Seite 1 von 23 1 2 3 11 ... LetzteLetzte
Ergebnis 1 bis 20 von 458

Thema: PSD II Sammelthread (ab 09/2019)

  1. #1
    Erfahrenes Mitglied
    Registriert seit
    13.07.2018
    Ort
    LHR, EAP / STR
    Beiträge
    1.284

    Standard PSD II Sammelthread (ab 09/2019)

    ANZEIGE
    Bekanntlich wird demnächst die Umsetzung der zweite Stufe der "Payment Services Directive" gefordert, was einige Institute vor große Herausforderungen stellt... Nicht jeder wird pünktlich fertig.

    Für Bankkunden ist der wichtigste Punkt, dass sämtliche Legitimationen bzw. Zahlvorgänge mit einem zweiten Faktor abgesichert werden müssen (Auswahl aus Besitzelemente - z.B. eine Karte oder ein Gerät, "Seins"elemente - z.B. biometrische Daten, Wissenselemente - z.B. Passwort, ...). Das wird bei Zahlungen einer physischen Karte via NFC in Zukunft auch ein Knackpunkt sein. Manche Banken haben auf neuen Karten eine Oberzahl an möglichen Zahlvorgängen (z.B. 5x per NFC, dann mind. 1x per PIN + Karte stecken) oder eine maximale Transaktionssumme, bis die Karte erneut bestätigt werden muss.
    Übrigens könnte dies, so meine Einschätzung, ein großer Gewinn für die mobilen Bezahlsysteme Apple und Google Pay sein, da immer eine 2-Faktor-Authentifizierung durchgeführt wird.

    Damit wir das Thema und Fragen dazu gut bündeln können, schlage ich vor einen Sammelthread hierzu zu eröffnen.

    Die Deutsche Bank hat heute den Start gemacht und eine umfassende Infoseite für Kunden zur Verfügung gestellt:
    -> https://www.deutsche-bank.de/pk/lp/p...d=e.0113.41.04
    Ab 11.09.2019 kann man nur noch mit einer TAN ins Banking und Kreditkartenzahlungen werden immer über eine TAN bestätigt - dazu wird die photoTAN App mit biometrischer/PS Sicherung aufgerüstet und bekommt Push.
    Geändert von sir_hd (28.06.2019 um 16:31 Uhr)
    _AndyAndy_, monk, Mirovic und 2 Andere sagen Danke für diesen Beitrag.

  2. #2
    Reguläres Mitglied
    Registriert seit
    29.08.2017
    Beiträge
    58

    Standard

    Ab 11.09.2019 kann man nur noch mit einer TAN ins Banking....
    Nur noch, oder alle 90 Tage 1x TAN?

  3. #3
    Erfahrenes Mitglied
    Registriert seit
    13.07.2018
    Ort
    LHR, EAP / STR
    Beiträge
    1.284

    Standard

    Zitat Zitat von Markus_1978 Beitrag anzeigen
    Nur noch, oder alle 90 Tage 1x TAN?
    Das kommt auf die Bank darauf an. Die Deutsche Bank wird beim Webbrowser jedes mal eine TAN verlangen, bei mobilen Geräten (App) kann ein Token mit einer TAN aktiviert werden, damit künftig mit biometrischer Anmeldung eingeloggt werden kann.

    Die DKB möchte wohl eine 90 Tage Regel einführen, aber Details sind da auch noch nicht bekannt.

    Die ING hat ja diese Bastellösung mit einer Kombi aus zwei Passwörtern in zwei Verfahren + Bestätigung über die Banking App - jedes Mal.
    _AndyAndy_ und Markus_1978 sagen Danke für diesen Beitrag.

  4. #4
    Reguläres Mitglied
    Registriert seit
    05.04.2019
    Beiträge
    61

    Standard

    Zitat Zitat von sir_hd Beitrag anzeigen
    [...] Kreditkartenzahlungen werden immer über eine TAN bestätigt - dazu wird die photoTAN App mit biometrischer/PS Sicherung aufgerüstet und bekommt Push.
    Soweit ich das sehe geht es dabei aber nur um Online-Umsätze, an der Supermarktkasse braucht man nicht Karte + Smartphone.
    sir_hd sagt Danke für diesen Beitrag.

  5. #5
    Erfahrenes Mitglied
    Registriert seit
    13.07.2018
    Ort
    LHR, EAP / STR
    Beiträge
    1.284

    Standard

    Zitat Zitat von DermitdemGolftanzt Beitrag anzeigen
    Soweit ich das sehe geht es dabei aber nur um Online-Umsätze, an der Supermarktkasse braucht man nicht Karte + Smartphone.
    Selbstverständlich, das wäre sonst wirklich arg dämlich ;-)

    Was du aber an der Kasse eben brauchst: Karte (Besitzelement) + PIN (Wissenselement) oder etwa Smartphone (Besitzelement + tokenisierte Karte) + Gesicht/Fingerabdruck (Seienselement). Eine Mischung aus Karte und "Seienselement" wäre z.B. dieser Feldversuch: https://www.it-finanzmagazin.de/pilo...abdruck-91082/ - NatWest in UK führt einen solchen auch schon eine Weile durch. Irgendwie dämlich: Man muss in die Filiale latschen um seinen Fingerabdruck zu hinterlegen und wir wissen auch, dass die Sensoren bei veränderter Haut (Kälte/Hitze, Schmutz, Abnutzung der Haut) nicht mehr zuverlässig funktionieren. Da ist double klick, Face ID und per NFC ran halten deutlich einfacher.

    Das ging ja bisher eher so: Kreditkartennummer angeben, meist noch CVC code und teilweise wurde nicht mal der Name gegengeprüft. So gesehen macht dieser 2-Faktor bei Online deutlich mehr Sinn. Auch hier hätte z.B. Apple Pay den Vorteil, dass du keine Kartendaten eingeben musst und auch sonst nicht mit PINS/TANS etc. hantieren musst, sondern einfach per biometrischen Daten bzw. Code des Geräts die Zahlung direkt In-App bestätigen kannst.

    Übrigens, für wen es interessant ist, wird die Apple Watch PSD II konform sein. Beim anlegen der Uhr Legitimiert man sich per Gerätepasswort und anschließend findet ja eine Pulsmessung statt. Sobald die Uhr abgenommen wird, wird die Uhr gesperrt. Das scheint laut Regulatoren keine Probleme zu verursachen.
    Geändert von sir_hd (28.06.2019 um 16:44 Uhr)

  6. #6
    Erfahrenes Mitglied
    Registriert seit
    26.08.2017
    Beiträge
    834

    Standard

    Zitat Zitat von sir_hd Beitrag anzeigen
    Die ING hat ja diese Bastellösung mit einer Kombi aus zwei Passwörtern in zwei Verfahren + Bestätigung über die Banking App - jedes Mal.
    Die ING-Lösung ist schrecklich. Warum macht man ein Passwort, dann eine Zahlenkombi + noch der Bestätigung übers Handy. Und das jedes Mal, wenn ich mich einloggen will. Das ist unverhältnismäßig. Würden sie die Zahlenkombi weg lassen oder die Bestätigung übers Handy wenigstens an eine Browserbindung knüpfen, wäre es halb so schlimm. Aber so...
    _AndyAndy_, Olaf Berlin und sir_hd sagen Danke für diesen Beitrag.
    Der Popcorn-Verteiler.

  7. #7
    Erfahrenes Mitglied
    Registriert seit
    13.07.2018
    Ort
    LHR, EAP / STR
    Beiträge
    1.284

    Standard

    Zitat Zitat von flopower1996 Beitrag anzeigen
    Die ING-Lösung ist schrecklich. Warum macht man ein Passwort, dann eine Zahlenkombi + noch der Bestätigung übers Handy. Und das jedes Mal, wenn ich mich einloggen will. Das ist unverhältnismäßig. Würden sie die Zahlenkombi weg lassen oder die Bestätigung übers Handy wenigstens an eine Browserbindung knüpfen, wäre es halb so schlimm. Aber so...
    Dito. Ist auch ein Grund, warum das Konto inzwischen auf der Abschussliste ist. Wenn die wirklich (scheinen ja jetzt zurückzurudern, wenigstens Schreibrechte für Drittanbietersoftware zu erlauben) FinTS bzw. HBCI abschalten, dann gute Nacht. Weiß jetzt immerhin, was ich an Banken wie Deutsche Bank, DKB oder - haltet euch fest - Sparkasse habe.

    Weiß eigentlich jemand etwas von den FinTechs? Die scheinen da wirklich bisher noch nichts zu machen. Einzig bunq hat eine vollwertige Banking API zur Verfügung gestellt, die auch PSD II konform ist. N26, Revolut (hat eine kleine API), Monese etc. haben alle noch keinen Zugang. Schon mau.
    _AndyAndy_ und flopower1996 sagen Danke für diesen Beitrag.

  8. #8
    Reguläres Mitglied
    Registriert seit
    08.03.2017
    Beiträge
    47

    Standard

    Zitat Zitat von sir_hd Beitrag anzeigen
    Die DKB möchte wohl eine 90 Tage Regel einführen, aber Details sind da auch noch nicht bekannt.
    Das klingt bei der DKB auf Twitter aber anders:
    "Bei jeder Kontenabfrage muss dann eine 2FA gemacht werden"
    https://twitter.com/DKB_RegTech/stat...21520835518465

    Und es gibt noch diese Aussage:

    "Fast sämtliche großen deutschen Privatbanken werden ohne die 90 Tage Ausnahme an den Start gehen."
    https://twitter.com/DKB_RegTech/stat...52325583560704
    monk sagt Danke für diesen Beitrag.

  9. #9
    Erfahrenes Mitglied
    Registriert seit
    01.09.2017
    Beiträge
    307

    Standard

    Zitat Zitat von sir_hd Beitrag anzeigen
    Die ING hat ja diese Bastellösung mit einer Kombi aus zwei Passwörtern in zwei Verfahren + Bestätigung über die Banking App - jedes Mal.
    Bislang (!) fand ich die ING Lösung nicht verkehrt. Ich kenne mich zwar damit nicht wirklich aus, würde aber denken, dass die bisherige Lösung schon deutlich sicherer war als nur Konto-Nr. und Pin.

    Die neue Lösung ist allerdings dann nicht mehr der Brüller. Bislang klicke ich immer auf "überspringen" und hoffe, dass sich da bis zum September noch was ändert.

    However - die ING ist die einzige Bank in meinem Portfolio die bislang überhaupt (zumindest für mich als Kunden sichtbar) was gemacht hat.

  10. #10
    Erfahrenes Mitglied
    Registriert seit
    26.07.2014
    Beiträge
    1.859

    Standard

    Zitat Zitat von sir_hd Beitrag anzeigen
    Das kommt auf die Bank darauf an. Die Deutsche Bank wird beim Webbrowser jedes mal eine TAN verlangen, bei mobilen Geräten (App) kann ein Token mit einer TAN aktiviert werden, damit künftig mit biometrischer Anmeldung eingeloggt werden kann.
    Bei Marke Postbank ebenfalls immer TAN-Login: http://postbank.de/neuer-login

    1822direkt / Fraspa schreibt, dass iTAN bestehen bleibt, außer man hat ein Zahlungskonto (Giro).

    Zu HBCI / FinTS weiß niemand bescheid

  11. #11
    Erfahrenes Mitglied
    Registriert seit
    13.07.2018
    Ort
    LHR, EAP / STR
    Beiträge
    1.284

    Standard

    Zitat Zitat von madkai Beitrag anzeigen
    Das klingt bei der DKB auf Twitter aber anders:
    "Bei jeder Kontenabfrage muss dann eine 2FA gemacht werden"
    https://twitter.com/DKB_RegTech/stat...21520835518465

    Und es gibt noch diese Aussage:

    "Fast sämtliche großen deutschen Privatbanken werden ohne die 90 Tage Ausnahme an den Start gehen."
    https://twitter.com/DKB_RegTech/stat...52325583560704
    Schade. Dann hat sich das geändert das war m.W. nach mal so geplant...

  12. #12
    Reguläres Mitglied
    Registriert seit
    14.04.2019
    Ort
    Mittenwald
    Beiträge
    51

    Standard

    iTAN ist nur für Zahlungsvorgänge verboten. Für Stammdatenänderung oder Aufträge für nichtzahlende Konten wie Sparkonto ist iTAN sehr wohl zulässig. Deshalb warnen alle Banken davor, TAN-Listen zu entsorgen.

    1822direkt hat alle drei TAN-Verfahren für FinTS offiziell freigegeben. mTAN ist leider kostenpflichtig, beide Smartphone-Optionen hingegen kostenlos. ING schaltet HBCI ab, das ist der Grund, warum ich mein Konto dort gekündigt habe. Ein Android-Gerät extra kaufen, für jede Bank ein App installieren und ständig hin und her springen - das sehe ich nicht ein. Ich finde das Banking-Programm super. Es ist mir um Vielfaches wichtiger, als irgendeine ING.

    Und ja, die Targobank will bei jedem Login TAN abfragen. So wie ich verstehe, sind reine Kreditkartenkunden eine Ausnahme, weil Kreditkartenkonten keine Zahlkonten sind.

    P.S. Interessant, was mit PayPal passieren wird.
    Geändert von creasot (28.06.2019 um 19:49 Uhr)
    sir_hd sagt Danke für diesen Beitrag.

  13. #13
    Erfahrenes Mitglied
    Registriert seit
    13.07.2018
    Ort
    LHR, EAP / STR
    Beiträge
    1.284

    Standard

    Zitat Zitat von creasot Beitrag anzeigen
    iTAN ist nur für Zahlungsvorgänge verboten. Für Stammdatenänderung oder Aufträge für nichtzahlende Konten wie Sparkonto ist iTAN sehr wohl zulässig. Deshalb warnen alle Banken davor, TAN-Listen zu entsorgen.
    (...). ING schaltet HBCI ab, das ist der Grund, warum ich mein Konto dort gekündigt habe. (...)
    Ja, bei ING wird die iTAN Liste künftig dazu dienen, die Banking App auf Geräten zu Legitimieren (sofern kein anderes Gerät bereits verknüpft ist).

    Die PSD II Regelungen hatten eine gute Absicht, aber so wird das ein chaos. Banking Software wird bei vielen Banken bei jedem Kontoabruf eine TAN abfragen, was bei >3/4 Girokonten und entsprechend einigen Kreditkarten zu einem "Eingabechaos" wird.

  14. #14
    Erfahrenes Mitglied
    Registriert seit
    23.02.2013
    Beiträge
    2.634

    Standard

    Für Kreditkartenzahlungen wird bei der DB nach deren Angabe wohl 3D Secure verpflichtend, das anscheinend über mTAN realisiert wird. Da frage ich mich, in wieweit das eine Zweifaktorauthentisierung darstellt, wo doch beides Besitzfaktoren sind (Besitz der Kreditkarte und Besitz der SIM). Oder gelten die KK-Daten als "Wissen"?

  15. #15
    Erfahrenes Mitglied
    Registriert seit
    11.01.2017
    Beiträge
    330

    Standard

    Hab von meiner Sparkasse auch ne Mail bekommen. Haben ne Seite für PSD II freigeschaltet.

    https://www.sparkasse.de/aktuelles/p...icherheit.html


    Die wichtigsten Änderungen sind in der Mitte der Seite aufgeführt.


    Intelligente Sicherheitssysteme prüfen im Einzelfall, ob eine TAN-Eingabe erforderlich ist.
    Bin mal gespannt was das sein soll.
    monk sagt Danke für diesen Beitrag.

  16. #16
    Reguläres Mitglied
    Registriert seit
    09.01.2010
    Beiträge
    79

    Standard

    Eine ausführliche Beschreibung der Änderungen
    https://www.santander.de/privatkunde...ormation/psd2/

  17. #17
    Erfahrenes Mitglied
    Registriert seit
    12.07.2016
    Beiträge
    2.159

    Standard

    Zitat Zitat von geos Beitrag anzeigen
    Oder gelten die KK-Daten als "Wissen"?
    Muss wohl so sein. Beim Chip (SIM/Zahlung mit Chip auf der Karte) kann man den Besitz recht sicher nachweisen. Die aufgedruckten Kreditkartendaten muss man eben nur wissen.

  18. #18
    Erfahrenes Mitglied
    Registriert seit
    23.02.2013
    Beiträge
    2.634

    Standard

    Danke, diese Angaben sind sehr informativ und gehen auf einige Fragen ein. Insbesondere:
    "Für alle Zahlungen mit Ihrer Kreditkarte in europäischen Online-Shops ist ab dem ab 14. September 2019 eine Legitimation über „Mastercard® Identity Check™“ beziehungsweise „Visa Secure“ verpflichtend. Die bisherigen Sicherheitsprogramme „Verified by Visa“ und „Mastercard 3DSecure“ werden damit abgelöst."
    Das sollte für alle Kreditkarte gelten. Fragt sich, was Amex macht, vermutlich auch eine Änderung (ob die mit einer Umbenennung einhergeht, ist dann nur eine Frage der Kommunikation).

    Für die Santander Bank wird dies wie folgt implementiert: "besteht die Möglichkeit, weiterhin eine mobileTAN als Sicherheitsfaktor zu verwenden. Die mobileTAN gilt zusammen mit der Mobilnummer / SIM-Karte als Sicherheitsmerkmal der Kategorie Besitz (siehe unter Punkt 2). Anders als bisher gilt die Prüfziffer (PAN) auf Ihrer Kreditkarte ab 14. September 2019 nicht mehr als Sicherheitsmerkmal. Deshalb müssen Sie bei Nutzung der mobileTAN für Kreditkartenzahlungen zusätzlich Ihre Online Banking-PIN (Sicherheitsmerkmal Wissen, siehe unter Punkt 2) eingeben, um die gesetzlichen Anforderungen an eine starke Kundenauthentifizierung zu erfüllen."
    und folglich:
    "Ohne Nutzung der Online Banking-Zugangsdaten (PIN/mobileTAN) ist die Nutzung Ihrer Kreditkarte im Internet ab 14. September 2019 stark eingeschränkt."

    Damit ist das zumindest eine funktionierende Lösung. Dass man für die Autorisierung von Zahlungen dieselbe PIN verwendet wie für's Onlinebanking, ist unter Sicherheitsgesichtspunkten natürlich eher schlecht. Zwei unterschiedliche PINs hat die Santander Bank ihren Kunden wohl nicht zumuten wollen.

    Die Beauftragung von mTAN geht aktuell zumindest bei der Santander Bank ausschließlich über ein Papierformular. Das hat sich seit Einführung nicht geändert. https://www.modern-banking.de/n/0807231.htm Zumindest damals wurden pro SMS 9 Cent berechnet. Im aktuellen Preisverzeichnis vom 17.05.2019 stehen allerdings 0,00 € pro SMS.


    Ich bin gespannt, wie andere Kreditkartenanbieter das Thema umsetzten werden. Bis September werden wir hier vielleicht eine Tabelle haben. Jedenfalls wird es gut sein, ein paar KK in der Hinterhand zu haben, da ich fürchte, dass es nicht bei jedem Anbieter mit jedem Onlinehändler auf Anhieb funktionieren wird.
    Geändert von geos (29.06.2019 um 10:04 Uhr)

  19. #19
    Erfahrenes Mitglied
    Registriert seit
    08.01.2018
    Beiträge
    1.074

    Standard

    Dieses 2-Faktor-Gedöns bedeutet ja quasi Smartphone Zwang und, gerade für Leute mit mehreren oder vielen Konten und Karten, ein Horrorszenario wenn das Handy mal kaputt ist oder verloren geht. Ich habe mir schon ein Tablet bestellt als Fallback. Dazu noch der Komfortverlust, echt bescheiden...
    HAM76, Lisa und sir_hd sagen Danke für diesen Beitrag.

  20. #20
    Erfahrenes Mitglied
    Registriert seit
    07.07.2010
    Ort
    .de
    Beiträge
    3.733

    Standard

    Zitat Zitat von sir_hd Beitrag anzeigen
    Das kommt auf die Bank darauf an. Die Deutsche Bank wird beim Webbrowser jedes mal eine TAN verlangen, bei mobilen Geräten (App) kann ein Token mit einer TAN aktiviert werden, damit künftig mit biometrischer Anmeldung eingeloggt werden kann.

    Die DKB möchte wohl eine 90 Tage Regel einführen, aber Details sind da auch noch nicht bekannt.

    Die ING hat ja diese Bastellösung mit einer Kombi aus zwei Passwörtern in zwei Verfahren + Bestätigung über die Banking App - jedes Mal.
    Ich habe deshalb bei ING von Banking2Go auf mTAN umgestellt und Feedback an die Bank geschrieben. PIN + Key + Freigabe per App ist ein Overkill. Dummerweise kann man bei ING, im Unterschied zu 1822 etwa, mit mTAN die App gar nicht benutzen. Brrr.

Seite 1 von 23 1 2 3 11 ... LetzteLetzte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •