1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Und Multibanking?

  1. Thema

Neues Thema Ansicht wechseln


  1. Und Multibanking?

    Autor: simotroon 10.09.18 - 18:05

    Ich konnte nie eine Info dazu bekommen.
    Bei Mutibanking muß ich Name + Passwort bei einer 3. Bank hinterlegen, um es zu nutzen.
    Da frage ich mich lange, ob diese Passwörter in Klartext gespeichert werden...

  2. Re: Und Multibanking?

    Autor: dura 10.09.18 - 18:09

    Wenn es keine API gibt, dann vermutlich schon.

  3. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 18:12

    simotroon schrieb:
    --------------------------------------------------------------------------------
    > Ich konnte nie eine Info dazu bekommen.
    > Bei Mutibanking muß ich Name + Passwort bei einer 3. Bank hinterlegen, um
    > es zu nutzen.
    > Da frage ich mich lange, ob diese Passwörter in Klartext gespeichert
    > werden...

    Ich habe den Begriff jetzt zwar noch nie gehört, aber ich nehme an es geht um dritte Dienste die Zugriff auf dein Bankkonto haben sollen? So späße wie Sofortüberweisung?

    Nun, müssen sie nicht... Bzw. kommt es auch drauf an wie die Dienste funktionieren. Wenn sie z.B. nur die Daten der Bankkonten abrufen während du den Dienst benutzt, dann können sie z.B. das Passwort der anderen Bankkonten mit dem Passwort verschlüsselt abspeichern das du bei dem Dienst benutzt. Das Passwort wiederum speichern sie nur als Hash.
    Somit kann der Dienst die dritten Passwörter nur während deines Login-Vorgangs (denn da hat er dein Passwort) entschlüsseln und nutzen. Sie wären also immer nur temporär verfügbar während du den Dienst nutzt. Ein Leak der Datenbank wäre in so einem Fall kein Problem...

    Anders sieht das aus, wenn der Dienst auch ohne deine Anwesenheit Dinge für dich erledigen soll...
    Aber es gibt unzählige Möglichkeiten sowas zu lösen... Pauschal kann man das nicht sagen.
    Wenn du so einen Dienst nutzt, frag doch mal nach. Wenn sie es ordentlich machen, sind sie sicher auskunftsfreudig.

  4. Re: Und Multibanking?

    Autor: VengeanceDE 10.09.18 - 18:49

    Bei der DiBa funktioniert Multi Banking nur mit Banken, die den HBCI bzw. FinTS Standard unterstützen. Mit anderen Konten geht kein Multibanking. Bei diesen müsste auf den Servern das Onlinebanking der anderen Bank geöffnet werden und ein normaler Log in stattfinden. Das ist natürlich nicht sicher. Über HBCI ist das natürlich etwas anderes.

    Etwas anders sieht es bei Programmen aus, die den Login im Hintergrund direkt auf dem Gerät ausführen. Dort muss das Passwort nur Lokal gespeichert werden. So macht es z. B. Outbank, bei dem man auch einstellen kann, dass Passwörter nicht gespeichert werden und jedes mal eingegeben werden müssen

  5. Re: Und Multibanking?

    Autor: simotroon 10.09.18 - 19:11

    Nun, einmal bei DiBa Multibanking eingerichtet, bleibt es auf alle Zeiten drin.
    D.h. die Logindaten werden gespeichert?

    Oder aber wird nach der Identifizierung bei den Banken eine Art "Verbindung" gespeichert

    An sich lässt sich das ja testen... ich muß nur Password ändern und schauen, ob Diba noch zugreifen kann...

  6. Re: Und Multibanking?

    Autor: dura 10.09.18 - 19:36

    RFZ schrieb:
    --------------------------------------------------------------------------------
    > Nun, müssen sie nicht... Bzw. kommt es auch drauf an wie die Dienste
    > funktionieren. Wenn sie z.B. nur die Daten der Bankkonten abrufen während
    > du den Dienst benutzt, dann können sie z.B. das Passwort der anderen
    > Bankkonten mit dem Passwort verschlüsselt abspeichern das du bei dem Dienst
    > benutzt. Das Passwort wiederum speichern sie nur als Hash.
    > Somit kann der Dienst die dritten Passwörter nur während deines
    > Login-Vorgangs (denn da hat er dein Passwort) entschlüsseln und nutzen. Sie
    > wären also immer nur temporär verfügbar während du den Dienst nutzt. Ein
    > Leak der Datenbank wäre in so einem Fall kein Problem...

    Ich glaube nicht, dass die meisten Dienste das so machen, denn z.B. bei einem Passwort-Reset würden sonst alle Einträge verloren gehen. Das will man ja wg. Usability eher nicht.

  7. Re: Und Multibanking?

    Autor: simotroon 10.09.18 - 19:41

    Habe gerade getestet...

    Nachdem ich Passwort bei der 1. Bank geändert habe, hat die 2. Bank kein Zugriff per Multibanking darauf und kann nicht aktualisieren.
    d.h. das Passwort wird irgendwie doch gespeichert.
    Ob im Klartext ist mir nach wie vor unklar... Ich befürchte aber JA

    Und das schöne: alte Daten werden bei der 2. Bank trotzdem angezeigt - weil diese wohl gespeichert wurden...

    Doppelschlimm also



    1 mal bearbeitet, zuletzt am 10.09.18 19:44 durch simotroon.

  8. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 20:42

    dura schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube nicht, dass die meisten Dienste das so machen, denn z.B. bei
    > einem Passwort-Reset würden sonst alle Einträge verloren gehen. Das will
    > man ja wg. Usability eher nicht.

    Ja, das wäre eine logische Schlussfolgerung - die man Kunden, finde ich, sogar zumuten könnte. Aber ja, du hast schon recht, wie immer stehen Usability und Sicherheit zueinander im Gegensatz ;)

  9. Re: Und Multibanking?

    Autor: BLi8819 10.09.18 - 20:48

    > d.h. das Passwort wird irgendwie doch gespeichert.

    Oder beim Passwortwechsel werden entsprechende Sicherheitsregelungen greifen, die eine neue Authentifizierung der dritten Bank erfordert.

    Du schaust auf eine Black-Box und meinst durch Klopfen an der Seite, das innere Erkennen zu können...

  10. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 20:48

    simotroon schrieb:
    --------------------------------------------------------------------------------
    > Nachdem ich Passwort bei der 1. Bank geändert habe, hat die 2. Bank kein
    > Zugriff per Multibanking darauf und kann nicht aktualisieren.
    > d.h. das Passwort wird irgendwie doch gespeichert.

    Jein. Zu 99% ist es so. Zu 1% könnte der Dienst irgendein Zugangstoken verwenden und deine 1. Bank invalidiert einfach pauschal alle Zugangstoken bei einem Passwortwechsel. Das wäre sinnvoll, ist aber sehr unwahrscheinlich.

    > Ob im Klartext ist mir nach wie vor unklar... Ich befürchte aber JA

    Denke ich auch. Du kannst es aber testen...
    Mach mal bei Bank 2 einen Passwort Reset (keine Passwortänderung), sofern das mit akzeptablem Aufwand machbar ist.
    Wenn danach der Abruf der Daten von Bank 1 noch geht, dann hat der Server von Bank 2 die Zugangsdaten auf jeden Fall in einer Form gespeichert in der er sie selbstständig wiedergewinnen kann.
    Musst du dagegen danach den Zugang zu Bank 1 neu einrichten, besteht die Möglichkeit dass bank 2 die Zugangsdaten mit deinem Bank 2 Passwort verschlüsselt hat - und diese wegen des Passwort Reset jetzt nicht mehr entschlüsseln kann.

    > Und das schöne: alte Daten werden bei der 2. Bank trotzdem angezeigt - weil
    > diese wohl gespeichert wurden...

    Naja gut, das ist klar. Die können die Daten nicht immer live abrufen. Dass das gecached wird ist soweit verständlich und nicht so kritisch...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Dresden, Berlin, Frankfurt am Main, München
  2. PM-International AG, Speyer
  3. operational services GmbH & Co. KG, Frankfurt am Main
  4. Drägerwerk AG & Co. KGaA, Lübeck

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


MX 10.0 im Test: Cherrys kompakte, flache, tolle RGB-Tastatur
MX 10.0 im Test
Cherrys kompakte, flache, tolle RGB-Tastatur

Die Cherry MX 10.0 kommt mit besonders flachen MX-Schaltern, ist hervorragend verarbeitet und umfangreich programmierbar. Warum Nutzer in Deutschland noch auf sie warten müssen, ist nach unserem Test unverständlich.
Ein Test von Tobias Költzsch

  1. Argand Partners Cherry wird verkauft

Prozessor: Wie arm ARM mit Nvidia dran ist
Prozessor
Wie arm ARM mit Nvidia dran ist

Von positiv bis hin zum Desaster reichen die Stimmen zum Deal: Was der Kauf von ARM durch Nvidia bedeuten könnte.
Eine Analyse von Marc Sauter

  1. Prozessoren Nvidia kauft ARM für 40 Milliarden US-Dollar
  2. Chipdesigner Nvidia bietet mehr als 40 Milliarden Dollar für ARM
  3. Softbank-Tochter Nvidia hat Interesse an ARM

Freebuds Pro im Test: Huaweis bester ANC-Hörstöpsel schlägt die Airpods Pro nicht
Freebuds Pro im Test
Huaweis bester ANC-Hörstöpsel schlägt die Airpods Pro nicht

Die Freebuds Pro haben viele Besonderheiten der Airpods Pro übernommen und sind teilweise sogar besser. Trotzdem bleiben die Apple-Stöpsel etwas Besonderes.
Ein Test von Ingo Pakalski

  1. Galaxy Buds Live im Test So hat Samsung gegen Apples Airpods Pro keine Chance
  2. Freebuds Pro Huawei bringt eine Fast-Kopie der Airpods Pro
  3. Airpods Studio Patentanträge bestätigen Apples Arbeit an ANC-Kopfhörer