Ab Dezember nur noch PhotoTan

ZKB-E-Banking: Keine SMS-Codes mehr fürs Log-in

Uhr

Die ZKB schafft das E-Banking-Log-in per SMS-Code ab. Im Dezember löst PhotoTan dieses Verfahren ab, da es unsicher sein soll. Auch Microsoft stellt dem Log-in per SMS-Code ein schlechtes Zeugnis aus.

(Source: Screenshot ZKB: https://www.zkb.ch/de/pr/pk/efinance/ebanking/login-verfahren)
(Source: Screenshot ZKB: https://www.zkb.ch/de/pr/pk/efinance/ebanking/login-verfahren)

Kunden und Kundinnen der Zürcher Kantonalbank (ZKB) können sich ab dem 9.Dezember 2020 nur noch per PhotoTan-Code ins E-Banking einloggen. Das Verfahren löst das Einloggen per SMS-Code (mTan) ab. Das geht aus einem Brief der ZKB an ihre Kunden und Kundinnen hervor.

Der Wechsel erfolgt gemäss Brief, weil PhotoTan einem höheren Sicherheitsstandard als mTan entspricht. mTan und PhotoTan funktionieren folgendermassen: Möchte sich etwa ein Kunde in seinen E-Banking-Account einloggen, erhält er im mTan-Verfahren nach der Passworteingabe eine SMS mit einem Code zugeschickt, den der Kunde zusätzlich eingeben soll. Im PhotoTan-Verfahren muss er nach der Passworteingabe ein QR-Code-artiges Mosaik einlesen. Das tun der Kunde oder die Kundin mit einer Smartphone-App oder einem PhotoTan-Lesegerät. Daraus generiert das jeweilige Gerät einen Code, den der User zusätzlich zum Passwort eingeben muss, um sich einzuloggen oder Transaktionen zu bestätigen.

Darum ist PhotoTan sicherer als mTan

Warum gilt das mTan-Verfahren als unsicher? Dazu gibt ein Blogeintrag von Microsoft Aufschluss. Darin fordert Microsoft-Blogger Alex Weinert auf, von den Authentifizierungsfaktoren SMS oder Stimme (Voice) wegzukommen.

Im Bereich der Multifaktor-Authentifizierung seien diese beiden Verfahren die unsichersten, weil sie auf öffentlich geschalteten Telefonnetzen (ÖGT) basieren. Unter anderem seien SMS- und Voice-Protokolle ohne Verschlüsselung entwickelt worden und könnten relativ einfach abgefangen werden. Also gebe es verschiedene Möglichkeiten für Angreifer, von Abhören bis zu Social Engineering beim Kundensupport, um sich die gewünschten Daten aus den SMS zu verschaffen.

Weinert empfiehlt deswegen, auf Alternativen wie Authenticator-Apps umzusteigen und ÖGT-basierten Authentifizierungsmethoden den Rücken zu kehren. Mit dem Wechsel auf PhotoTan tut die ZKB genau das.

Apropos Apps und Security: Die ZKB will in den nächsten drei Jahren 100 neue IT-Stellen schaffen, unter anderem im Bereich Applikationsentwicklung und Security, wie Sie hier nachlesen können.

Webcode
DPF8_198254

Kommentare

« Mehr