Forum: PC Hard- und Software Online-Banking und Browser-Zertifikate?


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Bauform B. (bauformb)



Lesenswert?

hallo!

Woher weiß ich eigentlich, ob mein Browser wirklich mit meiner Bank 
spricht? Sollte mir die Bank nicht einen Brief schicken mit dem 
Fingerprint des Zertifikats, damit ich den im Browser vergleichen kann? 
Eine Sparkasse beschreibt genau das in einem aktuellen PDF (s.o.), eine 
andere Sparkasse meint, das braucht man nicht (mehr), erklärt aber 
nicht, warum. Und die Volksbanken kennen die Idee scheinbar überhaupt 
nicht.

Was ist aus dem Plan geworden?

Gleichzeitig zeigen die Browser den Status auch kaum noch an. Bei 
Chromium und Firefox braucht man einen Mausklick und muss genau 
hinschauen, um zu sehen, auf wen das Zertifikat ausgestellt ist. Früher 
hat der Firefox das deutlich in grün angezeigt, oder eben in blau, wenn 
es nur "halbes" Zertifikat war, wie z.B. von mikrocontroller.net.

Soll ich den Text im Screenshot so verstehen, dass die Zugangsdaten 
heutzutage so oft geklaut werden, dass sich alle anderen Maßnahmen nicht 
mehr lohnen? Also bleibt nur noch das Tageslimit und die tägliche 
Kontrolle? Dafür könnte die Bank eigentlich bei jeder Abbuchung eine 
Mail schicken; warum gibt's das nicht?

von Markus W. (dl8mby)


Lesenswert?

Die Bank hat hoffentlich bei einer CA (Cert. Authority) ihr
Zertifikat signieren lassen, und die CA hat die Rechtmäßigkeit
der Identität der Bank überprüft.

De Browser hat die gängigen CA Zertifikate gespeichert und
prüft die Vertrauenskette der aufeinander-aufsetzenden Zertifikate.

Wenn diese Kette stimmig ist, ist Deine Verbindung mir der
entsprechenden Gegenstelle authentisch.

Falls es jemandem gelingt Deinem Browser andere Referenz-Zertifikate
unter zujubeln kann er diese Vertrauens-Kette aushebeln und Du kannst
nicht mehr sicher sein, dass Du mit deiner Bank kommunizierst.

Ich hoffe, dass ich das so weit richtig wiedergegeben habe.

LG
Markus

von Schlaumaier (Gast)


Lesenswert?

Bauform B. schrieb:
> Und die Volksbanken kennen die Idee scheinbar überhaupt
> nicht.

Die Volksbanken hängen der Technik eh immer hinterher.

Aber damit da keiner Unsinn machen kann, gibt es ja die 
2-Faktor-Überprüfung. Ich bei der Postbank komme ohne mein 
"registriertes"!!!! Handy gar nicht mehr in mein Account.

Fakt ist einfach. Die Verschlüsselung ist eh nur gegen die 
"Man-in-the-Middle" Angriffe gut.  Lese ich den Monitor aus, habe ich 
auch alle Infos.

Und ohne mein Hand kann ich NIX machen. !!!

Das ist die moderne Art der TAN sozusagen. Da bestätige ich mit 
Fingerabdruck o. Passwort

von René H. (mumpel)


Lesenswert?

Die Zugangsdaten alleine nützen dem Betrüger nichts. Um Überweisungen zu 
tätigen, benötigt man den zweiten Faktor, also die dem Online-Bänking 
zugewiesene Bankkarte. Der Betrüger müsste sich schon so zwischen die 
Verbindung setzen, dass er auch die chipTAN abgreifen kann, was aber 
durchaus möglich ist.

: Bearbeitet durch User
von Ingo W. (uebrig) Benutzerseite


Lesenswert?

René H. schrieb:
> Der Betrüger müsste sich schon so zwischen die
> Verbindung setzen, dass er auch die chipTAN abgreifen kann.

Und selbst Die würde ihm nicht nützen, da sie nur zur ursprünglich 
beabsichtigten Transaktion passt.

von Markus W. (dl8mby)


Lesenswert?

Übrigens, kann man sich die Cert-Kette auch via openssl herunterladen.
Z.B. unter Linux so:

openssl s_client -showcerts -servername www.xyzbank.de -connect 
www.xyzbank.de:443

Man kann sich dann die Ausgabe mal ansehen. Diese kann man auch in 
andere
Formate konvertieren um sie besser lesen zu können.

Markus

von Schlaumaier (Gast)


Lesenswert?

René H. schrieb:
> Der Betrüger müsste sich schon so zwischen die
> Verbindung setzen, dass er auch die chipTAN abgreifen kann, was aber
> durchaus möglich ist.

Deshalb ist mein "Zauberkasten" nur noch Elektroschrott.  Die Postbank 
hat ChipTan abgeschaltet.

Wie gesagt du MUSST mit den Handy ran.

von Εrnst B. (ernst)


Lesenswert?

Zertifikats-Fingerprint-Prüfungen sind ein Support-Alptraum für die 
Bank, seitdem es "modern" geworden ist dass sog. 
"Internet-Insecurity-Suiten" dem Browser ein gefälschtes Root-Zertifikat 
unterjubeln.

Nötig ist das, damit die TLS-Verbindung aufgebrochen werden kann, um den 
Seiteninhalt auszuspionieren und Tracker/Datenklau-Javascript in die 
Seiten zu injecten.

Der Browser und damit der User hat dann keine Möglichkeit mehr das 
Original-Zertifikat zu prüfen, er sieht es ja garnicht mehr.

von Snaker (Gast)


Lesenswert?

Bauform B. schrieb:
> hallo!
>
> Woher weiß ich eigentlich, ob mein Browser wirklich mit meiner Bank
> spricht? Sollte mir die Bank nicht einen Brief schicken mit dem
> Fingerprint des Zertifikats, damit ich den im Browser vergleichen kann?
> Eine Sparkasse beschreibt genau das in einem aktuellen PDF (s.o.), eine
> andere Sparkasse meint, das braucht man nicht (mehr), erklärt aber
> nicht, warum. Und die Volksbanken kennen die Idee scheinbar überhaupt
> nicht.

Fingerprint vergleichen macht nur Ärger wenn die Kunden Snakeoil 
installiert haben die SSL zum scannen aufbricht. Und Zertifikate sind 
max. ein Jahr gültig.

von Bauform B. (bauformb)


Lesenswert?

Εrnst B. schrieb:
> Zertifikats-Fingerprint-Prüfungen sind ein Support-Alptraum für die
> Bank, seitdem es "modern" geworden ist dass sog.
> "Internet-Insecurity-Suiten" dem Browser ein gefälschtes Root-Zertifikat
> unterjubeln.

Snaker schrieb:
> Fingerprint vergleichen macht nur Ärger wenn die Kunden Snakeoil
> installiert haben die SSL zum scannen aufbricht.

und beide um Punkt 12:00 -- das überzeugt mich, danke. Unter den 
Umständen muss man wohl Verständnis haben für die Banken, so ist das 
sinnlos. Vorläufig muss also der TAN-Generator reichen, jedenfalls die 
Version mit eigenständiger Hardware und Bankkarte. Mir fällt jetzt 
gerade garnichts ein, wie man den angreift ;)

von Peter D. (peda)


Lesenswert?

Bauform B. schrieb:
> Woher weiß ich eigentlich, ob mein Browser wirklich mit meiner Bank
> spricht?

Gar nicht und das spielt auch keine Rolle.
Der Browser ist nur eine dumme Oberfläche, die den Flackercode von der 
Bank an den Chip in Deiner EC-Karte sendet. Nur der kann dann die 
passende TAN erzeugen.
Ein Pisher könnte eine falsche Bankverbindung und Betrag an die Bank 
senden. Aber dann werden die falschen Empfängerdaten auch vom Lesegerät 
angezeigt, die Du deshalb nochmal prüfen sollst.

von Holger R. (holgerr)


Lesenswert?

Schlaumaier schrieb:
> Wie gesagt du MUSST mit den Handy ran.

Schlaumaier schrieb:
> Ich bei der Postbank komme ohne mein
> "registriertes"!!!! Handy gar nicht mehr in mein Account.

Die Postbank arbeitet auch mit Seal One Geräten.
Hab so´n Ding ist besser als mit dem Handy
HolgerR

von Noch ein Kommentar (Gast)


Lesenswert?

>> Woher weiß ich eigentlich, ob mein Browser wirklich mit meiner Bank
>> spricht?

> Gar nicht und das spielt auch keine Rolle.

Tja, die Authentifizierung wurde schon an so vielen Stellen ausgehebelt 
- da verlässt sich niemand mehr drauf.

Die Administratoren haben zusätzlichen Aufwand. Wir bekommen zusätzliche 
Fehlermeldungen. Aber es nützt nichts. Und das schlimmste - die Anbieter 
können sich nicht auf eine Lösung einigen.

von Niemand (Gast)


Lesenswert?

Holger R. schrieb:
> Die Postbank arbeitet auch mit Seal One Geräten.
> Hab so´n Ding ist besser als mit dem Handy
> HolgerR

Na ja, mit nem Handy hatte ich sowas noch nie, aber das Verfahren vorher 
war schon einfacher mit dem Flacker-Code u. dem Lesegerät. Bis auf wenn 
die Batterien alle waren oder das Ding am Display Aussetzer hatte, weil 
man dran rumdrücken musste wegen der 1/2 leeren Batterien.
Hat mir ne temp. Sperre eingebracht beim Ablauf des Verfahrens, u. dann 
der Übergang zum USB-Gerät von SealOne, was aber auch nicht einfach 
läuft.
Man muss ständig den Treiber neu nachladen wenn man das Gerät wieder 
ansteckt, sonst wartet man ewig zum Einloggen u. es passiert nichts auch 
keine Fehlermeldung.
Ein alter Mensch oder IT-Laie wäre damit echt überfordert, u. die 
Hotline weiß gar nichts davon u. kann sowieso nicht helfen weil die ja 
eigentlich keinen Plan haben was da alles nötig ist.

Mit dem Browser klappt es eigentl. weniger problematisch, außer dass die 
Ladezeiten der Seiten immer etwas dauern, wo man dann schon mißtrauisch 
werden könnte?

von René H. (mumpel)


Lesenswert?

Niemand schrieb:
> war schon einfacher mit dem Flacker-Code u. dem Lesegerät.

Naja, ganz so einfach aber nicht. Es gibt aber von Reiner-SCT ein 
Browser-Add-On, welches aus dem Flicker-Code einen QR-Code macht, der 
dann mit dem passenden Gerät gelesen werden kann. Oder ein Add-On, 
welches aus dem Flicker-Code eine chipTAN macht die dann mit einem 
Kartenlesegerät erstellt wird. Nur ist Flicker nicht mehr sicher.

Niemand schrieb:
> Man muss ständig den Treiber neu nachladen wenn man das Gerät wieder
> ansteckt, sonst wartet man ewig zum Einloggen u. es passiert nichts auch
> keine Fehlermeldung.

Normal ist das aber nicht. Das solltest Du mal dem Hersteller melden.

von c-hater (Gast)


Lesenswert?

Schlaumaier schrieb:

> Deshalb ist mein "Zauberkasten" nur noch Elektroschrott.  Die Postbank
> hat ChipTan abgeschaltet.
>
> Wie gesagt du MUSST mit den Handy ran.

Die DKB geht (noch) nicht so weit, es komplett abzuschalten, aber sie 
will bald Geld dafür. Das macht sie indirekt, indem sie die zur 
Authentifizierung nötige Karte kostenpflichtig macht. Mit der kostenlos 
ausgegebenen Debit-Karte geht das nicht.
Die einzige Alternative ist auch hier eine App für das verschissene 
Schmierfone. Also fast die unsicherste Sache, die überhaupt vorstellbar 
ist.

Naja, für wen das neu sein sollte: Banken sind halt keine 
Wohlfahrtsunternehmen. Die wollen nur dein Bestes: dein Geld. Und zwar 
so viel davon, wie irgendwie legal gerade noch so möglich. Und manchmal 
sogar auch jenseits der Legalität...

Und das solche einseitigen Änderungen der Vertragskonditionen überhaupt 
"legal" sein können, liegt halt am System. Der Vertragspartner mit mehr 
Geld kann weitgehend frei die Vertragskonditionen diktieren. Es heißt 
hier für dein "kleinen" einfach: Friß oder stirb.

von c-hater (Gast)


Lesenswert?

René H. schrieb:

> Nur ist Flicker nicht mehr sicher.

Das ist Unsinn. ChipTAN ist nach wie vor sicher, ganz egal, auf welchem 
Weg der Informationstransfer geschieht, also z.B. auch als Flickercode.

Das liegt schlicht daran, das die Sicherheit vollkommen unabhängig von 
der Sicherheit des Transportwegs der Daten ist. Alles für die Sicherheit 
Relevante passiert im externen Gerät und auf der Karte, die man da rein 
schiebt.

von Niemand (Gast)


Lesenswert?

René H. schrieb:
> Normal ist das aber nicht. Das solltest Du mal dem Hersteller melden.

Du weisst doch was dann von dort kommt? Erst ein paar banale Fragen u. 
dann > es liegt an ihrem PC oder OS, nicht an uns.
Bin ich froh dass es noch so funzt, denn der Flacker-Code war auch am 
Ende hin immer eine Herausforderung an Geduld u. Geschick das Teil vorm 
Monitor richtig zu halten u. auf ein o.k. zu warten.

von Ich Auch (Gast)


Lesenswert?

Holger R. schrieb:
> Die Postbank arbeitet auch mit Seal One Geräten.
> Hab so´n Ding ist besser als mit dem Handy
> HolgerR

Seal One nutze ich jetzt auch. Davor hatte ich ein tanJack optic cx von 
REINERSCT, in das man die Postbankkarte stecken musste. Das fand ich 
noch sicherer als den Seal One. Es wird aber von der Postbank seit 
einigen Monaten nicht mehr unterstützt.

von Johannes U. (kampfradler)


Lesenswert?

Niemand schrieb:
> Holger R. schrieb:
>> Die Postbank arbeitet auch mit Seal One Geräten.

> aber das Verfahren vorher
> war schon einfacher mit dem Flacker-Code u. dem Lesegerät. Bis auf wenn
> die Batterien alle waren oder das Ding am Display Aussetzer hatte, weil
> man dran rumdrücken musste wegen der 1/2 leeren Batterien.

Das chipTAN Verfahren ist auch einfach inhaerent sicherer, man muss sich 
keine binaeren Blobs auf dem Rechner installieren und es gibt auch keine 
physische Verbindung ziwschen dem Rechner mit der Onlinebankingseite und 
dem TANgenerator.
Sicherer geht es kaum.

Doch die Postbankkaeufer der Toitschen Bank mussten halt unbedingt ihren 
Buddies bei BestSign neue Kundschaft zutreiben.

> Man muss ständig den Treiber neu nachladen wenn man das Gerät wieder
> ansteckt, sonst wartet man ewig zum Einloggen u. es passiert nichts auch
> keine Fehlermeldung.

Passierte bei mir bis dato automatisch auf LMDE4/Debian Buster...

> Ein alter Mensch oder IT-Laie wäre damit echt überfordert, u. die
> Hotline weiß gar nichts davon u. kann sowieso nicht helfen weil die ja
> eigentlich keinen Plan haben was da alles nötig ist.

...und scheint nun nach einem Distupgrade auf LMDE5/Debian Bullseye 
kaputt zu sein.
Verd..%#%#%#%#&@(@(..es-Geraffel!
Mit chipTAn waere das nicht passiert.

> Mit dem Browser klappt es eigentl. weniger problematisch, außer dass die
> Ladezeiten der Seiten immer etwas dauern, wo man dann schon mißtrauisch
> werden könnte?

Das ganze sealoneverfahren macht mistrauisch!

von Frank K. (fchk)


Lesenswert?

Bauform B. schrieb:

> und beide um Punkt 12:00 -- das überzeugt mich, danke. Unter den
> Umständen muss man wohl Verständnis haben für die Banken, so ist das
> sinnlos. Vorläufig muss also der TAN-Generator reichen, jedenfalls die
> Version mit eigenständiger Hardware und Bankkarte. Mir fällt jetzt
> gerade garnichts ein, wie man den angreift ;)

Ich verwende HBCI für sowas. Da hast Du die Probleme mit dem Browser 
nicht.

fchk

von Holger R. (holgerr)


Lesenswert?

Ich Auch schrieb:
> Seal One nutze ich jetzt auch. Davor hatte ich ein tanJack optic cx von
> REINERSCT, in das man die Postbankkarte stecken musste. Das fand ich
> noch sicherer als den Seal One. Es wird aber von der Postbank seit
> einigen Monaten nicht mehr unterstützt.

Funktoniert bei mir einwandfrei. Ich denke die Daten sind nach der
umständlichen Sicherung, Speicherei und Abgleich mit der Bank dort 
einigermaßen sicher.

Aber heute wird ja alles gehackt.

Das schlimmste ist, wenn meine Frau für mein privates Konto die
Karte in die Hände bekommt. Neulich wurde mir die Kreditkarte
geklaut, war nicht so schlimm, der Dieb hat weniger gekauft
als wenn meine Frau die Karte hätte.

HolgerR

von michael_ (Gast)


Lesenswert?

Frank K. schrieb:
> Ich verwende HBCI für sowas. Da hast Du die Probleme mit dem Browser
> nicht.

Hä?
Hatte ich auch. Wurde vor Jahresfrist gekündigt und durch das 
umständliche Chip-Tan ersetzt.
Ein Rückschritt.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.