SecureGo plus

SecureGo ist der Name, den ATRUVIA (das Rechenzentrum der Volks- und Raiffeisenbanken) ihrem pushTAN-Verfahren (also TAN via Smartphone-App) gegeben hat. Bisher hieß es nur SecureGo. Derzeit ist eine Umstellung auf ein neues weiterentwickeltes Verfahren mit neuer App im Gange. Und diese neue weiterentwickelte App heißt jetzt Secure Go plus. Dieses Verfahren mit dieser App kommt allerdings nur bei Banken zum Einsatz, die bei ATRUVIA (ehem. Fiducia & GAD) rechnen lassen. Das sind wie gesagt die VR-Banken und einige wenige andere, die sich diesem RZ angeschlossen habe.

Andere Banken habe eigene - technisch andere Verfahren - entwickelt oder entwickeln lassen. Bei den Sparkassen heißt das pushTAN, bei anderen Banken wieder anders. Auch die Funktionsweise und der technisch-kryptografische Unterbau ist anders. Insofern hat jede Bank ihre eigene App. Und auch nur diese App kann jeweils mit dem entsprechenden Bankrechner kommunizieren.

Und von wegen "Standard" bei Banken - wovon träumst Du nachts? Es gibt da natürlich keinen Standard, weil jede Bank meint, dass sie und nur sie das einzig richtig macht - besser als alle anderen. Das war schon zu BTX-Zeiten so und wird wohl immer so bleiben. Außerdem... es gibt ja so viele verschiedene Artem von TAN- bzw. Freigabeverfahren. Außer pushTAN gibt es ja auch noch FotoTAN in x Varianten, QR-TAN, ChipTAN, SealOne und und und.

pushTAN ist schon in soweit ein riesen Fortschritt, als man die versch. Apps der Banken auf einem Smartphone installieren kann und nicht für jede Bank ein eigenes Gerät braucht. Für versch.

Konten bei "gleichartigen" Banken (z.B. bei verschiedenen Sparkassen oder verschiedenen VR-Banken) können natürlich in jeweils einer App verwaltet werden.

Noch nicht alle Banken, welche über die Atruvia arbeiten, haben schon SecureGo plus im Einsatz. Aber als Endzustand ist das geplant. Dann können Kunden, welche Konten bei verschiedenen Geno-Banken haben, die gleiche App für den Empfang der TAN verwenden. Dazu lassen sich die Aktivierungscodes der einzelnen Banken einscannen, und die App legt darauf basierend einen passenden Eintrag an.

Nebenbei gibt es ja noch girocard mit TAN-Generator. Wird zumindest von meiner VB nicht mehr aktiv beworben, aber anerkannt.

Richtig. SecureGo und SecureGo plus sind die Namen der pushTAN-App von ATRUVIA (also dem Rechenzentrum der VR-Banken).

Secureplus ist (nach dem, was Google dazu ausspuckt) der Name der pushTAN-App der Consorsbank.

Die beiden haben natürlich nichts miteinander zu tun und sind nicht zueinander kompatibel. Können aber natürlich nebeneinander auf einem Smartphone installiert werden.

Der Unterschied zwischen "SecureGo plus" und "VR SecureGo plus" ist, das Erstere für nicht-VR-Banken ist, welche über die Atruvia rechnen lassen (deswegen auch kein "VR" im Namen), die "VR SecureGo plus" hingegen ist für die Volks- und Raiffeisenbanken (deswegen auch das "VR" im Namen).

Das kann man so und so sehen. Defacto ist die "echte" 2fa damit obsolet, da es keine wirkliche Authentifizierung von 2 versch. autoarken Kanälen stattfindet.

Ja ok wenn man davon ausgeht das dass Sicherheitskonzept beachtet wird im Handy-OS ( zB. in Android das Sandbox Konzept), dann kann man schon eine gewisse Sicherheit annehmen. Dann aber vorrausgesetzt, dass sich die App-Entwickler an diese Standards halten.

Da wäre ich mir aber nicht so sicher. Ich zB. habe ein Handy in dem die Policies für die Kommunikation von unterschiedlichen Apps seht ristrikitv gehandelt wird. Es geht soweit, dass ich keine Attachments in Mails mit den Bordmittlen öffnen kann.

Trotz dieser Reglen, ist es Secure Go möglich, die Daten von der alten App Secure Plus abzugreifen.
Wenn das in einem gesicherten Prozess passiert ok, aber da bin ich nicht versiert genug das zu beurteilen.
Evtl. weiss das ja hier jemand.

Im großen und ganzen muss man natürlich auch sein eigenes Threadmodell in betracht ziehen, inwiefern man ein lohnendes Ziel ist und dann auch Sicherheit vs Komfort abwägen.

beste grüsse

@fireskyer
Du redest von Sicherheit und nutzt Windows 7 lt deiner Fußnote - statt Windows 10.

Hast du eine Sperre bei deiner Bank für papiergebundene und/oder telefonische Aufträge?

Was bringt dir der Safe in der Hand/Hosentasche, wenn der Rest wie ein Scheunentor offen ist?

Das stimmt aber es gibt viele "Best Practices" wo 2 autarke Kanäle empfohlen werden, auch das BSI weist daraufhin.
NSA defniert es glaub ich als Vorraussetzung.
Deswegen muss ich da meine Aussage auch ein bißchen korrigieren das es nur eine Empfehlung ist wie man es implementiert.




Ich rede nur davon, was man im allgemeinen unter 2 factor authentification versteht bzw. was die Empfehlung der implementierung derer ist, das hat mit meinem eigenen privaten Sicherheitsvorkehrungen nix zu tun.
Btw. die is veraltet.




Das ist doch ok, ich habe ja auch geschrieben das es jeder für sich handhaben muss zwischen Sicherheit und Komfort.
Ich selber würde mein 2fa nicht auf einem Gerät unterbringen.




Kann es sein das ihr öfter im Forum angegriffen werdet als euch lieb ist ? Das war in keinster Weise eine Rechtfertigung oder sonstiges sondern ich habe nur meine Sichtweise zu 2fa, und wie sie auch in Sicherheitskreisen als best practice verstanden wird, dargelegt mehr nicht.

Deswegen auch die Anmerkung "gegen wen musst du dich schützen".

Nichts für ungut jungs

kurz

//edit:
lang
A.) Oft wird veraltete OS oder "kein Main-OS" eingesetzt, weil die User zu geizig sind für neues OS oder Hardware und/oder möchten kein Microsoft.
B.) genau diese User möchten aber 1-Klick-Lösungen bei den Updates haben bzw bekommen einfache Software Updates nicht hin (siehe Jameica)
C.) Smartphone Nutzung + Banking wurde jahrelang Sicherheitsprobleme nachgesagt, was aber nicht stimmt, denn das "alte Verfahren" (also papiergebunden oder Telefon) ist einfach die unsicherste Variante.
D.) Diese unsicheren Varianten sollten zwischenzeitig standardmäßig "gesperrt" sein - dies ist nicht der Fall und selbst eine Sperrung aktuell nur schwer möglich, da nicht vorgesehen.
E.) Haftung Kunde bei Online-Banking zwischenzeitlich zwischen 0 Euro und max. 150 Euro - dh. doch kaum bzw kein Risiko für den Kunden (selbst wenn schlechte Absicherung unterstellt wird)



also eine riesen Diskussion um nichts, zumal wir als Kunde nichts ändern können. (und wie oe. warum sollten wir ist doch alles abgesichert)

Hast du etwa heimlich den Job gewechselt, ohne uns ordnungsgemäß hier im Forum Bescheid zu sagen? ;)