hallo! Woher weiß ich eigentlich, ob mein Browser wirklich mit meiner Bank spricht? Sollte mir die Bank nicht einen Brief schicken mit dem Fingerprint des Zertifikats, damit ich den im Browser vergleichen kann? Eine Sparkasse beschreibt genau das in einem aktuellen PDF (s.o.), eine andere Sparkasse meint, das braucht man nicht (mehr), erklärt aber nicht, warum. Und die Volksbanken kennen die Idee scheinbar überhaupt nicht. Was ist aus dem Plan geworden? Gleichzeitig zeigen die Browser den Status auch kaum noch an. Bei Chromium und Firefox braucht man einen Mausklick und muss genau hinschauen, um zu sehen, auf wen das Zertifikat ausgestellt ist. Früher hat der Firefox das deutlich in grün angezeigt, oder eben in blau, wenn es nur "halbes" Zertifikat war, wie z.B. von mikrocontroller.net. Soll ich den Text im Screenshot so verstehen, dass die Zugangsdaten heutzutage so oft geklaut werden, dass sich alle anderen Maßnahmen nicht mehr lohnen? Also bleibt nur noch das Tageslimit und die tägliche Kontrolle? Dafür könnte die Bank eigentlich bei jeder Abbuchung eine Mail schicken; warum gibt's das nicht?
Die Bank hat hoffentlich bei einer CA (Cert. Authority) ihr Zertifikat signieren lassen, und die CA hat die Rechtmäßigkeit der Identität der Bank überprüft. De Browser hat die gängigen CA Zertifikate gespeichert und prüft die Vertrauenskette der aufeinander-aufsetzenden Zertifikate. Wenn diese Kette stimmig ist, ist Deine Verbindung mir der entsprechenden Gegenstelle authentisch. Falls es jemandem gelingt Deinem Browser andere Referenz-Zertifikate unter zujubeln kann er diese Vertrauens-Kette aushebeln und Du kannst nicht mehr sicher sein, dass Du mit deiner Bank kommunizierst. Ich hoffe, dass ich das so weit richtig wiedergegeben habe. LG Markus
Bauform B. schrieb: > Und die Volksbanken kennen die Idee scheinbar überhaupt > nicht. Die Volksbanken hängen der Technik eh immer hinterher. Aber damit da keiner Unsinn machen kann, gibt es ja die 2-Faktor-Überprüfung. Ich bei der Postbank komme ohne mein "registriertes"!!!! Handy gar nicht mehr in mein Account. Fakt ist einfach. Die Verschlüsselung ist eh nur gegen die "Man-in-the-Middle" Angriffe gut. Lese ich den Monitor aus, habe ich auch alle Infos. Und ohne mein Hand kann ich NIX machen. !!! Das ist die moderne Art der TAN sozusagen. Da bestätige ich mit Fingerabdruck o. Passwort
Die Zugangsdaten alleine nützen dem Betrüger nichts. Um Überweisungen zu tätigen, benötigt man den zweiten Faktor, also die dem Online-Bänking zugewiesene Bankkarte. Der Betrüger müsste sich schon so zwischen die Verbindung setzen, dass er auch die chipTAN abgreifen kann, was aber durchaus möglich ist.
:
Bearbeitet durch User
René H. schrieb: > Der Betrüger müsste sich schon so zwischen die > Verbindung setzen, dass er auch die chipTAN abgreifen kann. Und selbst Die würde ihm nicht nützen, da sie nur zur ursprünglich beabsichtigten Transaktion passt.
Übrigens, kann man sich die Cert-Kette auch via openssl herunterladen. Z.B. unter Linux so: openssl s_client -showcerts -servername www.xyzbank.de -connect www.xyzbank.de:443 Man kann sich dann die Ausgabe mal ansehen. Diese kann man auch in andere Formate konvertieren um sie besser lesen zu können. Markus
René H. schrieb: > Der Betrüger müsste sich schon so zwischen die > Verbindung setzen, dass er auch die chipTAN abgreifen kann, was aber > durchaus möglich ist. Deshalb ist mein "Zauberkasten" nur noch Elektroschrott. Die Postbank hat ChipTan abgeschaltet. Wie gesagt du MUSST mit den Handy ran.
Zertifikats-Fingerprint-Prüfungen sind ein Support-Alptraum für die Bank, seitdem es "modern" geworden ist dass sog. "Internet-Insecurity-Suiten" dem Browser ein gefälschtes Root-Zertifikat unterjubeln. Nötig ist das, damit die TLS-Verbindung aufgebrochen werden kann, um den Seiteninhalt auszuspionieren und Tracker/Datenklau-Javascript in die Seiten zu injecten. Der Browser und damit der User hat dann keine Möglichkeit mehr das Original-Zertifikat zu prüfen, er sieht es ja garnicht mehr.
Bauform B. schrieb: > hallo! > > Woher weiß ich eigentlich, ob mein Browser wirklich mit meiner Bank > spricht? Sollte mir die Bank nicht einen Brief schicken mit dem > Fingerprint des Zertifikats, damit ich den im Browser vergleichen kann? > Eine Sparkasse beschreibt genau das in einem aktuellen PDF (s.o.), eine > andere Sparkasse meint, das braucht man nicht (mehr), erklärt aber > nicht, warum. Und die Volksbanken kennen die Idee scheinbar überhaupt > nicht. Fingerprint vergleichen macht nur Ärger wenn die Kunden Snakeoil installiert haben die SSL zum scannen aufbricht. Und Zertifikate sind max. ein Jahr gültig.
Εrnst B. schrieb: > Zertifikats-Fingerprint-Prüfungen sind ein Support-Alptraum für die > Bank, seitdem es "modern" geworden ist dass sog. > "Internet-Insecurity-Suiten" dem Browser ein gefälschtes Root-Zertifikat > unterjubeln. Snaker schrieb: > Fingerprint vergleichen macht nur Ärger wenn die Kunden Snakeoil > installiert haben die SSL zum scannen aufbricht. und beide um Punkt 12:00 -- das überzeugt mich, danke. Unter den Umständen muss man wohl Verständnis haben für die Banken, so ist das sinnlos. Vorläufig muss also der TAN-Generator reichen, jedenfalls die Version mit eigenständiger Hardware und Bankkarte. Mir fällt jetzt gerade garnichts ein, wie man den angreift ;)
Bauform B. schrieb: > Woher weiß ich eigentlich, ob mein Browser wirklich mit meiner Bank > spricht? Gar nicht und das spielt auch keine Rolle. Der Browser ist nur eine dumme Oberfläche, die den Flackercode von der Bank an den Chip in Deiner EC-Karte sendet. Nur der kann dann die passende TAN erzeugen. Ein Pisher könnte eine falsche Bankverbindung und Betrag an die Bank senden. Aber dann werden die falschen Empfängerdaten auch vom Lesegerät angezeigt, die Du deshalb nochmal prüfen sollst.
Schlaumaier schrieb: > Wie gesagt du MUSST mit den Handy ran. Schlaumaier schrieb: > Ich bei der Postbank komme ohne mein > "registriertes"!!!! Handy gar nicht mehr in mein Account. Die Postbank arbeitet auch mit Seal One Geräten. Hab so´n Ding ist besser als mit dem Handy HolgerR
>> Woher weiß ich eigentlich, ob mein Browser wirklich mit meiner Bank >> spricht? > Gar nicht und das spielt auch keine Rolle. Tja, die Authentifizierung wurde schon an so vielen Stellen ausgehebelt - da verlässt sich niemand mehr drauf. Die Administratoren haben zusätzlichen Aufwand. Wir bekommen zusätzliche Fehlermeldungen. Aber es nützt nichts. Und das schlimmste - die Anbieter können sich nicht auf eine Lösung einigen.
Holger R. schrieb: > Die Postbank arbeitet auch mit Seal One Geräten. > Hab so´n Ding ist besser als mit dem Handy > HolgerR Na ja, mit nem Handy hatte ich sowas noch nie, aber das Verfahren vorher war schon einfacher mit dem Flacker-Code u. dem Lesegerät. Bis auf wenn die Batterien alle waren oder das Ding am Display Aussetzer hatte, weil man dran rumdrücken musste wegen der 1/2 leeren Batterien. Hat mir ne temp. Sperre eingebracht beim Ablauf des Verfahrens, u. dann der Übergang zum USB-Gerät von SealOne, was aber auch nicht einfach läuft. Man muss ständig den Treiber neu nachladen wenn man das Gerät wieder ansteckt, sonst wartet man ewig zum Einloggen u. es passiert nichts auch keine Fehlermeldung. Ein alter Mensch oder IT-Laie wäre damit echt überfordert, u. die Hotline weiß gar nichts davon u. kann sowieso nicht helfen weil die ja eigentlich keinen Plan haben was da alles nötig ist. Mit dem Browser klappt es eigentl. weniger problematisch, außer dass die Ladezeiten der Seiten immer etwas dauern, wo man dann schon mißtrauisch werden könnte?
Niemand schrieb: > war schon einfacher mit dem Flacker-Code u. dem Lesegerät. Naja, ganz so einfach aber nicht. Es gibt aber von Reiner-SCT ein Browser-Add-On, welches aus dem Flicker-Code einen QR-Code macht, der dann mit dem passenden Gerät gelesen werden kann. Oder ein Add-On, welches aus dem Flicker-Code eine chipTAN macht die dann mit einem Kartenlesegerät erstellt wird. Nur ist Flicker nicht mehr sicher. Niemand schrieb: > Man muss ständig den Treiber neu nachladen wenn man das Gerät wieder > ansteckt, sonst wartet man ewig zum Einloggen u. es passiert nichts auch > keine Fehlermeldung. Normal ist das aber nicht. Das solltest Du mal dem Hersteller melden.
Schlaumaier schrieb: > Deshalb ist mein "Zauberkasten" nur noch Elektroschrott. Die Postbank > hat ChipTan abgeschaltet. > > Wie gesagt du MUSST mit den Handy ran. Die DKB geht (noch) nicht so weit, es komplett abzuschalten, aber sie will bald Geld dafür. Das macht sie indirekt, indem sie die zur Authentifizierung nötige Karte kostenpflichtig macht. Mit der kostenlos ausgegebenen Debit-Karte geht das nicht. Die einzige Alternative ist auch hier eine App für das verschissene Schmierfone. Also fast die unsicherste Sache, die überhaupt vorstellbar ist. Naja, für wen das neu sein sollte: Banken sind halt keine Wohlfahrtsunternehmen. Die wollen nur dein Bestes: dein Geld. Und zwar so viel davon, wie irgendwie legal gerade noch so möglich. Und manchmal sogar auch jenseits der Legalität... Und das solche einseitigen Änderungen der Vertragskonditionen überhaupt "legal" sein können, liegt halt am System. Der Vertragspartner mit mehr Geld kann weitgehend frei die Vertragskonditionen diktieren. Es heißt hier für dein "kleinen" einfach: Friß oder stirb.
René H. schrieb: > Nur ist Flicker nicht mehr sicher. Das ist Unsinn. ChipTAN ist nach wie vor sicher, ganz egal, auf welchem Weg der Informationstransfer geschieht, also z.B. auch als Flickercode. Das liegt schlicht daran, das die Sicherheit vollkommen unabhängig von der Sicherheit des Transportwegs der Daten ist. Alles für die Sicherheit Relevante passiert im externen Gerät und auf der Karte, die man da rein schiebt.
René H. schrieb: > Normal ist das aber nicht. Das solltest Du mal dem Hersteller melden. Du weisst doch was dann von dort kommt? Erst ein paar banale Fragen u. dann > es liegt an ihrem PC oder OS, nicht an uns. Bin ich froh dass es noch so funzt, denn der Flacker-Code war auch am Ende hin immer eine Herausforderung an Geduld u. Geschick das Teil vorm Monitor richtig zu halten u. auf ein o.k. zu warten.
Holger R. schrieb: > Die Postbank arbeitet auch mit Seal One Geräten. > Hab so´n Ding ist besser als mit dem Handy > HolgerR Seal One nutze ich jetzt auch. Davor hatte ich ein tanJack optic cx von REINERSCT, in das man die Postbankkarte stecken musste. Das fand ich noch sicherer als den Seal One. Es wird aber von der Postbank seit einigen Monaten nicht mehr unterstützt.
Niemand schrieb: > Holger R. schrieb: >> Die Postbank arbeitet auch mit Seal One Geräten. > aber das Verfahren vorher > war schon einfacher mit dem Flacker-Code u. dem Lesegerät. Bis auf wenn > die Batterien alle waren oder das Ding am Display Aussetzer hatte, weil > man dran rumdrücken musste wegen der 1/2 leeren Batterien. Das chipTAN Verfahren ist auch einfach inhaerent sicherer, man muss sich keine binaeren Blobs auf dem Rechner installieren und es gibt auch keine physische Verbindung ziwschen dem Rechner mit der Onlinebankingseite und dem TANgenerator. Sicherer geht es kaum. Doch die Postbankkaeufer der Toitschen Bank mussten halt unbedingt ihren Buddies bei BestSign neue Kundschaft zutreiben. > Man muss ständig den Treiber neu nachladen wenn man das Gerät wieder > ansteckt, sonst wartet man ewig zum Einloggen u. es passiert nichts auch > keine Fehlermeldung. Passierte bei mir bis dato automatisch auf LMDE4/Debian Buster... > Ein alter Mensch oder IT-Laie wäre damit echt überfordert, u. die > Hotline weiß gar nichts davon u. kann sowieso nicht helfen weil die ja > eigentlich keinen Plan haben was da alles nötig ist. ...und scheint nun nach einem Distupgrade auf LMDE5/Debian Bullseye kaputt zu sein. Verd..%#%#%#%#&@(@(..es-Geraffel! Mit chipTAn waere das nicht passiert. > Mit dem Browser klappt es eigentl. weniger problematisch, außer dass die > Ladezeiten der Seiten immer etwas dauern, wo man dann schon mißtrauisch > werden könnte? Das ganze sealoneverfahren macht mistrauisch!
Bauform B. schrieb: > und beide um Punkt 12:00 -- das überzeugt mich, danke. Unter den > Umständen muss man wohl Verständnis haben für die Banken, so ist das > sinnlos. Vorläufig muss also der TAN-Generator reichen, jedenfalls die > Version mit eigenständiger Hardware und Bankkarte. Mir fällt jetzt > gerade garnichts ein, wie man den angreift ;) Ich verwende HBCI für sowas. Da hast Du die Probleme mit dem Browser nicht. fchk
Ich Auch schrieb: > Seal One nutze ich jetzt auch. Davor hatte ich ein tanJack optic cx von > REINERSCT, in das man die Postbankkarte stecken musste. Das fand ich > noch sicherer als den Seal One. Es wird aber von der Postbank seit > einigen Monaten nicht mehr unterstützt. Funktoniert bei mir einwandfrei. Ich denke die Daten sind nach der umständlichen Sicherung, Speicherei und Abgleich mit der Bank dort einigermaßen sicher. Aber heute wird ja alles gehackt. Das schlimmste ist, wenn meine Frau für mein privates Konto die Karte in die Hände bekommt. Neulich wurde mir die Kreditkarte geklaut, war nicht so schlimm, der Dieb hat weniger gekauft als wenn meine Frau die Karte hätte. HolgerR
Frank K. schrieb: > Ich verwende HBCI für sowas. Da hast Du die Probleme mit dem Browser > nicht. Hä? Hatte ich auch. Wurde vor Jahresfrist gekündigt und durch das umständliche Chip-Tan ersetzt. Ein Rückschritt.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.