<div dir="ltr">In Czech Republic one of the banks I'm using used to have mandatory certificate (password protected) used to login to internet banking and re-verified when doing the transactions, together with SMS TANs for free.<div><br></div><div>So you had to carry your certificate with you in some secure storage (or always do it from the same PC at home). I understand why some people who don't care so much about security weren't happy with this and wanted something easier or more comfortable for them e.g. when traveling often.</div><div><br></div><div>But what the bank did really makes me angry, instead of adding the opt-in (or even default) option to use their app on smartphone, they are removing the support for certificate authentication (you won't be able to extend the certificate in internet banking after your current one expires - so all users will stop using it in less than a year).</div><div><br></div><div>So you have 2 options:</div><div>1) use the smartphone app to confirm the login from PC as well (instead of SMS TANs) - promoted as new greatest and comfortable way of doing things</div><div>2) replace your certificate with just username/password and confirmation with SMS TANs - promoted as deprecated option for old people without smartphones (who knows this will stay available and free)</div><div><br></div><div>Why do they have to take the certificate authentication¬†+ SMS TANs option away? They clearly had the system for certificate re-newal in place and it was working fine.</div><div><br></div><div>I really like the SMS TANs as 2nd channel when doing the transactions. Having the certificate in encrypted partition was another obstacle for someone trying to impersonate me.</div><div><br></div><div>Even for online payments with credit card I would like to make the SMS TANs mandatory, but my bank doesn't enforce it (I understand that this is more complicated requirement, because the bank gateway needs to support that and especially foreign companies use gateways which don't support that at all). But how is that possible that e.g. Amazon is able to do transactions on debit card without even requiring CVV - that should be easy to enforce by bank. Amazon automatically saving the used card (for future transactions) is another insane feature - you can delete the card afterward, but your card is only as secure as your username/password on amazon is once you forget to delete it payment.</div><div><br></div><div>Well maybe we're too security sensitive, I've seen many people either using the smartphone app or internet banking in browser on the same phone where they receive SMS TANs, so once the device is compromised the attacker has all the information needed - and it was often on some cheap android phone where all the updates stopped couple years ago. When I've tried to explain how dangerous that is, they didn't really listen/care.</div><div><br></div><div>Another interesting vector is that e.g. this bank still accepts paper payment orders you can just throw in the box in the bank. The amount of money you can transfer that way (without someone confirming your ID) is limited, but still to much bigger sum than what I believe most people set as the limit on credit/debit cards they carry with them. And this is secured only with your signature which again many people use the same signature everywhere and don't know that it's better to add some kind of password to the signature used in the bank.</div><div><br></div><div>I don't really like where this is all going, soon we might start stuffing the cash back to pillows for better sleep :). Maybe it's another way how to promote spending, without any savings in bank people won't need to think about how secure that is.<br></div><div><br></div><div>Cheers,</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Sep 22, 2019 at 10:48 AM Martin <<a href="mailto:debacle@debian.org">debacle@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2019-09-22 10:02, H. Nikolaus Schaller wrote:<br>
> bank computer -> flicker(encrypt(random number + TAN + account information + transfer data)) -> sent to web browser screen -> optical sensor -> decrypt with some secret inside the generator -> display TAN -> user types the number into web form -> bank computer compares sent and received TAN<br>
> <br>
> Which means the bank can (and must) already track that you are using the online account :)<br>
> They already know the IP address of the web browser. They already know your bank account number.<br>
> So there is no new information for the bank.<br>
<br>
And if one doesn't want the bank to know the location, there is<br>
Tor or VPN.<br>
<br>
> What I don't know is how the encrypt/decrypt works. This apparently involves some personal information.<br>
> Or does the generator read the chip inside your bank card? Then, this chip card encapsulates the secret and is unique.<br>
<br>
I don't known the details, but it seems to be a standard<br>
"HHD 1.4". Problably not an open standard, I fear. See<br>
<a href="https://de.wikipedia.org/wiki/Transaktionsnummer" rel="noreferrer" target="_blank">https://de.wikipedia.org/wiki/Transaktionsnummer</a> and<br>
<a href="https://www.kuketz-blog.de/online-banking-aber-sicher-das-chiptan-verfahren/" rel="noreferrer" target="_blank">https://www.kuketz-blog.de/online-banking-aber-sicher-das-chiptan-verfahren/</a><br>
both in German. It's seems, that it's pretty secure compared to<br>
e.g. using a smartphone with its billions of vulnerabilities.<br>
<br>
> Well, some banks seem to no longer provide TAN (transaction numbers)<br>
> neither by paper/card nor SMS. They require to have an App which is<br>
> the connection to the original topic.<br>
<br>
Yes, and some banks had SMS TANs for free, suddenly you have to<br>
pay, e.g. comdirect. Which puts pressure on people towards their<br>
proprietary apps for proprietary OSes. We are back at the 1990s,<br>
when it was very hard to live without MS Windows.<br>
_______________________________________________<br>
Community mailing list<br>
<a href="mailto:Community@tinkerphones.org" target="_blank">Community@tinkerphones.org</a><br>
<a href="http://lists.goldelico.com/mailman/listinfo.cgi/community" rel="noreferrer" target="_blank">http://lists.goldelico.com/mailman/listinfo.cgi/community</a><br>
<a href="http://www.tinkerphones.org" rel="noreferrer" target="_blank">http://www.tinkerphones.org</a><br>
</blockquote></div>