Das kommt davon wenn man 2FA in ein Gerät integriert

Ich habe noch nie verstanden was heutzutage 2FA am modernen SmartPhone für einen Sinn haben soll.

Früher war die Sache klar: Am Handy wird nur die TAN empfangen. Am PC wird sie eingegeben.

Sicher war's auch damals nie, weil das Handy-Netz tatsächlich unsicher wie nur irgendwas ist. Die Verschlüsselung kann einfach ausgehebelt werden, und mit Hardware für ein paar hundert EUR kann sich jeder einen IMSI-Catcher basteln und die MTANs seines Nachbarn abfangen.

Aber das war noch OK, weil es ja nur ein zusätzlicher Faktor war.

Doch heute wo man 2FA durchaus am Handy benutzen will, machen MTANs einfach keinen Sinn mehr: Aus den 2 Faktoren - Passwort am PC und SMS-TAN am Handy - ist nun ein Faktor geworden.

Wer mit Malware die Kontrolle übers Handy bekommt, wird die SMS genau so einfach abfangen können wie das Passwort.

Sinnlos.

Man wird sich etwas neues einfallen lassen müssen.

Oder man schleppt ein 2. Handy mit sich herum, auf dem man die SMS empfängt.

Aber ehrlich: Wer will das schon tun?

Man könnte noch ein Hardware-Token wie den Yubikey mit sich herum schleppen das eine zeitabhängige TAN anzeigt. Das ist zumindest klein und könnte auf den Schlüssel-Anhänger passen.

Oder man integriert ein Display in die Kreditkarte, wie es jüngst vorgestellt wurde und demnächst in den USA ausgerollt werden soll.

Allerdings zweifle ich ehrlich gesagt auch an der Effektivität dieser Maßnahmen genau so wie an der Idee einer 2FA an sich: Wenn auf dem Gerät wo man die TAN eintippen soll Malware läuft, kann diese die eingetippte TAN genau so abfangen wie eine lokal empfangene SMS.

Die Zeitabhängigkeit der TAN hilft auch nichts, wenn die Malware *sofort* eine Überweisung tätigt.

Meiner Ansicht nach ist einfach das "Game Over", wenn das Gerät mit dem man das Internet-Banking durchführt bereits von einer Malware befallen ist.

2FA ist etwas das nur dann sicher ist wenn das Gerät auf dem ich arbeite sicher ist.

Ist dieses Gerät aber sicher, wozu brauche ich dann noch 2FA?

Der einzige *echte* Vorteil von 2FA den ich erkennen kann, ist wenn man ein Hardware-Token einsetzt die Gefahr schlechter Passwörter ausgeschaltet wird. Und dass TANs kürzer als Passwörter sind, ohne dass es unsicherer wird.

Das war's aber auch schon.

Der Große Wurf wie man das Bezahlen am Handy sicher machen will, ist daher fürchte ich noch nicht gefunden.

Ich bezahle jedenfalls bis auf weiteres nur am PC mit einem vertrauenswürdigen OS und mit klassischer TAN. Keiner mTAN!

Auf In-App-Käufe muss ich so natürlich verzichten. Aber ich lebe immer noch...