PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Onlinebanking


Web_Freak
2003-03-07, 19:01:24
Hallo

Welches Verfahren ist das sichere von beiden bzw. welche Erfahrungen habt ihr bisher mit den verschiedenen Verfahren gemacht?
Gemeint sind das PIN/TAN Verfahren oder HBCI.

Gruß
Web

Mähman
2003-03-07, 19:10:57
Dies ist zwar keine Antwort auf Deine Frage, aber ich finde Online-Banking generell unsicher, da verzichte ich lieber ganz darauf. Ein Verfahren, das sich jetzt als angeblich sicher erweist, kann sich plötzlich doch als unsicher erweisen.

mofa84
2003-03-07, 19:16:24
Hmm, ich kann dir da nicht mal sagen was der Unterschied ist obwohl ich es nutze.

Ich dachte immer nur HBCI sei der Entwickler von Onlinebanking-Software.
Weil bei T-Online-SW steht was von HBCI aber PIN und TAN braucht man trotzdem.

stabilo_boss13
2003-03-07, 19:37:42
Mofa hat eigentlich recht.
Die Schnittstellenspezifikation HBCI (Homebanking Computer Interface) ist nur der Übertragungsweg. Eigentlich steht da beim Kunden ein Chipkartenleser. Wurde aber bisher nicht so richtig akzeptiert. Deshalb ist für den Privatkunden HBCI-Pin/Tan gedacht.

Web_Freak
2003-03-07, 20:03:12
Originally posted by stabilo_boss13
Mofa hat eigentlich recht.
Die Schnittstellenspezifikation HBCI (Homebanking Computer Interface) ist nur der Übertragungsweg. Eigentlich steht da beim Kunden ein Chipkartenleser. Wurde aber bisher nicht so richtig akzeptiert. Deshalb ist für den Privatkunden HBCI-Pin/Tan gedacht.

Ich hab bis jetzt immer gedacht es wären zwei unterschiedliche paar Schuhe :).
Um auf diesen Chipkartenleser mal zu kommen: Meine vielleicht zukünftige Bank bietet auch so einen Leser an. Diese Gerät hat doch im Prinzip nur den Vorteil, dass ich PIN und/oder TAN nicht mehr in die Weboberfläche oder das Banking Programm eingebe oder liege ich da falsch?

Gruß
Web

stabilo_boss13
2003-03-07, 20:19:12
Originally posted by Web_Freak


Ich hab bis jetzt immer gedacht es wären zwei unterschiedliche paar Schuhe :).
Um auf diesen Chipkartenleser mal zu kommen: Meine vielleicht zukünftige Bank bietet auch so einen Leser an. Diese Gerät hat doch im Prinzip nur den Vorteil, dass ich PIN und/oder TAN nicht mehr in die Weboberfläche oder das Banking Programm eingebe oder liege ich da falsch?

Gruß
Web Nein. Ich glaube du hast da schon recht. Aber der Chipkartenleser oder dessen Überlassung kostet doch was. Oder nicht?

Web_Freak
2003-03-07, 20:26:05
Originally posted by stabilo_boss13
Nein. Ich glaube du hast da schon recht. Aber der Chipkartenleser oder dessen Überlassung kostet doch was. Oder nicht?

Bis jetzt habe ich noch keinen Preis gefunden. Ich werde aber mal anfragen.

Ist den die Variante mit dem Leser sicherer als über die Weboberfläche/Software? Im Prinzip müssen ja die Dateb trotzdem irgendwie übermittelt werden oder sehe ich das falsch?

Gruß
Web

Sir Integral Wingate Hellsing
2003-03-07, 20:29:56
Ich nutze das HBCI-Verfahren der Haspa (Hamburger Sparkasse).
das ist zwar nervig wg Schlüsseldiskette, aber die rüsten jetzt auch auf PIN/TAN um.

Hatte damit bisher auch keine Probs ;)

P.S.: Ja, ich logge mich über ein Web-Interface ein.

sun-man
2003-03-07, 20:51:33
Hi,
also ich möchte garnicht mehr ohne.
Vereins und Westbam ;) liefert gleich ne ausreichende Software mit (EFix) und das läuft dann über Diskette (HBCI).
Jetzt noch von Hand nen Überweisungsträger ausfüllen ? Unnötig und ein "Ich liebe Dich" kann man reinschreiben und es kommt genauso bei der Freundinn an...und die freut sich :)
Unter anderem ist das bei mir superaktuell, wenn ich 10 Minuten vorher was auf Karte kaufe dann sehe ich das sofort unter "ungebucht", weiß also jederzeit was ich noch habe.
IMHO gilt HBCI (PIN/TAN eingeben ist mir zu blöd) zwar nicht wirklich als supersicher, jedoch ist AFAIK weltweit kein einziger Fall bekannt wo es mißbraucht worden wäre, im Sinne von gehakt.

MFG

stabilo_boss13
2003-03-07, 21:36:00
Originally posted by Web_Freak


Bis jetzt habe ich noch keinen Preis gefunden. Ich werde aber mal anfragen.

Ist den die Variante mit dem Leser sicherer als über die Weboberfläche/Software? Im Prinzip müssen ja die Dateb trotzdem irgendwie übermittelt werden oder sehe ich das falsch?

Gruß
Web Also wenn es dir um die Übermittlung der Daten geht, dann ist klar, dass bei beiden Verfahren ungefähr die gleichen Daten ausgetauscht werden müssen. Diese werden jedoch sicher über das Secure Socket Layer Protokoll verschlüsselt übertragen. Der Schlüsselaustausch wird mit RSA 1024 Bit verschlüsselt, die Nutzdaten mit Triple-DES 112/168 Bit. Diese Verfahren gelten gemeinhin als sicher.
Von der Übertragung unterscheiden sich die beiden Verfahren also grundsätzlich nicht.
Der Unterschied besteht in der Authentifizierung. Also einmal Pin/Tan und dann HBCI entweder mit Schlüsseldiskette oder Chipkartenleser. Einen Pin musst du aber zumindest beim Kartenleser i.d.R. trotzdem eingeben.
Auch hier gelten beide Verfahren als sicher.

Die einzige wirkliche Gefahr von aussen sehe ich eigentlich nur in der sog. Man-In-the-Middle Attacke. Vereinfacht erklärt, sitzt hier ein Angreifer zwischen dir und der Bank. Er empfängt deine Daten, wertet sie aus und schickt sie an die Bank weiter. Dann erhält er die Daten von der Bank, wertet diese aus und sendet sie an dich weiter. Weder die Bank noch du merken so, dass sie eigentlich gar nicht miteinander kommunizieren.
Für diese Attacke sind beide Verfahren anfällig.

Einen hundert prozentigen Schutz gibt es auch beim Onlinebanking nicht. Aber die Wahrscheinlichkeit Opfer einer Man-In-the-Middle Attacke zu werden, ist imho auch nicht höher, als bei einem Banküberfall dabei zu sein.

greeny
2003-03-07, 22:13:47
Originally posted by Web_Freak
Ist den die Variante mit dem Leser sicherer als über die Weboberfläche/Software? Im Prinzip müssen ja die Dateb trotzdem irgendwie übermittelt werden oder sehe ich das falsch?
ist zumindest insofern sicherer, als dass sich da kein keylogger/trojaner zwischensetzen kann.

hier nochn thread zum thema onlinebanking:
http://www.forum-3dcenter.org/vbulletin/showthread.php?threadid=26507&highlight=onlinebanking

sun-man
2003-03-07, 22:57:04
Hi,

"Kann"...sicherlich. Möglich ist so einiges, aber was soll ein Keylogger helfen wenn PIN/TAN sich jedesmal ändert ? Die Keys wird man nicht voraussagen können, denke ich. Da ist die Möglichkeit das jemand ne Cam am Bankautomaten anbringt, die Geheimzahl filmt und Dir danach die Karte klaut sicherlich höher, oder hab ich da was falsch verstanden ?

MFG

DEAF BOY
2003-03-07, 23:00:21
Ich benutze Onlinebanking, um Überweisungen und Gutschriften zu gucken. Überweisung per OB mache ich nicht mehr.

greeny
2003-03-07, 23:41:18
Originally posted by Mogul
Hi,

"Kann"...sicherlich. Möglich ist so einiges, aber was soll ein Keylogger helfen wenn PIN/TAN sich jedesmal ändert ? Die Keys wird man nicht voraussagen können, denke ich.
mal n text von http://www.ndrtv.de/ratgebertechnik/themen/onlinebanking.html
Das Trojanische Pferd klaut jedes Geheimnis vorm Verschlüsseln:
Hilfsmittel: ein "Trojanisches Pferd", das sich jeder Hacker aus einer Anarcho-Datenbank herunterladen, für den Angriff präparieren und dann - unbemerkt für den Kontoinhaber - versteckt in einer e-mail auf dessen Computer installieren kann. Passworte, Schlüssel und sonstige Geheimnisse zum Online-Banking können so - wiederum unbemerkt vom Kontoinhaber - abgezapft und für Diebstähle mißbraucht werden, bevor der Bankkunde seine Daten verschlüsselt hat.

sun-man
2003-03-08, 01:53:04
Hi,

schöner Text...leider nur von 1999, was ein "bischen" alt ist ;)
Hab was aktuelleres für Dich.
Link (http://news.zdnet.de/story/0,,t101-s2110202,00.html)

ABER:
Ich habe seit mittlerweile 2 Jahre noch nichtmal annähernd sowas wie nen Virus gehabt und den Virenscanner schalte ich 1x in 2 Wochen an.
1. sicheres Mailprogramm
2. aktueller Scanner
3. man muß wissen was man saugt
4. Opera
5. Router mit geblockten Ports
6. Paßword zum Login ins Programm
7. Paßword zum verschicken der Kontodaten
8. Softwarefirewall der mir bisher jede Änderung von Programmen gemeldet hat die raus wollten

8 Punkte die noch nichtmal zu bemerken sind und der obige Link erfordert doch "etwas" mehr als die Möglichkeit mir nen Trojaner unterzuschieben. Dazu muß ich noch ne Datei anklicken oder nen Maillink und muß mich nicht wundern wenn seltsame Sachen passieren.
Vor kurzem kam ein Bericht, da hat ne Frau der ne EC Karte geklaut wurde Monatelang Rechnungen bekommen obwohl die Karte gesperrt war. Ich vermute mal das dieser Fall häufiger vorkommen dürfte als ein gehackter HBCI Account. Da ich Onlinebanking nicht über Firmenrechner mache müßten die schon meinen Rechner klauen, in's System kommen, mein Paßword der Software kennen, die Softwareversion haben,über anon. Proxy in's Netz gehen und das Paßword für's Konto haben....bevor ich alles gesperrt habe. Das sperren geht in ~10 Minuten über die Bühne, ich habs mal ausprobiert am Anfang...nach 10 Minuten hatte ich keinen Access mehr auf mein Konto.
Für mich ist das sicher genug und an diesen rechner kommt niemand außer mir und meiner Freundinn (die das PW nicht kennt)...ängstlich kann ich woanders sein :)

Außerdem geht es NICHT um's verschlüßeln wenn ich mit PIN/TAN arbeite,die werden ja eh nach jeder Benutzung gewechselt...OK, dann haben die meine Kontonummer und BLZ, super...die kriegen die an jeder Supermarktkasse wo ich mit Karte zahle einfacher ;)
Wer ganz auf Nummer sicher gehen will, der nutzt halt Linux...da wirds sowas ja auch geben...wenn nicht dann halt Unix/VMware + Windooze Software. Für "Städter" ist es oft kein Thema mal zur Bank zu rennen, je nachdem bei welcher Bank man ist und wieviele Filialen die haben, ich (Städter) nutze es trotzdem ausgiebig....ne Überweisung Abends mal eben schnell fertigzumachen kostet mich ein lächeln und Montag morgen ist die Kohle spätestens raus.

MFG

mofa84
2003-03-08, 03:22:26
Zum Thema Sicherheit möchte ich mal folgendes sagen:

Meiner Meinung nach ist Onlinebanking nicht unsicherer als sonst was.
Es gibt immer noch genügend Trickbetrüger die z.B. in den Schlitz des Geldautomaten nen 2., mit Klebeband versehenen, Schlitz stecken, das Opfer dann zu zweit ablenken, währendessen deine PIN ausspionieren und dann von dem Konto das Geld gemütlich abheben (hab gerade vorgestern so was im Fernsehen gesehen, wurde von der Überwachungskamera aufgenommen.

Onlinebanking halte ich für sicher, weil ich es einfach für unrealistisch halte dass ausgerechnet ich von einem Hacker ausspioniert werden sollte und der dann noch in den 10 Minuten die er bis zum automatischen Logout hat, noch ne richtige TAN findet.

Diese theoretische Unsicherheit wird imho nur von Zeitschriften usw. als Schlagzeile aufm Titelblatt verwendet um mehr Absatz zu kriegen wie üblich. Ich weiß nicht auswendig wie lange es dauert einen 56-Bit-Schlüssel zu knacken, aber ich weiß dass ähnliche Programme wie SETI über sehr lange Zeiträume versuchen den 128-Bit-Schlüssel einer eMail zu knacken.

Für mich ist diese Frage einfach überflüssig.

DEAF BOY
2003-03-10, 21:13:19
http://www.antville.org/img/orpheus/card.jpg

BloodyButcher
2003-03-11, 02:14:58
Originally posted by DEAF BOY
http://www.antville.org/img/orpheus/card.jpg

*LöööööööL* :lol: Knaller Bild!!!! :lol: :lol: *DirektMalSpeichern*