Kommentare

29 Comments

  1. Lukas Pitschl sagt:

    Gibt es einen Grund warum s Identity eine extra App sein muss und die Funktionalität nicht direkt in George integriert werden kann? Also es darf ja eine extra App sein für die die George nicht installiert haben, wäre aber doch sehr angenehm, wenn’s nun nicht zu jeder Banking App auch noch eine gesonderte 2FA App geben würde. Zusätzlich, da hier glaub ich gefragt wurde aber es noch keine Antwort gab, was ist der grund, dass Face ID nicht verwendet werden kann anstatt dem PIN? Und warum ist nur ein Zahlenpin zulässig?

    Mein aktueller Workflow ist:
    1.) s Identity Push Notification anklicken
    2.) s Identity App öffnet sich
    3.) ich schließ s Identity
    4.) 1Password öffnen um den PIN rauszukopieren
    5.) Zurück zu s Identity
    6.) PIN in s Identity eingeben
    7.) Auf „Freigeben“ klicken

    Mit FaceID wär das

    1.) s Identity Push Notification anklicken
    2.) Authentifizierung erfolgt via Face ID, welche den Zugriff auf die PIN für die App freihaltet
    3.) Auf „Freigeben“ klicken

    Bin insgesamt ein großer Fan von George und den neuen Erste Bank Apps, nachdem sich wirklich einiges im UX Bereich tut, aber so manche Sachen wie Verfügernummer neu eingeben müssen, wenn ich die App kurz in den Hintergrund stell, treiben mich zum Wahnsinn… vor allem wenn man auf Password-reuse verzichten will und 1Password oder ähnliches verwendet.

    Danke!

  2. McM sagt:

    In der Werbung für S-Identity findet sich folgender Satz:
    Egal ob Freigabe oder Login: Die Bestätigung in der s Identity App erfolgt mit Code (PIN) und einem einzigen Klick. Kein SMS-Auslesen, kein Vertippen, keine Selbstsperren nach Fehleingaben mehr

    Ähmm – wie ist der letzte Teil zu verstehen? Keine Selbstsperren nach Fehleingaben mehr? Kann ich nun beliebig lange probieren bis ich das Passwort (Pin) erraten habe?

    Ich hoffe sehr, dass es ausreichend Sicherheit gegen Brute Force Angriffe gibt und der Satz nur unglücklich fomuliert ist. Falls sie etwas dazu sagen können / dürfen würde mich interessieren wie diese Aussag ewirklich gemeint ist.

    McM

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber MCM,

      Das heißt einfach, dass sie sich durch die Falscheingabe von Passwörtern beim Login von George nicht mehr selbst sperren können (daily business im helpdesk).

      s Identity funktioniert ja anders: Sie starten die Freigabe oder den Login bei George, loggen sich dann mittels PIN bei s Identity ein und bestätigen dann die Freigabe bzw. den Login. Das heißt in George selbst geben Sie gar nichts mehr ein, können sich also auch nicht sperren.

      Beim Zugang zur s Identity App haben Sie für die PIN-Eingabe 4 Versuche.

      Beste Grüße

  3. Maxi sagt:

    Lieber Herr Dag Erik Zimen,

    ich habe schon zwei Mal eine Mail mit diesem/ähnlichen Problemen geschrieben und jedes Mal nur sehr auswichende, in Richtung „Ist uns egal“-Antworten, bekommen, deswegen schreibe ich Ihnen hier, da sie doch eine wichtige Rolle in der Entwicklung zu tragen scheinen. Leider kann ich hier keine Bilder anhängen, ich habe sie hochgeladen und hoffe, dass das mit der Verlinkung funktioniert:

    1. https://abload.de/img/img_0010ogsk8.png
    Das Bild zeigt einen Screenshot der Go-App zum Freigeben der Überweisung, da steht in Großbuchstaben „EMPFÄNGERIN“. Ich bin mir sicher, dass hier EmpfängerIn stehen sollte und der Capslock nicht bedacht wurde, daher wäre hier EMPFÄNGER(IN) angebracht! 🙂

    2. https://abload.de/img/screenshot_20180514-12ws1f.png
    Das Bild zeigt eine Android-Benachrichtungsleiste mit einem Icon von s-Identity, Whatsapp und Snapchat. Während die beiden letzteren gemäß den Design-Richtlinien einfärbig gehalten sind, wird das s-ID-Icon mehrfarbig angezeigt. In diesem Kontext ist dies nicht unbedingt störend, sondern sieht einfach nur komisch aus, aber manchmal muss das Icon einfärbig angezeigt werden, und dann ist es nicht erkennbar. Ich habe diesen Fehler schon vor über 1 Jahr bei QC gemeldet, dann vor ca 6 Monaten bei George Go. Es zeugt schon von einer gewissen Gleichgültigkeit, wenn dieser Fehler nicht nur nicht behoben, sondern in einer nagelneuen App erneut gemacht wurde.

    3. https://abload.de/img/whatsappimage2018-05kcsj6.jpeg
    Das Bild zeigt das App-Icon von George Go, QuickCheck, s Kontakt und s Identity. Ich denke die Unterschiede sind für jeden sofort sichtbar. Zuerst waren alle Apps im QC-Design, dann wurde der Farbverlauf entfernt, dann wurde das George-Icon eckiger gemacht, aber das neue s-ID-Icon ist wieder runder? Besonders dies verstehe ich nicht – ich nehme an, bei Ihnen arbeiten nicht nur Entwickler, sondern auch zumindest ein Grafiker. Ich habe Erfahrung in diesem Bereich und ich kann Ihnen versichern, dass eine Angleichung dieser Icons – speziell wo ja eine Vorlage vorhanden ist – nur wenige Stunden in Anspruch nimmt.

    Ich bitte Sie, zu den Punkten Stellung zu nehmen und diese zu überdenken! 🙂

    MfG
    Maximilian

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Maximilian,

      Vielen Dank für Ihre Feedback. Es ist uns ganz und gar nicht egal übrigens, aber der Reihe nach.

      1. Ja, der Caps Lock. da haben Sie natürlich Recht. Das berühmt-berüchtigte Binnen-I wurde davon verschluckt. Aber da wir die Variante mit dem Klammern nicht Verwenden (Konsistenz ist kein schmutziges Wort), sagt der Texter in diesem Fall: Nachdem Frauen seit Jahren gewohnt sind, sich als Kunden, Empfänger etc ansprechen zu lassen, werden männliche Zeitgenossen über den Umstand hinweg kommen, dass sie, wenn auch nur in der CAPS LOCK-Welt einmal in weiblicher Formen adressiert werden. 😉

      2. Sie haben natürlich auch hier Recht. Das Android Team von George Go kennt das Problem und arbeitet an einer Behebung für eines der nächsten Updates. Zum Hintergrund: es hat etwas damit zu tun, ob die Push-Benachrichtigung von der App selbst erzeugt wird oder vom System angezeigt wird. Es gibt dafür zwei unterschiedliche Arten von Attributen: „notifications“ und „Data“ (Siehe auch hier: https://developers.google.com/cloud-messaging/concept-options). George Go arbeitet bereits an einer Vereinheitlichung. Für das Backend der anderen beiden Apps leiten wir das weiter.

      3. Nicht nur Ihre Augen, sondern auch die unseres Design-Teams sehen das natürlich. Auch hier der Hintergrund, frisch aus dem Design-Team:
      „grundsätzlich unterstützt android seit einiger zeit so ein system das nennt sich “adaptive icon” – als entwickler lieferst du dabei einen “vordergrund” – in unserem fall also das dunkle symbol und das sparkassen s – und eine “hintergrundfläche”. alle verschiedenen android-vendors beschneiden diese assets dann mit ihren masken, dann kann es eckig, rund, halbrund etc. sein
      ohne dass du als Entwickler alles extra baust, bei George Go haben wir das, aber mein android smartphone macht z.b. das sID nicht rund, obwohl ich “rund” eingestellt hab.“
      [Eigene Anmerkung: Meine Samsung vereinheitlicht das aber schon] … Nichtsdestotrotz: Design-team arbeitet an einer Lösung.

      Beste Grüße!

  4. Andreas Dubas sagt:

    Auf meinem Samsung S8 bleibt die Installation hängen, volle Paketgrösse 14,47 MB wird geholt, dann tut sich nichts mehr, kann ich nur mit ‚X = Cancel‘ abbrechen und das App ist dann nicht installiert..

    lg
    Andreas

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Andreas,

      Bitte versuchen Sie Download und Installation aus dem Play Store erneut. Sollte dies dann erneut nicht funktionieren wenden Sie sich bitte an den Helpdesk;

      Helpdesk für Digitales Banking
      Telefon: +43 (0)5 0100 – Bankleitzahl Ihres Institutes
      Sie finden die komplette Telefonnummer auch auf der Rückseite Ihrer BankCard.

      E-Mail: george@s-servicecenter.at

  5. Gerald sagt:

    Wie funktioniert dann der Watchdog – dzt. erhalte ich seine Info per SMS?

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Gerald,

      s Identity hat mit Watchdogs nichts zu tun. Es ist lediglich eine App für Freigaben und Login. Watchdogs erhalten Sie wie bisher, entweder über George Go oder wenn Sie SMS als Kanal eingestellt haben, über SMS.

      Beste Grüße

  6. markus brustmann sagt:

    und wie muss ich vorgehen um den aktivierungscode in george zu gennerieren

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Markus Brustmann,

      Bitte gehen Sie einfach in Ihre George Einstellungen „Login & Freigabe“ und folgen sie der Schritt für Schritt Anleitung von George.

      Beste Grüße!

  7. markus brustmann sagt:

    kann ich den aktivierungscode auch in george gennerieren

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Markus,

      Sie können den Aktivierungscode für s Identity natürlich mit George generieren. Lediglich wenn Sie nur ein Gerät für s Identity aktiviert haben und dieses gestohlen werden/verloren gehen sollte, dann bekommen sie den Aktivierungscoe für ein neues Gerät nicht via George.

      Beste Grüße

  8. mcm sagt:

    Wenn TAC SMS eingestellt wird stellt sich die Frage wie ich ohne Internet am Handy noch E-Banking machen soll. Welche Alternative ist hier angedacht? Läuft die App auch am PC (als W10 App)?

    Oder müssen alle Kunden ohne Smartphone die Bank wechseln?
    Und ja – ich hab alleine 3 Verwandte die zwar pc und EBanking benutzen aber kein Smartphone einsetzen. Und Eine ist unter 40 und arbeitet als SW Entwicklerin bei einer grossen Firma… Ist also zwar selten aber nicht auf 90 jährige beschränkt.

    Wäre CardTan 2FA tauglich?

    1. McM sagt:

      Und noch eine Zusatzfrage:

      Wie wird die Identity App „authorisiert“, d.h. nach der Installation der App mit dem Verfüger verknüpft? Ich nehme ja doch an, dass das Installieren der App und Eingabe des Verfügers alleine ausreicht um irgendwas zu authorisieren 🙂

      Übrigends:
      Die ERSTE sollte sich auch etwas in Bezug auf Installationswarnungen und App Updates überlegen. Jedesmal wenn sich Quickcheck selbst aktualisiert kommt die Warnung, dass die App nur aus dem offiziellen Store geladen werden soll. No na – das ist ja gut so. Und bei einer Neuinstallation kann ich das auch beachten. Aber bei einem automatischen Update sollte die App geeignet erkennen von wo sie sich aktualisiert. Oder ich muss sie jedesmal deinstallieren und von offiziellen Store neu installieren. Oder ich schalte Updates aus. Beides keine echte Option. nur des ungeprüfte Wegklicken des Hinweises bringt auch nicht viel – und ich wüsste nicht, wie ich feststellen könnte woher die App sich beim automatischen Update aktualisiert hat. (Abgesehen davon, dass ich fremde Stores prinzipiell nicht freigeschalten habe und daher Downloads von anderen inoffiziellen Quellen unwahrscheinlich sind). Was bei Quickcheck noch unter lästig fällt, wäre bei Identity schon grenzwertig in Bezug auf höchste Sicherheit.

    2. kamakajo sagt:

      Und WO genau steht das die SMS eingestellt wird?

      1. Dag Erik Zimen Dag Erik Zimen sagt:

        TAC SMS bleibt vorläufig als zusätzliche Zeichnungsmethode bestehen.
        Lediglich wenn Sie einmal s Identity aktiviert haben, können Sie NICHT wieder zurück zu TAC SMS.

        Beste Grüße!

      2. McM sagt:

        In einigen Antworten von Hr. Zimen steht klar, dass TAC SMS **vorläufig** erhalten bleib. Daraus ist der Umkehrschluss gerechtfertigt, dass es (wenn auch nicht heute) eingestellt wird.

        Dass ich für E-Banking in Zukunft zwingend ein Smwartphone benötige sehe ich als Problem.

        Um es klarzustellen. Ich will die App nicht schlechtreden. Das ist sie nicht. Ich versuche nur klarzustellen, dass es AUCH noch Personen ohne Smartphone gibt die sehr wohl Internet benutzen.

        McM

  9. Manfred Parzer sagt:

    Diese Form der Authentifizierung bedeutet, dass ich auch für meine Bankgeschäfte am PC/NB immer ein Mobiltelefon haben muss. Kein Telefon, kein Akku oder keine Verbindung – kein Bankzugang.
    Für den Zugang über die Website sollte hier jedenfalls auch die Methode mit Verfügen und Passwort möglich bleiben.

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Manfred Parzer,

      Natürlich können Sie bis auf weiteres auch TAC SMS und den Login mit Verfügernummer und Passwort nutzen. Oder CardTAN. Auch mit TAC SMS benötigen Sie für Freigaben übrigens ein Mobiltelefon.
      Darüber hinaus wird es in naher Zukunft auch eine Desktop-Variante von s Identity geben.

      Beste Grüße!

      1. McM sagt:

        Ja, für TAC SMS benötige ich ein Mobiltelefon. Aber kein Smartphone mit Internettarif 🙂

        ABER:
        Die Information, dass es die App bzw. eine vergleichbare Lösung auch für den PC geben wird klingt gut und würde das Problem kein Smartphone natürlich lösen. Danke f.d. Vorabinfo.

        McM

  10. Philipp sagt:

    Ich finde es ebenfalls schade, dass Face ID nicht zur automatischen PIN-Eingabe verwendet werden kann (andere Banking Apps verwenden dieses Konzept sehr wohl).
    Welche Wiederherstellungsmöglichkeiten gibt es im Fall von Smartphone-Verlust/Diebstahl? Muss ich mich an meinen Betreuer wenden oder gibt es einen Wiederherstellungsschlüssel?

    1. Philipp sagt:

      PS: Der Blog läuft noch unter der Winterzeit 🙂

    2. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Philipp,

      das hängt davon ab, ob Sie nur ein Gerät mit s Identity und Ihrem Verfüger verknüft haben oder mehrere:

      Mehrere:
      Im Falle eines Verlustes/Diebstahls des Gerät deaktivieren/“entknüpfen“ Sie dieses Gerät bitte von Ihrem Verfüger. Dies geht jederzeit in George oder der Filiale. Haben Sie mehrere Geräte für s Identity registriert, können Sie die anderen normal weiternutzen und weitere Geräte jederzeit hinzufügen.

      Nur ein Gerät verknüpft:
      Sie benötigen für ein neues Gerät einen neuen Aktivierungscode: Diesen erhalten Sie in der Filiale oder nach telefonischer Bestellung im Service Center per Post.

      Ab Mitte Juli gibt es auch die Möglichkeit, dies alles an den SB-Automaten in den Fililen selbst zu machen.

      Beste Grüße!

  11. Patrick sagt:

    Idee super – Umsetzung wieder einmal schlecht ?

    1. So wie ich das lese gibt es keine Möglichkeit die App mit Fingerabdruck zu entsperren sondern nur per PIN – und ich bin mir noch immer nicht ganz sicher warum alle meinen, dass ein 4 oder 6 Stellinger PIN sicherer sein soll als ein langes Passwort.

    2. Warum ist eine Rückkehr oder gar eine Gleichzeitige Nutzung der App und der „alten“ Methode mit Passwort und TAC SMS nicht möglich – wenn ich kein Internet habe z.B. im Ausland kann ich also nichts mehr machen – das können andere Banken deutlich besser – siehe zB BAWAG – dort kann ich sogar bei jeder Überweisung auswählen ob ich per App, SMS oder Bürgerkarte freigeben will.

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Patrick,

      Die konkrete Umsetzung startet ja erst am 14. Mai. Wir würden uns freuen, wenn Sie Ihr „Umsetzung schlecht“ dann nochmal anhand der tatsächlichen Umsetzung überdenken. 😉

      Die App wird entsperrt mit einem eigenen PIN, schon allein deswegen, weil der Zugang zur s Identity über bankeigene Server laufen muss und nicht über die von Apple & co.

      die Rückkehr zur bisherigen Nutzung mit TAC SMS ist deswegen nicht möglich, weil TAC SMS weder PSD2 noch SCA-konform ist. Es gibt z.B. schon jetzt bestimmt Aktionen im digitalen Banking, für welche der Regulator keine Autorisierung mittels TAC SMS mehr zulässt. Mittelfristig wird TAC SMS daher zu Ihrer eigenen Sicherheit auch komplett eingestellt werden.

      Beste Grüße!

      1. McM sagt:

        >> Es gibt z.B. schon jetzt bestimmt Aktionen im digitalen Banking, für welche der Regulator keine Autorisierung mittels TAC SMS mehr zulässt.

        Welche wären das z.B.?

        1. Dag Erik Zimen Dag Erik Zimen sagt:

          Beispielsweise bei der Zeichnung bestimmter Verträge oder Produktabschlüsse. Auch im Zusammenhang mit Ihrer Zustimmung zur Datenverwendung bedarf es einer Strong Customer Authentication. PSD2 sei Dank…

          Beste Grüße

          1. McM sagt:

            Danke f.d. Info.
            Ich frage mich nur nach wie vor, wie Banking OHNE Smartphone wohl in Zukunft gehen soll.
            Wobei die Zustimmung zur Datenverwendung mich nicht so sehr zu treffen scheint :-).

            Was allerdings an einer App besser sei soll als bei SMS ist mir unklar. OK – SMS Umleitung ist ein Problem. Aber gehackte Smartphones soll es schon gegeben haben. Und 2 Faktoren (Wissen -> Login Pin, Besitz -> Handy zum SMS Empfang) bietet auch TAC SMS. Irgendwie steh ich da auf der Leitung. Ob jemand meinen Login-Pin ausspäht oder meinen Identity Pin ist ja wohl egal. Ein Unbefugter kommt in den Besitz des Wissens. Und da ich den Pin nun am Mobilgerät eintippen muss ist das Risiko sogar noch größer. Derzeit wird der Login Pin nur am PC eingegeben. Damit kann ein gehacktes Handy den Loginpin nicht capturen. Am Handy kann eine böswillige App – zumindest mit Root Rechten – die Eingabe Capturen. Ergo ist das jetzige Verfahren m. E. sogar sicherer. Und ob von einem kompromittierten Handy alle Daten abgezogen werden können die benötigt werden um die Identity App auf einem anderen Gerät zu installieren oder nicht trau ich mich nicht zu sagen – da gibt’s sicher Berufenere. Aber was an Daten auf einem Gerät existiert kann im Prinzip auch gestohlen werden.

Hinterlassen Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *