Einer der Gründe kann die Verwendung der digitalen Signatur sein. Wenn die Uhrzeit auf Ihrem Telefon wesentlich von der aktuellen Uhrzeit abweicht, kann dies dazu führen, dass Ihr Telefon vom Bankserver vorgenommene Signaturen ablehnt oder Ihre Bank von Ihrem Telefon vorgenommene Signaturen ablehnt.

Warum ist "Automatisch" Datum & Zeit "wichtig? Natürlich hängt die interne Zeitdarstellung am Telefon (Millisekunden vom 01.01.1970 bis jetzt) ​​nicht von der Zeitzone ab. Aber es kommt darauf an, was Sie damit machen. Angenommen, Sie befinden sich in der Zeitzone ACT = GMT-5. Angenommen, Ihre Ortszeit ist 4:00 ACT, also 9:00 GMT. Angenommen, Sie haben "Automatic Date & Time" deaktiviert und die aktuelle Zeitzone explizit auf GMT gesetzt. Ihr Telefon zeigt sofort nicht 4:00, sondern 9:00 an. Die interne Zeitdarstellung bleibt unverändert, nur die GUI-Darstellung wurde geändert.

Jetzt sehen Sie jedoch, dass sich 9:00 Uhr auf Ihrem Telefon von der Zeit auf dem Telefon Ihres Freundes unterscheidet. Sie stellen die Zeit also manuell auf 4:00 ein. Jetzt zeigen sowohl Ihr Telefon als auch das Ihres Freundes 4:00 an. Aber Ihr Freund verwendet ACT = GMT-5, während Sie GMT verwenden. Daher liegt die interne Darstellung der Zeit auf Ihrem Telefon 5 Stunden hinter der Echtzeit.

In diesem Fall ist dies nicht ausreichend, selbst wenn die Bank eine Toleranz von + - 1 Minute zulässt. Alle Vorgänge, bei denen ein Zeitvergleich erforderlich ist, schlagen fehl.

Es gibt Sicherheitsgründe, warum Ihre Bank möglicherweise erwartet, dass für Ihr Mobiltelefon Datum und Uhrzeit automatisch aktiviert sind. Dies umfasst den Schutz vor Wiederholungsangriffen, bei denen jede Anforderung einen Zeitstempel enthält, der serverseitig überprüft wird.

Allerdings sollten Zeitzonen nichts damit zu tun haben. Wenn Sie ins Ausland gehen und Ihre mobile Bank-App nicht verwenden können, empfehle ich Ihnen, Ihre Bank anzurufen und eine Beschwerde einzureichen. Für mich klingt es so, als ob die ursprünglichen Anforderungen für mobile Apps korrekt gewesen wären, aber die Implementierung endete mit einem Defekt.

Zusätzlich zu Tims Antwort möchte ich hinzufügen, dass dies auch damit zu tun hat, wie SSL-Zertifikate überprüft werden.

Wenn Sie sich anstelle Ihres Telefons an Ihrem Computer anmelden und Datum und Uhrzeit ändern Wenn Ihr Computer nicht mit Ihrer aktuellen Standortzeitzone und -zeit übereinstimmt, treten beim Surfen im Internet alle Arten von Fehlern auf. Dies liegt daran, dass die zur Überprüfung von Websites verwendeten SSL-Zertifikate nicht dauerhaft sind und in Ihrem Internetbrowser ein Zeitvergleich (Firefox, Chrome usw.) durchgeführt wird, um sicherzustellen, dass das von der Website verwendete SSL-Zertifikat AKTUELL gültig ist. P. >

Wenn das System Ihre genaue aktuelle Uhrzeit nicht kennt, kann es die aktuelle Gültigkeit der Sicherheitszertifikate, die von den Sites verwendet werden, auf die Sie zugreifen möchten, nicht überprüfen. Gleiches gilt für den Zugriff auf eine Banking-App auf Ihrem Telefon, da die App eine Verbindung zu einem Server herstellt, der mithilfe von Zertifikaten die Authentizität überprüft.

Es gibt zahlreiche Sicherheitsalgorithmen, die das Zeitfenster begrenzen, in dem etwas gültig ist.

Unabhängig vom Sicherheitsmechanismus besteht das Konzept darin, dass ein Code generiert wird, der zur Authentifizierung oder zum Nachweis eines Codes verwendet werden kann Identität. Aber mit der Zeit könnte jeder Code beschädigt werden. Die Idee ist also, die Zeit zu begrenzen, die zum Brechen des Codes möglich ist, indem der Code nur für eine sehr kurze Zeit gültig ist. Danach ist dieser Code nicht mehr gültig und ein neuer Code wäre erforderlich. Manchmal sind es Stunden ... manchmal sind es Minuten oder sogar ein paar Sekunden. Dies bedeutet, dass die Uhren auf beiden Seiten angemessen synchronisiert werden müssen.

Abgesehen davon ... spielen Zeitzonen normalerweise keine Rolle. Computer werden normalerweise auf UTC (Weltzeit) eingestellt, und die Zeitzone ist einfach ein Versatz in einigen Stunden (und gelegentlich halben Stunden), um die angezeigte Zeit relativ zur Weltzeit zu ändern. Die Algorithmen basieren jedoch normalerweise auf der Weltzeit - nicht auf der lokalen Zeitzone.

Ihre Bank verwendet möglicherweise TOTP Einmalkennwörter für sichere Authentifizierungen (häufig im mobilen Token-Generator verwendet). Der sichere Code, der für die Anmeldung erforderlich ist, die von Ihrer PIN generiert wurde, ist jetzt und in 5 Minuten völlig anders.

Die Sicherheitsidee ist, dass jemand Sie dazu bringen kann, ein Einmalkennwort zu generieren, während er es beobachten kann , aber halten Sie Sie davon ab, es zu verwenden, sie haben nicht unbegrenzte Zeit, um den einmaligen Code zu missbrauchen, sondern nur einen sehr kurzen.

Wenn Sie in einem anderen Land nicht ohne "Automatic Date & Time" arbeiten Ich würde vermuten, dass es mit Zeitzonen zusammenhängt.

Bei einigen Authentifizierungsprotokollen wie Kerberos müssen beide Parteien (Ihr Telefon und der Server der Bank) innerhalb weniger Minuten miteinander synchronisiert werden. Das manuelle Einstellen der Uhrzeit auf Ihrem Telefon ist möglicherweise nicht genau genug für die Implementierung von Kerberos durch Ihre Bank. Daher hat die Bank entschieden, zu überprüfen, ob auf Ihrem Telefon automatische Zeitaktualisierungen aktiviert sind, und sich zu weigern, zu arbeiten, wenn dies korrekt ist.

Es gibt Erweiterungen für Kerberos, mit denen der Server seine aktuelle Zeit an den Client senden kann. Der Client verwendet diese Zeit anstelle seiner eigenen, aber Ihre Bank hat möglicherweise entschieden, diese Zeit nicht zu implementieren.

Berechtigter Grund:

Digitale Signatur- und Authentifizierungsschemata hängen im Allgemeinen von der richtigen Zeiteinstellung ab. Die Software verwendet möglicherweise einige Sicherheitstoken, die nur wenige Minuten (wie in Kerberos) oder sogar nur wenige Sekunden gültig sind. Dafür gibt es gute Gründe (wie zum Beispiel die Verhinderung der Wiederverwendung von Token durch böswillige Parteien).

Weniger legitime Gründe: Wie oben, aber Software, die UTC- und Zeitzonenberechnungen falsch macht. Nun, es passiert und solche Software funktioniert nur in ihrer eigenen Zeitzone (und bricht manchmal sogar aufgrund von DST-Änderungen oder etwas anderem ab).

Ein fehlgeleiteter Ansatz für Geolimits: Die Software funktioniert absichtlich nicht in einer anderen Zeitzone, da die Entwickler der Ansicht sind, dass nur Diebe und kein legitimer Benutzer sie im Ausland verwenden werden.

Ein falscher Ansatz für Datumsgrenzen: Ihre Transaktionsanforderung scheint ein Tag in der Zukunft oder in der Vergangenheit zu sein. Das zugrunde liegende Banktransaktionssystem kann einen Betrugsversuch erkennen.

usw. usw. ...

Angenommen, am 1. Juni 2020 ist ein Datenverstoß aufgetreten, bei dem der private Schlüssel für das Zertifikat von yourbank.example.com durchgesickert ist, und am 2. Juni 2020 hat die Zertifizierungsstelle, die das Zertifikat Ihrer Bank ausgestellt hat, einen Widerruf für dieses Zertifikat vorgenommen. Jeder, der den aktuellen Status dieses Zertifikats zwischen dem 2. Juni 2020 und dem Zeitpunkt des Ablaufs des Zertifikats anfordert und erhält, erhält eine Benachrichtigung, dass das alte Zertifikat nicht mehr gültig ist.

Wenn jedoch der Computer Die Uhr wurde auf den 1. August 2019 eingestellt. Ein Angreifer, der dies wusste und die Kontrolle über die Internetverbindung des Computers hatte, konnte Verbindungsversuche zu einer Vielzahl von falschen Servern leiten, einschließlich eines Servers, der behauptete, das Datum sei der 1. August 2019 und eine, die behaupten würde, dass das Zertifikat von yourbank.example.com nicht widerrufen wurde (zum 1. August 2019 wäre es nicht widerrufen worden). Während die Fähigkeit von Angreifern, dies auszunutzen, für Computeruhrwerte in der jüngeren Vergangenheit eingeschränkt sein kann, sind die Möglichkeiten für Unfug umso größer, je weiter die Uhr entfernt ist.

Solche Probleme verursachen etwas eines Catch-22 für Systeme, die nur sehr selten (z. B. alle paar Jahre) mit dem Internet verbunden werden und möglicherweise nicht wissen, wann sie eine Verbindung herstellen. Ohne ein Mittel, um zu wissen, ob das Zertifikat eines Zeitservers noch gültig ist, hätte man keine Möglichkeit zu wissen, ob die gemeldete Zeit von einem scheinbar Zeitserver böswillig manipuliert werden könnte. Das Erfordernis, dass Benutzer Uhrzeit und Datum einstellen, kann grob sein, aber wenn der Benutzer aufpasst, sollte es vor dieser Art von Manipulation schützen.