Zwei Faktoren Authentifizierung bei Scalable Capital

  • gibt es was neues bezüglich 2FA? Dass man sich mit der Emailadresse anmeldet, ist noch ein ein Tick problematischer. Wenn man dort wenigstens ein frei wählbaren Benutzername nehmen könnte. Aber generell sollte es 2FA sein, alles andere ist Mist. Wenn wir alle mal eine Beschwerde schreiben, vielleicht bewegen die sich. Gerade jetzt mit dem Tagesgeld, liegt bestimmt bei vielen eine Menge Geld dort. Ein Keylogger auf dem PC und alles ist weg.

  • Dass man sich mit der Emailadresse anmeldet, ist noch ein ein Tick problematischer. Wenn man dort wenigstens ein frei wählbaren Benutzername nehmen könnte

    Einfach eine Adresse mit Wildcard-Zusatz benutzen. Ist auch frei wählbar.


    Davon ab gibt es noch nix neues soweit ich weiß.

  • Für mich reine Ordnung. Ein Sicherheitsplus sehe ich dadurch nicht.

    Und minimaler Spamschutz. Sollte ich am diese Mail irgendwann mal Spam kriegen, verbrenne ich sie einfach und mache eine neue. Man sieht dann nämlich schön, welche Unternehmen meine Daten verkaufen ;)

  • Und welchen Vorteil soll das in dem Zusammenhang haben?

    Ich sehe da schon einen gewissen Schutz.

    Sollte jemand in den Besitz deiner Mail-Adresse kommen, müsste er nur noch dein PW knacken.

    Durch die Wildcard Mailadresse hast du eine Mail-Adresse für genau diesen Anbieter, die niemand kennen sollte.

    Also müssen 2 zueinander gehörende variablen gefunden werden.

  • GMX hat das wohl nicht. Aber da ich bei der Telekom bin, habe ich das bei T-Online probiert und dort kann ich zusätzlich Mailadressen anlegen. Ich habe jetzt einfach eine Mailadresse nach dem Schema: peter-mustermann-sc@t-onxxxx angelegt. Dafür muss ich kein Konto in Thunderbird anlegen, sondern diese Mail rufe ich mit der T-online Hauptmailadresse ab. Ist also eine Art "catch-all" Funktion. Alle Zusatzmailadresse werden mit der Hauptmailadresse mit abgeholt. Wenn ich jetzt diese eine Mailadresse mit dem "-sc" nur exklusiv für Scalable-Capital benutzt sollte das zumindest etwas sicherer sein, als eine Mailadresse zu benutzen die ich schon oft irgendwo benutzt habe. Sie ich das so richtig?

  • Mir ist auch heute durch Zufall aufgefallen, dass man sich nur an Hand von Email und Passwort mit dem Computer bei Scalable anmelden kann und sogar Trades ohne weitere Authentifizierung durchführen kann.


    Das erscheint mir ein extremes Sicherheitsrisiko zu sein!

    Den Euer Konto lässt sich auch nur durch Trades leerräumen.

    Ganz ohne Referenzkontoänderung!

    Hierzu muss der Angreifer einfach nur wenig gehandelte Aktien oder Derivate abwechseld kaufen und verkaufen. Diese weisen auf Grund ihres geringen Handelsvolumen höhere Spreads auf.


    Beispiel:

    Sagen wir, es gibt ein Beispiel-Derivate A welches mit einem Bid-Kurs von 70 und einem Ask-Kurs von 90 gehandelt wird.

    Der Angreifer stellt dann für Derivate A zunächst von seinem eigenen Konto Liquidität zur Verfügung. In der Folge kann er das fremde Scalable Konto nehmen um das Derivate für 90 zu kaufen und dann wieder für 70 zu verkaufen. Die Differenz von 20 führt dann jeweils zu Verlust auf dem Scalable Konto, während es zu Gewinnen auf dem Konto des Angreifers führt.

    Widerholt man diesen Kreislauf ein paar mal hintereinander ist das Scalable Konto nahezu komplett leer geräumt.


    Im Kryptobereich werden mit genau dieser Methode ebenfalls Konten leer geräumt, wenn jemand sein Trading-API-Key abhanden kommt. Daher halt ich dies nicht für ein theoretisches Szenario!

  • Wenn wir alle mal eine Beschwerde schreiben, vielleicht bewegen die sich.

    Ich habe das schon mehrmals gemacht auch mit "Androhung" der Depotauflösung. Als Antwort kamen dann immer Standardnachrichten wie:


    "Wir nehmen ihr Feedback dazu gerne auf und leiten dieses an die Entwicklungsabteilung weiter. Es kann jedoch kein verbindlicher Zeitraum für die Aufnahme neuer Funktionen angegeben werden, da in diesem Prozess viele einzelne Aspekte berücksichtigt werden müssen. Wir bitten um ihr Verständnis."


    "Da wir überlegt und strukturiert neue Features veröffentlichen und nicht im Nachhinein umfängliche Anpassungen tätigen möchten, können wir eine Angabe bezüglich ob und wann eine Implementierung erfolgt, Ihnen allerdings zum aktuellen Zeitpunkt nicht sagen."


    Ich verstehe auch nicht, warum sie das nicht ändern.

    Ich werde mein Depot dann wohl übertragen...


    Gerade jetzt mit dem Tagesgeld, liegt bestimmt bei vielen eine Menge Geld dort.

    Ich nutze das nicht, mir wäre das aber ebenfalls zu unsicher. Ich finde es traurig, dass SC dort direkt mit TR nachzieht, aber die Sicherheitsstandards so "vernachlässigt".:rolleyes:


    Das erscheint mir ein extremes Sicherheitsrisiko zu sein!

    Wie gehst du denn nun vor, chillr? Löst du das Depot auf?

  • Wie gehst du denn nun vor, chillr? Löst du das Depot auf?

    Habe jetzt zunächst mal dem Scalable Support geschrieben um zu Klären, ob Scalable die Haftung für nicht autorisierte Trades übernimmt. Denn schlussendlich sehe ich hier die Fahrlässigkeit bei Scalable überhaupt so ein unsicheren Login Prozess zur Verfügung zu stellen. Zumal meinem Verständnis nach solch ein Login mit der PSD2 Richtlinie vor ein paar Jahren verboten worden ist. Warte noch auf Antwort.


  • Ja und? Dann muss Scalable dich so stellen, als ob die unauthorisierten Verfügungen nicht stattgefunden hätten. Ist also deren Problem und nicht das der Kunden. Wobei das ganze Szenario so was an den Haaren herbei gezogen ist. Der betrügerische Handelspartner wäre nämlich ohne weiteres zu identifizieren und so dumm ist eigentlich kein Betrüger.


    Ich bin ja nun kein Freund dieser Neobroker, aber das ist nun wirklich ein Scheinproblem. Und die ganzen Umstände der zwei Beiträge sehen für mich eigentlich aus wie Guerillamarketing. Da ist jemand "zufällig" hier als neuer Benutzer im Forum an und warnt vor dieser weitgehend erfundenen großen Gefahr für das Vermögen der Kunden von Scalable. Da bleibt nur die Frage offen, wer dafür wieviel bezahlt.

  • Dann muss Scalable dich so stellen, als ob die unauthorisierten Verfügungen nicht stattgefunden hätten

    Schön wärs. Die werden natürlich die Welle reiten, dass du nicht richtig auf dein Passwort aufgepasst hast.

    Der betrügerische Handelspartner wäre nämlich ohne weiteres zu identifizieren und so dumm ist eigentlich kein Betrüger.

    Wie das?

  • Schön wärs. Die werden natürlich die Welle reiten, dass du nicht richtig auf dein Passwort aufgepasst hast.

    ...

    Das ist doch egal, die müssen nachweisen, dass du das Geschäft ausgelöst hat. Wellenreiten genügt nicht. Und den Nachweis können sie schon deshalb nicht führen, weil das konkrete Geschäft ja nicht autorisiert werden muss. Insofern liegt es eigentlich sogar im Kundeninteresse, wenn der Dienstleister das locker handhabt. Um es klar zu sagen, eine möglichst wasserdichte Autorisierung liegt vornehmlich im Interesse des Dienstleisters, damit hält er sich nämlich mögliche Ansprüche des Kunden vom Leib. Die Bank muss nachweisen, dass du das Geschäft ausgelöst oder autorisiert hast. Je kleiner die Hürden vor Auslösung des Geschäfts sind, um so besser bist du als Kunde geschützt und um so schwerer hat es die Bank.

    ...

    Wie das?

    Weil es eine Gegenstelle gibt, weil das Geschäft und der Geschäftspartner dokumentiert sind, weil es nur Buchungsvorgänge sind, die nicht einmal sofort, sondern erst nach drei Tagen ausgeführt werden, und dabei nichts physisch über den Tisch geht. Das ist ja der Grund, warum die Bank es hier mit der Autorisierung nicht so genau nimmt und es auch nicht so genau nehmen muss, es ist alles rückabwickelbar und das Risiko, das die Bank dabei eingeht, ist minimal. Und nochmal, das verbleibende Restrisiko liegt bei der Bank (siehe oben), nicht beim Kunden.