#totp

Moin,

mal wieder eine Geschichte aus dem Jammertal morscher Banken-IT mit Gruselkabinettsfeeling.

Ich habe hier möglicherweise noch ein Tagesgeldkonto bei einer Bank. Bis vor einigen Monaten lief das auch soweit, bis ich mich nicht mehr anmelden konnte, weil plötzlich eine Art "2FA-App" notwendig sein soll. Wäre offenbar zu langweilig gewesen, diese Umstellung auf geeignetem Weg rechtzeitig vorab anzukündigen oder gar ein Standardverfahren wie #TOTP zu nutzen, wenn es wirklich nur um "2FA" ginge.

Natürlich gibt es die App dieser Bank dann auch nicht bei der Bank selbst, sondern man wird mit der indirekten Betonung fehlender digitaler Souveränität auf die üblichen verdächtigen dubiosen Appstores im Ausland verwiesen. Namentlich natürlich US-Anbieter im aktuellen Trumpland.

Widerwillig organisiere ich mir hier eine App, die angeblich für #Android bestimmt ist, über Umwege. Funktioniert die? Natürlich... nicht.

Mittlerweile habe ich nun insgesamt drei verschiedene Versionen dieser Gruselapp der Bank auf drei verschiedenen Geräten ausprobiert.

Auf zwei Geräten stürzt die App unmittelbar nach Start ab und präsentiert (auf deutschsprachigem Android) diese englische Meldung: Something went wrong
Check that Google Play is enabled on your device and that you're using an up-to-date version before opening the app. If the problem persists try reinstalling the app. Klick man auf CLOSE wiederholt sich das Ganze in einer Schleife. Man muß die App abschießen.

Selbstverständlich nutze ich Android ohne #Google-Account. Da es sich aktuell um das jeweilige Android des Telefonherstellers handelt, sollten Play Services zumindest aber zur Verfügung stehen. Wenn auch widerwillig.

Auf dem dritten Gerät passiert nun Folgendes: Die App startet, es kommt nicht zum Absturz, sondern zu einer Umleitung: Das Ding will ein Login bei Google Play. No way.

Haben die ihre vollständige Inkompetenz derart demonstriert, daß die eine angebliche App für Android bauen, die allerdings extra starke Abhängigkeiten zu Google aufbaut? Derart, daß man bei Google (!) eingeloggt sein muß, um die Bankapp (!) zu nutzen? WTF?

Das natürlich so dermaßen schlampig umgesetzt, daß dieser Umstand weder kommuniziert noch die Abhängigkeiten technisch geeignet überprüft werden.

Will diese Bank wirklich ihre Bestandskunden zu einem Vertragsverhältnis mit dritten Parteien nötigen, um das Konto weiter nutzen zu können?

Wie paßt das in diesem Zusammenhang mit der Einhaltung des Bankgeheimnisses und der #DSGVO zusammen?

Was sagt die @BaFin@social.bund.de zu diesem für mich inakzeptablen Verhalten?

Hinweis: Dieser Beitrag kann Spuren des frustrierten Ausdrucks eines genervten Informatikers enthalten.

Do you struggle to keep your #TOTP secrets synced and backed up properly? Do you wish you could give a group of people access to ephemeral authentication tokens? Then TOTP #webxdc from @rtn might be for you! Cross platform multi-device support means that you can use these tokens from any device, and you have a natural backup should one device go bust. As with all webxdc apps there is no server hosting involved. Everything is only visible on respective devices and end-to-end encrypted between

Medien: 1

Finally finished moving all my two factor authentication accounts to TOTP app and can now uninstall Authy!

You can run it in Delta Chat, Monocles and Cheogram.

Some of the services that work fine:

- codeberg
- mastodon
- github
- npm
- microsoft

https://webxdc.org/apps/#rtn-totp

#totp #webxdc #deltachat #monocles #cheogram