Für meine Sparkassen-VISA-Karte habe ich 2FA - im Sparkassenjargon: S-ID - aktiviert gehabt. Das Verfahren funktioniert wie folgt: Bei einer Onlinebestellung gibt es (optional, ab 10.9. zwangsweise) einen zusätzlichen Sicherheitsschritt: Mittels App - S-ID - muss dann die Transaktion via Handy bestätigt werden, so weit so gut.
Nun hatte ich aber vergessen dass ich das Handy gewechselt habe, ich wollte eine Bestellung abschließen, S-ID wurde gefordert, ging aber aus dem Grunde nicht, so weit so gut, ist ja Sinn der Sache. Also habe ich die Registrierung neu angefordert im Glauben, dass dies genau wie bei S-Tan geschehen wird: ein Brief mit einem Code per Post an meine Adresse. Aber weit gefehlt: Es wurde eine Buchung von 0 Euro auf dem Kredikartenkonto mit der Registrierungspin angelegt, diese PIN musste ich einfach der S-ID-Webseite eingeben, daraufhin erschien ein QR-Code, die App hat ihn eingescanned, das war es.
Irgendwie missfällt mir das sicherheitstechnisch - das ist natürlich bequem, keine Karenzzeit bis der Brief da ist, usw usf. Aber ist das auch sicher? Es reichen die Daten des Onlinebanking aus - Login und Pin - um an die Kreditkartenabrechnung zu kommen. Zusammen mit der Kreditkartennummer kann dann
jeder S-ID/Verifed by Visa auf seinem Handy aktivieren und damit den Sicherheitsmechanismus außer Kraft setzen. Zugegeben, der Angreifer braucht die Kreditkartennummer
und die Onlinebanking-Daten, aber
keine Tan. So richtig überzeugend finde ich das vom Sicherheitsaspekt nicht.
#
s-id #
verifiedbyvisa #
sparkasse
