Macht hbci mit pin/tan Sinn?
Was bringt es denn gegenüber "nur" pin/tan an Vorteile.
Ich kann momentan keinen Vorteil erkennen, da man dafür keine hardware und
auch keine Anmeldung bei meiner Bank braucht.
Es sieht nur so aus, dass ich dann eine Finanzsoftware brauche anstatt
meines Browsers- oder?
_____________
Rainer
Klaus Kuhn wrote:
>
> HBCI PIN/TAN geht auch mit Browser, jedenfalls ist mir keine Bank
> bekannt die das nur über Software anbietet.
>
> Gruà Klaus
Momentan wickele ich schon meine Geschäfte mit Pin/Tan ab. Ich dachte HBCI
würde mich jetzt zusätzlich zum Beispiel gegen Fishing (hoffentlich richtig
geschrieben) schützen. Das ist dann aber wohl nicht der Fall.
Demnach ist das HBCI Pin/Tan Verfahren nicht sicher- oder? Ausserdem benutze
ich es doch schon auch wenn ich es wohl nicht gemerkt habe???
Gruss
Rainer
steinmetz schrieb:
>Macht hbci mit pin/tan Sinn?
>Was bringt es denn gegenüber "nur" pin/tan an Vorteile.
Das herkömmliche (BTX-) PIN/TAN-Verfahren war an T-Online gekoppelt.
HBCI funktioniert mit jedem beliebigen Zugang. Außerdem sind mit HBCI
viel mehr Geschäftsvorfälle möglich.
>Es sieht nur so aus, dass ich dann eine Finanzsoftware brauche anstatt
>meines Browsers- oder?
HBCI PIN/TAN geht auch mit Browser, jedenfalls ist mir keine Bank
bekannt die das nur über Software anbietet.
Gruß Klaus
Post removed (X-No-Archive: yes)
Konrad Wilhelm <> schrieb am 02 Jun 05:
>> Macht hbci mit pin/tan Sinn?
>> Was bringt es denn gegenueber "nur" pin/tan an Vorteile.
> Ich weiss nicht, was "nur pin/tan" genau sein soll. Meinst du
> damit das alte BTX-Banking? Das ist wohl fast tot, und das ist
> (wer die staendigen "Bankenupdates" im Hinterkopf hat) auch gut
> so.
Wobei diese Updates aber bei HBCI mit PIN/TAN, welches ja haeufig
dann auch uebers Screenscraping abgewickelt wird, ganz genauso
notwendig sind.
> k.
tschuess Franklin
Buenos dÃas: *steinmetz* escribió:
> Momentan wickele ich schon meine Geschäfte mit Pin/Tan ab. Ich dachte HBCI
> würde mich jetzt zusätzlich zum Beispiel gegen Fishing (hoffentlich richtig
> geschrieben) schützen. Das ist dann aber wohl nicht der Fall.
Die Technik alleine kann das nicht.
> Demnach ist das HBCI Pin/Tan Verfahren nicht sicher- oder?
Deiner Logik nach ist auch die Geldkarte nicht sicher, denn wenn Du
jemand anders die Karte samt Geheimzahl aushändigst, kann er ja damit
abheben. ;-)
Gerade durch die Verwendung einer Homebanking-Software besteht aber
meiner Meinung nach ein gewisser Schutz. Phishing lockt typischerweise
das Opfer auf eine Website, die vorspiegelt, die Bank-Website zu sein.
In der Onlinebanking-Software dagegen ist der Kontaktweg zur Bank fest
eingespeichert, der kann nicht so leicht von auÃen verändert werden.
(Was nicht heiÃt, daà das nicht künftige Schädlinge können werden.)
Natürlich gibt es dann Keylogger und ähnliche Spione, die sich auf
Deinem Rechner lokal installieren und den Datenverkehr belauschen
könnten. Aber da müssen doch einige mehr Hürden überwunden werden.
Saludos
Roland
--
Probleme mit OE? Hier gibt es die Lösungen: <>!
"Der moderne Mensch hat ein neues Laster erfunden: die Schnelligkeit."
(A. L. Huxley)
Hallo,
> Wobei diese Updates aber bei HBCI mit PIN/TAN, welches ja haeufig
> dann auch uebers Screenscraping abgewickelt wird, ganz genauso
> notwendig sind.
das ist Quatsch. Screenscraping und HBCI sind 2 Paar Stiefel.
Beim Screenscraping macht das Programm nichts anderes wie im Hintergrund auf
die Webseite der Bank zu gehen. Die Software macht die Eingaben für Dich und
ließt die Antwortseiten wieder aus (z.B. Deine Umsätze). Bei jeder kleinen
Änderung der Webseite brauchst du ein Update da das Programm dann
wahrscheinlich die gewünschten Informationen nicht mehr findet. Ähnlich
wurde es beim BTX auch gemacht.
HBCI hingegen ist ein definiertes Protokoll. Da ändert sich so schnell
nichts und du brauchst keine Updates solange nicht eine neue HBCI Version
eingeführt wird.
Alex
hi,
> Gerade durch die Verwendung einer Homebanking-Software besteht aber
> meiner Meinung nach ein gewisser Schutz. Phishing lockt typischerweise
> das Opfer auf eine Website, die vorspiegelt, die Bank-Website zu sein.
> In der Onlinebanking-Software dagegen ist der Kontaktweg zur Bank fest
> eingespeichert, der kann nicht so leicht von außen verändert werden.
> (Was nicht heißt, daß das nicht künftige Schädlinge können werden.)
dem stimme ich zu. Die Sicherheit beim HBCI+ Banking mit Software und
Internetbanking per Browser ist in beiden Fällen per SSL gesichert. Daher
man man sagen die Sicherheit ist identsich. Der Unterschied wie du schon
gesagt hast hängt beim Benutzer. Denn dieser klickt beim Phishing auf eine
manipulierte URL. Oder der Rechner hat einen Trojaner welcher die Verbindung
im richtigen Moment kappt oder gleich die Verbindung zu einem anderen Server
herstellt. Eine gute Homebanking Software kann hier weiteren Schutz bieten.
z.B. kann Sie das SSL Zertifikat überprüfen, welches einem Laien
wahrscheinlich nicht viel sagt und er auch eines einer gefakten Seite
akzeptieren würde.
> Natürlich gibt es dann Keylogger und ähnliche Spione, die sich auf
> Deinem Rechner lokal installieren und den Datenverkehr belauschen
> könnten. Aber da müssen doch einige mehr Hürden überwunden werden.
Diese wird es immer geben. Wer höchtse Sicherheit erreichen will sollte HBCI
Banking per Chipkarte und einem Kartenleser min. Klasse II wählen.
Alex
Roland Bierlein wrote:
> Deiner Logik nach ist auch die Geldkarte nicht sicher, denn wenn Du
> jemand anders die Karte samt Geheimzahl aushändigst, kann er ja damit
> abheben. ;-)
Das ist wohl auch richtig. Dann möchte ich auch noch mal an den EC-
Kartenbetrug erinnern. Glaubt man den Banken so ist der technisch
unmöglich.
Bliebe dann noch die Möglichkeit die Pin und dann die Tan zu erraten.
Die Wahrscheinlichkeit ist p1* (Anzahl-Versuche1) * p2 * (Anzahl Versuche2).
Ist doch gar nicht so beruhigend oder?
--
GNU:" ...When we speak of free software, we are referring to freedom, not
price..."
MfG Rainer
Post removed (X-No-Archive: yes)
Konrad Wilhelm <> wrote:
> Wie gesagt: ohne es zu wissen, kann ich mir screescraping für HBCI
> nicht so richtig vorstellen.
Macht ja auch keinen Sinn. Nicht mal am Backend System. Dort werden
allerhöchstens Host Transaktionen angestoßen, dass fällt aber nur entfern
unter Screen Scraping.
Gruss
Bernd
Roland Bierlein wrote:
> Es ist keine 100%ige Sicherheit, da stimme ich Dir schon zu. Andererseits
> ist p1 bei einer fünfstelligen PIN 0,001 %, p2 bei angenommenen 100
> sechsstelligen TANn immer noch 0,01 %. Die Versuche1 sind wohl meist
> nur drei, bis zur Sperrung, Versuche2 sind bei korrekter PIN unbegrenzt,
> soweit ich weiÃ(?), das fiele also raus. Ups, nachdem p1 Voraussetzung
> für p2 ist, kann man es eh nicht einfach multiplizieren. Das wird mir
> zu kompliziert, Kombinatorik war nie mein Fach. ;-)
Danke für die klare Formulierung. So sehe ichs auch.
> Immerhin ist die Wahrscheinlichkeit, eine fünfstellige PIN in drei
> Versuchen zu erraten, somit 0,003 %. Liegt im Rahmen meiner Risiko-
> Toleranz. ;-)
Gezwungener MaÃen, wahrscheinlich wäre dir mehr Sicherheit auch lieber.
--
GNU:" ...When we speak of free software, we are referring to freedom, not
price..."
MfG Rainer
Konrad Wilhelm <> schrieb am 03 Jun 05:
> On 03 Jun 2005 06:37:00 +0200, Franklin Schiftan
> <> wrote:
>> Konrad Wilhelm <> schrieb am 02 Jun 05:
>>
>>>> Macht hbci mit pin/tan Sinn?
>>>> Was bringt es denn gegenueber "nur" pin/tan an Vorteile.
>>> Ich weiss nicht, was "nur pin/tan" genau sein soll. Meinst du
>>> damit das alte BTX-Banking? Das ist wohl fast tot, und das ist
>>> (wer die staendigen "Bankenupdates" im Hinterkopf hat) auch gut
>>> so.
>>
>> Wobei diese Updates aber bei HBCI mit PIN/TAN, welches ja
>> haeufig dann auch uebers Screenscraping abgewickelt wird, ganz
>> genauso notwendig sind.
>>
>>> k.
>>
> Ich weiss nicht genau, ob HBCI jetzt so erweitert wurde, dass
> Screenscraping auch ein zugelassener Kommunikationspfad ist. Ich
> kann es mir allerdings kaum vorstellen, wie die festgelegte
> Dialogstruktur (z. B. die fuer die Sicherheit der methode zwingend
> notwendige Durchnummerierung der Segmentfolge) ueber das Abbild
> einer Webseite erfolgen koennte oder wie wichtige Datenstrukturen
> (z. B. Bankparameter-Data BPD oder Userparameter-Data (UPD)) auf
> einer webpage dargestellt werden koennten.
>
> Es gibt eine Menge Banken, die das HBCI PIN/TAN ganz normal ueber
> eine direkte Internetverbindung zwischen dem HBCI-Server der Bank
> (der dann nur zusaetzlich ueber einen weiteren
> Authorisierungsalgorithmus verfuegt) und dem Client auf meinem
> Rechner (der diese zusaetzliche Authorisierungsart unterstuetzen
> muss) abwickeln.
Du hast Recht, Konrad, ich hab noch mal nachgeschaut, es war doch
das Sicherheitsmedium "PIN/TAN (classic) ueber Internet"
eingestellt, als im Online-Dialog-Protokoll "Verbindung aufbauen
vorbereiten (Screenscaping)" erschien.
Sorry, das hatte ich falsch in Erinnerung.
> k.
tschuess Franklin
Buenos dÃas: *steinmetz* escribió:
> Bliebe dann noch die Möglichkeit die Pin und dann die Tan zu erraten.
> Die Wahrscheinlichkeit ist p1* (Anzahl-Versuche1) * p2 * (Anzahl Versuche2).
> Ist doch gar nicht so beruhigend oder?
Es ist keine 100%ige Sicherheit, da stimme ich Dir schon zu. Andererseits
ist p1 bei einer fünfstelligen PIN 0,001 %, p2 bei angenommenen 100
sechsstelligen TANn immer noch 0,01 %. Die Versuche1 sind wohl meist
nur drei, bis zur Sperrung, Versuche2 sind bei korrekter PIN unbegrenzt,
soweit ich weiÃ(?), das fiele also raus. Ups, nachdem p1 Voraussetzung
für p2 ist, kann man es eh nicht einfach multiplizieren. Das wird mir
zu kompliziert, Kombinatorik war nie mein Fach. ;-)
Immerhin ist die Wahrscheinlichkeit, eine fünfstellige PIN in drei
Versuchen zu erraten, somit 0,003 %. Liegt im Rahmen meiner Risiko-
Toleranz. ;-)
Saludos
Roland
--
Probleme mit OE? Hier gibt es die Lösungen: <>!
"Die Laster der Mehrheit nennt man Tugenden." (J. Genet)
Alexander Gnauck wrote:
> Hallo,
>
>
> Beim Screenscraping
[...]
Ähnlich
> wurde es beim BTX auch gemacht.
Kleine Korrektur: ... zu Teil auch gemacht, nämlich bei den Instituten,
die nicht noch zusätzlich eine BTX-Seite zum Datenaustausch nach dem
ZKA-Standard angeboten haben (oder vielleicht von Software-Produkten,
die vielleicht diesen Standard nicht implementiert hatte). Aber gute
Produkte (Zv-light/MC-light, Quicken, ... ) haben, wo immer möglich, den
Dateiaustausch nach dem ZKA-Standard über eine (versteckte) BTX-Seite
genutzt.
Wolfgang
[...]
> Alex
>
>