Die ING Diba hatte bis neulich eine Kontostand App im Angebot. Eine großartige App, die genau eine einzige Sache konnte.
Sie zeigte mir meinen Kontostand an. Sonst nix. Solche Apps sind super, denn mit so einer simplen App fühle ich mich sicher, denn die kann ja nichts, was soll da schiefgehen?
Leider hatte jemand bei der ING Diba eine, meiner Meinung nach, richtig beschissene Idee, denn die App wurde abgeschaltet. Ich muss jetzt zwangsweise deren Banking App nutzen.
Das ist großes Produkt Marketing Kino, denn alter Schwede, das ist, meiner Meinung nach, richtig am Arsch und die Kunden sind, meiner Meinung nach, mega-angepisst.
Die Kommentare zur App sind seit kurzem zu 100% richtig schlecht gelaunt mit Tendenz zu, meinem Verständnis nach, „ICH WECHSEL DIE BANK. Fuck YOU. HABT IHR LACK GESOFFEN?“.
Und die Kommentare haben alle Recht, denn das ist alles, meiner Meinung nach, so fucked-up, es ist ein Usability und vor allem ein Sicherheits Albtraum, man hält es kaum aus.
Bedenke, ich will nur mobil mal eben meinen Kontostand wissen, mehr nicht.
Die ING Diba Banking App einrichten
Ich installiere also deren neue App. Melde mich in der App an und die App sagt, ich brauche zwei Tan Nummern, von der Papier-Liste. Diese Liste habe ich seit Ewigkeiten nicht mehr, weil mTan.
Gehe ans Laptop, logge mich ein, suche eine Weile und bestelle eine neue iTan Liste. Bekomme die neue iTan Liste eine Woche später. Melde mich wieder in der App an, gebe die 1. Tan Nummer ein und es gibt einen Fehler.
Lese den Zettel und Ach, die Liste muss man noch aktivieren? Stimmt ja. Gehe ans Laptop, melde mich online an, klicke, suche, klicke, aktiviere die neue itan Liste, bekomme eine mTan dazu und kann dann die neue itan Liste nutzen.
Melde mich wieder in der ING Diba Banking App an. Vergebe eine fünfstelligen PIN. Gebe die zwei itans ein, sehe diverse Meldungen, eine war, dass die App mal eben mein Tan Verfahren geändert hat. Einfach so, ohne jede Vorankündigung.
WTF? Warum macht ihr das?
Die ING Diba Banking App nutzen
Dann die ING Diba Banking App angesehen und ausprobiert.
Ich kann ein zweites Konto hinzufügen. Wie in der Kontostand App. Aber die Gesamtsumme fehlt. Hurra. Ein Computer, der nicht rechnen kann.
Ich kann auf mein Konto klicken und direkt Geld überweisen und ich brauche dazu keine iTan oder mTan? Das ist nur mit dieser fünfstelligen PIN abgesichert? WTF? Sind die, meiner Meinung nach, bekloppt?
Da schaut mir einer in der U-Bahn über die Schulter, sieht die PIN und kann Geld vom Konto bewegen? Bei allem Respekt, aber ich glaube, es hackt?
Das ist tatsächlich nur mit dieser PIN abgesicherte. Ich habe mir gerade eben, in der U-Bahn, Geld aufs Haushaltsgeldkonto geschickt und ich brauchte dafür nur diese fünfstellige PIN, die gibt man zur Bestätigung nochmal ein.
Es gibt kein two-step, keine zwei-Faktor Authentifizierung, kein zweites Verfahren, kein Wechsel des Gerätes, noch nicht mal einen Fingerabdruck, gar nichts; wie auch, es soll ja alles so simpel wie möglich sein.
Die ING Diba Banking App deinstallieren
Bevor man die App jetzt sofort wieder deinstalliert MUSS man VORHER die tan Methode ändern, sonst kann man gar kein Banking mehr machen, denn die Methode hat die App ja automatisch auf diesen PIN geändert. Meiner Meinung nach: Fuck. Welcher Honk denkt sich sowas aus?
Also wieder ans Laptop und online einloggen, die Tan Methode ändern (inzwischen weiß man ja, wo man das findet) und erst! Dann! Die! App! Deinstallieren!
Selbstverständlich deinstalliert man so eine App, denn Geld überweisen mit dem Handy ist verdammt nochmal das no-no-no-go Ding überhaupt.
Ein Handy ist nicht sicher. Nie. Egal, was die Leute dir sagen, egal, was ING Diba schreibt, ein Handy ist immer als kaputt zu betrachten. Ein Handy ist sicher für Zeug wie Fotos und Chats und alles, who cares?
Aber Zugriff aufs Konto, mit der Möglichkeit mal eben das GESAMTE KONTO LEER ZU RÄUMEN, nur weil man die beschissene PIN in der U-Bahn zur Kontostand-Abfrage nutzt und jemand da zufällig zugesehen hat?
Das ist mit Abstand das dümmste, was ich in Sachen Online Banking überhaupt jemals erlebt habe.
Meiner Meinung nach, völliger Scheiß, diese Banking App der ING Diba sollte man auf keinen Fall benutzen.
Ich hab es nicht überprüft, aber ggfs macht die App ein device fingerprinting = das mit der Pin geht nur von dem device (ggfs ebenfalls mit client-cert, das nach der Tan-Eingabe runtergeladen wird). So würde ich zumindest die App designen- aber ich weiss es nicht, hab die nicht. Kann auch sein, dass die nur Pin nimmt (ohne client cert oder fingerprinting), glaube ich aber kaum. Bei anderen Banken wird die App an das device gebunden = ich kann das nur von dem Telefon nutzen, eine zweite Installation zu dem Konto schlägt fehl. Bei anderen Finanzdienstleistern kenne ich das auch, dass man sein device/seine devices im Onlineportal wieder löschen kann, dann kann man damit auch nicht zugreifen (= via cert oder fingerprint)…. Von daher wäre ich da eher vorsichtig mit dem pauschalen Urteil. Bin übrigens bei keiner Bank und bei keiner App-Entwicklerbude angestellt, bin nur im security Umfeld tätig und daher an so Themen interessiert :-)
„Ich hab es nicht überprüft, aber ggfs macht die App ein device fingerprinting“
Hat sie. Das mit dem Über-die Schulter-schauen ist somit nicht.
Danke für das Feedback.
Eine zweite Installation?
Ach so, darauf bin ich noch gar nicht gekommen.
Ich gehe auch mal davon aus, dass die zwei iTans, die ich am Anfang einmalig eingeben muss, die App ans Gerät binden.
Das wäre ja ultra-krass, wenn das nicht so wäre. Oh Gott.
ich hatte als erstes die zweite Installation (nicht bei Diba) getestet, auf dem Telefon der Frau :-) um zu sehen, ob das ein Einfallstor wäre….
Und? Ist die App ans Gerät gekoppelt?
bei meiner Online Bank ja, Diba hab ich ja nicht…
Kapiere ich nicht. Die PIN brauchst du doch nur für eine Überweisung?! Kontostand anzeigen geht auch ohne, oder?
Die PIN benötigst du immer zum Einloggen.
Um eine Überweisung abzuschicken, musst du die GLEICHE PIN noch mal eingeben…
(Android)
@schmiddel: Dann funktioniert es zumindest unter iOS anders. Dort wird TouchID genutzt bzw. kann genutzt werden.
Hallo,
ich kann Dir nur zustimmen.
Ich war so zufrieden mit dieser Kontostand-App – dann wird die einfach „gestrichen“…
Daraufhin habe ich der Bank eine Mail geschrieben und (in meinen Augen) eine recht unverschämte Antwort erhalten: „Wenn Ihnen das nicht passt, wechseln Sie die Bank!!“ Natürlich in etwas geschliffeneren Worten formuliert.
Ich jedenfalls boykottiere die neue Banking-App: aus Sicherheitsgründen und aus Prinzip! Bisher habe ich auch noch keine vergleichbare App gefunden. Schade.
Viele Grüße!
Danke für den Kommentar. Ich nutze inzwischen eine App namens Finanzblick, damit habe ich sogar mehrere Konten im Überblick.
Eine Alternative ist mtan
Evtl auf zweitem handy
und jetzt wird es noch besser. jetzt braucht man zum Loggin am PC auch noch das handy, da man dort das dann JEDESMAL freigeben muß. also erst alles aufs Handy auslaggern und dann am PC alles noch komplizierter machen.
ich will nur meinen Kontostand checken. mehr nicht.
raus geredt wird sich dann mit ner Vorgabe aus Brüssel. damit es dann alles noch sicherer ist. dabei ist eine App die nix kann das sicherste was es gibt.