Mit der PSD2/SCA Änderung stellt sich die Frage wie stark die einzelnen Angaben zum Kontozugang (Portal und/oder OnlineBanking) sein müssen.
Am Beispiel Postbank ergibt sich
1. Die Postbank schlägt als "Postbank ID" einen kryptischen String aus 8 Zeichen/Zahlen vor -- der kann nach Belieben geändert werden, scheinbar ohne "harte" Vorgabe, "LieschenMüller" würde OK sein
2. Die zugehörige PIN kann man "beliebig" generieren, wie viele Stellen und was egal (natürlich übliche Vorsicht, nicht 123456 etc)
3. Dann kommt die neue SCA Abfrage. Diese muss mit der BestSign oder chipTAN/Bankkarte gemacht werden. Da gibt's keine / so gut wie keine Freiheit. Ich nutze chipTAN, da wird dann eine 6 stellige TAN generiert, die dann händisch eingegeben wird.
Wenn 3. also eine ganz harte Vorgabe ist, braucht es dann zwei Vorstufen mit komplexen Strings für das Anmelden am System?
Was ist eure Meinung, und wie geht ihr mit den drei Eingaben um?
Am Beispiel Postbank ergibt sich
1. Die Postbank schlägt als "Postbank ID" einen kryptischen String aus 8 Zeichen/Zahlen vor -- der kann nach Belieben geändert werden, scheinbar ohne "harte" Vorgabe, "LieschenMüller" würde OK sein
2. Die zugehörige PIN kann man "beliebig" generieren, wie viele Stellen und was egal (natürlich übliche Vorsicht, nicht 123456 etc)
3. Dann kommt die neue SCA Abfrage. Diese muss mit der BestSign oder chipTAN/Bankkarte gemacht werden. Da gibt's keine / so gut wie keine Freiheit. Ich nutze chipTAN, da wird dann eine 6 stellige TAN generiert, die dann händisch eingegeben wird.
Wenn 3. also eine ganz harte Vorgabe ist, braucht es dann zwei Vorstufen mit komplexen Strings für das Anmelden am System?
Was ist eure Meinung, und wie geht ihr mit den drei Eingaben um?