Ob und wie die Banken PSD2 der Schrift nach erfüllen oder nicht interessiert mich weniger als die konkrete Probleme.
Ist ein Passwort für Homebanking wirklich zu viel verlangt?
Die Raika hatte einen großes Problem mit dem fehlenden Passwort, weil die User beim Vertippen des Usernames manchmal andere, valide Accounts erwischt haben, Notifications auf fremde Smartphones rausgegangen sind und manch unbedarfter User auf dem Smartphone einfach die Verbindung zugelassen hat (aufgrund fehlendem Verständnis was das eigentlich bedeutet), dadurch sind die User in fremden Konten gelandet.
Die Schuld vom User? Ja klar. Gutes System? Auf keinen Fall.
Der Fix war afaik den Usernamen um ein Zeichen zu erweitern, damit die Wahrscheinlichkeit, einen validen User durch einen Tippfehler zu erwischen, verringert wird.
Wir sprechen über Smartphone Notifications die getriggered werden, ohne auch nur ein einziges Sicherheitskriterium zu erfüllen. Lediglich der 9 stellige Username wird dafür benötigt.
Eine langsame und verteilte Enumeration Attacke würde wahrscheinlich ein paar Konten unbedarfter User öffnen, und eine große Anzahl von Kunden mit Notifications nerven.
Apex5 Bei der Sparkasse ist es nicht viel anders. Dort benötigen Sie neben dem User auch noch das Passwort und zur Autorisierung entweder eine PIN die nur Sie kennen sollten bzw. Ihre biometrischen Daten, das Smartphone mit der gekoppelten Rufnummer oder das Lesegerät.
Nein, wenn einmal die Smartphone App mit Fingerabdruck eingerichtet ist, wird (für die Banking App auf dem Handy) nur noch der Fingerabdruck benötigt, für absolut alles. Kein Username, kein Passwort kein PIN.
Das die Kombination Handy + Fingerabdurck/Face-ID als 2 separate Kriterien gelten, und daher als sicher genug gelten, ist für mich nicht nachvollziehbar.
