Zumindest die Banking-Apps von Targobank und DKB laufen auch auf einem offiziellen LineageOS - also eine Version, die auch bei
formatting link
aufgeführt ist.
Ob jede beliebige "Android-Smart-TAN-App" das auch tut, weiß ich nicht. Aber LineageOS selbst hat keinen root-Zugriff und solange die Apps nicht auf einen gesperrten Bootloader bestehen, sollte das kein Problem sein.
Aber nur, wenn ChipTAN für *alle* Banken, die man nutzt, verwendbar ist.
Ob ich nun eine oder 3 Apps brauche, ist mir persönlich herzlich egal. Die Apps fragen bei Transaktionen alle gleichermaßen nach, dass ich sie freigeben soll und ich muss bei jeder App eine PIN eingeben zur Freigabe.
Wenn ich aber neben ChipTAN noch tanJack photo QR oder gar nicht ein drittes Verfahren nutzen müsste, fände ich das mühseliger.
So gesehen finde ich es schade, dass Standards wie FinTS nicht konsequent genutzt werden.
ACK, Apps sind deutlich praktischer (und letztlich halt auch sicherer, falls gut gemacht)
Es ist in der Tat eher lästig, ein sinnloses Tamagotchi mit sich herumtragen zu müssen, um auch abends im Hotel mal eine Überweisung tätigen zu können, wenn es dafür deutlich bessere Lösungen gibt
Anti-Fingerprinting aktiviert und dabei speziell das Feature "Canvas Access" verboten? Fände ich zwar ausgesprochen merkwürdig, weil das Feature "report malicious sites" ja im Browser eingebaut und gutartig sein sollte, aber bekanntlich ist ja nichts unmöglich.
Dauert vermutlich ähnlich lang und ist ähnlich erfolgreich wie die Standardisierung der Smartphone-Lader. Bis USB-C kam, war es eigentlich schon veraltet und durch dieses Indktiv-Zeuch abgelöst. Außerdem muß man für USB-C IIRC irgendwelche Lizenzen kaufen.
Allerdings. Verbrunzt Dein Reiner auch soviele Batterien oder ist das von den jeweiligen Chargen und/oder der Tagesform abhängig? Kannst ja mal unauffällg mit dem DVM den Ruhestromverbrauch und die Entladeschlußspannung ermitteln. Das wäre dann sogar so richtig kraß dse.
Keine Ahnung. Bin (und werde) kein VR-Kunde. Ich habe mich nur naiv gestellt und angenommen, ich hätte bei denen ein Konto und müßte ohne Insiderwissen an die passenden Secure-Plus-365-Go-7/24-MyTAN-Premium-App kommen, für Überweisungen mit dem Smartphone.
Am Wed, 10 Apr 2024 07:32:38 +0200 schrieb Volker Bartheld
Ich weiß gar nicht, wie viele Jahre ich das Ding schon habe. Jedenfalls sind noch die ersten Batterien drinnen. Ich brauche es allerdings auch nicht so oft, da ich oft PayPal nutze (und das ganz ohne App). Messen will ich da lieber nicht - never touch a running System.
PhotoTAN ist mindestens gleich sicher. Zugang per Name + Pass + PhotoTAN. Vom Generator wird eine einzugebende PIN in eine 7-stellige TAN umgerechnet, nachdem der Generator von der Webseite einen farbigen Code gelesen hat.
Ich habe das für den Zugang bei der ING. Daß man keine Karte einstecken muß, schätze ich. Der Generator hat gar keinen Schlitz dafür. Außerdem wird der mit 3 x AAA betrieben.
Die Karte wird wirkungsmäßig nachgebildet. Das ist bei der relativ komplexen Aktivierung erkennbar.
formatting link
Webseite und der Generator werden mehrschrittig miteinander verwoben - verheiratet. o Login o Aktivierung PhotoTAN wählen o Zugesandtes Einmal-Paßwort eingeben o Grafik scannen, Seriennummer lesen und eingeben o Grafik scannen, selbstgewählte Konto-PIN 2 x eingeben o Vom Generator angezeigten 15-stelligen Aktivierungscode eingeben, Prüfung o Grafik scannen, und angezeigten 9-stelligen Aktivierungscode eingeben o PhotoTAN freischalten
Wie ich schon sagte, halte ich das Verfahren für mindestens so sicher wie ChipTAN. Zudem ist die TAN nicht mehr 6-stellig, sondern nun 7-stellig. Die Konto-PIN ist 5- bis 8-stellig.
Als Kunde ohne Giro-Konto kann ich zudem gar keine Karte haben!
Bei der TAN-App laufen die kryptografischen Algorithmen auf einer CPU, die unter Kontrolle einer dritten Partei steht - bei iOS unter der Kontrolle von Apple, bei Android unter der vom Gerätehersteller und von Google. Diese dritte Partei sitzt zudem im fremden Rechtsraum USA.
Das ist ein ganz gravierender Unterschied zur ChipTAN, wo der Algorithmus auf dem Chip der Girocard läuft, unter alleiniger Kontrolle der Bank, welche die Karte ausgegeben hat.
Nur, wenn du deinem Gerätehersteller und ggf. Google grenzenloses Vertrauen entgegen bringen willst.
Das sicher nicht. Aber welches Szenario schwebt Dir vor? Wenn alle deutschen Krankendaten an einer Stelle auf einem zentralen Rechner liegen, dann ist es keine Frage ob, sondern wann sie in kriminelle Hände fallen. Der Lebenswandel und Tagesablauf aller Haushalte im Gebiet eines Regionalversorgers ebenso. Es gibt Berechtigte, die auf die Daten zugreifen können. Man muß also nur vortäuschen, der Berechtigte zu sein. Aufwand und teuer, aber ein lösbares und gelöstes Problem.
Aber wie stellst Du Dir das Ausnutzen der Kenntnis des OS hier vor? Google selbst wird es sicher nicht tun oder ermöglichen, es wäre ein fremder Angreifer -- mit inside help natürlich, die kann man kaufen.
Ich habe mit einer TAN-App nichts zu tun! Ein Smartphone habe ich gar nicht. Du fantasierst! Es gibt nur die konto-spezifische Webseite und das Generator-Gerät. Ich selbst habe eine ganze Reihe von kryptographischen Algorithmen implementiert. Warum sollte die ING (als Auftraggeber) das nicht können?
So ist das auch bei der ING und ihrer PhotoTAN.
Irrelevant.
Kann sein - bei der ING kann ich jedenfalls ohne Girokonto keine Karte haben. Falls doch, würde die ING ihre PhotoTAN trotzdem ohne Karte betreiben.
Google und Apple erhalten gemäß "Patriot Act" die Anweisung, eine Hintertür zum Auslesen der im Gerät gespeicherten Schlüssel für die US-Geheimdienste einzubauen und nicht darüber zu sprechen. Die Wahrscheinlichkeit, das dies schon vor Jahren erfolgt ist, ist recht hoch.
Über die grundlegenden Designfehler der eGK wurde an anderer Stelle schon genug diskutiert. Der Gesetzgeber wollte es ausdrücklich so. In der Computerbild stand schließlich, Cloud sei modern.
Es ging hier aber ums Bankkonto.
Das liegt momentan zum Glück (noch) nicht zentral, sondern bei deinem Vertragspartner, der Bank. Es gibt nach gesetzlichen Reformen leider inzwischen weitreichende Rechte Dritter, die Kontoauszüge einzusehen, Transaktionen finden aber (noch) direkt zwischen den Vertragspartnern statt. Die TAN-App auf dem fremdkontrollierten Smartphone eröffnet hier eine Hintertür...
AFAIK ist die Häufigkeit der Fernabfrage für Kleinverbraucher (=Haushalte) gesetzlich eingeschränkt, und bei der Zertifizierung der digitalen Zähler wird das hoffentlich geprüft.
Zudem liegen die Daten bei einem Vertragspartner. Das dieser bei einem bestehenden Vertrag irgendwie die Dinge speichert, die der Gesetzgeber gespeichert sehen will, damit muss man wohl leben.
Siehe oben.
Google ist ein amerikanisches Unternehmen und unterliegt amerikanischem Recht. Sie werden das tun, was dieses Recht ihnen befiehlt.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here.
All logos and trade names are the property of their respective owners.