DKB Sammelthread

[geos]

ANZEIGE

Als ich letzten Monat die DKB App neu verknüpfen musste habe ich zwei Dinge gebraucht. Die SMS Tan und die drei Nummern der CVC auf der Karte.
Wenn ein Gauner es schafft dem DKB Kunden diese zwei Zahlen abzuschwatzen kann er alles machen.

Wow, das ist wirklich eine sehr geringe Hürde. Keine Logins?
CVC kann man von der Karte ablesen, wenn damit bezahlt wird (steht noch drauf, oder?), und dann muss man nur noch den Kunden über irgendwelche Kommunikationskanäle per Social Engineering dazu bringen, die SMS-TAN vorzulesen oder einzugeben.

 

[LosKlampos]

Wow, das ist wirklich eine sehr geringe Hürde. Keine Logins?
CVC kann man von der Karte ablesen, wenn damit bezahlt wird (steht noch drauf, oder?), und dann muss man nur noch den Kunden über irgendwelche Kommunikationskanäle per Social Engineering dazu bringen, die SMS-TAN vorzulesen oder einzugeben.

Das Verknüpfen kommt erst, nachdem man sich erfolgreich mit den Zugangsdaten angemeldet hat. Also Zugangsdaten + SMS + CVC. Wer das alles freiwillig rausgibt…

 

[geos]

ja genau das ist das Problem mit diesen inflationären Sicherheitsabfragen.

Genau genommen ist das Problem, dass Konsumenten Technologie/Systeme verwenden, die sie nicht durchblicken und daher auch den Sinn dieser Sicherheitsfragen nicht verstehen und somit einfach nur im Sinne von Cargo Cult sich so verhalten, dass das gewohnte und gewünschte Ergebnis kommt.
Und die Anbieter wie die DKB drängen ihre Kunden mehr und mehr dazu, solche Technologien umfangreich zu nutzen, und suggerieren, dass es total einfach wäre.

Beitrag automatisch zusammengeführt: Gestern um 21:47

Das Verknüpfen kommt erst, nachdem man sich erfolgreich mit den Zugangsdaten angemeldet hat. Also Zugangsdaten + SMS + CVC. Wer das alles freiwillig rausgibt…

OK, ein wenig größere Herausforderung für das Social Engineering, aber durch geeignetes Phishing, d.h. überzeugende Geschichte, durchaus machbar.

 

[LosKlampos]

Absolute Sicherheit gibt es nicht.
Zugangsdaten mit ausreichend sicherem Passwort + SMS + CVC erachte ich als sicher genug.

 

[geos]

Es wird sich erst was ändern, wenn man die Kunden wirklich wieder dazu zwingt, Verantwortung für die eigenen Handlungen zu übernehmen.

Das Problem ist, dass anderseits die Banken (und andere Anbieter) ja möchten, dass die Kunden möglichst viel und umfangreich all diese schönen, tollen Apps usw. nutzen. Die Kunden sollen nach Möglichkeit alle dazu gebracht werden, das zu nutzen, und dazu möchte es der Anbieter ihnen so einfach und niederschwellig wie möglich machen.

 

[Benutzern]

Das Verknüpfen kommt erst, nachdem man sich erfolgreich mit den Zugangsdaten angemeldet hat. Also Zugangsdaten + SMS + CVC. Wer das alles freiwillig rausgibt…

Kann ich so nicht bestätigen.
Ich hatte meine Zugangsdaten nicht zur Hand, wegen neues Smartphone und habe es auch ohne Zugangsdaten geschafft.

 

[LosKlampos]

Kann ich so nicht bestätigen.
Ich hatte meine Zugangsdaten nicht zur Hand, wegen neues Smartphone und habe es auch ohne Zugangsdaten geschafft.

Woher wusste die App dann, in welchen Benutzer sie sich einloggen soll?

 

[RollinCHK]

Woher wusste die App dann, in welchen Benutzer sie sich einloggen soll?

Unter iOS kann man die Zugangsdaten speichern in der Passwörter App (iCloud Schlüsselbund)... So, oder so, ohne Zugangsdaten gehts nicht...

Das Problem ist, dass anderseits die Banken (und andere Anbieter) ja möchten, dass die Kunden möglichst viel und umfangreich all diese schönen, tollen Apps usw. nutzen. Die Kunden sollen nach Möglichkeit alle dazu gebracht werden, das zu nutzen, und dazu möchte es der Anbieter ihnen so einfach und niederschwellig wie möglich machen.

Man muss Apps ja nicht als "Freindbild" betrachten. Nimm mal den Klassiker, ältere Leute, die nur Banking am PC machen, wenn auch mit TAN-Generator... Das ist ja alles schön und gut, nur dann wird der PC, der schon alt und langsam ist fürs Banking hoch gefahren, ohne Windows Updates, Browser Updates etc. Das macht es nicht besser. Ein modernes Smartphone holt sich immerhin System- und App-Updates ganz automatisch. Von dem her, muss die schöne und neue Welt nicht immer schlecht sein.

 

[websgeisti]

Kann ich so nicht bestätigen.
Ich hatte meine Zugangsdaten nicht zur Hand, wegen neues Smartphone und habe es auch ohne Zugangsdaten geschafft.

Dann hast du einfach deine Zugangsdaten in iOS oder Android in einem Passwortmanager gesichert. Beispielsweise: iCloud Schlüsselbund oder Google Passwortmanager bzw. Samsung Passwortmanager.

Ohne Zugangsdaten bekommst du kein neues Gerät freigeschaltet, denn das erste was die App erwartet sind die Zugangsdaten.

 

[Benutzern]

Woher wusste die App dann, in welchen Benutzer sie sich einloggen soll?

Anhand der Kontonummer ohne Passwort.

Beitrag automatisch zusammengeführt: Heute um 10:33

Dann hast du einfach deine Zugangsdaten in iOS oder Android in einem Passwortmanager gesichert. Beispielsweise: iCloud Schlüsselbund oder Google Passwortmanager bzw. Samsung Passwortmanager.

Ohne Zugangsdaten bekommst du kein neues Gerät freigeschaltet, denn das erste was die App erwartet sind die Zugangsdaten.

Nein auf dem neuen Handy war kein Passwortmanager installiert und die Zugangsdaten speichere ich nicht in der Cloud nur lokal auf meinem PC, aber ich war nicht zu Hause.
Habe mich auch gewundert wie relativ einfach es ging nur mit der SIM Karte und der CVC von der Kreditkarte.

 

[LosKlampos]

Ich habe es jetzt selber ausprobiert. Es wird zwingend der Anmeldename + Passwort verlangt. Ich habe im Anmeldenamen sowohl meine Kontonummer als auch meinen tatsächlichen Anmeldenamen eingegeben, ohne Passwort geht es nicht weiter.

 

[websgeisti]

Ja, anders geht nicht.
Es wird beides gebraucht. Vielleicht irgendein Autofill aktiviert. Die DKB App hat schon immer Benutzername/Kennung und Passwort verlangt um ein neues Gerät zu aktivieren.

 

[RollinCHK]

Ich weiß auch nicht, wie man so einen Blödsinn behaupten kann und noch viel mehr versteh ich nicht, dass Leute darauf auch noch anspringen.

 

[Benutzern]

Ich habe es jetzt selber ausprobiert. Es wird zwingend der Anmeldename + Passwort verlangt. Ich habe im Anmeldenamen sowohl meine Kontonummer als auch meinen tatsächlichen Anmeldenamen eingegeben, ohne Passwort geht es nicht weiter.

Du hast das Bild gepostest, unterhalb von Anmeldename und Passwort sieht du:

Probleme bei der Anmeldung.


Darauf mußt du klicken!

Beitrag automatisch zusammengeführt: Heute um 13:59

Ich weiß auch nicht, wie man so einen Blödsinn behaupten kann

Probier es selber aus, bevor du so einen Blöcsinn behauptest!

 

[LosKlampos]

Dann kann ich mein vorhandenes Passwort zurücksetzen. Das möchte ich nicht. Warum sollte ich das tun?

Offensichtlich hast du dein Passwort also zurückgesetzt und dich daraufhin mit einem neuen Passwort angemeldet. Das man für die Rücksetzung des Passwortes des Anmeldenamen + SMS + CVC verwenden kann, finde ich in Ordnung.

 

[websgeisti]

Du hast das Bild gepostest, unterhalb von Anmeldename und Passwort sieht du:

Probleme bei der Anmeldung.


Darauf mußt du klicken!

Das stimmt zwar, aber du setzt damit ein neues Passwort. Und da ist so ein Prozess in Ordnung. Aber dafür braucht es ja auch SMS Code oder DKB-App Freigabe, Anmeldekennung und CVV.

Du hast was anderes suggeriert, das man generell ohne Passwort neue Geräte freigeben kann. Das ist nicht korrekt.

 

[change]

Hat keiner hier ein Business sowie Privatkonto bei der DKB?

 

[RollinCHK]

Dann kann ich mein vorhandenes Passwort zurücksetzen. Das möchte ich nicht. Warum sollte ich das tun?

Offensichtlich hast du dein Passwort also zurückgesetzt und dich daraufhin mit einem neuen Passwort angemeldet. Das man für die Rücksetzung des Passwortes des Anmeldenamen + SMS + CVC verwenden kann, finde ich in Ordnung.

Eben, Du kommst nicht ohne Kenntnis irgendwelcher Zugangsdaten in ein fremdes Banking.

 

[LosKlampos]

Eben, Du kommst nicht ohne Kenntnis irgendwelcher Zugangsdaten in ein fremdes Banking.

Das ist mir bewusst und auch der Standpunkt, den ich von Anfang an vertreten habe.

 

[RollinCHK]

OK ... und was wolltest Du uns jetzt sagen? Kommt man irgendwie einfacher ins Banking, als fremde Person? Nö! Ist die Hürde niedriger? Nö!

 

[Benutzern]

Du hast was anderes suggeriert, das man generell ohne Passwort neue Geräte freigeben kann. Das ist nicht korrekt.

Ich habe genau das geschrieben:
Ohne Kenntnis des Passwortes alleine mit der SMS Tan und dem CVC kann der Gauner das Konto leerräumen!

Was kümmert es den Gauner, wenn er das Passwort deswegen ändern muss, nicht jeder kontrolliert das stündlich und selbst wenn, dad Geld ist weg.

 

[LosKlampos]

OK ... und was wolltest Du uns jetzt sagen? Kommt man irgendwie einfacher ins Banking, als fremde Person? Nö! Ist die Hürde niedriger? Nö!

Ich glaube, du verwechselst gerade etwas. Ich habe nichts dergleichen behauptet sondern sehe die gegebenen Funktionen als absolut ausreichend sicher an.
Lies meine Beiträge gern nochmal.

 

[websgeisti]

Ohne Kenntnis des Passwortes alleine mit der SMS Tan und dem CVC kann der Gauner das Konto leerräumen!

Anmeldekennung ist auch nötig! Und außerdem: Das Opfer muss das alles weitergeben!

 

[ilam]

Mit Apple Pay genügt auch alles, was auf der KK steht und eine SMS.

 

[websgeisti]

ANZEIGE

Mit Apple Pay genügt auch alles, was auf der KK steht und eine SMS.

Und nun? Das ist bei anderen Banken nicht anders. Kann man kritisieren, aber solange keine Gesetzgeber z.B. wenigstens RCS vorschreiben wird sich da nix ändern.