Hi,
On 19/05/2022 17:23, Jakob Mendel wrote:
seit einiger Zeit muß man Kreditkartenzahlungen im Internet zusätzlich autorisieren. Die Postbank bietet dazu u. a. ein Verfahren mit dem Namen BestSign und dazu wiederum Hardware von Seal One an.
zum Vergleich: Sparkasse hat eine Handy-App, die aufpopt wenn eine Transaktion bestätigt werden muss (Provisionierung der App ist halbwegs sicher und man muss eine Pin eingeben). Aber eigentlich ist es völlig egal.
Hat jemand Erfahrung mit dieser Authentifizierungs-Methode?
Nein. Aber:
Egal welches Verfahren benutzt wird: es wird sehr selten passieren dass es gebraucht wird, es sei denn Du kaufst nur in Deutschland mit Kreditkarte ein - dann passiert es dauernd, auch bei trivialen Beträgen. Die meisten Leute die ich kenne benutzen die Karte aber eher im Ausland...
Der Händler bestimmt ob er die zusätzliche Sicherheit will, nicht Du und auch nicht Deine Bank. Denn der Händler muss dazu eine komplexere Web-Transaktion durchführen und muss das auch sofort machen - nicht erst morgen nacht wenn die Leitung frei ist und die Gebühren bei seiner Bank niedriger sind.
Die üblichen Verdächtigen benutzen es nicht: Amazon (egal welches Land), eBay (egal wo der Verkäufer sitzt), Paypal (egal wo es hingeht), AliExpress (und ich vermute die anderen Alibaba-Zweige genauso), etc. Jedenfalls kann ich mich nicht erinnern dass es mal bei einem von denen aufgepopt ist und ich kaufe dort viel mit Kreditkarte.
Im nicht-EU-Ausland werden die meisten kleineren Händler es auch nicht einsetzen, weil dort weniger Zwang ausgeübt wird.
Bei mir passiert es ungefähr einmal im Jahr dass ich eine Zahlung authentifizieren muss - üblicherweise wenn ich krank zu Hause liege und online nur eine Briefmarke für die Krankschreibung kaufen wollte. Machen solltest Du es trotzdem weil sonst die Bank trotzt und Du es genau dann brauchen wirst wenn es Dir mies geht und Du es einfach nur hinter Dich bringen willst...
Wie man oben erkennen kann bringt es null Sicherheit (für Dich), weil die Kreditkarten-Daten-Diebe ihre Transaktionen schön dort machen werden wo nicht geprüft wird.
Pro-Tipp: frag' die Bank ob Du den Code auch auf dem Handy erzeugen kannst (z.B. Google-Auth auf Android oder besser eine Bank-App) - die Sicherheit durch diese optionale Prüfung ist so niedrig dass es sich nicht lohnt deswegen zusätzliche Hardware herumzuschleppen. Wenn die App eine Pin will ist das auch sicherer als ein Dongle am (gestohlenen) Schlüsselbund.
Im Gegensatz dazu: wenn die Hardware den Zugang zum Online-Banking absichern soll, dann wäre es eine gute Idee das nicht auf dem potentiell angreifbaren Handy zu haben. (Und das auch so zu lagern dass es nicht geklaut wird.)
Die Sicherheit einer Kreditkarte liegt nach wie vor in der Art und Weise wie Transaktionen im Nachhinein rückgängig gemacht werden können - Du kannst Dich auf der Kreditkarten-Webseite einloggen und einzelne Transaktionen stornieren. Bzw. kannst Du das auch nach der Abrechnung noch für ein paar Wochen machen. Du musst in jedem Fall prüfen ob alles mit rechten Dingen zugeht. Händler und Bank sind gegen solche Fälle versichert. Bei Dir ist Schweigen gleich Zustimmung.
Diese Authentifizierung setzt bei der Bank nur einen Haken, dass die Transaktion bereits genehmigt ist und damit ist es etwas schwieriger diese spezielle Transaktion rückgängig zu machen. Auf all die vielen unauthentifizierten Transaktionen hat das keinerlei Einfluss. Auch nicht auf die, die ein Datendieb mit Deiner Kreditkartennummer in der hintersten Ecke von Vietnam oder Columbien durchführt.
Konrad