Wenn einige sich hier selbst als "IT-Experten" bezeichnen, sollten sie ihre Behauptungen präzisieren. Warum ist die Trennung wichtig, gibt es dafür Belege oder eine technische Erklärung?
Die Trennung ist wichtig, denn wenn du ein Gerät kontrollierst (=kompromittierst), bestimmst du, was dem Nutzer gezeigt wird. Dieser Fakt zieht sich jetzt gleich wie ein roter Faden durch den Rest deiner Aussagen.
Erkläre doch mal Schritt-für-Schritt, warum z.B. Bitlocker mit TPM-Chip und Passwort (beide auf demselben PC) kein 2FA ist. Oder warum ein Passkey (z.B. gespeichert im Titan M2 bei Google oder ein T2 bei Apple) in Kombination mit einem biometrischen Merkmal beides auf einem Smartphone kein 2FA ist. Der Passkey ist einer separaten Hardware-Infrastruktur gespeichert und wird mit einem separaten Betriebssystem (Trusty OS bei Android) verwaltet.
Du verkennst hier die Aufgabe der 2FA. Es geht bei Bankgeschäften um Verifikation des Auftrages durch den Kontoinhaber. Du willst als Bank beweisen können, dass der Kunde diese Transaktion, so wie ausgeführt vom Kunden Autorisiert wurde. Wenn allerdings das Gerät, auf dem "Alle Faktoren" stattfinden kompromittiert ist, kontrolliert der Angreifer, was der Kunde sieht. Dem Kunden kann etwas ganz anderes angezeigt werden als die Tan App signiert.
Hier schwingen sich Leute zu Untergangspropheten auf ohne irgendwelche Details zu liefern.
Details wurden in der Vergangenheit schon etliche male geliefert, wir haben nur besseres zu tun, als immer wieder auf die gleichen Forschungen zu verweisen. Hier ist ein interessanter Beitrag von Vincent Haupert, auch wenn schon 6 Jahre alt, die Probleme sind die gleichen:
https://media.ccc.de/v/34c3-8805-die_fabelhafte_welt_des_mobilebankings
Und jetzt bitte nicht als Antwort liefern: Aber die App kann kein FIDO, nutzt dies oder das Feature nicht etc. Dann ist das Problem ja gerade nicht, dass ich keine zwei Faktoren habe, sondern eine schlecht designte App.
Es ist egal, mit welchem Kryptographischen Verfahren die Transaktion signiert wird. Wie gesagt, ein kompromittiertes Gerät kann dem User zeigen, was der Angreifer will, und im Hintergrund etwas anderes signieren. Ich kann nur mit einem 2. Gerät, welches mir die Details der zu signierenden Daten erneut präsentiert verhindern, dass ein kompromittiertes Gerät ausreicht um Schaden anzurichten. Es ist extrem schwer bis nahezu unmöglich, einen ChipTAN Leser zu kompromittieren.
EDIT: Meine Position ist, dass Faktoren, die zur Authentifizierung genutzt werden, immer auf einem initialen Vertrauen basieren. Das gilt für das Passwort (Annahme: wer das passende Passwort kennt, hat glaubwürdig versichert, der zu sein, den er zu sein ausgibt). Das gilt für das TPM (derjenige, der physischen Besitz hat, ist vertrauenswürdig). Das gilt für das Zertifikat (es wird unterstellt, der Inhaber des Zertifikats ist zugangsberechtigt und derjenige, der einen zumeist zwei- bis dreistelligen Geldbetrag gezahlt hat und ein Verifikationsverfahren erfolgreich durchlaufen hat).
Du fährst hier die Schiene der Banken, die eine Signatur der Transaktion über einen 2. Faktor als "Haben und Wissen" umdeklariert. Das "Haben und Wissen" ist kein 2FA im Sinne der Transaktionsignierung.
Wo liegt denn jetzt der Vorteil, Banking und Freigabeverfahren auf zwei unterschiedliche Geräte zu packen? Ich würde argumentieren, gegen Social Engineering hilft das recht wenig (oft wird das Opfer überredet, Kontozugangspasswort *und* TAN-Freigabe vorzunehmen, da helfen zwei Geräte null).
Social Engineering ist nicht das einzige Problem. Das ist zu sagen, "Warum sollen wir die Haustüre abschließen, Trickbetrüger schaffen es ja trotzdem ab und zu".
Auch bei Malware ist nicht ganz klar, dass ein zweites Gerät hilft (gerade dann nicht, wenn es vielleicht ein älteres Zweitgerät ohne aktuelles OS- und Treiberlevel ist). Es gab durchaus Angriffskanäle, wo es half, dass es nur ein Gerät war (z.B. bei diesem Hack über Androids Accessibilty Services).
Richtig. Und es gab auch Zeus, der Windows-Computer befallen und angeschlossene Android-Telefone gerootet hat, um an die mTAN zu kommen. Es bleibt ein Katz- und Maus Spiel. Leider eines, bei dem wir unsere Waffen freiwillig wegschmeißen und die Hände und beine in die Luft werfen.
Aber generell muss das Ziel doch nur sein, die Hürde hoch genug zu sein. Ich sehe nicht, dass hier die Nutzung von zwei Geräten kriegsentscheidend ist. Wichtiger ist es, "Auf Wiedersehen" zu extrem verwundbarer Techniken (wie das leicht zu spoofende, obsolete SMS) zu sagen.
Fakt ist:
Selbst hier gilt aber Augenmaß. Für einen X/Twitter-Account mag SMS als zweiter Faktor stark genug sein, um die Schwelle für Angreifer hinreichend hoch zu setzen. Beim Banking hingegen ist SMS-TAN hingegen mittlerweile als zweiter Faktor ungeeignet. Die Begründung jedoch, warum der zweite Faktor nicht über dasselbe Gerät geliefert werden darf, seid Ihr jedoch noch schuldig.
Lol, Augenmaß? Du weißt, was Augenmaß ist. Das ist, wenn der Schreiner einfach mal drauf los schneidet, und dann hinterher ein halber Zentimeter Tischbein zu wenig am Tisch ist, und dann alle anderen Beine ebenso gekürzt werden müssen. Du willst kein Augenmaß, nirgendwo. Du willst ordentliches Maß. Zweimal messen, einmal schneiden.
Ich glaube, es gibt mehr Missverständnisse als Klarheit, was bewiesen werden soll. Willst du beweisen, dass du Barry Egan bist? Dann ist ein Passwortmanager genug, auch wenn in ihm Benutzername, Passwort und Geheimnis für das Erzeugen von OTPs gespeichert ist. Aber wenn du beweisen willst, dass Barry Egan eine Transaktion erzeugt hat und diese zwischen der Tastatur und dem Browser/Server nicht manipuliert wurde, dann geht das einfach nicht auf dem gleichen Gerät. Es ist schlicht unmöglich. Du verlangst von mir zu beweisen, dass Gott nicht existiert. In der Wissenschaft musst du den Beweis liefern, dass es möglich ist.
Edit: Du hängst dich an vielen Technologien auf, aber das hilft alles nichts, wenn die Prozesse angreifbar sind.