Zurück

#GeorgeLove: Sicher freigeben mit Ihrer s Identity

Gründe George zu lieben: George und s Identity – was für eine Liebesgeschichte! Mit ohne SMS

Mit George und s Identity haben sich zwei gefunden und ein Baby gemacht: die sicherste und einfachste Freigabe, seit es Internetbanking gibt! Mit ohne SMS!

 

#Georgelove

Lieben Sie Geld? Oder das, was man damit machen kann?
Viele Details, die George nicht nur zum modernsten, sondern auch zum liebevollsten Banking machen, finden Sie HIER!

Kommentare

14 Comments

  1. Christian N. sagt:

    Probleme über Probleme

    Ich möchte wieder zurück auf TAN SMS. sIdentity ist kompliziert, das Einloggen dauert viel zu lange und ich muss dauernd auf zwei Geräte schauen. Mit SMS habe ich am Mac nur ein Gerät im Blick.

    Das massiv ausschlaggebendste ist allerdings, folgendes:

    Ich habe ein neues Garantie-Austausch-iPhone bekommen und die sIdentity App funktioniert nun nicht mehr. Es teilt mir mit, dass ich sIdentity starten soll? Wo dann der Code angezeigt wird? Das alte iPhone ist schon gelöscht. Das ist total nervig, dass ich nun zur Sparkasse laufen muss um das zu regeln. Außerdem würde dasselbe Dilemma auch passieren, falls ich die App deinstalliere und neu installiere. Das löst einen Rattenschwanz an Reaktionen aus.

    Dieses Feedback können Sie gerne weiterleiten an die zuständige Abteilung.

    Anmerkung: Apple Geräte sind so sicher, dass mittels sIdentity zu viel des Guten wegen Sicherheit ist.

  2. Uli sagt:

    Ja, die s-Identity App mittels TouchID oder FaceID sollte ja möglich sein. Die eigentliche Freigabe erfolgt ja denn eh wieder über den Bank-Server. Zumindest klappt das bei anderen Banken so … warum nicht bei der Sparkasse?

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Uli,

      Noch einmal ein Versuch der Erklärung.
      Sie brauchen bei einer PSD2-konformen „Strong customer Authentication“ mindesten 2 von 3 Faktoren der Identifizierung beim Bankserver:

      1. „Sie besitzen etwas“ -> bei s Identity Ihr für Freigaben registriertes Gerät – Überprübar am Bankserver
      2. „Sie wissen etwas“ -> bei s Identity Ihren s Identity Code – überprüfbar am Bankserver
      3. „Sie sind wer“ -> Hier wäre Gesicht oder Fingerabdruck natürlich möglich, aber nur, wenn dies auch bei der Bank hinterlegt wären – sind sie aber nicht, da lokal auf dem Gerät gespeichert.

      Natürlich könnten Sie sich jetzt bei s Identity mit Face ID oder Touch ID einloggen – dem Bankserver fehlt dann aber immer noch ein zweiter Faktor zur Identifizierung.

      Beste Grüße

  3. Christian Fuchs sagt:

    Sehr geehrter Herr Zimen,

    ich hätte es tatsächlich gerne ausprobiert, aber wenn ich folgendes lese, dann nicht:
    „Nach Aktivierung von s Identity ist eine Rückkehr zur alten Login-Methode mit Verfügernummer und bisherigem Passwort nicht mehr möglich.“
    (Quelle: https://www.sparkasse.at/sgruppe/privatkunden/digitales-banking/apps/s-id-app)

    Beste Grüße
    Christian Fuchs

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Christian Fuchs,

      Das hat damit zu tun, dass die alte Methode (Verfügernummer mit Passwort sowie TAC SMS bei Überweisungen) mittelfristig komplett abgelöst wird, weil Sie den strengen Vorgaben der berühmt-berüchtigten PSD2-Direktive zur sogenannten „Strong Customer Authentication“ nicht mehr genügt.

      Sollten Sie nach einem Umstieg auf s Identity partout nicht damit zurechtkommen (sehr unwahrscheinlich, versprochen), kann Ihre persönliche Betreuerin bzw. Ihr persönlicher Betreuer nach wie vor eine Rückumstellung vornehmen. Online geht dies jedoch nicht.

      Beste Grüße

  4. DI Wolfgang Bisanz sagt:

    Total unverständlich

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Wolfgang Bisanz,

      Was finden Sie unverständlich?

      Beste Grüße

  5. Robert sagt:

    Ich würde mir zusätzlich wünschen, dass man auch die Option wählen kann, via Fingerprint die Authentifizierung durchzuführen.

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Robert,

      Aus folgendem Grund ist dies nicht möglich/nicht sicher:

      Ihr Fingerprint ist auf Ihrem Gerät hinterlegt, nirgendwo sonst, also auch nicht bei der Bank, die damit nicht überprüfen KANN, ob – salopp formuliert – dieser Finger Ihnen gehört. Die Authentifizierung Ihrer Bankgeschäfte muss via Server der Bank stattfinden. Dies geht aber mit Fingerprint oder FaceID etc. nicht.

      Beste Grüße!

  6. Lukas Pitschl sagt:

    Wenn man einen längeren Code verwendet, dann wird die Verwendung von s Identity sehr schnell viel umständlicher als es mit SMS jemals war. Wenn man einen kurzen Code verwendet, steht es um die Sicherheit weniger gut. Warum wird am iPhone nicht die Authentifizierung ganz einfach via FaceID zugelassen? Das wäre nicht nur sinnvoll, sondern würde s Identity wirklich zu einer guten App machen.

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Lukas Pitschl,

      Aus folgendem Grund ist dies nicht möglich/nicht sicher:

      Ihr Gesicht wird von Ihrem Gerät erkannt, es ist nirgendwo bei der Bank hinterlegt, die damit nicht überprüfen KANN, ob das wirklich Ihr Gesicht ist. Die Authentifizierung Ihrer Bankgeschäfte muss via Server der Bank stattfinden. Dies geht aber mit Fingerprint oder FaceID etc. nicht. FaceID ist damit nicht „PSD2-konform“. Als Login-Methode ist FaceID bzw Fingerprint ebenso möglich wie z.B. Ihre Bildschirmsperre. Wenn es aber um die Freigabe von Transaktionen etc. geht, erwarten Sie sicher zu Recht ein höheres Sicherheitslevel.

      Beste Grüße!

      1. Lukas Pitschl sagt:

        Sehr geehrter Herr Zimen,

        vielen Dank für Ihre Antwort!
        Ich hab das vielleicht nicht klar ausformuliert. FaceID würde nicht für die Authentifizierung mit der Bank zuständig sein, sondern lediglich den Zugriff auf den Code (PIN) regeln, sowie das bei George jetzt schon der Fall ist mit Verfügernummer und Passwort. Wenn sich der Code bei jeder Transaktion ändern würde, ähnlich 2FA, wär das was anderes. Aber in diesem Fall wird ein fixer Code von den BenutzerInnen vergeben. Dieser kann sicher verschlüsselt auf dem iOS Gerät abgelegt werden und der Zugriff via FaceID (oder TouchID) geregelt werden. Ich hatte mit an sich auf die s Identity App gefreut, da SMS‘s schon lange nicht mehr sicher sind, aber durch diese leider schlechtere User Experience, hab ich den Umstieg seither bereut. Vorher hab ich George immer als DIE Banking Platform gesehen, wie sie schon seit vielen Jahren der Standard sein sollte. Aktuell sträube ich mich vor jedem Bankgeschäft, da mein Workflow folgender ist. Auf George im Web einloggen starten, s Identity auf meinem iPhone poppt auf. Nun zu 1Password auf iOS oder dem Mac wechseln um den Code rauszuholen. Den Code entweder eintippen oder copy und paste in s Identity. Nun bin ich aber erst eingeloggt. Um dann eine Transaktion zu bestätigen, muss ich das ganze Prozedere wiederholen. Und das lediglich, weil es keinen FaceID oder TouchID Support gibt.

        Ich würde mich sehr freuen, wenn diese Funktion hinzugefügt wird und ich dann wieder mit Freuden Bankgeschäfte betreiben kann.

        1. Dag Erik Zimen Dag Erik Zimen sagt:

          Lieber Lukas Pitschl,

          Wie gesagt: Der Code (PIN) für Ihre s Identity ist bei uns hinterlegt, daher können wir Sie identifizieren. FaceID und Fingerprint etc sind dies nicht.
          Beim Login zu George Go, wenn Sie sich mit Face ID einloggen, wird übrigens nicht der Zugriff auf Verfügernummer und Passwort geregelt. Sie können sich lediglich – read only – einloggen, für Transaktionen brauchen Sie ja weiterhin Verfügernummer und Passwort (oder eben nun sID).
          FaceID findet ausschließlich auf Ihrem Gerät statt, es findet für den Easy access mit FaceID keinerlei Kommunikation mit der Bank statt, deswegen dürfen Sie nach dem Einloggen mit FaceID ja auch noch nicht alles ohne weitere Autorisierung machen.

          Kurz: Ihre Identifizierung für sicherheitsrelevante Aktionen wie Transaktionen darf eben nicht nur über Ihr Gerät erfolgen, dies wäre ja nur einer von 2 Faktoren. Auch, wenn Ihr Code verschlüsselt auf Ihrem Gerät hinterlegt wäre.
          Wir haben diese Thema wirklich mehr als ausführlich mit unseren Sicherheitsexperten besprochen, denn natürlich fänden wir es auch bequemer mit Fingerprint oder FaceID. Aber solange diese Autorisierungsmethoden auschließlich Geräte-bezogen sind (aus gutem Grund wiederum), sind sie nicht PSD2-konform.

          Strong Customer Authentication besagt, dass Sie sich mit mindestens 2 von 3 möglichen Faktoren BEI UNS ausweisen müssen: A) Physischer Besitz (Sie besitzen etwas, d.h. Ihr mit dem initialen Autorisierungs-Code für s Identity registriertes Gerät), B) Ihr Wissen (Sie wissen etwas, d.h. Ihren Code (PIN), C) Sie sind etwas (hier wären z.B. Fingerabdrücke etc möglich, aber eben nur, wenn Sie bei UNS hinterlegt wären und nicht auf Ihrem Gerät).

          Beste Grüße!

          1. Lukas Pitschl sagt:

            Sehr geehrter Herr Zimen,

            vielen Dank für die ausführliche Antwort.
            Ganz versteh ich den Grund immer noch nicht, was der Unterschied ist, zwischen, ich gebe den Code persönlich ein und der Code ist verschlüsselt mit meinen Gesichtsinformationen am iPhone abgespeichert, da es in beiden Szenarien Informationen von mir braucht um an den Code zu kommen. Entweder in dem ich mein Gesicht scannen lasse um den verschlüsselt abgelegten Code entschlüsseln zu lassen, oder in dem ich manuell den Code eintippe (oder via copy & paste einfügen lasse). Erst nachdem einer dieser zwei Vorgänge abgeschlossen ist, kann der Code an den Bank Server übermittelt werden.

            Aber ja, sehr schade, dass sich das gesetzlich dann wohl nicht benutzerfreundlicher umsetzen lässt.

            Finde es sehr löblich, dass Sie sich die Zeit nehmen so ausführliche Antworten zu schreiben.

Hinterlassen Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

This site uses Akismet to reduce spam. Learn how your comment data is processed.