PSD2/SCA Zugang zum OnlineKonto/Portal -- ID, PIN und TAN

 
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Neandertal
Beiträge: 161
Dabei seit: 01 / 2008
Betreff:

PSD2/SCA Zugang zum OnlineKonto/Portal -- ID, PIN und TAN

 · 
Gepostet: 16.09.2019 - 23:11 Uhr  ·  #1
Mit der PSD2/SCA Änderung stellt sich die Frage wie stark die einzelnen Angaben zum Kontozugang (Portal und/oder OnlineBanking) sein müssen.

Am Beispiel Postbank ergibt sich
1. Die Postbank schlägt als "Postbank ID" einen kryptischen String aus 8 Zeichen/Zahlen vor -- der kann nach Belieben geändert werden, scheinbar ohne "harte" Vorgabe, "LieschenMüller" würde OK sein
2. Die zugehörige PIN kann man "beliebig" generieren, wie viele Stellen und was egal (natürlich übliche Vorsicht, nicht 123456 etc)
3. Dann kommt die neue SCA Abfrage. Diese muss mit der BestSign oder chipTAN/Bankkarte gemacht werden. Da gibt's keine / so gut wie keine Freiheit. Ich nutze chipTAN, da wird dann eine 6 stellige TAN generiert, die dann händisch eingegeben wird.

Wenn 3. also eine ganz harte Vorgabe ist, braucht es dann zwei Vorstufen mit komplexen Strings für das Anmelden am System?
Was ist eure Meinung, und wie geht ihr mit den drei Eingaben um? :-/
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: PSD2/SCA Zugang zum OnlineKonto/Portal -- ID, PIN und TAN

 · 
Gepostet: 17.09.2019 - 07:41 Uhr  ·  #2
@mod: Bitte nach index.php?f=99 verschieben - nicht Hibiscus-spezifisch
SDI
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 72
Dabei seit: 06 / 2011
Betreff:

Re: PSD2/SCA Zugang zum OnlineKonto/Portal -- ID, PIN und TAN

 · 
Gepostet: 17.09.2019 - 11:16 Uhr  ·  #3
Trotz Verschiebung schonmal eine Antwort:

Es bringt nichts darüber zu diskutieren. Die Bank legt fest, welche Daten sie wann will. Die rechtlichen Rahmenbedingungen dafür wurden mit PSD2 verschärft. Das hat die Bank umzusetzen. Wenn die Postbank offensichtlich bei jedem Login eine SCA will, ist das grundsätzlich konform mit den PSD2-Änderungen aber es wird die mögliche Ausnahmeregelung nicht genutzt. Auch darüber brauchen wir nicht zu diskutieren. Du musst für dich entscheiden, ob du das so nutzen willst oder nicht. Wenn nicht, löst ein Bankwechsel dein Problem.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Neandertal
Beiträge: 161
Dabei seit: 01 / 2008
Betreff:

Re: PSD2/SCA Zugang zum OnlineKonto/Portal -- ID, PIN und TAN

 · 
Gepostet: 17.09.2019 - 12:39 Uhr  ·  #4
@SDI
Oh, vllt habe ich es nicht klar ausgedrückt. Das SCA stelle ich nicht in Frage.

Zum Login braucht's Kontonr (oder ID wie bei der Postbank), PIN (kann meist geändert werden) und dann die TAN Abfrage.
Da die 3.Abfrage typischerweise vom System generiert wird (zb SecurePlus bei Consors, oder BestSign/chipTAN bei der Postbank) fragt sich ob die Postbank/ID und die PIN ein komplexer String sein muss.

Was sagen die Leute mit "Sicherheitshintergrund"?
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: PSD2/SCA Zugang zum OnlineKonto/Portal -- ID, PIN und TAN

 · 
Gepostet: 17.09.2019 - 13:41 Uhr  ·  #5
Zum einen, der Anmeldename (postID ist nur ein Ordnungskriterium und nicht sicherheitsrelevant. Das sind lediglich die Kompinationen aus PIN und TAN Und die PIN hat sehr wohl Restriktionen und diese sind nach aktueller Bewertung hinreichend.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: PSD2/SCA Zugang zum OnlineKonto/Portal -- ID, PIN und TAN

 · 
Gepostet: 17.09.2019 - 13:43 Uhr  ·  #6
Ich gehe davon aus, dass er es anders rum meint. Wenn eh immer eine TAN abgefragt wird, dann kann die PIN im Prinzip auch 12345 lauten...

Äber: Wird bei der Postbank jetzt JEDES MAL auch bei Umsatzabfrage eine TAN angefordert? Auch über HBCI? Damit ist das Konto dann - insbesondere für Geschäftskunden - ja kaum mehr zu gebrauchen!?
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Neandertal
Beiträge: 161
Dabei seit: 01 / 2008
Betreff:

Re: PSD2/SCA Zugang zum OnlineKonto/Portal -- ID, PIN und TAN

 · 
Gepostet: 17.09.2019 - 14:23 Uhr  ·  #7
Zitat geschrieben von msa

Ich gehe davon aus, dass er es anders rum meint. Wenn eh immer eine TAN abgefragt wird, dann kann die PIN im Prinzip auch 12345 lauten...
Ja, so war mein Gedanken
Zitat

Äber: Wird bei der Postbank jetzt JEDES MAL auch bei Umsatzabfrage eine TAN angefordert? Auch über HBCI? Damit ist das Konto dann - insbesondere für Geschäftskunden - ja kaum mehr zu gebrauchen!?

Bei der Postbank wird nach starten von Hibiscus für die Umsatzabfrage eine generierte TAN abgefragt.
Danach, also wenn man weiter eingeloggt ist und wird für eine erneute Umsatzabfrage kein TAN mehr abgefragt.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: PSD2/SCA Zugang zum OnlineKonto/Portal -- ID, PIN und TAN

 · 
Gepostet: 17.09.2019 - 14:44 Uhr  ·  #8
Eingeloggt ist? Erneute Abfrage? Ich spreche von HBCI! Da loggt man sich doch nciht (dauerhaft) ein, da gilt die Verbindung nur während eines Aufrufs und wird dann wieder geschlossen. Der nächste Abruf ist dann eine neue (wieder TAN-pflichtige) Verbindung...

Damit ist also ein automatisierter Abruf unmöglich, weil immer eine TAN eingegeben werden muss. Für Geschäftskunden untragbar... Ich bin gespannt, ob genug Kunden kündigen, so dass die Postbank da in Bewegung gerät.
Benutzer
Avatar
Geschlecht:
Beiträge: 53
Dabei seit: 08 / 2019
Betreff:

Re: PSD2/SCA Zugang zum OnlineKonto/Portal -- ID, PIN und TAN

 · 
Gepostet: 17.09.2019 - 15:18 Uhr  ·  #9
Fyrst - Geschäftsbereich von Postbank , TAN Abfrage /bzw. Bestätigung mit BestSign App bei jede Anmeldung in WEB und in eigene Fyrst APP !
Aber wurde noch nie über HBCI/FINTS Schnittstelle verlangt.
Ich denke für FinTS gilt 90 Tage Regel.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: PSD2/SCA Zugang zum OnlineKonto/Portal -- ID, PIN und TAN

 · 
Gepostet: 17.09.2019 - 16:20 Uhr  ·  #10
Im Web ist es meines Erachtens gerade noch erträglich, wenn auch in der eigenen App keine Gerätebindung gemacht wird sondern jedes Mal eine TAN verlangt wird, dann ist das Unvermögen der Entscheider/Programmentwickler. Immerhin, wenn per FinTS keine TAN verlangt wird, muss man das Konto vielleicht wenigstens nicht sofort kündigen als Geschäftskunde :-)
Gewählte Zitate für Mehrfachzitierung:   0