ING: Änderungen beim Login für das Internetbanking
Die ING hat in Deutschland nicht nur für fast alle Privatkunden die Negativzinsen gestrichen, man hat auch neulich auch ein App-Update veröffentlicht, welches Schnellzugriffe in der App mitbringt. Nun gibt es weitreichende Änderungen, die das Einloggen ins Banking betreffen. Erste Kunden werden bereits informiert.
Bei der Anmeldung zum Internetbanking wird die Bank in Zukunft eine 2-Faktor-Authentifizierung verwenden. Das heißt, Kunden bestätigen jeden Login mit ihrem Freigabeverfahren. Der DiBa Key, lange ein wichtiger Teil des Sicherheitskonzeptes, fällt weg.
Auch von der iTAN-Liste als auch vom mTAN-Verfahren werde man sich verabschieden. An ihre Stelle treten die ING Banking App „Banking to go“ sowie der ING photoTAN-Generator.
Damit das Banking schnell wieder einsatzfähig ist, wenn mal etwas nicht funktioniert, können Kunden zukünftig ein Einmalpasswort anfordern. Diesen Code sendet die ING per SMS, E-Mail oder Brief. Adresse, E-Mail-Adresse oder Rufnummer müssen dafür hinterlegt sein.
Was sich für einzelne Kunden persönlich ändert, hängt davon ab, ob sie ein Girokonto bei der ING haben und welches Freigabeverfahren sie zurzeit verwenden.
Hat man ein Girokonto und den photoTAN-Generator, dann ändert sich fast nichts. Die ING benötigt noch die Mobilnummer für Sicherheitsprozesse. Die Abfrage erfolgt irgendwann automatisch beim Einloggen. Sobald Kunden die Mobilnummer für Sicherheitsprozesse hinterlegt haben, entfällt für diese der DiBa Key bei der Anmeldung ins Internetbanking und auch Ihre iTAN-Liste benötigen sie danach nicht mehr.
Es gibt allerdings noch mehr Möglichkeiten, sodass die ING eine FAQ-Seite für Kunden hinterlegt hat. Dort werden die wichtigsten Fragen zu den Neuerungen, die in den nächsten Monaten eingeführt werden, beantwortet.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Uff, gute Frage wann ich den „normalen“ Login überhaupt noch verwendet habe.
Seit die App den Komfort-Login anbietet, nimmt jeder in meinem Umkreis nur noch das her.
Was ist der Komfort-Login?
Qr Code oben rechts in der app
Danke!
Find ich gut. Das bisherige Login-System wirkt doch sehr aus der Zeit gefallen innerhalb der doch recht modern auftretenden ING.
Was ist denn an Foto TAN besser wie an Chip TAN oder ist das nur alter Wein in neuen Schläuchen?
Ist ein ganz anderes System. Für Chip Tan benötigst du die EC Karte, die bei der ING jetzt nicht mehr jeder hat.
CHIP-Tan gab es noch nie bei der ing.
Und der Foto-Tan-Apperat ist mit einer Kreditkarte „verheiratet“. Zu ändern (bisher) nur mit Tan-Liste.
Ich logge mich mit meinem FaceID ein also sprich per INGKey… und gebe damit auch die Überweisungen frei. bedeutet dass ich brauche in Zukunft einen PhotoTan Generator , also ein zusätzliches Gerät? Wenn ja war ich die längste Zeit ING Kunde
> Ich logge mich mit meinem FaceID ein also sprich per INGKey
Der DiBa Key ist was anderes.
> bedeutet dass ich brauche in Zukunft einen PhotoTan Generator , also ein zusätzliches Gerät?
Nein. Du musst entweder die Banking-App ODER den PhotoTan Generator zur 2-Faktor-Authentifizierung nutzen. Ersteres machst du bereits. Für dich ändert sich nichts.
Das ist doch längst der Standard bei vielen Banken, das man das Login zumindest das Gerät mit der tanApp freischaltet und webBasierter Login wird immer mit der App freigeschaltet, was ich persönlich unnötig finde denn Änderungen in der webVersion müssen auch mit der tanApp freigeschaltet werden.
Die Krankenkassen sollen sich überlegen, ob sie nicht per Schnittstelle mit an die Banking tanApp teilnehmen können, das würde das Login vereinfachen und hätte bessere Sicherheitsstandars beim Login und der Registrierung insgesamt. Kein Datenaustausch untereinander sondern nur ne Schnittstelle zwecks Legitimation (wenn sowas geht?
Damit das Banking schnell wieder einsatzfähig ist, wenn mal etwas nicht funktioniert, können Kunden zukünftig ein Einmalpasswort anfordern. Diesen Code sendet die ING per SMS, E-Mail oder Brief. Adresse, E-Mail-Adresse oder Rufnummer müssen dafür hinterlegt sein“
Ist eigentlich auch wieder ein ziemlich unnötiger Schritt, weil man weg kommen muss von Handy und Email.
Wer keinen Zugang mehr hat, der sollte in einer kostenlosen Hotline anrufen können, gerne auch mit Einmalkosten verbunden wenn das zu oft vorkommt.
Kunde ruft bei der Hotline an legitimiert sich dort mit seinen zugewiesenen Login-Daten fürs Online-Banking und bekommt einen Freischaltcode per Telefon.
Bei wichtigen Services, wie Banking und Krankenkasse müssen wir endlich komplett weg von Handynummer und Email, das sind nur unnötige Gefährdungen für die Sicherheit. Zum Glück haben die meisten Banken das Login und Registrierung dermaßen gut umgesetzt, das man hier mal ein Lob aussprechen muss:
1. Zugewiesenes Login bestehend aus Zahlen
2. Freischalten de Geräts mittels QR Code der ewig gültig ist, solange man ihn nicht verliert
Keine Handynummer
Keine Email
Meiner Meinung sollte das überall zum Standard werden, wo es um wirklich wichtige Dinge geht (nicht für Twitter und den ganzen Kram wobei ich da auch def kein Befürworter von 2FA bin aber das muss jeder selbst entscheiden)
Und so Behörden Dinge, Krankenkasse und Banken usw, da sollte die Bundesregierung zusammen mit den Banken, die das Tan Verfahren sehr gut umsetzen, an einer allgemeinen Lösung arbeiten das man nicht für alles eine eigene Tan App hat sondern ohne Datenaustausch untereinander, eine Tan App verwenden kann wo man unterschiedliche Codes zur Registrierung und Gerätefreischaltung nutzen kann
Gibt es einen grund, wieso keine (mir bekannte) Bank den TOTP-Standard für zweite Faktoren nutzt?
Das sind die selbstgenerierenden Codes, die man beispielsweise mit dem Google Authentificator generieren kann.
Da es nach PSD2 Richtlinie nicht erlaubt ist. TOTP geniert theoretisch den ganzen Tag alle 30s fröhlich einen neuen Code, unabhängig von der Nutzung oder dem Zweck.
Die PSD2 sieht dabei eine dynamische TAN Generierung vor, d.h. grob gesagt TAN’s müssen zweckgebunden und on Demand erstellt werden. Diese Informationen werden dann dem Kunden dargestellt.
Danke für die Erläuterung. Das scheint aber mehr ein Definitionsproblem zu sein, oder? Ich wüsste nicht, was technisch gegen TOTP sprechen sollte.
Zumal es aus meiner Sicht für den User deutlich komfortabler ist. Wenn ich an diese schreckliche TAN-App meiner Bank denke…
TOTP hilft aber nicht gegen Man-in-the-middle Attacken oder?
Theoretisch könnte ein Angreifer dich beim Login nach einem Code fragen, du denkst der sei für den Login und tatsächlich schaltet der Angreifer damit eine Überweisung frei…
Und damit ist sicherheitstechnisch nichts gegenüber einer iTAN Liste gewonnen…
Hilft es gegen Mitm-Attacken?
Jein. Der generierte Code für TOTP ist nur kurze Zeit gültig (ich kenne nur 30 Sekunden, aber laut Standard gehen glaube ich auch andere Längen).
Die Überweisung müsste also schon recht schnell ausgeführt werden. Denn eine weitere TAN kann aus der abgegriffenen nicht abgeleitet werden, da das Geheimnis, aus dem die TANs bei TOTP generiert werden, das Gerät für die Generierung nicht verlassen.
Auf dem ersten Blick besteht also (bis auf den Komfortgewinn) kein Vorteil gegenüber der iTAN-Liste auf Papier.
Das problem wird gelöst, indem der totp tan jeweils nur für eine aktion verwendet wird (login, überwiesen, daten ändern etc)
Und woher weißt du für welche Aktion dein TOTP TAN bzw. Code genau genutzt wird?
MITM-Attack sagt dir etwas?
Den Schaden trägt in der Regel die Bank. Sie müsste dir grobe Fahrlässigkeit nachweisen, damit sie nicht zahlt.
Natürlich könnte der Angreifer theoretisch auch Daten mit einem für 30 Sekunden gültigen TOTP einsehen.
Hier kann man aber nur hoffen, dass sich die Bank den Kontext merkt, in dem Sie ein TOTP abfragt.
„Den Schaden trägt in der Regel die Bank.“
Richtig. Und da es nunmal einfach keine kontextbezogenen TOTP gibt, nutzen Banken dieses System auch nicht.
Womit wir wieder bei der Ursprungsfrage nach dem Wieso sind:
Weil’s unsicher ist.
Natürlich kannst du einen Kontext herstellen. Der Server weiß doch, zu welcher Aktion er einen TOTP haben wollte.
Und wenn gerade eine Überweisung ins Ausland ausgeführt werden soll, anstelle (wie erwartet) einer Überweisung an den Sportverein, dann kann das gesperrt werden.
Wenn du Opfer einer MITM-Attacke bist, dann denkt die Bank von Anfang an, dass du ins Ausland überweisen willst, die Überweisung an den Sportverein gibt es nur auf deinem PC.
Bei einer MITM Attacke sitzt eine Maschine zwischen mir und dem Bankserver und hat es irgendwie geschafft, an die Inhalte der Kommunikation zu kommen. Nutzername und Passwort sind also kompromittiert. Genauso die zu dem Zeitpunkt angeforderte TAN, bzw. das TOTP. Hier unterscheiden sich beide Verfahren nicht. Man hat zwar Nutzername/ Passwort, aber eine verbrannte TAN/ TOTP.
Geht man davon aus, dass bei einer MITM auch manipuliert wird, so kann man dich glauben lassen, du würdest an den Sportverein überweisen – während die MITM allerdings eine Überweisung ins Ausland durchführt. Es wurde ja eine TAN/ ein TOTP abgefragt und eingegeben. Soweit hast du recht, aber das gilt eben auch für die TAN.
Wo genau kommt jetzt deine Aussage her, dass TOTP unsicher ist?
Nein, das gilt eben nicht für heute gängige Tanz-Verfahren, weil die entsprechenden Apps oder Geratoren ja noch die Zielkontonummer anzeigen, was nicht durch eine MITM-Attacke manipuliert werden kann. Spätestens dann kann ich merken dass die Überweisung gar nicht zum Sportverein geht.
Diesen zweiten Faktor (die nicht manipulierbare App), boten die alten TAN-Listen nicht und wurden deswegen abgeschafft.
Nun willst du eine solche Unsicherheit wieder haben mit deinem Wunsch nach TOTP?
Touché, das Argument geht an dich.
Dürfen sie rechtlich nicht. Leider gilt das auch für FIDO Hardware Schlüssel, was ziemlich dämlich ist. Da haben wir einen vernünftigen Standard seit vielen Jahren, aber können ihn für semi-wichtige Dinge wie Banking nicht nutzen. Nur für die wirklich wichtigen und einige unwichtige Dinge…
„Bei der Anmeldung zum Internetbanking wird die Bank in Zukunft eine 2-Faktor-Authentifizierung verwenden. Das heißt, Kunden bestätigen jeden Login mit ihrem Freigabeverfahren. Der DiBa Key, lange ein wichtiger Teil des Sicherheitskonzeptes, fällt weg.“
Aktuell haben die sogar ein 3-Faktor Verfahren, denn nach Login mit Pin gibt man den Key ein und muss dann zusätzlich mit der App freigeben.
Bin mal gespannt, was mit dem Depot/Extra-Konto meiner Tochter passiert.
Denn dort habe ich tatsächlich noch iTANs, und kann vor mir aus auch so bleiben.
Die Bank heißt weiterhin ING-DiBa …
https://www.ing.de/ueber-uns/unternehmen/impressum/
Die Firma heißt weiterhin ING-DiBa AG, die Marke heißt „ING“.
Damit sind wir also sicherheitstechnisch wieder bei SMS TAN zurück, denn jeder mit Zugriff auf die SMS der Rufnummer kann sich nun die App über das OTP einrichten.
iTAN verboten, SMS TAN verboten, mit der Idee alles sicherer zu machen, und wo sind wir angekommen?
Es ist echt schlimm.
Das habe ich mir auch gedacht: WEnn eine SMS reicht, um den 2 Faktorm zurückzusetzen, dann besteht die Sicherheit doch nur wieder aus Passwort + Zugriff auf SMS-Empfang, also das gleiche wie bei mTAN?
Das wurde auch Zeit. Ist lange überfällig. Die ING baut ständig allerlei Zeug in die App ein. Nur nicht das, was wirklich gewünscht wird, wie z.B. dass vorgemerkte Umsätze in den Kontostand mit einberechnet werden.