Wir, als Ihre BW-Bank, verwenden Cookies, um Ihnen die Funktionen auf unserer Website optimal zur Verfügung zu stellen. Darüber hinaus verwenden wir Cookies, die lediglich zu Statistikzwecken genutzt werden. Detaillierte Informationen über Art, Herkunft und Zweck dieser Cookies finden Sie in unserer Erklärung zum Datenschutz. Durch Klick auf „Einstellungen anpassen“ können Sie bestimmen, welche Cookies wir auf Grundlage Ihrer Einwilligung verwenden dürfen. Durch Klick auf „Zustimmen“ willigen Sie der Verwendung aller auf dieser Website einsetzbaren Cookies ein. Ihre Einwilligung ist freiwillig. Sie können diese jederzeit in  „Erklärung zum Datenschutz“  widerrufen oder dort Ihre Cookie-Einstellungen ändern. Einstellungen anpassen
Zustimmen
Anon Anonymous

TOTP als 2FA

Im online banking deutscher Banken stehen immer nur 3 Möglichkeiten für Two Factor Authentication zur Verfügung:
- Banking App
- SMS-TAN
- TAN-Generator

Einzig Paypal scheint hier mit gutem Beispiel voranzugehen und bietet Time-based One-Time-Password als 2FA an.
Was sind die Gründe, warum TOTP nicht eingesetzt wird?

- Die Banking App läuft nur unter Android und iOS, nicht aber auf den neuen Linux-Phones wie das Librem 5 oder das PinePhone.

- SMS-TAN ist erwiesen unsicher

- TAN-Generatoren sind Produkte, die zusätzlichen Ballast beim Reisen darstellen und nach ihrer Lebenszeit sinnloser Elektronikmüll sind

Eine wunderbare Lösung ist TOTP:
- Komplett Plattform-unabhängig (Android, iOS, Window$, Mac, Linux, LinuxMobile, ...)
- braucht keine Verbindung - kann immer und überall offline verwendet werden
- Nutzer können eine Vielzahl an Programmen verwenden, denn alle sind kompatibel


Es ist mit völlig unverständlich, wie man die einfachste und flexibelste Lösung für Kunden nicht anbieten kann.


Danke.
Speichern Abbrechen
Richtige Antwort
2020-04-06T07:08:54Z
  •  BW-Bank Mitarbeiter
  • Montag, 06.04.2020 um 09:08 Uhr
Hallo,

die reine zeitbasierte OTP erfüllen nicht die gesetzlichen Anforderungen gemäß PSD2 an die starke Kundenauthentifizierung. Der durch TOTP erzeugte Authentifizierungscode beinhaltet z.B. nicht den Betrag oder den Zahlungsempfänger bei Überweisungen.
Somit bietet solch ein Code keinen ausreichenden Schutz gegen Phishing und könnte von einem Hacker für eine betrügerische Überweisung genutzt werden.

TOTP für andere Anwendungen (außer Banking) als 2FA zu nutzen ist aber trotzdem sehr sinnvoll, weil es den Schutz wesentlich erhöht.

Viele Grüße
Ebru
Wie hilfreich finden Sie diese Antwort?
Dieser Beitrag wurde geschlossen.
Es ist nicht möglich, Kommentare zu schreiben. Sie können aber jederzeit eine Frage stellen.
Frage stellen