1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Und Multibanking?

  1. Thema

Neues Thema Ansicht wechseln


  1. Und Multibanking?

    Autor: simotroon 10.09.18 - 18:05

    Ich konnte nie eine Info dazu bekommen.
    Bei Mutibanking muß ich Name + Passwort bei einer 3. Bank hinterlegen, um es zu nutzen.
    Da frage ich mich lange, ob diese Passwörter in Klartext gespeichert werden...

  2. Re: Und Multibanking?

    Autor: dura 10.09.18 - 18:09

    Wenn es keine API gibt, dann vermutlich schon.

  3. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 18:12

    simotroon schrieb:
    --------------------------------------------------------------------------------
    > Ich konnte nie eine Info dazu bekommen.
    > Bei Mutibanking muß ich Name + Passwort bei einer 3. Bank hinterlegen, um
    > es zu nutzen.
    > Da frage ich mich lange, ob diese Passwörter in Klartext gespeichert
    > werden...

    Ich habe den Begriff jetzt zwar noch nie gehört, aber ich nehme an es geht um dritte Dienste die Zugriff auf dein Bankkonto haben sollen? So späße wie Sofortüberweisung?

    Nun, müssen sie nicht... Bzw. kommt es auch drauf an wie die Dienste funktionieren. Wenn sie z.B. nur die Daten der Bankkonten abrufen während du den Dienst benutzt, dann können sie z.B. das Passwort der anderen Bankkonten mit dem Passwort verschlüsselt abspeichern das du bei dem Dienst benutzt. Das Passwort wiederum speichern sie nur als Hash.
    Somit kann der Dienst die dritten Passwörter nur während deines Login-Vorgangs (denn da hat er dein Passwort) entschlüsseln und nutzen. Sie wären also immer nur temporär verfügbar während du den Dienst nutzt. Ein Leak der Datenbank wäre in so einem Fall kein Problem...

    Anders sieht das aus, wenn der Dienst auch ohne deine Anwesenheit Dinge für dich erledigen soll...
    Aber es gibt unzählige Möglichkeiten sowas zu lösen... Pauschal kann man das nicht sagen.
    Wenn du so einen Dienst nutzt, frag doch mal nach. Wenn sie es ordentlich machen, sind sie sicher auskunftsfreudig.

  4. Re: Und Multibanking?

    Autor: VengeanceDE 10.09.18 - 18:49

    Bei der DiBa funktioniert Multi Banking nur mit Banken, die den HBCI bzw. FinTS Standard unterstützen. Mit anderen Konten geht kein Multibanking. Bei diesen müsste auf den Servern das Onlinebanking der anderen Bank geöffnet werden und ein normaler Log in stattfinden. Das ist natürlich nicht sicher. Über HBCI ist das natürlich etwas anderes.

    Etwas anders sieht es bei Programmen aus, die den Login im Hintergrund direkt auf dem Gerät ausführen. Dort muss das Passwort nur Lokal gespeichert werden. So macht es z. B. Outbank, bei dem man auch einstellen kann, dass Passwörter nicht gespeichert werden und jedes mal eingegeben werden müssen

  5. Re: Und Multibanking?

    Autor: simotroon 10.09.18 - 19:11

    Nun, einmal bei DiBa Multibanking eingerichtet, bleibt es auf alle Zeiten drin.
    D.h. die Logindaten werden gespeichert?

    Oder aber wird nach der Identifizierung bei den Banken eine Art "Verbindung" gespeichert

    An sich lässt sich das ja testen... ich muß nur Password ändern und schauen, ob Diba noch zugreifen kann...

  6. Re: Und Multibanking?

    Autor: dura 10.09.18 - 19:36

    RFZ schrieb:
    --------------------------------------------------------------------------------
    > Nun, müssen sie nicht... Bzw. kommt es auch drauf an wie die Dienste
    > funktionieren. Wenn sie z.B. nur die Daten der Bankkonten abrufen während
    > du den Dienst benutzt, dann können sie z.B. das Passwort der anderen
    > Bankkonten mit dem Passwort verschlüsselt abspeichern das du bei dem Dienst
    > benutzt. Das Passwort wiederum speichern sie nur als Hash.
    > Somit kann der Dienst die dritten Passwörter nur während deines
    > Login-Vorgangs (denn da hat er dein Passwort) entschlüsseln und nutzen. Sie
    > wären also immer nur temporär verfügbar während du den Dienst nutzt. Ein
    > Leak der Datenbank wäre in so einem Fall kein Problem...

    Ich glaube nicht, dass die meisten Dienste das so machen, denn z.B. bei einem Passwort-Reset würden sonst alle Einträge verloren gehen. Das will man ja wg. Usability eher nicht.

  7. Re: Und Multibanking?

    Autor: simotroon 10.09.18 - 19:41

    Habe gerade getestet...

    Nachdem ich Passwort bei der 1. Bank geändert habe, hat die 2. Bank kein Zugriff per Multibanking darauf und kann nicht aktualisieren.
    d.h. das Passwort wird irgendwie doch gespeichert.
    Ob im Klartext ist mir nach wie vor unklar... Ich befürchte aber JA

    Und das schöne: alte Daten werden bei der 2. Bank trotzdem angezeigt - weil diese wohl gespeichert wurden...

    Doppelschlimm also



    1 mal bearbeitet, zuletzt am 10.09.18 19:44 durch simotroon.

  8. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 20:42

    dura schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube nicht, dass die meisten Dienste das so machen, denn z.B. bei
    > einem Passwort-Reset würden sonst alle Einträge verloren gehen. Das will
    > man ja wg. Usability eher nicht.

    Ja, das wäre eine logische Schlussfolgerung - die man Kunden, finde ich, sogar zumuten könnte. Aber ja, du hast schon recht, wie immer stehen Usability und Sicherheit zueinander im Gegensatz ;)

  9. Re: Und Multibanking?

    Autor: BLi8819 10.09.18 - 20:48

    > d.h. das Passwort wird irgendwie doch gespeichert.

    Oder beim Passwortwechsel werden entsprechende Sicherheitsregelungen greifen, die eine neue Authentifizierung der dritten Bank erfordert.

    Du schaust auf eine Black-Box und meinst durch Klopfen an der Seite, das innere Erkennen zu können...

  10. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 20:48

    simotroon schrieb:
    --------------------------------------------------------------------------------
    > Nachdem ich Passwort bei der 1. Bank geändert habe, hat die 2. Bank kein
    > Zugriff per Multibanking darauf und kann nicht aktualisieren.
    > d.h. das Passwort wird irgendwie doch gespeichert.

    Jein. Zu 99% ist es so. Zu 1% könnte der Dienst irgendein Zugangstoken verwenden und deine 1. Bank invalidiert einfach pauschal alle Zugangstoken bei einem Passwortwechsel. Das wäre sinnvoll, ist aber sehr unwahrscheinlich.

    > Ob im Klartext ist mir nach wie vor unklar... Ich befürchte aber JA

    Denke ich auch. Du kannst es aber testen...
    Mach mal bei Bank 2 einen Passwort Reset (keine Passwortänderung), sofern das mit akzeptablem Aufwand machbar ist.
    Wenn danach der Abruf der Daten von Bank 1 noch geht, dann hat der Server von Bank 2 die Zugangsdaten auf jeden Fall in einer Form gespeichert in der er sie selbstständig wiedergewinnen kann.
    Musst du dagegen danach den Zugang zu Bank 1 neu einrichten, besteht die Möglichkeit dass bank 2 die Zugangsdaten mit deinem Bank 2 Passwort verschlüsselt hat - und diese wegen des Passwort Reset jetzt nicht mehr entschlüsseln kann.

    > Und das schöne: alte Daten werden bei der 2. Bank trotzdem angezeigt - weil
    > diese wohl gespeichert wurden...

    Naja gut, das ist klar. Die können die Daten nicht immer live abrufen. Dass das gecached wird ist soweit verständlich und nicht so kritisch...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Allianz Versicherungs-AG, München Unterföhring
  2. Haufe Group, Freiburg im Breisgau
  3. Hays AG, Nürnberg
  4. BARMER, Wuppertal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. gratis
  3. (u. a. Code Vein für 21,99€, Dark Souls 3 - Deluxe Edition für 18,99€, Ni no Kuni 2: Revenant...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberbunker-Prozess: Die Darknet-Schaltzentrale über den Weinbergen
Cyberbunker-Prozess
Die Darknet-Schaltzentrale über den Weinbergen

Am Montag beginnt der Prozess gegen die Cyberbunker-Betreiber von der Mittelmosel. Dahinter verbirgt sich eine wilde Geschichte von "bunkergeilen" Internetanarchos bis zu polizeilich gefakten Darknet-Seiten.
Eine Recherche von Friedhelm Greis

  1. Darkweb 179 mutmaßliche Darknet-Händler festgenommen
  2. Marktplatz im Darknet Mutmaßliche Betreiber des Wall Street Market angeklagt
  3. Illegaler Onlinehandel Admin des Darknet-Shops Fraudsters muss hinter Gitter

Apple: iPhone 12 bekommt Magnetrücken und kleinen Bruder
Apple
iPhone 12 bekommt Magnetrücken und kleinen Bruder

Das iPhone 12 ist mit einem 6,1-Zoll- und das iPhone 12 Mini mit einem 5,4-Zoll-Display ausgerüstet. Ladegerät und Kopfhörer fallen aus Gründen des Umweltschutzes weg.

  1. Apple iPhone 12 Pro und iPhone 12 Pro Max werden größer
  2. Apple iPhone 12 verspätet sich
  3. Back Tap iOS 14 erkennt Trommeln auf der iPhone-Rückseite

IT-Jobs: Die schwierige Suche nach dem richtigen Arbeitgeber
IT-Jobs
Die schwierige Suche nach dem richtigen Arbeitgeber

Nur jeder zweite Arbeitnehmer ist mit seinem Arbeitgeber zufrieden. Das ist fatal, weil Unzufriedenheit krank macht. Deshalb sollte die Suche nach dem passenden Job nicht nur dem Zufall überlassen werden.
Von Peter Ilg

  1. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
  2. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
  3. Gerichtsurteile Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind