Thema: DKB Sammelthread

Eingabe von Passwörten ist kein Problem. Ich mag nur nicht zusätzliche Geräte mitschleppen (und dazu gehören auch Mobiltelefone und Co.) bzw. bereit halten müssen.

Und das klappt wirklich? Bei allen Händlern?

Amex kommt meistens ohne TAN aus, und wenn sie (bei ungewöhnlicher IP und hohem Betrag) benötigt wird kommt sie auch per E-Mail.

Zitat von kumpel64

Eingabe von Passwörten ist kein Problem. Ich mag nur nicht zusätzliche Geräte mitschleppen (und dazu gehören auch Mobiltelefone und Co.) bzw. bereit halten müssen.

Und das klappt wirklich? Bei allen Händlern?

Die ICS VISA macht das zum Beispiel mit einem wählbaren Passwort, wenn man sich nicht in der App anmeldet, dann wird automatisch auf so eine Art PushTan umgestellt.

Zitat von geos

dann wird sie allerdings bei einigen POS wie z.B. manchen Automaten nicht einsetzbar sein.

Das war doch überhaupt nicht die Frage. Es ging um den Onlineeinsatz ohne zusätzliche Authentifizierung.

Die Passwörter für 3D-Secure sind einfach extrem unsicher.

Da für Transaktionen mit 3D-Secure meistens der Issuer haftet (ohne 3D-Secure liegt das Risiko ja beim Händler oder Acquirer), haben die Banken einfach keine Lust mehr, durch unsichere Passwörter unnötig Geld zu verlieren.

Meiner Meinung nach hat die DKB hier eine sehr gute Lösung, da man nicht auf SMS oder Internet angewiesen ist, die App funktioniert auch offline.

Zitat von Amino

Meiner Meinung nach hat die DKB hier eine sehr gute Lösung, da man nicht auf SMS oder Internet angewiesen ist, die App funktioniert auch offline.

Sehe ich auch so und mein Smartphone ist halt etwas was ich quasi ausnahmslos immer bei mir habe.

Aber man müsste noch eine ernstzunehmende Alternative anbieten, damit Kunden ohne (passendes) Smartphone nicht ausgeschlossen werden. ChipTAN und/oder kostenlose mTAN sollten möglich sein.
Und zwecks Sicherheit: Wie sicher war das Passwort (oder die Sicherheitsfragen bei MasterCard) gegenüber der Amazon-Variante oder der Variante mit CVC? Viel sicherer. Am POS oder ATM kommt man mit einer geskimmten/geklauten PIN auch weiter.

Zitat von Amino

Die Passwörter für 3D-Secure sind einfach extrem unsicher.

Die Passwörter sind vor allem lästig. Würde mich nicht wundern, wenn viele Kunden das Passwort im richtigen Moment gerade nicht zur Hand hatten oder es schlicht vergessen haben.

Letztliche muss jede Bank aber auch abwähgen zwischen Sicherheit und Komfort. Weiß ja nicht welche Strategie man da verfolgt. Ob man PayPal und Co das Feld überlassen, oder weiter ein relevantes Zahlungsmittel im Fernabsatz sein möchte.

Zitat von Amino

Die Passwörter für 3D-Secure sind einfach extrem unsicher.

Da für Transaktionen mit 3D-Secure meistens der Issuer haftet (ohne 3D-Secure liegt das Risiko ja beim Händler oder Acquirer), haben die Banken einfach keine Lust mehr, durch unsichere Passwörter unnötig Geld zu verlieren.

Meiner Meinung nach hat die DKB hier eine sehr gute Lösung, da man nicht auf SMS oder Internet angewiesen ist, die App funktioniert auch offline.

Irgendwo wäre aber die Nutzung eines Standards nett. Fast alle 2FA kann ich in Google Authenticator/Authy anzeigen lassen oder meinen U2F-Stick reinstecken/dranhalten, nur die Banken haben immer ihre Sonderlösungen.

Zitat von sk9

Und zwecks Sicherheit: Wie sicher war das Passwort (oder die Sicherheitsfragen bei MasterCard) gegenüber der Amazon-Variante oder der Variante mit CVC? Viel sicherer.

Aus der Sicht des Issuers nicht.

Bei einer Zahlung mit oder ohne CVC haftet der Acquirer (der den Schaden je nach Vertrag selbst übernimmt oder an den Händler weitergibt). Die Kartenausgebende Bank hat also niemals einen Schaden, außer den Arbeitsaufwand fürs Geld zurückholen.

Bei einer Zahlung mit 3D-Secure ist das anders, denn hier garantiert die Bank, das die Karte vom richtigen Karteninhaber eingesetzt wird. Acquirer oder Händler müssen das Geld also nicht mehr zurückgeben, wenn sich herausstellt, dass die Transaktion nicht vom richtigen Karteninhaber autorisiert wurde.

Daher hat der Issuer die Verantwortung, das Verfahren möglichst sicher zu machen. Der Kunde haftet nämlich nur bei eigenem Verschulden. Bei ausgespähtem Passwort, ohne dass man Verschulden des Kunden beweisen kann, muss die kartenausgebende Bank den vollen Schaden übernehmen

Zitat von Amino

Aus der Sicht des Issuers nicht.

Bei einer Zahlung mit oder ohne CVC haftet der Acquirer (der den Schaden je nach Vertrag selbst übernimmt oder an den Händler weitergibt). Die Kartenausgebende Bank hat also niemals einen Schaden, außer den Arbeitsaufwand fürs Geld zurückholen.

Bei einer Zahlung mit 3D-Secure ist das anders, denn hier garantiert die Bank, das die Karte vom richtigen Karteninhaber eingesetzt wird. Acquirer oder Händler müssen das Geld also nicht mehr zurückgeben, wenn sich herausstellt, dass die Transaktion nicht vom richtigen Karteninhaber autorisiert wurde.

Daher hat der Issuer die Verantwortung, das Verfahren möglichst sicher zu machen. Der Kunde haftet nämlich nur bei eigenem Verschulden. Bei ausgespähtem Passwort, ohne dass man Verschulden des Kunden beweisen kann, muss die kartenausgebende Bank den vollen Schaden übernehmen

Okay, deshalb dieser Wahnsinn. Dann nutzt man halt andere Karten oder Lastschrift (Kenne DKB-Kunden, die das seit dem neuen 3D-Secure machen). Das bringt dann der DKB auch nichts.
Und gegen Phising gibt es auch andere Gegenmaßnahmen. Siehe MC mit der Persönlichen Begrüßung und der unterschiedlichen Sicherheitsfragen.

Die persönliche Begrüßung ist absolut nutzlos. Jeder, der die Kartendaten abgephisht hat, kann die Begrüßung nachsehen.

Zitat von Amino

Die persönliche Begrüßung ist absolut nutzlos. Jeder, der die Kartendaten abgephisht hat, kann die Begrüßung nachsehen.

Stimmt wiederum auch...
Aber: Komplizierte Verfahren steigern nicht die Attraktivität.

Zitat von geos

dann wird sie allerdings bei einigen POS wie z.B. manchen Automaten nicht einsetzbar sein.

Wieso nicht? Wenn keine CVM Regel mit PIN hinterlegt ist müsste die Zahlung doch ohne unterschrift / pin durch gehen?

Zitat von Amino

Die persönliche Begrüßung ist absolut nutzlos. Jeder, der die Kartendaten abgephisht hat, kann die Begrüßung nachsehen.

So nutzlos finde ich die nicht. So lange die Kartendaten noch nicht abgephisht sind, kann man sicher sein mit seiner Bank zu "kommunizieren".

Zitat von sk9

Stimmt wiederum auch...
Aber: Komplizierte Verfahren steigern nicht die Attraktivität.

Was ist denn am DKB Verfahren per se so kompliziert?

Einzig alleine finde ich kritikwürdig, dass man 3 Apps benötigt. Wäre schön, wenn man das mittelfristig ändern würde.

Zitat von Escorpio

So nutzlos finde ich die nicht. So lange die Kartendaten noch nicht abgephisht sind, kann man sicher sein mit seiner Bank zu "kommunizieren".

So lange die Kartendaten nicht abgephisht sind, kann mit dem 3D-Secure-Passwort sowieso nichts anstellen.

Die persönliche Anrede schützt also gegen gar nichts, denn wenn ein phishing Schutz nur wirkt, so lange nicht gephisht wird...

Zitat von Amino

So lange die Kartendaten nicht abgephisht sind, kann mit dem 3D-Secure-Passwort sowieso nichts anstellen.

Die persönliche Anrede schützt also gegen gar nichts, denn wenn ein phishing Schutz nur wirkt, so lange nicht gephisht wird...

Aber wenn ich meine persönliche Begrüßung nicht angezeigt bekomme, gebe ich mein Passwort doch erst gar nicht ein? Und eine Phising Seite kann mir meine persönliche Begrüßung nicht anzeigen, da sie diese nicht kennen.

Zitat von Escorpio

Aber wenn ich meine persönliche Begrüßung nicht angezeigt bekomme, gebe ich mein Passwort doch erst gar nicht ein? Und eine Phising Seite kann mir meine persönliche Begrüßung nicht anzeigen, da sie diese nicht kennen.

Mögliches Angriffszenario:
1. Du landest auf der Phishingseite und gibst Kartennummer, Gültigkeit etc. ein
2. Die Angreiferseite startet im Hintergrund eine Transaktion mit deinen Kartendaten, landet auf der 3D-Secure-Seite deines Issuers und sieht dort die persönliche Begrüßung.
3. Du bekommst sie auf der gefälschten Seite angezeigt.