Volker Bartheld, 2024-04-09 11:22:
Zumindest die Banking-Apps von Targobank und DKB laufen auch auf einem offiziellen LineageOS - also eine Version, die auch bei
Ob jede beliebige "Android-Smart-TAN-App" das auch tut, weiß ich nicht. Aber LineageOS selbst hat keinen root-Zugriff und solange die Apps nicht auf einen gesperrten Bootloader bestehen, sollte das kein Problem sein.
Marte Schwarz, 2024-04-09 11:44:
[...]Oder ist das dann zu klein?
Volker Bartheld, 2024-04-09 13:05:
Hier ist der Link zur Banking-App der VR bei Google Play:
Und die hier tut's nicht?
Juergen, 2024-04-09 14:51:
[...]Aber nur, wenn ChipTAN für *alle* Banken, die man nutzt, verwendbar ist.
Ob ich nun eine oder 3 Apps brauche, ist mir persönlich herzlich egal. Die Apps fragen bei Transaktionen alle gleichermaßen nach, dass ich sie freigeben soll und ich muss bei jeder App eine PIN eingeben zur Freigabe.
Wenn ich aber neben ChipTAN noch tanJack photo QR oder gar nicht ein drittes Verfahren nutzen müsste, fände ich das mühseliger.
So gesehen finde ich es schade, dass Standards wie FinTS nicht konsequent genutzt werden.
Rolf Bombach, 2024-04-09 17:38:
Firefox hat auch nur noch einen Markanteil von ca. 2-3% weltweit. Dass damit nicht mehr ordentlich getestet wird, wundert mich leider nicht.
Arno Welzel schrieb:
ACK, Apps sind deutlich praktischer (und letztlich halt auch sicherer, falls gut gemacht)
Es ist in der Tat eher lästig, ein sinnloses Tamagotchi mit sich herumtragen zu müssen, um auch abends im Hotel mal eine Überweisung tätigen zu können, wenn es dafür deutlich bessere Lösungen gibt
MfG Rupert
Das überrascht mich dann doch. Thunderbird ist fehlerhaft, wie ich feststellte. Seamonkey kann nicht alles, was aktuelles HTML bietet.
Hi Arno,
ein bisschen Dick, aber das muss ich mir mal näher ansehen. Die 4" vom
858 waren schon OK, kleiner muss eigentlich nicht sein.Das Blackview N6000 muss ich mir auch mal ansehen.
Insbesondere muss ich mal sehen, ob man die rooten kann. Ohne Adaway kann ich mir ein Smartphone nicht mehr vorstellen.
Vielen Dank Marte
Anti-Fingerprinting aktiviert und dabei speziell das Feature "Canvas Access" verboten? Fände ich zwar ausgesprochen merkwürdig, weil das Feature "report malicious sites" ja im Browser eingebaut und gutartig sein sollte, aber bekanntlich ist ja nichts unmöglich.
So stellt sich mir das auch dar.
Dauert vermutlich ähnlich lang und ist ähnlich erfolgreich wie die Standardisierung der Smartphone-Lader. Bis USB-C kam, war es eigentlich schon veraltet und durch dieses Indktiv-Zeuch abgelöst. Außerdem muß man für USB-C IIRC irgendwelche Lizenzen kaufen.
Allerdings. Verbrunzt Dein Reiner auch soviele Batterien oder ist das von den jeweiligen Chargen und/oder der Tagesform abhängig? Kannst ja mal unauffällg mit dem DVM den Ruhestromverbrauch und die Entladeschlußspannung ermitteln. Das wäre dann sogar so richtig kraß dse.
Volker
Keine Ahnung. Bin (und werde) kein VR-Kunde. Ich habe mich nur naiv gestellt und angenommen, ich hätte bei denen ein Konto und müßte ohne Insiderwissen an die passenden Secure-Plus-365-Go-7/24-MyTAN-Premium-App kommen, für Überweisungen mit dem Smartphone.
Volker
Es gibt aktuell keine Lösung die das Sicherheitsniveau von ChipTAN erreicht. Schlechter und einfacher geht immer.
Grüße Marc
Am Wed, 10 Apr 2024 07:32:38 +0200 schrieb Volker Bartheld
Ich weiß gar nicht, wie viele Jahre ich das Ding schon habe. Jedenfalls sind noch die ersten Batterien drinnen. Ich brauche es allerdings auch nicht so oft, da ich oft PayPal nutze (und das ganz ohne App). Messen will ich da lieber nicht - never touch a running System.
cu. Juergen
Ich habe das für den Zugang bei der ING. Daß man keine Karte einstecken muß, schätze ich. Der Generator hat gar keinen Schlitz dafür. Außerdem wird der mit 3 x AAA betrieben.
Das sehe ich anders.
Genau das ist der Nachteil.
Die Karte wird wirkungsmäßig nachgebildet. Das ist bei der relativ komplexen Aktivierung erkennbar.
Wie ich schon sagte, halte ich das Verfahren für mindestens so sicher wie ChipTAN. Zudem ist die TAN nicht mehr 6-stellig, sondern nun 7-stellig. Die Konto-PIN ist 5- bis 8-stellig.
Als Kunde ohne Giro-Konto kann ich zudem gar keine Karte haben!
Am 10.04.24 um 17:15 schrieb Helmut Schellong:
Nein.
Bei der TAN-App laufen die kryptografischen Algorithmen auf einer CPU, die unter Kontrolle einer dritten Partei steht - bei iOS unter der Kontrolle von Apple, bei Android unter der vom Gerätehersteller und von Google. Diese dritte Partei sitzt zudem im fremden Rechtsraum USA.
Das ist ein ganz gravierender Unterschied zur ChipTAN, wo der Algorithmus auf dem Chip der Girocard läuft, unter alleiniger Kontrolle der Bank, welche die Karte ausgegeben hat.
Nur, wenn du deinem Gerätehersteller und ggf. Google grenzenloses Vertrauen entgegen bringen willst.
Das hängt von der Bank ab.
Das sicher nicht. Aber welches Szenario schwebt Dir vor? Wenn alle deutschen Krankendaten an einer Stelle auf einem zentralen Rechner liegen, dann ist es keine Frage ob, sondern wann sie in kriminelle Hände fallen. Der Lebenswandel und Tagesablauf aller Haushalte im Gebiet eines Regionalversorgers ebenso. Es gibt Berechtigte, die auf die Daten zugreifen können. Man muß also nur vortäuschen, der Berechtigte zu sein. Aufwand und teuer, aber ein lösbares und gelöstes Problem.
Aber wie stellst Du Dir das Ausnutzen der Kenntnis des OS hier vor? Google selbst wird es sicher nicht tun oder ermöglichen, es wäre ein fremder Angreifer -- mit inside help natürlich, die kann man kaufen.
Ich denke schon.
Ich habe mit einer TAN-App nichts zu tun! Ein Smartphone habe ich gar nicht. Du fantasierst! Es gibt nur die konto-spezifische Webseite und das Generator-Gerät. Ich selbst habe eine ganze Reihe von kryptographischen Algorithmen implementiert. Warum sollte die ING (als Auftraggeber) das nicht können?
So ist das auch bei der ING und ihrer PhotoTAN.
Irrelevant.
Kann sein - bei der ING kann ich jedenfalls ohne Girokonto keine Karte haben. Falls doch, würde die ING ihre PhotoTAN trotzdem ohne Karte betreiben.
Am 10.04.24 um 20:47 schrieb Axel Berger:
Google und Apple erhalten gemäß "Patriot Act" die Anweisung, eine Hintertür zum Auslesen der im Gerät gespeicherten Schlüssel für die US-Geheimdienste einzubauen und nicht darüber zu sprechen. Die Wahrscheinlichkeit, das dies schon vor Jahren erfolgt ist, ist recht hoch.
Über die grundlegenden Designfehler der eGK wurde an anderer Stelle schon genug diskutiert. Der Gesetzgeber wollte es ausdrücklich so. In der Computerbild stand schließlich, Cloud sei modern.Es ging hier aber ums Bankkonto.
Das liegt momentan zum Glück (noch) nicht zentral, sondern bei deinem Vertragspartner, der Bank. Es gibt nach gesetzlichen Reformen leider inzwischen weitreichende Rechte Dritter, die Kontoauszüge einzusehen, Transaktionen finden aber (noch) direkt zwischen den Vertragspartnern statt. Die TAN-App auf dem fremdkontrollierten Smartphone eröffnet hier eine Hintertür...
AFAIK ist die Häufigkeit der Fernabfrage für Kleinverbraucher (=Haushalte) gesetzlich eingeschränkt, und bei der Zertifizierung der digitalen Zähler wird das hoffentlich geprüft.
Zudem liegen die Daten bei einem Vertragspartner. Das dieser bei einem bestehenden Vertrag irgendwie die Dinge speichert, die der Gesetzgeber gespeichert sehen will, damit muss man wohl leben.
Siehe oben.
Google ist ein amerikanisches Unternehmen und unterliegt amerikanischem Recht. Sie werden das tun, was dieses Recht ihnen befiehlt.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here. All logos and trade names are the property of their respective owners.