HBCI-Chipkarten

Post removed (X-No-Archive: yes)

Re: HBCI-Chipkarten

Hallo Konrad,

> Gibts dazu was Grundlegendes zu lesen?

Na klar. Für den Einstieg empfehle ich
und


Wenn du magst, kannst du dir auch die detaillierten Spezifikationen auf
der Webseite als PDF herunterladen.

Mit der PIN wird nur der Zugriff auf das Sicherungsmedium (also die
Karte bzw. Schlüsseldatei) legitimiert. Die Anzahl der HBCI-Kontakte
spielt hierbei keine Rolle. DDV- und RDH-Verfahren sind zueinander
inkompatibel, so dass du keinen Bankkontakt der SEB auf die DKB-Karte
und umgekehrt bringen kannst. Das die Karten-PIN nicht änderbar ist,
kenne ich nur von DES-Karten.

--
Gruß
Daniel

Re: HBCI-Chipkarten

Hallo Konrad,

die SEB verwendet eine properitäre vorpersonalisierte RSA Chipkarte, die
wahrscheinlich generell nur mit der SEB funktionieren wird.
Wie Daniel es schon geschrieben hat, würde aber auch ansonsten ein
zusammenbringen nicht funktionieren, da RSA und DES Karten nicht
kompatibel sind.

Zu den PINs:
Die Länge der PIN und die Änderbarkeit wird von der Chipkarte vorgegeben.
Bei der "alten" VR-NetWorld Card der Volksbanken und Raiffeisenbanken
ist diese z.B. 6 stellig und kann nicht geändert werden.

Die neuen SECCOS basierten Chipkarten erlauben je nachdem, welcher
Schlüssel verwendet wird eine PIN Länge zwischen 6 und 8 Stellen und 6
und 12 Stellen. Die vorgegebenen PINs ( fünf stellig) müssen sogar vor
dem Einsatz geändert werden.

Insgesammt wird das Thema Chipkarte zukünftig deutlich vielfältiger, da
neben den diversen Einzellösungen jetzt noch unterschiedliche
Schlüssellängen hinzu kommen werden.

Gruß

Holger

Re: HBCI-Chipkarten

Post removed (X-No-Archive: yes)

Re: HBCI-Chipkarten

Hallo Konrad,

> Bedauerlich nur, dass da schon beinahe als "unsicher" bezeichenbare
> Lösungen (festgelegte 5 Ziffern ohne Änderungsmöglichkeit wie bei der
> DKB) noch überleben.

die Lösung ist sicherlich nicht unsicherer, als die aktuellen, bei der
sich der Kunde selber eine Pin vergeben kann! Mit entsprechendem PIN
Brief und einer echten zufälligen PIN dürfte die Sicherheit deutlich
höher sein, als bei den Kunden, die vor lauter PINs alle gleich schalten
und dafür das Geburtsdatum ihrer Kinder oder Ehepartner nehmen.

Gruß

Holger

Re: HBCI-Chipkarten

Post removed (X-No-Archive: yes)

Re: HBCI-Chipkarten

Hallo Konrad,

da ich die meisten deiner Argumente im Ansatz nachvollziehen kann, aber
der Meinung bin, dass Du die Realität bei 99% der Anwender vergisst,
glaube ich, dass eine Diskussion hier etwas ausschweifen würde. Daher
nur ein paar Anmerkungen:

Sicherheit eines PIN Briefs ->
Zumindest bei den SECCOS Karten gibt es einen Sicherheitsfaktor.
Die Karte ist mit einer Transport PIN gesichert, die im PIN Brief
mitgeteilt wird. Die Transport PIN ist 5 stellig während die echte PIN
mindestens 6 stellig ist. Jeder Manipulationsversuch ist damit direkt
ersichtlich.

Ein gestohlener PIN Brief bringt nur etwas mit der Karte, wenn der
Angreifer die Karte nicht hat, ist mir völlig egal, ob er sich vorher
die PIN beschafft hat.

Sonderzeichen mögen eine theoretische Erhöhung der Sicherheit bringen
bei maximal drei Versuchen, die ein Angreifer hat, ist der
Sicherheitsgewinn eher theoretischer Natur und etwas für Mathematiker
und Kryptologen.

Die Sicherheit einer gleichen PIN mag bei Leuten, die sich darüber
Gedanken machen höher sein können. Nur gehört der Großteil der Anwender
nicht dazu! Und das Risiko, das ein Angreifer nur ein Passwort benötigt
ist deutlich höher (Auch für 10 verschiedene PINs gibt es Möglichkeiten
die sinnvoll zu wählen, dass Sie für einen selber auch noch Sinn
machen)und steht eigentlich im Widerspruch zu deiner Forderung nach den
Sonderzeichen! Der Sicherheitsverlust bei gleicher PIN ist um ein
vielfaches höher, als es der Unterschied bei der Variante mit oder ohne
Sonderzeichen ist.

Gruß

Holger