Tan-Eingabe finAPI in Klaranzeige

a_sperber · ‎18.08.2020

Als Nutzer des Zahlungsmoduls in DUo wünsche ich mir, dass die TAN-Eingabe bei Zahlung über HBCI nicht als "Punkte" erscheint sondern in Klaranzeige. Vielleicht bin ich ja zu blauäugig, aber ich kann nicht erkennen, wo ein Sicherheitsproblem sein soll, wenn die TAN bei der Eingabe auch auf dem Bildschirm lesbar angezeigt wird, schließlich ist es nicht wie bei der PIN, die jemand bei zufälligem Mitlesen später für sich nutzen könnte, sondern es handelt sich um eine einmalige Nummer.

Die Klaransicht hätte den Vorteil, dass ich nochmals auf etwaige Tippfehler überprüfen könnte. Ich kenne es von keinem Onlinebanking, dass bei der TAN-Eingabe nicht mit Klaransicht gearbeitet wird. Man braucht es daher aus meiner Sicht nicht übertreiben und kann dem Nutzer etwas mehr Komfort lassen.

Alexander Sperber
Schorndorf und Schwäbisch Gmünd

rvh · ‎18.12.2020

Hallo @vogtsburger ;

die für unsere Zwecke relevanten Banken bieten leider - außer EBICS - nichts Besseres an ...

Da die monatlich von der Bank aufgerufenen Gebühren für das EBICS-Verfahren an sich zu hoch sind, ziehen da die betroffenen Mandanten (für mich nachvollziehbar) nicht mit. Noch vor nicht allzu langer Zeit benannte man mir seitens der Bank deren interne Kosten für EBICS als völlig zu vernachlässigend (O-Ton: da wäre jedes Berechnen intern für die Bank teurer) und plötzlich verlangt man bis zu 15 € pro Konto und Monat zusätzlich.

Die mTAN-Verfahren sind ja lt. BSI auch nur mit äußerster Vorsicht zu gebrauchen und das gute alte Flickergrafik-Verfahren funktionierte zumindest bis zu finAPI problemlos und im DATEVnet-Umfeld auch sicher.

Die Probleme begannen erst mit finAPI und halten leider bis heute an. Häufig kommt der Dialog mit der Flickergrafik gar nicht - dann bleibt nur der Export der Zahlungsdatei und Ausführen über Starmoney Business.

Und sofern der Dialog doch kommt, dann hat er sich nie die letzte benutzte Größe der Flickergrafik gemerkt (das ging früher problemlos) und das sich öffnende Fenster an sich ist schon vor dem Vergrößern der Flickergrafik nicht groß genug. Und häufig lässt sich zwar die Größe der Flickergrafik anpassen, die Fenstergröße jedoch nicht, so dass mit dem Anpassen der Flickergrafik der Senden-Button aus dem Fenster nach unten raus wandert.

Mit ein wenig gutem Willen könnte man diese Mängel sicher beseitigen und das Verfahren wäre wieder sinnvoll einsetzbar, bis es irgendwann ein anderes Verfahren geben sollte. Irgendwo muss doch noch der alte Quellcode für diese Mini-Features zu finden sein.

Schönes Wochenende

R. Hein

metalposaunist · ‎18.12.2020

@rvh schrieb:
die für unsere Zwecke relevanten Banken bieten leider - außer EBICS - nichts Besseres an ...

Um welche Bank geht es? Außer HBCI und EBICS gibt es auch keinen Standard. Uns geht es um das TAN Verfahren. Ihr opticTAN ist einfach nicht mehr zeitgemäß und ich lehne mich aus dem Fenster aber jede Bank bietet mehrere TAN Verfahren für HBCI an. Das müsste man kostenlos bei der Bank umstellen lassen. Und wenn es keine Smartphone App werden soll, geht vielleicht chipTAN oder es gibt ein extra Lesegerät von der Bank, dass nicht auf flackernde Balken setzt.

@rvh schrieb:
Häufig kommt der Dialog mit der Flickergrafik gar nicht

Verschiedene Browser getestet? Chrome und der MS Edge blocken gerne Popups, die man manuell zulassen muss, wenn man's nicht speichert. Und wenn ein Fenster aufgeht ohne Inhalt, liegt der Fehler woanders. Das hatte ich noch nie.

@rvh schrieb:
bis es irgendwann ein anderes Verfahren geben sollte.

Ein anderes TAN Verfahren muss es jetzt schon geben und das Problem wäre gelöst.

Wenn Sie warten, bis finAPI / DATEV daran etwas ändert - so viel Zeit hätte ich nicht. Bei der Bank anrufen, nach einem alternativen TAN Verfahren zu opticTAN fragen und das neue TAN Verfahren einsetzen. Problem gelöst. Gfg. sind es noch Fehler im Browser, die auf einen lauern.

Wenn Sie mögen, gerne persönlichen Austausch dazu. Vielleicht kann man bei Ihnen aus 😕 ja doch noch 😊 machen.

rvh · ‎20.12.2020

Hallo @metalposaunist ,

folgende Verfahren bietet die betreffende Sparkasse - neben EBICS - noch an :

chipTAN ist momentan im Einsatz und das alternative pushTAN-Verfahren gehört zu den o.g. nicht wirklich sicheren mTAN-Verfahren, wie wir ja schon festgestellt haben.

Zu den Problemen mit der Flickergrafik:

Natürlich habe ich schon mehrere Browser (IE, MS Edge, Firefox und Chrome - jeweils aktuell gepatcht) getestet - leider haben alle dieses Problem ...

Und dummerweise ist nach einem solchen Fehlversuch der Zahlungsauftrag immer noch für eine ganze Weile im Portal gesperrt. Und nach Ablauf der Sperre sind die Aufträge häufig gar nicht mehr ausführbar. Wenn ich dann den Auftrag kopiere, ist die DUo-Belegverknüpfung weg. TOLL !!

Und, wenn es ein Konfigurationsproblem auf meiner Seite wäre, dann dürfte es nicht einmal gehen und dann wieder nicht - oder?

Ich konnte mir im Übrigen bisher immer helfen, indem ich die Aufträge dann exportierte und direkt auf der Bankseite (mit chipTAN) zur Ausführung brachte. Aber das ist und bleibt ein "würg around" ...

Allerdings gab es diese Probleme mit der Flickergrafik bisher noch nie, wenn ich mit Starmoney Business oder direkt auf der Bankenseite gearbeitet habe, wobei ich die letztgenannte Alternative nur ungern nutze, da ich dabei am längsten direkt mit der Bank verbunden bin. Auf diese Weise bekam nämlich vor Jahren ein Mandant (ohne DATEVnet-Absicherung) mal sein Guthaben auf dem Konto "abgeräumt". Das möchte man - auch wenn der Mandant damals sein Geld wieder zurückbekommen konnte - nicht wirklich erleben.

Ach ja, gerade eben haben zwei Sammler zur Abwechslung mal wieder im Portal funktioniert.

Übrigens: Ich bin absolut nicht verwirrt ob dieses Problems, sondern vielmehr verärgert, dass man im Zusammenspiel finAPI - DATEV es nicht hinbekommt/hinbekommen will, etablierte Mechanismen wieder fehlerfrei zum Laufen zu bekommen. Vielleicht kommt ja von @Nina_Naßler noch eine positive Reaktion auf meinen vorherigen Beitrag.

Noch ein schönes Adventswochenende

R. Hein

metalposaunist · ‎20.12.2020

@rvh schrieb:
das alternative pushTAN-Verfahren gehört zu den o.g. nicht wirklich sicheren mTAN-Verfahren

Mag in diese Kategorie gehören aber alles, was man mit einem Smartphone machen kann mit Apps (z.B. auch der Microsoft Authenticator) sind meiner Meinung nach das sicherste, was es aktuell gibt. Im Artikel des BSI geht man auf die smsTAN ein. pushTAN @rvh ist aber was ganz anderes. Bei pushTAN installieren Sie sich eine App aufs Smartphone und koppeln diese mit dem Online Banking der Bank. Sobald Sie eine Überweisung ausführen wollen, wartet der Auftrag so lange, bis Sie in die App gehen, welche via Passwort geschützt wird und in der App den Auftrag mit 1 Wisch oder Klick freigeben. Fertig. Das geht innerhalb von wenigen Sekunden. 1000x besser als die Flickergrafik.

Nachteil: ich meine, es ist ein Smartphone nötig. Wenn das für Sie okay ist, kann ich Ihnen nur raten umzustellen. Wie das bei Mandanten aussieht, muss das Mandat entscheiden. Da ist es mit Smartphones immer etwas schwierig.

Ich selber hatte erst das TAN Verfahren, dass so ähnlich wie ein QR-Code funktioniert. Geht auch ratzfatz. Jetzt bin ich selber bei pushTAN bei der comdirect. Beim pushTAN entfällt sogar die Eingabe einer TAN. Super angenehm.

Bzgl. smsTAN: Hier haben wohl alle Anbieter es so eingerichtet, wie das BSI es empfiehlt, sodass bei der TAN Erzeugung noch x andere Infos (Ziel-IBAN, Betrag, ...) mit eingerechnet werden. So ähnlich, wie eine MD5 Hashsumme. Und: Es gab' erst kürzlich eine bundesweite Störung bei der SMS. Deshalb gab' es hier Threads zu ANO, wo eine SMS nicht angekommen ist und auch in meiner Musikschule hatte 1 Schüler die wichtige SMS (Unterricht fällt aus) nicht erhalten. Eine Smartphone App funktioniert deutlich zuverlässiger und braucht nur Internet.

Und leider wird die Flickergrafik nicht von der Bank generiert, sondern von finAPI. In wie weit es hier Probleme geben kann, wenn neben der Bank noch ein 3. Unternehmen im Boot ist - weiß ich nicht.

Ich kann Ihnen pushTAN nur empfehlen und Sie werden sehen, wie angenehm doch finAPI und DUO sein kann, weil vieles schneller, einfacher, zuverlässiger läuft.

Unseren letzten neuen DUO Mandanten habe ich auch via finAPI eingerichtet. Der bekam eine TAN in der App am Smartphone angezeigt, hat sie in DUO eingeben und alles lief auf Anhieb so, wie es sein soll. Keinerlei Probleme, wenn man nicht FireFox nutzt.

andrereissig · ‎20.12.2020

Ich muss dem Kollegen Bohle hier uneingeschränkt beipflichten.

Das PushTan ist nur bedingt mit der smsTAN vergleichbar.

Die smsTAN wird von der Bank erzeugt und an das Telefon gesendet. Die Besitzkomponente ist hier lediglich die Rufnummer, die ggfs. umgeleitet oder abgegriffen werden könnte.

Die pushTAN hingegen wird in der App erzeugt. Die Besitzkomponente ist hier das Telefon mit installierter App, die sich nicht kopieren oder übertragen lässt in Verbindung mit einer zusätzlichen Wissenskomponente, nämlich dem App-Passwort.

Natürlich lassen sich auch Mobiltelefone angreifen, das Risiko bei der pushTAN ist dabei jedoch geringer als bei der SMS, die schon von der Bank "scharfgeschaltet" versendet wird.