Hi, ich würde gerne wissen, ob man Onlinebanking auch mit Linux machen kann? Oder geht das nur mit Windows-Computern?
Wie immer: "Kommt darauf an". Das übliche Webbrowser-Onlinebanking funktioniert genauso wie am Mac und unter Windows.. Die SuperTolleSpezialHBCIBankingSoftware.exe läuft vielleicht sogar auch unter Wine. Aber eben nur vielleicht.
Das hängt wohl von der Bank und der Art des Onlinebanking ab... Browser + Freigabe App auf dem Handy oder irgendwelche Abscan-Sicherheitscodes gehen auf Linux genauso wie auf Windows. Uralte Cryptohardware mit Windows Only Treiber geht ehr selten.
Bankkontobesitzer schrieb: > Hi, ich würde gerne wissen, ob man Onlinebanking auch mit Linux > machen > kann? Oder geht das nur mit Windows-Computern? https://lmgtfy.app/?q=linux+online+banking+software&iie=1
Kann man Onlinebanking auch gut mit ein Linux auf USB-Sticks machen?
Claus P. schrieb: > Hibiscus, geht mit Win, MAc und Linux, kostenlos, habe ich seit Jahren > https://www.willuhn.de Es gibt auch ein gutes Supportforum https://www.homebanking-hilfe.de/forum/index.php?f=33
Bankkontobesitzer schrieb: > Kann man Onlinebanking auch gut mit ein Linux auf USB-Sticks machen? Natürlich. Sofern der Stick halt einen (halbwegs aktuellen) Browser enthält. Und du mit "Onlinebanking" die Benutzung des entsprechenden Web-Frontends deiner Bank meinst.
Welches Verfahren bevorzugt ihr - das, wo man einen Zweitcode auf das Smartphone mit einer App bekommt, oder das andere, wo man ein Tan-Generator an den Bildschirm hält und ein Code generiert wird, der dann eingetippt wird, bevor eine Transaktion gemacht wird?
Bankkontobesitzer schrieb: > Welches Verfahren bevorzugt ihr - ... Was hat das mit dem Thema des Thread zu tun?
Bankkontobesitzer schrieb: > das, wo man einen Zweitcode auf das Smartphone mit einer App bekommt, > oder das andere, wo man ein Tan-Generator an den Bildschirm hält und ein > Code generiert wird, der dann eingetippt wird, b TAN Generator mit Bankcard wurde bis jetzt noch nicht gehackt. PC mit Smartphone ist die Kombination von 2 Sicherheitslücken. Das macht den Angriff nur etwas unwahrscheinlicher.
Einige erkennen einen Troll auch dann nicht, wenn er direkt vor ihnen steht und Troll auf der Stirn steht.
Karl schrieb: > TAN Generator mit Bankcard wurde bis jetzt noch nicht gehackt. Wie macht der Tangenerator das eigentlich mit dem Tan? Wird die Tan über das Flackern im Bildschirm übertragen? Im Tangenerator erscheint ja auch der Betrag und die Knotonummer, wo es hingeschickt werden soll das Geld. Gibt es für Tangeneratoren spezielle Batterien? Bei dem gekauften Tangenerator haben die Knopfzellen ca. 3 Jahre gehalten. Dann waren sie leer. Die neuen Knopfzellen waren nach 2-3 Wochen schon wieder leer. Was kann die Ursache dafür sein?
Hallo Bankkontobesitzer. Bankkontobesitzer schrieb: > Hi, ich würde gerne wissen, ob man Onlinebanking auch mit Linux machen > kann? Oder geht das nur mit Windows-Computern? Das mache ich immer unter Linux in einem Webbroser und separatem TAN-Generator. Solange Du keine Bank hast, die auf ihrer Spezialsoftware besteht, sollte das also kein Problem sein. Wenn Du aber eine solche Spezialsoftware unbedingt bräuchtest, wäre ich misstrauisch gegenüber der Bank. Mit freundlichen Grüßen: Bernd Wiebus alias dl1eic http://www.l02.de
Bankkontobesitzer schrieb: > Wie macht der Tangenerator das eigentlich mit dem Tan? Wird die Tan über > das Flackern im Bildschirm übertragen? Im Tangenerator erscheint ja auch > der Betrag und die Knotonummer, wo es hingeschickt werden soll das Geld. Grob gesagt: Die angezeigten Daten und ein Startcode werden übertragen. Der TAN-Generator reicht das so an die eingesteckte Karte weiter, die noch einen Zähler dazugibt und ihrerseits daraus die TAN würfelt (sprich: sie mittels eines mathematischen Verfahrens unter Einbeziehung von auf der Karte selbst gespeicherten Daten errechnet), welche der TAN-Generator dann zusammen mit den anderen Daten anzeigt. Bankkontobesitzer schrieb: > Gibt es für Tangeneratoren spezielle Batterien? Bei dem gekauften > Tangenerator haben die Knopfzellen ca. 3 Jahre gehalten. Dann waren sie > leer. Die neuen Knopfzellen waren nach 2-3 Wochen schon wieder leer. Was > kann die Ursache dafür sein? Grob gesagt: es gibt verschiedene Qualitäten der Zellen. Die zu 2€ für acht Stück halten eher nicht lange …
Bankkontobesitzer schrieb: > Gibt es für Tangeneratoren spezielle Batterien? Du kannst auch ein Loch in das Gehäuse bohren und ein Anschlusskabel von den Batteriekontakten nach aussen führen. Daran kannst du dann einen Step-Down-WAndler anschliessen, der z.B. an einer Auto-Starter-Batterie hängt und auf die richtige Ausgeangsspannung eingestellt ist. An die Auto-Starter-Batterie dann noch einLadegrät anschliessen und deinen unterbrechungsfreien Transaktionen steht nichts mehr im Weg. Wenn es ganz umweltfreundlich sein soll, kannst du die Auto-Starter-Batterie auch über ein Solarpanel laden.
Hallo Bankkontobesitzer. Bankkontobesitzer schrieb: > Wie macht der Tangenerator das eigentlich mit dem Tan? Er berechnet aus dem Startwert zusammen mit Einträgen auf Deiner Bankkarte eine Schlüsselzahl (die Tan) sowie die Kontonummer und den Betrag zu Gegenprüfen. > Wird die Tan über > das Flackern im Bildschirm übertragen? Es wird ein Startwert übertragen, der passend zu Deiner Bankkarte auch den Betrag und die Kontonummer sowie die TAN verschlüsselt enthält. Bestandteil der Verschlüsselung sind Daten passend zu Deiner Bankkarte, so dass nur mit dieser das entschlüsseln gelingt. In Fällen, wo es nicht um Überweisungen geht, wird Dir möglicherweise statt des "Flackerns" auch einfach als Startwert eine Zahl gezeigt, die Du in den Tangenrator eintippen musst. > Gibt es für Tangeneratoren spezielle Batterien? Bei dem gekauften > Tangenerator haben die Knopfzellen ca. 3 Jahre gehalten. Dann waren sie > leer. Die neuen Knopfzellen waren nach 2-3 Wochen schon wieder leer. Was > kann die Ursache dafür sein? Die Batterien müssen nicht nur mechanisch und grob von der Spannung her passen, sondern schon recht genau (auch im Verhalten). Du solltest genau den Typ von Batterie verwenden, der auch dort im Batteriefach oder in der Bedienungsanleitung genannt ist, also nicht nur die Zahlenwerte, auch die Buchstabenkombination. Du kannst Dir dann nach Datenblatt einen Vergleichstypen heraussuchen, aber er sollte eben nicht nur mechanisch und von der Spannung her passen, auch vom Chemietyp, weil der gibt das Verhalten und Lagerfähigkeit ec. vor. Und Du musst natürlich Glück haben, und nicht an schlechte Qualität oder Überlagerte Ware geraten. Diese Batterien sind nicht speziell für Tangeneratoren, aber umgekehrt ist der Tangenerator für einen bestimmten Batterietyp gebaut und funktioniert damit am besten. Wenn Du dass hier nicht verstehst, bleibt Dir vorläufig nichts anderes, als Dich sehr genau an die Typenbezeichnung (Alles, Buchstaben und Zahlen) der Batterie zu halten. Mit freundlichen Grüßen: Bernd Wiebus alias dl1eic http://www.l02.de
Bernd W. schrieb: > Diese Batterien sind nicht speziell für Tangeneratoren, aber umgekehrt > ist der Tangenerator für einen bestimmten Batterietyp gebaut und > funktioniert damit am besten. Was für ein Unsinn!!! List sich wie "Ein Auto wurde für einen speziellen Reifentyp entwickelt". Wir (meine Frau und ich) haben nach einem kurzen Ausflug zu Kobil - die waren alle absoluter Mist - nur noch Reiner SCT und die laufen mit beliebiger Standard 2032 völlig problemlos - und ich habe als Freiberufler wirklich viele Kontobewegungen >3000 / Jahr
usuru schrieb: > Wir (meine Frau und ich) haben nach einem kurzen Ausflug zu Kobil - die > waren alle absoluter Mist - nur noch Reiner SCT und die laufen mit > beliebiger Standard 2032 völlig problemlos - und ich habe als > Freiberufler wirklich viele Kontobewegungen >3000 / Jahr Mein Kobil von der VR läuft damit auch problemlos.
Ich mache Onlinebanking schon immer nur mit Linux. Mit Windows wäre mir das zu riskant.
Wie kommst du nur auf so einen Quatsch? usuru schrieb: > Wir (meine Frau und ich) haben nach einem kurzen Ausflug zu Kobil - die > waren alle absoluter Mist - nur noch Reiner SCT und die laufen mit > beliebiger Standard 2032 völlig problemlos - und ich habe als > Freiberufler wirklich viele Kontobewegungen >3000 / Jahr Ja, und das Ding braucht auch keine Batterie. Ist nur viel umständlicher geworden als unter HBCI. Εrnst B. schrieb: > Die SuperTolleSpezialHBCIBankingSoftware.exe läuft vielleicht sogar auch > unter Wine. Aber eben nur vielleicht. Wo gibt es noch HBCI? Was hast du gegen solche Programme wie ALF?
Hallo Usuru. usuru schrieb: > Bernd W. schrieb: >> Diese Batterien sind nicht speziell für Tangeneratoren, aber umgekehrt >> ist der Tangenerator für einen bestimmten Batterietyp gebaut und >> funktioniert damit am besten. > > Was für ein Unsinn!!! List sich wie "Ein Auto wurde für einen speziellen > Reifentyp entwickelt". Das ist ja auch so. An ein Auto passt nur eine geringe Bandbreite an Reifentypen. Eben die, für die es gebaut wurde. Dass umfasst Sommer/Winter und sonstige Typen mit unterschiedlichem Profil oder innerem Aufbau. mit und ohne Schlauch. Weichst Du davon zu weit ab, z.B. in Breite und Durchmesser, wird es problematisch. Montierst Du z.B. zu breite Reifen, kann der Wagen möglicherweise noch gut geradeaus fahren, aber beim Lenken streifen die Reifen dann an. Wenn Du es nicht glaubst das manche Reifen nicht passen, dann baue testweise doch mal einen Reifen für einen schweren LKW an einen Smart. ;O) Bei Batterien und TAN-Generatoren ist es ähnlich. Ein TAN-Generator funktioniert mit einer gewissen Bandbreite an Spannung entsprechend voller und leerer Batterie, und er lässt dabei einen bestimmten Strom fliessen. Wenn Du nun einen anderen Batterietyp verwendest, der voll schon im unteren Bereich der nötigen Spannung liegt, funktioniert der TAN-Generator nicht lange, obwohl die Batterie noch gut voll ist. Verwendest Du einen Batterietyp, der zwar die volle Spannung liefert, aber einen hohen Innenwiderstand hat, bricht die Batteriespannung stark ein, sobald Strom fließt. Dann funktioniert der TAN-Generator auch nicht mehr, obwohl die Batterie noch voll ist. Mit freundlichen Grüßen: Bernd Wiebus alias dl1eic http://www.l02.de
Bernd W. schrieb: > Ein TAN-Generator > funktioniert mit einer gewissen Bandbreite an Spannung entsprechend > voller und leerer Batterie, und er lässt dabei einen bestimmten Strom > fliessen. Das ist aber nun keine exklusive Eigenschaft der TAN-Generatoren; vielmehr trifft das auf jedes batteriebetriebene Gerät zu. Es gibt auch keine spezielle Batterie für diese Teile – was ja die Frage war. Wenn da „CR2032 3V“ draufsteht, wird es mit jeder Batterie funktionieren, die dem entspricht – je nach Kapazität der Batterie halt mehr oder weniger lange.
Hallo Jack. Jack V. schrieb: > Das ist aber nun keine exklusive Eigenschaft der TAN-Generatoren; > vielmehr trifft das auf jedes batteriebetriebene Gerät zu. Es gibt auch > keine spezielle Batterie für diese Teile – was ja die Frage war. > Aber verschiedene Batterietypen funktionieren darin unterschiedlich gut. > Wenn da „CR2032 3V“ draufsteht, wird es mit jeder Batterie > funktionieren, die dem entspricht – je nach Kapazität der Batterie halt > mehr oder weniger lange. Das ist richtig. Aber wenn der TAN-Generator eine CR2032 (Lithium-Mangan-Type, 3V) benötigt, und Du verwendest eine LR2032 (Alkali-Mangan-Type, 1,5V) dann hast Du wahrscheinlich sofort ein Problem. Eine SR2032 (Silber-Oxid-Typ, 3V) funktioniert, aber nicht lange, weil die nicht für einen so hohen Strom gedacht sind. Mechanisch passen tun sie aber alle. Darum schrieb ich ja oben, Buchstaben und Zahlen der Bezeichnung müssen passen. Die Hersteller machen den Wirrwar noch schlimmer, weil irgendwie jeder eine mehr oder weniger abweichende Nomenklatur hat. In intransparenten Märkten lassen sich Kunden halt besser abziehen. Mit freundlichen Grüßen: Bernd Wiebus alias dl1eic http://www.l02.de
michael_ schrieb: > Wo gibt es noch HBCI? Immer weniger. Wegen der diversen Zahlungsdienstleister-Richtlinien bieten die Banken hauptsächlich (gezwungenermaßen) Cloud-Basierte Schnittstellen zu 3rd-Party-"Fintech"-Apps an... Datenschutzfreundliche Direktverbindungen sind nicht "Hip". > Was hast du gegen solche Programme wie ALF? Nix. Hab nur momentan keine Verwendung dafür. Für die Firmenkonten brauch ich EBICS, und die Software die ich dafür nutze läuft problemlos am Server (Java). Das zugehörige 2-Factor-Auth - Programm ist zwar ein Windows EXE, läuft aber unter Wine. Und die privaten Konten haben ganz normales Onlinebanking im Webbrowser, das geht überall.
Angehängte Dateien:
-
TAN_USB.jpg
25 KB
Jack V. schrieb: > Bernd W. schrieb: >> Ein TAN-Generator >> funktioniert mit einer gewissen Bandbreite an Spannung entsprechend >> voller und leerer Batterie, und er lässt dabei einen bestimmten Strom >> fliessen. > > Das ist aber nun keine exklusive Eigenschaft der TAN-Generatoren; > vielmehr trifft das auf jedes batteriebetriebene Gerät zu. Es gibt auch > keine spezielle Batterie für diese Teile – was ja die Frage war. > > Wenn da „CR2032 3V“ draufsteht, wird es mit jeder Batterie > funktionieren, die dem entspricht – je nach Kapazität der Batterie halt > mehr oder weniger lange. mein TAN-Generator hängt an USB aber nur für den Strom ;-)
Bankkontobesitzer schrieb: > Gibt es für Tangeneratoren spezielle Batterien? Bei dem gekauften > Tangenerator haben die Knopfzellen ca. 3 Jahre gehalten. Dann waren sie > leer. Die neuen Knopfzellen waren nach 2-3 Wochen schon wieder leer. Es gibt auch Tangeneratoren die mit 2xAAA Batterien auskommen. Das ist bspw. bei meinem Fototangenerator der Fall. Welchen Tangenerator du benutzen musst, hängt von deiner Bank ab. Secoder und HBCI waren mal als standardisierte Geräte gedacht und sind, wenn ich mich nicht irre, auch für Elster und andere Sachen verwendbar. Allerdings stellen sich viele Banken bezüglich Secoder und HBCI sturr. Da hilft nur ein Wechsel der Bank. Ein weiterer Nachteil ist, dass diese Geräte mit teils über 100 € eigentlich viel zu teuer sind. Ein normaler Tan Generator, der dann meist nur für deine Bank passt, kostet dagegen meist höchstens nur 10 €.
Nano schrieb: > Secoder und HBCI waren mal als standardisierte Geräte gedacht Nach HBCI geht der Secoder auch weiter fürs Banking. Brauchst nur eine neue Karte von deiner Bank. Die Secoder Soft gibt es auch für Linux.
Nano schrieb: > Ein normaler Tan Generator, der dann meist nur für deine Bank passt, > kostet dagegen meist höchstens nur 10 €. Falls es weiterhin um die ChipTAN-Dinger geht, die man zum Lesen eines Flickercodes an den Bildschirm hält: die sind generisch – da kann man einfach einen kaufen und loslegen.
Bernd W. schrieb: > Bankkontobesitzer schrieb: > >> Wie macht der Tangenerator das eigentlich mit dem Tan? > > Er berechnet aus dem Startwert zusammen mit Einträgen auf Deiner > Bankkarte eine Schlüsselzahl (die Tan) sowie die Kontonummer und den > Betrag zu Gegenprüfen. Das ist falsch, die TAN wird auf der Karte berechnet, sonst müsste das Secret die Karte verlassen. Genau das will man ja gerade nicht. Daraus folgt, das auch... Nano schrieb: > Welchen Tangenerator du benutzen musst, hängt von deiner Bank ab. ...falsch ist. Wenn man einen weiteren theoretischen Angriffsweg ausschließen will, nimmt man nicht Chip-TAN mit optischer Übertragung (Flicker-Code), sondern tippt die Daten manuell ein.
PS: Chip-TAN ist übrigens aus Sicherheitsaspekten, bezogen auf die am Markt angebotenen Verfahren, ausdrücklich zu empfehlen.
Hallo, ich. ich³ schrieb: > > Das ist falsch, die TAN wird auf der Karte berechnet, sonst müsste das > Secret die Karte verlassen. Genau das will man ja gerade nicht. > Danke für die Info. Ich dachte, auf der Karte würden nur Daten gespeichert. > Wenn man einen weiteren theoretischen Angriffsweg ausschließen will, > nimmt man nicht Chip-TAN mit optischer Übertragung (Flicker-Code), > sondern tippt die Daten manuell ein. Das ist auch bequemer als die Fenstervergrößerung grob anzupassen und dann mit dem TAN-Generator noch den richtigen Abstand und Winkel zu suchen. Leider wird das selten angeboten. Gibt es für diese Manuelle Methode einen Fachbegriff, nach dem man bei der Bank fragen kann, und die wiessen sofort was gemeint ist? Mit "manuell" meinen die immer das Gefummel mit dem Flicker Code. Mit freundlichen Grüßen: Bernd Wiebus alias dl1eic http://www.l02.de
Hallo ich. ich³ schrieb: > PS: Chip-TAN ist übrigens aus Sicherheitsaspekten, bezogen auf die am > Markt angebotenen Verfahren, ausdrücklich zu empfehlen. Hast Du da etwas zitierfähiges? Das könnte die Diskussion mit der Bank abkürzen, weil die Banken versuchen einem ja immer Handy Apps aufzudrängen. Mit freundlichen Grüßen: Bernd Wiebus alias dl1eic http://www.l02.de
Gibts den Flickercode überhaupt noch? Meine Volksbank hat schon lange auf so einen bunten QR-Code umgestellt. Mit passendem Gerät funktioniert das auch viel besser als der ehemalige Flickercode.
Bernd W. schrieb: > Hast Du da etwas zitierfähiges? Das könnte die Diskussion mit der Bank > abkürzen, weil die Banken versuchen einem ja immer Handy Apps > aufzudrängen. Dass Handyapps aus Prinzip unsicherer sind als ein separates Gerät, ist ja selbstverständlich. Dazu braucht man keine überteuerte Studie.
Bernd W. schrieb: > Das ist auch bequemer als die Fenstervergrößerung grob anzupassen und > dann mit dem TAN-Generator noch den richtigen Abstand und Winkel zu > suchen. Hmm. Nach meiner Erfahrung (ReinerSCT) ist die Empfangsoptik so flexibel, dass sich auf praktisch jedem Endgerät problemlos ein Browser-Zoom finden läßt, der hinreichend passend ist. Und die meisten Browser können sich das dann sogar merken. Der Aufwand fällt also nur einmal an. Der Abstand ist völlig unkritisch, immer direkt an den Bildschirm halten. Der Winkel allerdings ist erstaunlicherweise tatsächlich kritisch, insbesondere senkrecht draufhalten klappt praktisch nie. Keine Ahnung, warum das so ist, vermutlich sind die Sensoren zu "empfindlich" und übersteuern bei heute typischen Display-Helligkeiten. Ich würde mal darauf tippen, dass hier Fototransistoren verwendet wurden und diese in die Sättigung getrieben werden, wenn's zu hell ist. Ich jedenfalls benutze ca. 45°, das funktioniert mit allen meinen Monitoren bzw. Gerätedisplays brauchbar bis perfekt. > Gibt es für diese Manuelle Methode einen Fachbegriff, nach dem man bei > der Bank fragen kann, und die wiessen sofort was gemeint ist? Mit > "manuell" meinen die immer das Gefummel mit dem Flicker Code. Ja, weil das, unter Sicherheitsaspekten betrachtet, hinreichend "manuell" ist. Der einzige Unterschied zur kompletten Handeingabe: man spart eben selbige und muss nur noch die Daten prüfen und bestätigen. Ich finde, diese Lösung ist ein akzeptabler Kompromiss. Noch schöner wäre natürlich ein kamerabasiertes System mit einem 2D-Code. Aber dann wären die Endgeräte deutlich teuerer und auch ihre Batterien würden längst nicht so lange halten.
c-hater schrieb: > Noch schöner > wäre natürlich ein kamerabasiertes System mit einem 2D-Code. Aber dann > wären die Endgeräte deutlich teuerer und auch ihre Batterien würden > längst nicht so lange halten. Gibt’s ja – nennt sich PhotoTAN. Dafür gibt es Apps, aber auch Standalone-Geräte. Letztere waren gar nicht so teuer, und für Ersteres hätte es ein ausgedientes altes Telephon getan, dem man die Datenverbindungen gekappt hat. Hat sich leider nicht durchgesetzt – war wahrscheinlich zu flexibel und zu sicher. Oder warum sonst wird überall das Verfahren über Datenverbindung und App mit Rückkanal propagiert, das ausschließlich auf potentiell unsicheren Endgeräten mit Netzanbindung läuft⸮
Jack V. schrieb: > Gibt’s ja – nennt sich PhotoTAN. Dafür gibt es Apps, aber auch > Standalone-Geräte. Letztere waren gar nicht so teuer, und für Ersteres > hätte es ein ausgedientes altes Telephon getan, dem man die > Datenverbindungen gekappt hat. Naja, das ist nicht dasselbe, da fehlt eine wesentliche Sicherheitskomponente: der physische Besitz (der Bank- bzw. Kreditkarte).
Nano schrieb: > Secoder und HBCI waren mal als standardisierte Geräte gedacht und sind, > wenn ich mich nicht irre, auch für Elster und andere Sachen verwendbar. > Allerdings stellen sich viele Banken bezüglich Secoder und HBCI sturr. > Da hilft nur ein Wechsel der Bank. Meine Sparkasse stellt HBCI (mit Chipkarte) zum Ende des Jahres ein. > Ein normaler Tan Generator, der dann meist nur für deine Bank passt, > kostet dagegen meist höchstens nur 10 €. Der TAN-Generator der Volksbank funktionierte auf Anhieb auch bei der Sparkasse. Ich muss ja zugeben, das der Wechsel auf den TAN-Generator das ganze schon etwas flexibler gemacht hat, weil man nicht mehr zwangsweise auf die HBCI-Hardware und -Software angewiesen ist. Gerade wenn man oft unterwegs ist oder mehr als 1 Wohnung hat macht sich das positiv bemerkbar. ich³ schrieb: > Wenn man einen weiteren theoretischen Angriffsweg ausschließen will, > nimmt man nicht Chip-TAN mit optischer Übertragung (Flicker-Code), > sondern tippt die Daten manuell ein. Deshalb werden einem die Überweisungsdaten ja nach Ablesen des Flicker-Codes am TAN-Rechner nochmal angezeigt. Bernd W. schrieb: >> Wenn man einen weiteren theoretischen Angriffsweg ausschließen will, >> nimmt man nicht Chip-TAN mit optischer Übertragung (Flicker-Code), >> sondern tippt die Daten manuell ein. > > Das ist auch bequemer als die Fenstervergrößerung grob anzupassen und > dann mit dem TAN-Generator noch den richtigen Abstand und Winkel zu > suchen. Die zwei Klicks auf das Vergrößern-Symbol find ich bedeutend bequemer als einen kryptischen Startcode und dann einen Teil der IBAN auf dem TAN-Rechner einzutippen. Abstand braucht man keinen, wenn man den Rechner einfach direkt an den Monitor hält.
c-hater schrieb: > Naja, das ist nicht dasselbe, da fehlt eine wesentliche > Sicherheitskomponente Stimmt leider.
Bernd W. schrieb: > Danke für die Info. Ich dachte, auf der Karte würden nur Daten > gespeichert. Nein, das wäre aus Sicherheitsaspekten eine Katastrophe. Ich will das hier nicht vertiefen, Kryptographie ist ein sehr weites Feld. Nur soviel, stark vereinfacht: Die Karte kann nicht nur rechnen, sie trägt auch Teile eines geheimen Schlüssels. Würde sie diesen preisgeben müssen (Generator rechnet) oder würde man ihn ihr anderweeitig entlocken, wäre das ganze System nachhaltig kompromittiert. > Leider wird das selten angeboten. Die Generatoren können es eigentlich nahezu immer, aber die Optionen bietet wohl nicht (mehr) jede Bank oder es ist im Onlinebanking tief vergraben. Hatte auch schon den Fall, da genügte ein Anruf bei der Bank und schon war es umgestellt. Bernd W. schrieb: > Hast Du da etwas zitierfähiges? Das könnte die Diskussion mit der Bank > abkürzen, weil die Banken versuchen einem ja immer Handy Apps > aufzudrängen. Du darfst mich zitieren, ich bin da beruflicherseits durchaus schon länger involviert ;) Im Ernst: Die Frage stellt sich nicht, min. zwei Faktoren, wobei einer keinerlei ständige Datenverbindung zur Außenwelt unterhält und/oder benötigt(!), sind schon ein ziemliches Pfund. Die ganzen dämlichen Apps und SMS-Systeme, bei denen schon das Wirtssytem eine Angriffsfläche wie alle Scheunentore der Welt zusammen bietet, sind völlig indusktabel. Hinzu kommt die Datenübertragung über potentiell unsichere und öffentliche Netze. Wie bei den meisten Verfahren hat man natürlich auch hier verloren, wenn Generator & Karte zusammen "neue Freunde" finden. Reinhard S. schrieb: > ich³ schrieb: >> Wenn man einen weiteren theoretischen Angriffsweg ausschließen will, >> nimmt man nicht Chip-TAN mit optischer Übertragung (Flicker-Code), >> sondern tippt die Daten manuell ein. > > Deshalb werden einem die Überweisungsdaten ja nach Ablesen des > Flicker-Codes am TAN-Rechner nochmal angezeigt. Schon klar. Der "theoretische Angriffsweg" bezog sich hier auf die Manipulation des Flicker- oder QR-Codes sowie der übertragenen Überweisungsdaten im Onlinebanking, kombiniert mit der Unaufmerksamkeit des Nutzers. Zugegeben, dieses Szenario ist sehr unwahrscheinlich, denn wenn es jemand schafft, die SSL-Verbindung derart aufzubrechen, hat man ganz andere Sorgen ;)
ich³ schrieb: > Nur > soviel, stark vereinfacht: Die Karte kann nicht nur rechnen, sie trägt > auch Teile eines geheimen Schlüssels. Würde sie diesen preisgeben müssen > (Generator rechnet) oder würde man ihn ihr anderweeitig entlocken, wäre > das ganze System nachhaltig kompromittiert. Dazu fällt mir gerade ein Beispiel eines landläufigen Missverständnises ein: Premiere in den frühen digitalen Jahren. Da hieß es im Volksmund immer, die Verschlüsselung sei geknackt. Das stimmt bis heute aus kryptographischer Sicht nicht! Nicht die Verfahen wurden "geknackt", sondern die frühen Karten haben, nach entsprechender Betüddelung, deutlich mehr verraten als sie sollten.
ich³ schrieb: > Dazu fällt mir gerade ein Beispiel eines landläufigen Missverständnises > ein: Premiere in den frühen digitalen Jahren. Da hieß es im Volksmund > immer, die Verschlüsselung sei geknackt. Das stimmt bis heute aus > kryptographischer Sicht nicht! Nicht die Verfahen wurden "geknackt", > sondern die frühen Karten haben, nach entsprechender Betüddelung, > deutlich mehr verraten als sie sollten. Das siehst du falsch. Natürlich wurde die Verschlüsselung effektiv geknackt. Aus kryptographischer Sicht ist das eine klassische "Known-Plain-Text"-Attacke gewesen. Sogar unter erschwerten Umständen, dann tatsächlich war ja nichtmal wirklich der "plain text" bekannt, sondern nur gewisse Gesetzmäßigkeiten über seinen Inhalt. Das zusammen mit der schieren Masse der verfügbaren "plain-text"-Daten hat dann die Rekonstruktion der Schlüssel ermöglicht.
c-hater schrieb: > Das siehst du falsch. Ganz sicher nicht. Ich bin seit der ersten Stunde dabei, noch bevor irgendwas public wurde.
ich³ schrieb: > Da hieß es im Volksmund > immer, die Verschlüsselung sei geknackt. Das stimmt bis heute aus > kryptographischer Sicht nicht! Nicht die Verfahen wurden "geknackt", > sondern die frühen Karten haben, nach entsprechender Betüddelung, > deutlich mehr verraten als sie sollten. War denn das/die Verfahren überhaupt jemals geheim? Nagravision wohl kaum, da war ja schon optisch erkennbar wie die Verschlüsselung funktioniert. Und Software wie z.b. "PUBS" konnte bereits auf einem Pentium233 die Zeilen in Echtzeit wieder weitestgehend richtig zusammenbasteln. Beim digitalen BetaCrypt war das dann wohl nicht mehr so einfach, aber als Spezialfall von Irdeto, sollte doch das Verfahren an sich, doch ebenfalls bekannt und gut dokumentiert sein? Oder nicht?
Radioaktiv schrieb: > Nagravision wohl kaum, da war ja schon optisch erkennbar wie die > Verschlüsselung funktioniert. Und Software wie z.b. "PUBS" konnte > bereits auf einem Pentium233 die Zeilen in Echtzeit wieder weitestgehend > richtig zusammenbasteln. Das war analog, deswegen schrieb ich "Premiere in den frühen digitalen Jahren". "Digital" war hier das Zauberwort ;) > Beim digitalen BetaCrypt war das dann wohl nicht mehr so einfach, aber > als Spezialfall von Irdeto, sollte doch das Verfahren an sich, doch > ebenfalls bekannt und gut dokumentiert sein? Oder nicht? Ja, natürlich. Jedes gute Verfahren ist vollumfänglich offengelegt, Security by obscurity ist Wunschdenken von Nixverstehern.
ich³ schrieb: > Wie bei den meisten Verfahren hat man natürlich auch hier verloren, wenn > Generator & Karte zusammen "neue Freunde" finden. Der Generator ist doch hier kein Geheimnisträger und kann beliebig herumgereicht werden. Mit der PIN wird ein Schuh draus.
ich³ schrieb: > PS: Chip-TAN ist übrigens aus Sicherheitsaspekten, bezogen auf die am > Markt angebotenen Verfahren, ausdrücklich zu empfehlen. Linux und Cardtan = Chiptan ist die dzt. sicherste Methode. Google und Twitter sowie auch andere haben schon auf Wunsch FIDO im Repertoire. Das ist dann der Anbruch der passwordlosen Zeit.
batman schrieb: > ich³ schrieb: >> Wie bei den meisten Verfahren hat man natürlich auch hier verloren, wenn >> Generator & Karte zusammen "neue Freunde" finden. > > Der Generator ist doch hier kein Geheimnisträger und kann beliebig > herumgereicht werden. Mit der PIN wird ein Schuh draus. Die PIN der Chipkarte spielt beim Online-Banking doch aber keine Rolle?
Reinhard S. schrieb: > Die PIN der Chipkarte spielt beim Online-Banking doch aber keine Rolle? Die PIN schaltet die Karte frei, ohne PIN funktioniert sie nicht.
bingo schrieb: > Die PIN schaltet die Karte frei, ohne PIN funktioniert sie nicht. ChipTAN funktioniert ohne PIN.
Karl schrieb: > Gibts den Flickercode überhaupt noch? Ja, besonders nervig bei der DKB: Für jedes Login brauche ich Karte und Flackercode, andere Banken fragen es beim Login angeblich nur alle paar Wochen ab. Jack V. schrieb: > Gibt’s ja – nennt sich PhotoTAN. Dafür gibt es Apps, aber auch > Standalone-Geräte. Letztere waren gar nicht so teuer, PhotoTAN wird von der DiBa angeboten, das Gerät soll 32 Euro kosten. Interessant finde ich, dass es ohne Bankkarte arbeitet, was aber nur für eine begrenzte Gruppe von Banken so sein soll. Reinhard S. schrieb: >> Der Generator ist doch hier kein Geheimnisträger und kann beliebig >> herumgereicht werden. Mit der PIN wird ein Schuh draus. > > Die PIN der Chipkarte spielt beim Online-Banking doch aber keine Rolle? Die Karten-PIN wird im Internet niemals eingegeben, die ist ausschließlich für Geldautomaten und Zahlungsterminals.
Jack V. schrieb: > bingo schrieb: >> Die PIN schaltet die Karte frei, ohne PIN funktioniert sie nicht. > > ChipTAN funktioniert ohne PIN. Bei welcher Bank geht Chip-TAN ohne PIN? Es geht natürlich um die Online-PIN bzw. auch Passwort o.ä. Secret für den Zugang zum Onlinebanking? Da bräuchte der Angreifer ja nur die Karte allein aus der Brieftasche ziehen für einen Vollzugriff aufs Konto. Den TAN-Generator bekommt er in jedem gutsortierten Kaufhaus.
batman schrieb: > Bei welcher Bank geht Chip-TAN ohne PIN? Es geht natürlich um die > Online-PIN bzw. auch Passwort o.ä. Secret für den Zugang zum > Onlinebanking? Da bräuchte der Angreifer ja nur die Karte allein aus der > Brieftasche ziehen für einen Vollzugriff aufs Konto. Nichts durcheinander bringen. "PIN" meint normalerweise die PIN einer Karte. Die wird zur Anmeldung beim Online-Banking aber nicht benötigt. Da wird nur des normale Double aus Benutzername/Kontonummer und Passwort benötigt. Und weil das allein relativ leicht auszuspähen ist, gibt es halt zusätzlich die Prozedur über z.B. ChipTAN. Mit der wird an dieser Stelle de facto eigentlich nur eins geprüft: dass der sich Anmeldende nicht nur Kontonummer und Passwort des Logins kennt, sondern auch eine zum Konto gehörende Karte physisch besitzt. Zusätzlich wird auch noch sicher gestellt, dass die Gegenstelle (also die Bankseite) die ist, die sie zu sein vorgibt. Ja, die Prozedur nervt schon. Aber sie ist ein ziemlicher Gewinn an Sicherheit. Nur Völlig Blinde Wichser erkennen das nicht. Das sind dann aber auch typisch die, die am lautesten schreien: "Wie konnte das passieren", wenn irgendwer ihr Konto abgeräumt hat... Grenzdebile Idioten halt...
Jack V. schrieb: > Nano schrieb: >> Ein normaler Tan Generator, der dann meist nur für deine Bank passt, >> kostet dagegen meist höchstens nur 10 €. > > Falls es weiterhin um die ChipTAN-Dinger geht, die man zum Lesen eines > Flickercodes an den Bildschirm hält: die sind generisch – da kann man > einfach einen kaufen und loslegen. Das gilt AFAIK aber nur für die mit Flickercode bzw. diejenigen, wo man eine EC Karte reinstecken muss. Für Fototangeneratoren gilt das schon wieder nicht mehr. Persönlich bevorzuge ich einen Tangenerator der ohne EC Karte auskommt. Grund: Meine EC Karte setze ich überall ein. Am Bankautomaten, an der Kasse usw.. Das bedeutet, da hat man alle Viren und Bakterien drauf, die man sich ausdenken kann. Angefangen vom Griff des Einkaufswagen bis hin zu dem, was die Supermarktverkäuferin an ihrer Hand hat. Die EC Karte kann man also als kontaminiert einstufen. Und da ich nach dem Einkaufen immer meine Hände wasche und daher mein PC Arbeitsplatz* per Definition als "sauber" gilt, wird das immer beim Online Banking ne eklige Angelegenheit, wenn man seine EC Karte aus dem ebenfalls kontaminierten Geldbeutel herauskramen und am PC mit dem Tangenerator nutzen muss. *) Gut genaugenommen stimmt das nicht so ganz. Es heißt, dass ein Waschbecken und eine Klobrille Zuhause sauberer ist als eine Tastatur und Maus, aber die EC Karte, die noch außerhalb herumging, ist noch einmal eine ganz andere Geschichte. Deswegen bevorzuge ich Banken wo ich Tan Generatoren nutzen kann, bei denen ich keine EC Karte brauche. Und das sind dann leider TAN Generatoren, die ans Bankkonto gebunden sind. Man könnte sich zwar eine zweite EC Karte für die Arbeiten Zuhause zulegen, aber die kosten oft extra Geld und das nicht nur einmal.
ich³ schrieb: > Bernd W. schrieb: >> Bankkontobesitzer schrieb: >> >>> Wie macht der Tangenerator das eigentlich mit dem Tan? >> >> Er berechnet aus dem Startwert zusammen mit Einträgen auf Deiner >> Bankkarte eine Schlüsselzahl (die Tan) sowie die Kontonummer und den >> Betrag zu Gegenprüfen. > > Das ist falsch, die TAN wird auf der Karte berechnet, sonst müsste das > Secret die Karte verlassen. Genau das will man ja gerade nicht. Falsch, siehe unten. > Daraus folgt, das auch... > > Nano schrieb: >> Welchen Tangenerator du benutzen musst, hängt von deiner Bank ab. > > ...falsch ist. Falsch! Es hängt hier von der Art des Tangenerators ab. Muss der mit Karte benutzt werden, dann gilt das was du sagst. Ist es aber einer der ohne Karte funktioniert, dann ist er an das Bankkonto gebunden und dann wird die TAN im Tangenerator vom Tangenerator berechnet. > Wenn man einen weiteren theoretischen Angriffsweg ausschließen will, > nimmt man nicht Chip-TAN mit optischer Übertragung (Flicker-Code), > sondern tippt die Daten manuell ein. Sowohl beim Flickercode als auch beim Fototanverfahren gehen die Daten vom PC nur in eine Richtung. Und in den PC wird nicht mehr eingegeben, als die TAN und das erfolgt dann manuell. Insofern besteht hier gar kein theoretischer Angriff der deine Bankdaten gefährden könnte. Das schlimmste was dir passieren kann wäre ein DOS an den Tangenerator oder ein Umschreiben der Firmware, falls der Tangenerator das über den Flickercode erlaubt, so dass du den nicht mehr benutzen kannst, daher DOS. Aber an deine Kontodaten oder Geld kommt so niemand.
Bernd W. schrieb: > Das ist auch bequemer als die Fenstervergrößerung grob anzupassen und > dann mit dem TAN-Generator noch den richtigen Abstand und Winkel zu > suchen. > > Leider wird das selten angeboten. > > Gibt es für diese Manuelle Methode einen Fachbegriff, nach dem man bei > der Bank fragen kann, und die wiessen sofort was gemeint ist? Mit > "manuell" meinen die immer das Gefummel mit dem Flicker Code. Die manuelle Eingabe ist eigentlich nur dafür da, wenn der Flickercode bei dem gegebenen Bildschirm und Sonnenlichteinfluss Probleme macht. Bequemer ist das Eintippen nicht. Wenn es doof läuft, dann sind die gerade eingetippten Eingaben schneller weg, als du deine Daten überprüfen kannst. Manche Tan Generatoren schalten sich nämlich zu schnell ab.
Karl schrieb: > Gibts den Flickercode überhaupt noch? Meine Volksbank hat schon lange > auf so einen bunten QR-Code umgestellt. Mit passendem Gerät funktioniert > das auch viel besser als der ehemalige Flickercode. Das mit dem QR-Code ist FotoTAN und geht ohne Karte. Den Flickercode gibt es noch bei manchen Banken. Auch so manche Volksbank nutzt den noch.
c-hater schrieb: > >> Gibt es für diese Manuelle Methode einen Fachbegriff, nach dem man bei >> der Bank fragen kann, und die wiessen sofort was gemeint ist? Mit >> "manuell" meinen die immer das Gefummel mit dem Flicker Code. > > Ja, weil das, unter Sicherheitsaspekten betrachtet, hinreichend > "manuell" ist. Der einzige Unterschied zur kompletten Handeingabe: man > spart eben selbige und muss nur noch die Daten prüfen und bestätigen. Manuell ist nur eine Fehlerquelle mehr und langsam. Zwar dürfte es Fehlerkorrekturen geben, aber dann muss man ja trotzdem die Eingabe korrigieren. > Noch schöner > wäre natürlich ein kamerabasiertes System mit einem 2D-Code. Aber dann > wären die Endgeräte deutlich teuerer und auch ihre Batterien würden > längst nicht so lange halten. Da die Fototangeneratoren in der Regel 2xAAA Batterien verwenden, ist das Batterieproblem da kein Problem. c-hater schrieb: > Jack V. schrieb: > >> Gibt’s ja – nennt sich PhotoTAN. Dafür gibt es Apps, aber auch >> Standalone-Geräte. Letztere waren gar nicht so teuer, und für Ersteres >> hätte es ein ausgedientes altes Telephon getan, dem man die >> Datenverbindungen gekappt hat. > > Naja, das ist nicht dasselbe, da fehlt eine wesentliche > Sicherheitskomponente: der physische Besitz (der Bank- bzw. > Kreditkarte). Da bei FotoTAN der Tangenerator an das Bankkonto gebunden ist, ist der Tangenerator mit der EC Karte gleichzusetzen. Wenn jemand deine EC Karte klaut, braucht er nur ein Flickercodelesegerät und diese funktionieren unabhängig von der Bank, d.h. er kann jedes nehmen. Die Sicherheit ist hier also allein deine EC Karte. Du hast hier also nicht mehr Sicherheit, sondern genau gleich viel, wie wenn jemand deinen FotoTan Generator klaut.
ich³ schrieb: > Wie bei den meisten Verfahren hat man natürlich auch hier verloren, wenn > Generator & Karte zusammen "neue Freunde" finden. Beim Flickercode ist der Generator nicht nötig, es genügt, wenn die Karte neue Freunde findet. Deswegen hat man hier beim Flickercodeverfahren, also Generator + Karte, auch keinen Sicherheitsgewinn gegenüber der Fototan, wo der Schlüssel im Generator integriert und der Generator an das Bankkonto gebunden ist. Das ist einfach vom Sicherheitsaspekt identisch. Unterscheide gibt es woanders: Beim Flickercodegenerator gibt's das Hygieneproblem mit der Karte. Und beim Fotogangenerator hat man wegen der Bankkontobindung höhere Ausgaben, weil man dann mehrere Tangeneratoren kaufen muss. 3 Banken die Fototan einsetzen bedeuten also 3 * 10 € ausgeben. Beim Flickercodetangenerator sind es nur einmal 10 €, dafür hat man dann eventuellen Kostenfaktor bei den Karten, die alle paar Jahre mal ausgewechselt werden. Gut, die erste ist meist kostenlos, aber das wird ohnehin irgendwo in den Gebühren eingespeist.
Manfred schrieb: > Jack V. schrieb: >> Gibt’s ja – nennt sich PhotoTAN. Dafür gibt es Apps, aber auch >> Standalone-Geräte. Letztere waren gar nicht so teuer, > > PhotoTAN wird von der DiBa angeboten, das Gerät soll 32 Euro kosten. > Interessant finde ich, dass es ohne Bankkarte arbeitet, was aber nur für > eine begrenzte Gruppe von Banken so sein soll. Weil bei der Fototan der Generator selbst der Geheimnisträger ist. Deswegen ist es so wie ich oben sagte, der Generator ist in dem Fall an das Bankkonto gebunden. > Reinhard S. schrieb: >>> Der Generator ist doch hier kein Geheimnisträger und kann beliebig >>> herumgereicht werden. Mit der PIN wird ein Schuh draus. >> >> Die PIN der Chipkarte spielt beim Online-Banking doch aber keine Rolle? > > Die Karten-PIN wird im Internet niemals eingegeben, die ist > ausschließlich für Geldautomaten und Zahlungsterminals. So ist es. Für die Pinabfrage gibt es die Online Pin. Die gibt man beim Einloggen in die Bankwebseite ein und die Online Pin ist von der Passwortlänge schlichtweg eine Sauerrei. Man muss heutzutage froh sein, dass die Banken zur PSD2 gezwungen wurden. Denn das schreibt wenigstens vor, dass schon beim Login eine Tan mit dem Tan Generator abgefragt wird. Was im Angesicht der viel zu kurzen Passwortlänge beim Bankaccount mehr als sinnvoll ist. Bei zwei meiner Banken ist die Online Pin, die mit einem Zugangspasswort vergleichbar ist, immer noch gerademal 5 stellig und man konnte sie nicht länger machen.
Sieben längliche Beiträge mit enormer Redundanz hintereinander – hattest du grad Schreibdurchfall, oder so? Sorry für OT – aber das war dann doch zu bemerkenswert.
Jack V. schrieb: > attest > du grad Schreibdurchfall, oder so? Scheint so, inhaltlich ist es auch noch falsch. Nano schrieb: > Das mit dem QR-Code ist FotoTAN und geht ohne Karte. Nein, zumindest bei meiner Bank braucht der TAN-Generator die Karte. Der ist auch nicht irgendwie gekoppelt. https://www.gls.de/privatkunden/gls-bank/aktuelles/neuigkeiten/onlinebanking-noch-sicherer-mit-smrttan-photo/ wendelsberg
Nano schrieb: > Die EC Karte kann man also als kontaminiert einstufen. > Und da ich nach dem Einkaufen immer meine Hände wasche und daher mein PC > Arbeitsplatz* per Definition als "sauber" gilt, wird das immer beim > Online Banking ne eklige Angelegenheit, wenn man seine EC Karte aus dem > ebenfalls kontaminierten Geldbeutel herauskramen und am PC mit dem > Tangenerator nutzen muss. Wenn du Geld ausgeben und einkaufen überlebt hast würd ich mir um den Griff an die EC-Karte nun wirklich keine Gedanken mehr machen... > Man könnte sich zwar eine zweite EC Karte für die Arbeiten Zuhause > zulegen, aber die kosten oft extra Geld und das nicht nur einmal. Spannenderweise war meine zweite Chipkarte für HBCI sogar kostenfrei :D Nano schrieb: >> Wenn man einen weiteren theoretischen Angriffsweg ausschließen will, >> nimmt man nicht Chip-TAN mit optischer Übertragung (Flicker-Code), >> sondern tippt die Daten manuell ein. > > Sowohl beim Flickercode als auch beim Fototanverfahren gehen die Daten > vom PC nur in eine Richtung. > Und in den PC wird nicht mehr eingegeben, als die TAN und das erfolgt > dann manuell. > > Insofern besteht hier gar kein theoretischer Angriff der deine Bankdaten > gefährden könnte. Doch, der theoretische Angriff besteht, wie oben auch bereits erwähnt, darin, die Daten, die man am PC zur Überweisung eingegeben hat, abzuändern und dann einen dementsprechend abgeänderten Flicker-Code anzuzeigen. Setzt, wie auch bereits gesagt, voraus, das man die Werte am TAN-Generator nicht kontrolliert.
Reinhard S. schrieb: > Doch, der theoretische Angriff besteht, wie oben auch bereits erwähnt, > darin, die Daten, die man am PC zur Überweisung eingegeben hat, > abzuändern und dann einen dementsprechend abgeänderten Flicker-Code > anzuzeigen. Der Generator zeigt IBAN und Betrag der Transaktion, für welche die TAN generiert werden soll, an. Wenn die Daten bei der Eingabe manipuliert wurden, fällt das dann spätestens an dieser Stelle auf. Wenn jemand da nicht draufschaut, ist das nicht dem Verfahren anzulasten – das wäre ja, als würde man es dem Papier anlasten, dass jemand den Vertrag nicht gelesen hat, den er unterschreibt …
Jack V. schrieb: > Sieben längliche Beiträge mit enormer Redundanz hintereinander – hattest > du grad Schreibdurchfall, oder so? > > Sorry für OT – aber das war dann doch zu bemerkenswert. Mimimi, Du musst es ja nicht fressen, Pardon lesen. https://www.youtube.com/watch?v=GnkNqIBSma8
Reinhard S. schrieb: > Nano schrieb: >> Die EC Karte kann man also als kontaminiert einstufen. >> Und da ich nach dem Einkaufen immer meine Hände wasche und daher mein PC >> Arbeitsplatz* per Definition als "sauber" gilt, wird das immer beim >> Online Banking ne eklige Angelegenheit, wenn man seine EC Karte aus dem >> ebenfalls kontaminierten Geldbeutel herauskramen und am PC mit dem >> Tangenerator nutzen muss. > > Wenn du Geld ausgeben und einkaufen überlebt hast würd ich mir um den > Griff an die EC-Karte nun wirklich keine Gedanken mehr machen... Nach dem Einkaufen wäscht man sich die Hände. Also sind sie nach dem Einkaufen erstmal sauber und dann kontaminierst du deine Hände nicht nur wieder mit der EC-Karte, sondern auch deine Tastatur, deine Maus, deinen Schreibtisch, deine Ausschalter am Monitor, Bildschirm, Steckdosenleisten usw. und verteilst die Kontamination im ganzen Haus. Super! 👍 NICHT. >> Man könnte sich zwar eine zweite EC Karte für die Arbeiten Zuhause >> zulegen, aber die kosten oft extra Geld und das nicht nur einmal. > > Spannenderweise war meine zweite Chipkarte für HBCI sogar kostenfrei :D Ist das eine normale EC Karte oder eine spezielle für HBCI? > Nano schrieb: >>> Wenn man einen weiteren theoretischen Angriffsweg ausschließen will, >>> nimmt man nicht Chip-TAN mit optischer Übertragung (Flicker-Code), >>> sondern tippt die Daten manuell ein. >> >> Sowohl beim Flickercode als auch beim Fototanverfahren gehen die Daten >> vom PC nur in eine Richtung. >> Und in den PC wird nicht mehr eingegeben, als die TAN und das erfolgt >> dann manuell. >> >> Insofern besteht hier gar kein theoretischer Angriff der deine Bankdaten >> gefährden könnte. > > Doch, der theoretische Angriff besteht, wie oben auch bereits erwähnt, > darin, die Daten, die man am PC zur Überweisung eingegeben hat, > abzuändern und dann einen dementsprechend abgeänderten Flicker-Code > anzuzeigen. Setzt, wie auch bereits gesagt, voraus, das man die Werte am > TAN-Generator nicht kontrolliert. Wenn man die Werte nicht kontrolliert, dann hat man nicht verstanden wozu der TAN Generator gut ist.
Nano schrieb: > Wenn man die Werte nicht kontrolliert, dann hat man nicht verstanden > wozu der TAN Generator gut ist. Hätte man u.a. auch einsetzen können "wenn man die TAN-Liste nicht versteckt, hat man nicht verstanden.."
Wendels B. schrieb: > Nein, zumindest bei meiner Bank braucht der TAN-Generator die Karte. > Der ist auch nicht irgendwie gekoppelt. > https://www.gls.de/privatkunden/gls-bank/aktuelles/neuigkeiten/onlinebanking-noch-sicherer-mit-smrttan-photo/ Da gibt es einen interessanten Satz: "Das Sm@rtTAN Photo-Verfahren ist nicht gleichzusetzen mit den PhotoTAN Verfahren anderer Banken"
Nano schrieb: > Reinhard S. schrieb: >> Nano schrieb: >>> Die EC Karte kann man also als kontaminiert einstufen. >>> Und da ich nach dem Einkaufen immer meine Hände wasche und daher mein PC >>> Arbeitsplatz* per Definition als "sauber" gilt, wird das immer beim >>> Online Banking ne eklige Angelegenheit, wenn man seine EC Karte aus dem >>> ebenfalls kontaminierten Geldbeutel herauskramen und am PC mit dem >>> Tangenerator nutzen muss. >> >> Wenn du Geld ausgeben und einkaufen überlebt hast würd ich mir um den >> Griff an die EC-Karte nun wirklich keine Gedanken mehr machen... > > Nach dem Einkaufen wäscht man sich die Hände. Nein, man setzt sich ins Auto, fährt heim, trägt die Sachen rein und dann vielleicht. Wer gut ist, erkennt hier die Sinnlosigkeit vom Händewaschen, weil das Auto und die eingekauften Sachen ja weiterhin kontaminiert sind. > Also sind sie nach dem Einkaufen erstmal sauber und dann kontaminierst > du deine Hände nicht nur wieder mit der EC-Karte, sondern auch deine > Tastatur, deine Maus, deinen Schreibtisch, deine Ausschalter am Monitor, > Bildschirm, Steckdosenleisten usw. und verteilst die Kontamination im > ganzen Haus. Lass mich raten: Stadtkind? Wenn in der Wohnung noch andere Menschen und Tiere mit leben ist mir evtl. Kontaminierung vom Einkaufen doch sowas von egal. >>> Man könnte sich zwar eine zweite EC Karte für die Arbeiten Zuhause >>> zulegen, aber die kosten oft extra Geld und das nicht nur einmal. >> >> Spannenderweise war meine zweite Chipkarte für HBCI sogar kostenfrei :D > > Ist das eine normale EC Karte oder eine spezielle für HBCI? Es war mal eine normale EC-Karte, aber die "normalen" Funktionen hat die Sparkasse dann irgendwann deaktiviert. Die Karte wäre regulär auch bereits 2011 abgelaufen, wurde aber von der Sparkasse dann "auf ewig" verlängert. Bis sie halt jetzt mal mechanisch kaputt ging.
Reinhard S. schrieb: > Nano schrieb: >> Nach dem Einkaufen wäscht man sich die Hände. > > Nein, man setzt sich ins Auto, fährt heim, trägt die Sachen rein und > dann vielleicht. Wer gut ist, erkennt hier die Sinnlosigkeit vom > Händewaschen, weil das Auto und die eingekauften Sachen ja weiterhin > kontaminiert sind. Doof? Ernstgemeinte Frage! > >> Also sind sie nach dem Einkaufen erstmal sauber und dann kontaminierst >> du deine Hände nicht nur wieder mit der EC-Karte, sondern auch deine >> Tastatur, deine Maus, deinen Schreibtisch, deine Ausschalter am Monitor, >> Bildschirm, Steckdosenleisten usw. und verteilst die Kontamination im >> ganzen Haus. > > Lass mich raten: Stadtkind? Wenn in der Wohnung noch andere Menschen und > Tiere mit leben ist mir evtl. Kontaminierung vom Einkaufen doch sowas > von egal. Die anderen Menschen waschen sich genauso die Hände wenn sie nach Hause kommen. Und die Haustiere sind Zuhause. Hund und Katze lege ich mir keine zu. Was das mit Stadtkind zu tun haben soll, musst du mir erst einmal erklären. Ich spreche von ordentlichen Hygienemaßnahmen und keiner zwingt dich, diese auch umzusetzen. Ich werde selten krank und wenn ich krank werde, dann werde ich von Leuten angesteckt, die genau diese Hygienemaßnahmen nicht einhalten. >> Ist das eine normale EC Karte oder eine spezielle für HBCI? > > Es war mal eine normale EC-Karte, aber die "normalen" Funktionen hat die > Sparkasse dann irgendwann deaktiviert. Die Karte wäre regulär auch > bereits 2011 abgelaufen, wurde aber von der Sparkasse dann "auf ewig" > verlängert. Bis sie halt jetzt mal mechanisch kaputt ging. Das ist interessant das so etwas geht. Wenn man das mit den alten Karten auch beim Flickercodeverfahren so machen könnte, dann würde ich das super finden. Dann könnte man nämlich so eine alte EC Karte waschen und dauerhaft am PC fürs Onlinebanking verwenden.
Nano schrieb: > Ich werde selten krank und wenn ich krank werde, dann werde ich von > Leuten angesteckt, die genau diese Hygienemaßnahmen nicht einhalten. Noch eine Ergänzung. D.h. diese Leute fassen alles an, wenn sie außerhalb ihres Hauses sind und dann kommen sie nach Hause, waschen die Hände nicht und fassen sich dann im Laufe des Tages dann im Gesicht und sonstwo an oder essen mit den ungewaschenen Hände noch und dann gelangen die Viren und Bakterien über Nase und Mund usw. in deren Körper. 3 Tage später sind sie dann krank und dann läuft man denen über den Weg und wird auch krank.
Nano schrieb: > Hund und Katze lege ich mir keine zu. Ich auch nicht, weil ich mir nicht sicher bin, der damit verbundenen Verantwortung gerecht zu werden. Ich weiß nicht, wie viele Hunde ich schon angefasst habe, ohne mir anschließend die Hände zu waschen - ich lebe trotzdem noch. > Was das mit Stadtkind zu tun haben soll, musst du mir erst einmal > erklären. Behütet aufgewachsen, Mutti hatte den Schrank voll Reinigungs- und Desinfektionsmitteln und damit Sensibelchen großgezogen. Es ist erwiesen, dass Kinder, die ständig im Dreck gespielt haben, vorzugsweise auf dem Lande, weitaus robuster sind. > Ich spreche von ordentlichen Hygienemaßnahmen und keiner zwingt dich, > diese auch umzusetzen. Nein, Du sprichst von maßlos übertriebener Hygiene. > Ich werde selten krank und wenn ich krank werde, dann werde ich von > Leuten angesteckt, die genau diese Hygienemaßnahmen nicht einhalten. Das ist Deine falsche Batrachtung. Du wirst leicht angesteckt, weil Dein Abwehrsystem totgereinigt wurde anstatt es zu trainieren. Nano schrieb: > D.h. diese Leute fassen alles an, wenn sie außerhalb ihres Hauses sind > und dann kommen sie nach Hause, waschen die Hände nicht und fassen sich > dann im Laufe des Tages dann im Gesicht und sonstwo an oder essen mit > den ungewaschenen Hände noch und dann gelangen die Viren und Bakterien > über Nase und Mund usw. in deren Körper. Genau so mache ich das! Ich wasche mir die Hände, wenn es notwendig ist: In der Werkstatt eingesaut oder in der Küche mit Fett hantiert. Beim Einkaufen nehme ich den Einkaufswagen und gehe an den (seit Corona teilweise vorhandenen) Putzlappen / Desinfektionsspendern vorbei. Im Auto habe ich noch nie das Lenkrad geputzt und koche auch mein Mittagessen, ohne mir die Hände zu waschen. Eine ganz fehlgeleitete Sache ist die Handdesinfektion, damit zerstöre ich mir meine persönliche Schutzschicht - seit Covid19 kein einziges Mal freiwillig genutzt. Primitiv formuliert: Ich bin ein Dreckschwein. Meine persönliche Krankheitshistorie belegt leider, dass ich es richtig mache. -------- Du legst hier ein exzellent gemachtes Trolling hin. Sollte das wider Erwarten nicht so sein, suche Dir psychologische Betreuung!
Soviel sollte man inzwischen auch gelernt haben, daß nicht wirklich Hygiene vor Epidemien schützt, sondern nur ein trainiertes Immunsystem.
Manfred schrieb: > Nano schrieb: >> Ich spreche von ordentlichen Hygienemaßnahmen und keiner zwingt dich, >> diese auch umzusetzen. > > Nein, Du sprichst von maßlos übertriebener Hygiene. Nein, von gesundem Menschenverstand und die moderne Medizin gibt mir da auch recht. > Eine ganz fehlgeleitete Sache ist die Handdesinfektion, damit zerstöre > ich mir meine persönliche Schutzschicht - seit Covid19 kein einziges Mal > freiwillig genutzt. > > Primitiv formuliert: Ich bin ein Dreckschwein. Meine persönliche > Krankheitshistorie belegt leider, dass ich es richtig mache. Lass mich raten. Du gehört zu denen, die in den Öffentlichen Toiletten nach dem Toilettengang am Waschbecken einfach vorbeilaufen.
Nano schrieb: > D.h. diese Leute fassen alles an, wenn sie außerhalb ihres Hauses sind > und dann kommen sie nach Hause, waschen die Hände nicht und fassen sich > dann im Laufe des Tages dann im Gesicht und sonstwo an oder essen mit > den ungewaschenen Hände noch und dann gelangen die Viren und Bakterien > über Nase und Mund usw. in deren Körper. 3 Tage später sind sie dann > krank und dann läuft man denen über den Weg und wird auch krank. Deine Argumentation hat folgenden Logikfehler: Wenn die Leute nur krank werden, weil sie außerhalb des Hauses alles anfassen, sich die Hände nicht waschen und sich dann im Laufe des Tages ins Gesicht und sonstwo anfassen, dann kannst du nicht krank werden, wenn du’s nicht machst, sondern die Leute dir lediglich über den Weg laufen. Oder andersrum: wenn du krank werden kannst, obwohl du außerhalb des Hauses nichts anfasst, dir die Hände wäschst, und dich nicht im Gesicht oder sonstwo anfasst, sondern weil kranke Leute dir einfach über den Weg laufen – kann’s dann sein, dass das bei den anderen kranken Leuten genauso war? Anyway – schon interessant, wo man vom Onlinebanking unter Linux aus thematisch überall hinkommen kann …
Manfred schrieb: > Nein, Du sprichst von maßlos übertriebener Hygiene. +1 Wer Angst vor seiner eigenen EC-Karte hat... Aber um zum Thema zurueckzukommen: Macht man Onlinebanking mit Win$-Rechnern, so ist die Virengefahr viel hoeher. wendelsberg
Wendels B. schrieb: > Macht man Onlinebanking mit > Win$-Rechnern, so ist die Virengefahr viel hoeher. zu sicher sollte man sich da auch nicht fühlen. Viele Angriffe laufen über schlecht gesicherte oder ungepatchte DSL/Kabel/Wlan-Router, z.B im einfachsten Fall als "DNS Hijacking". Ab da ist's dann auch egal, auf welchem OS der Browser läuft, der eine gefälschte Banking-Webseite anzeigt. Eher hilft dann, wenn die Anwender entsprechend geschult sind, dass Zertifikats-Warnungen eben nix zum "einfach wegklicken" sind, und DNSSEC bzw DNS-over-TLS kann (bei aller Datenschutzproblematik) zusätzlichen Schutz bieten.
Jack V. schrieb: > Nano schrieb: >> D.h. diese Leute fassen alles an, wenn sie außerhalb ihres Hauses sind >> und dann kommen sie nach Hause, waschen die Hände nicht und fassen sich >> dann im Laufe des Tages dann im Gesicht und sonstwo an oder essen mit >> den ungewaschenen Hände noch und dann gelangen die Viren und Bakterien >> über Nase und Mund usw. in deren Körper. 3 Tage später sind sie dann >> krank und dann läuft man denen über den Weg und wird auch krank. > > Deine Argumentation hat folgenden Logikfehler: Wenn die Leute nur krank > werden, weil sie außerhalb des Hauses alles anfassen, sich die Hände > nicht waschen und sich dann im Laufe des Tages ins Gesicht und sonstwo > anfassen, dann kannst du nicht krank werden, wenn du’s nicht machst, Oh, natürlich kann ich das. Die sind dann nämlich bspw. in öffentlichen Verkehrsmitteln Bakterien und Virenschleudern. Da wird dann über 3 Sitze hinweg gehustet und gerotzt und schon kriegt man das ab und atmet es auch ein. Solange die Viren vom Rotztuch nur am Einkaufswagen haften und man sich dann die Hände wäscht, bevor man sich ins Gesicht fasst, kriegt man das nämlich nicht ab. Und Manfreds und batmans und Reinhard S. These vom "sich gegenüber Viren und Bakterien gezielt aussetzen, um das Immunsystem zu stärken" funktioniert genau dann nicht mehr, wenn das Immunsystem mit Viren und Bakterien in Kontakt kommt, mit denen es nicht umgehen kann, weil es das nie gelernt hat. Z.B. Noroviren. Meine Methode funktioniert da dagegen schon, weil ich die Noroviren an den Händen verseife und dann abwasche. Und wie könnte es auch anders sein, derjenige, der mich mal mit dem Norovirus angesteckt hat war genau so einer wie Manfred, der, wenn er nach Hause kommt, seine Hände NICHT wäscht und das dann damals in der ganzen WG verteilt hat. Ein anderer Kandidat, der ebenso seine Hände nicht wusch, erkennbar am Flüssigseifeverbrauch, verteilte seinen Grippenvirus. Und als ich dann die erste Wohnung für mich alleine hatte, was Kontrolle darüber bedeutet was sich so in der Wohnung an Viren und Bakterien ansammeln kann, wurde ich nicht mehr krank. Auch Covid-12 wäre leicht in den Griff zu kriegen, wenn die dummen Menschen sich an die Hygienemaßgaben, wie Hände waschen, halten würden. > Anyway – schon interessant, wo man vom Onlinebanking unter Linux aus > thematisch überall hinkommen kann … Ja, zu beachten ist, dass die EC Karte einer ganz besonderen Viren- und Bakteriengefahr ausgesetzt ist. Denn die Kassiererin, die die EC Karte anfasst und in das Lesegerät steckt, fasst den ganzen Tag auch Geldscheine und Geldmünzen an und die Tastatur am Lesegerät oder am Automaten verfielfacht das Problem noch weiter. Denn wenn schon Zuhause gilt, dass die Tastatur die größere Keimschleuder als die Toilettenschüssel ist, dann gilt das für die Tastatur am Lesegerät im Supermarkt oder Bankautomaten erst recht.
Nano schrieb: > Und wie könnte es auch anders sein, derjenige, der mich mal mit dem > Norovirus angesteckt hat war genau so einer wie Manfred, der, wenn er > nach Hause kommt, seine Hände NICHT wäscht und das dann damals in der > ganzen WG verteilt hat. > > Ein anderer Kandidat, der ebenso seine Hände nicht wusch, erkennbar am > Flüssigseifeverbrauch, verteilte seinen Grippenvirus. Ergänzung: Und natürlich wurden diese beiden auch krank. Deren scheinbare Stärkung des Immunsystems half ihn nichts. Der eine hatte Durchfall mit seinem Norovirus und der andere wurde 8 Tage wegen seiner Grippe krank geschrieben. Ich stärke mein Immunsystem dagegen mit Vitaminen, wie Vitman D. Und wenn ich merke, dass ich krank zu werden scheine, ja, das kann man erkennen, wenn man auf seinen Körper hört, dann nehme ich Zinktabletten ein und schon geht's mir wenige Stunden später in den meisten Fällen wieder besser.
Nano schrieb: > Denn die Kassiererin, die die EC Karte > anfasst und in das Lesegerät steckt, fasst den ganzen Tag auch > Geldscheine und Geldmünzen an und die Tastatur am Lesegerät oder am > Automaten verfielfacht das Problem noch weiter. Wenn das dein Problem ist, dann lass dir doch von deiner Bank eine aktuelle Karte mit NFC geben, oder weiche auf irgendeinen der Zahlungsdienstleister mit App und QR-Code aus → schon brauchst du deine heilige Karte nie wieder in die verseuchte Hand einer anderen Person zu geben. Gut, alternativ könnte man auch einfach nach dem Einkaufen Desinfektionsmittel drauftun – wie du’s ja sicher auch mit allen Sachen machst, die du eingekauft hast, denn jedes Teil davon wurde von der verseuchten Hand anderer Personen angefasst. Dennoch: Kontext zu „Onlinebanking unter Linux“ – irgendwie noch herleitbar? Denn das Problem hat ja nunmal so gar nix mit dem OS zu tun.
Nano schrieb: > Reinhard S. schrieb: >> Nano schrieb: >>> Nach dem Einkaufen wäscht man sich die Hände. >> >> Nein, man setzt sich ins Auto, fährt heim, trägt die Sachen rein und >> dann vielleicht. Wer gut ist, erkennt hier die Sinnlosigkeit vom >> Händewaschen, weil das Auto und die eingekauften Sachen ja weiterhin >> kontaminiert sind. > > Doof? > > Ernstgemeinte Frage! Sachliche Argumente sind dir ausgegangen? >> Lass mich raten: Stadtkind? Wenn in der Wohnung noch andere Menschen und >> Tiere mit leben ist mir evtl. Kontaminierung vom Einkaufen doch sowas >> von egal. > > Die anderen Menschen waschen sich genauso die Hände wenn sie nach Hause > kommen. Kann man durchaus machen (je nach Tätigkeit), muss man aber nicht. > Und die Haustiere sind Zuhause. Nein, Haustiere (aka Hund und Katze) sind auch zuhause. Oft genug aber auch irgendwo draußen am Rumstreunern. Von anderen Tieren, mit denen man sich hobbymäßig umgeben kann, ganz zu schweigen. > Was das mit Stadtkind zu tun haben soll, musst du mir erst einmal > erklären. Wenn man keine Probleme hat macht man sich welche. Ansonsten haben hier andere schon gesagt, was ich damit gemeint hab. > Ich werde selten krank und wenn ich krank werde, dann werde ich von > Leuten angesteckt, die genau diese Hygienemaßnahmen nicht einhalten. Ich werde auch selten krank. Selbst der jährliche Schnupfen ist seitdem ich halbwegs regelmäßig in die Sauna gehe nur noch halb so schlimm. Und nun? Also klar, Händewaschen bringt schon was, aber wie alles kann man das auch übertreiben.
Jack V. schrieb: > Nano schrieb: >> Denn die Kassiererin, die die EC Karte >> anfasst und in das Lesegerät steckt, fasst den ganzen Tag auch >> Geldscheine und Geldmünzen an und die Tastatur am Lesegerät oder am >> Automaten verfielfacht das Problem noch weiter. > > Wenn das dein Problem ist, dann lass dir doch von deiner Bank eine > aktuelle Karte mit NFC geben Warum NFC? Nach Beendigung von HBCI habe ich mir auch eine extra Karte geben lassen für den Secoder. Und habe meine Ruhe.
Jack V. schrieb: > Falls es weiterhin um die ChipTAN-Dinger geht, die man zum Lesen eines > Flickercodes an den Bildschirm hält Reiner-SCT bietet für Firefox und Chrome ein Add-On an, welches den Flickercode in einen QR-Code umwandelt, dieser kann dann mit Foto-TAN-Geräten gelesen werden. Dann muss man nicht umständlich das Flicker-Gerät an den Bildschirm halten. Hin und wieder passt Reiner-SCT das Add-On, da manche Banken hin und wieder die Variablen für den Flickercode ändern. Funktioniert aber nicht bei allen Banken. batman schrieb: > Bei welcher Bank geht Chip-TAN ohne PIN? Es geht natürlich um die > Online-PIN bzw. auch Passwort o.ä. Secret für den Zugang zum > Onlinebanking? Die Zugangsdaten braucht man immer. Was die Sicherheit betrifft. Ich nutze Homebanking in Windows seit 2005. Und noch nie Probleme gehabt. Das größte Sicherheitsproblem sitzt vor dem PC. Wer über Sicherheitsupdates bei Windows meckert und sie nicht einspielen lässt, oder auf Phishing hereinfällt, oder zu sorglos mit seinem PC umgeht, muss sich nicht wundern wenn Hacker Zugriff erlangen.
Thread beobachten
Seitenaufteilung abschalten