Passwort, eine PIN
- Inhärenz: von lateinisch inhaerere ‚in etwas hängen‘, ‚an etwas haften‘, z. B. ein biometrisches Merkmal
Diese Faktoren sollen beim zweiten Faktor unabhängig vom ersten Faktor sein. Angenommen der erste Faktor ist kompromittiert (Haustürschlüssel verloren, Passwort geleakt, Fingerabdruck mit Klebestreifen gestohlen), dann sollten die Elemente des zweiten Faktors nicht dieselben, wie beim ersten Faktor sein. Idealerweise sollten auch die Übertragungskanäle unterschiedlich sein. Wenn beide Geräte (Notebook und Smartphone) am selben (kompromittierten) WLAN-Router hängen, ist das nicht ideal.
Da ich von diesem Thema wenig Ahnung, sondern nur Menschenverstand habe, überlasse ich die Information zu 2FA beim eBanking lieber einem Fachmann:
Der Sicherheitsforscher Mike Kuketz schreibt dazu:
Erfolgt die Überweisung sowie die Freigabe auf demselben Gerät, wird das Prinzip der Zwei-Faktor-Authentifizierung (2FA) unterlaufen bzw. gefährlich abgeschwächt. Der Sicherheitsgewinn beim Online-Banking wird ja gerade dadurch erreicht, dass man zwei voneinander getrennte Geräte (Faktoren) benutzt, weil einer der beiden Faktoren grundsätzlich als kompromittiert angesehen werden kann. Es ist also immer sicherer, zwei Geräte zu nutzen, um eine Überweisung zu legitimieren.
und:
Zu den sicheren TAN-Verfahren zählt bspw. chipTAN, bei dem die Bankkarte in einen externen TAN-Generator gesteckt wird, der anschliessend eine TAN generiert, die nur wenige Minuten für den aktuellen Auftrag gültig ist. Der Überweisungsvorgang wird dabei auf dem mobilen Endgerät eingeleitet – die Legitimierung erfolgt im Anschluss allerdings nicht direkt auf dem Gerät selbst, sondern über den externen TAN-Generator. Obwohl der Sicherheitsvorteil dieser Variante unbestreitbar ist, bewerben Banken weiterhin (App-)Lösungen, bei denen sowohl die Überweisung als auch die Legitimierung über dasselbe Gerät erfolgt.
Einen Überblick über die unterschiedlichen 2FA-Verfahren habe ich hier gefunden.
Das eigentliche Thema dieses Artikels ist jedoch nicht 2FA, sondern welche Möglichkeiten einem das Bankinstitut einräumt, bzw. wegnimmt. Wie ihr wisst, haben wir neulich das Konto von GNU/Linux.ch gewechselt. Bei dieser Bank (und vielen anderen) ist das Standardverfahren für den zweiten Faktor die Smartphone-App Airlock 2FA, die von einem Drittanbieter stammt. Andere Banken verwenden ihre eigenen 2FA-Apps, wie z. B. die UBS Access App.
In den meisten Fällen bieten die Banken alternative 2FA-Verfahren an. So schreibt die GNU/Linux.ch-Bank:
Sie besitzen kein Smartphone oder Tablet? Dann können Sie bei uns via Kundendienst E-Banking ein Hardware-Token bestellen. Die Kosten dafür betragen CHF 78.- (inkl. MWST).
Abgesehen von den unverschämten 78 Franken für einen "Plastiktaschenrechner", gibt es wenigstens eine Alternative, die sogar sicherer ist (siehe oben) als die Smartphone-App. Wer aus Bequemlichkeitsgründen dennoch die App verwenden möchte, kann sich über zwei Punkte ärgern:
- Wer weder Android noch iOS verwendet, bzw. ein entgoogeltes Smartphone hat, muss draussen bleiben, weil es (zumindest) die oben genannten Apps nicht in alternativen Software-Stores (F-Droid) gibt. Sucht man dort nach dem Stichwort 2FA, findet man lediglich eine Handvoll allgemeiner Apps für TOTP (Time-based One-time Passwords).
- Das bedeutet auch, dass man für jede Bank eine zusätzliche App installieren muss, obwohl im Grunde alle dasselbe machen. Aus Kundensicht wäre es angenehmer, nur eine generische 2FA-App verwenden zu können.
Aus Sicht der Banken liegen die Gründe auf der Hand, warum bevorzugt auf die 2FA-Apps gesetzt wird. Alternative 2FA-Verfahren bedeuten einen zusätzlichen Aufwand und damit Kosten. Zudem bieten eigene 2FA-Apps die Möglichkeit des Brandings und erhöhen die Kundenbindung. Es gibt sogar Banken, wie N26 oder Yuh, die die 2FA-Funktionalität in ihre eBanking-Apps integrieren, was ich dann nicht mehr 2FA nennen würde.
Es ist wünschenswert, wenn sich 2FA als Standard etablierte und sich dafür von den Banken unabhängige und generische Apps durchsetzen würden.
Quellen:
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
https://www.kuketz-blog.de/android-ios-sicheres-mobile-banking-am-smartphone/
https://www.kuketz-blog.de/wie-banken-online-banking-durch-apps-unsicher-machen/
https://www.kuketz-blog.de/wenn-euch-eure-bank-mal-wieder-erzaehlt-mobiletan-sei-sicher/
https://www.airlock.com/secure-access-hub/komponenten/2-faktor-authentifizierung-2fa/vergleich-von-2fa-methoden
Hi, wenn Du schon beim Mike reingeguckt hast, kannst Du vielleicht auch verstehen, warum ich einen weiteren Grund vermute für die eigenen Apps der Banken: Tracking der User ... (warum sollten die ehrlicher sein als z. B. die DB https://www.kuketz-blog.de/deutsche-bahn-wir-reichen-klage-ein-klageschrift-oeffentlich/ ...)
Ich will FIDO2 / U2F bei einer Bank und ich wechsel dahin. Für Tipps bin ich immer dankbar.
Beim Smartphone gibt es ja immer noch die Hürde, es zunächst entsperren zu müssen um die Banking-App benutzen zu können. Mache ich da einen Denkfehler, wenn ich das System insgesamt also als 1,5-Faktor-Authentifizierung bezeichne? Ist natürlich der Fingerabdruck kompromittiert, sieht's düster aus, keine Frage.
Am Ende muss man sich auch immer fragen: "Wie sicher muss etwas sein?". Beispiel: Eine offene Türe ist unsicher. Wenn die Türe nur schon geschlossen ist erhöht dies die Sicherheit. Schliesst man die Türe noch mit einem Schlüssel ist es noch sicherer. Dies kann man dann nochmal absichern mit einem Tür-Schalter welcher Alarm auslöst. Reicht das immer noch nicht installiert man noch einen Bewegungsmelder. Laserschranken könnte man auch noch installieren. Nur braucht es das wirklich? Spätestens nach dem Schlüssel hat man wohl 95% Sicherheit erreicht (je nach Stabilität der Türe natürlich) 👍😎
Für mich sind Smartphones als Faktor ein NoGo. Dafür das ich chipTAN nutzen darf, muss ich bei meiner Bank aber zahlen. In dem Fall mache ich das aber gerne.
Meine Bank bietet zum Glück noch ChipTan an. Ich habe mir einen Stick mit Porteus Kiosk und als Startseite die Login Seite meiner Bank erstellt. Nach der Anmeldung an Porteus den Stick raus, Banking mit TAN-Generator machen, reboot und fertig. Das ist für mich echte 2FA.
"von den Banken unabhängige und generische Apps" für die 2FA dürften sich zumindest in der EU aus rechtlichen Gründen kaum einführen lassen. Die PSD2-Richtlinien verlangen für Transaktionen explizit nach einer "strong customer authentication that includes elements which dynamically link the transaction to a specific amount and a specific payee". Ein einfacher, generischer "TAN Generator" (ob Hardware oder Software) kann das prinzipbedingt nicht leisten.
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32015L2366