1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Und Multibanking?

  1. Thema

Neues Thema Ansicht wechseln


  1. Und Multibanking?

    Autor: simotroon 10.09.18 - 18:05

    Ich konnte nie eine Info dazu bekommen.
    Bei Mutibanking muß ich Name + Passwort bei einer 3. Bank hinterlegen, um es zu nutzen.
    Da frage ich mich lange, ob diese Passwörter in Klartext gespeichert werden...

  2. Re: Und Multibanking?

    Autor: dura 10.09.18 - 18:09

    Wenn es keine API gibt, dann vermutlich schon.

  3. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 18:12

    simotroon schrieb:
    --------------------------------------------------------------------------------
    > Ich konnte nie eine Info dazu bekommen.
    > Bei Mutibanking muß ich Name + Passwort bei einer 3. Bank hinterlegen, um
    > es zu nutzen.
    > Da frage ich mich lange, ob diese Passwörter in Klartext gespeichert
    > werden...

    Ich habe den Begriff jetzt zwar noch nie gehört, aber ich nehme an es geht um dritte Dienste die Zugriff auf dein Bankkonto haben sollen? So späße wie Sofortüberweisung?

    Nun, müssen sie nicht... Bzw. kommt es auch drauf an wie die Dienste funktionieren. Wenn sie z.B. nur die Daten der Bankkonten abrufen während du den Dienst benutzt, dann können sie z.B. das Passwort der anderen Bankkonten mit dem Passwort verschlüsselt abspeichern das du bei dem Dienst benutzt. Das Passwort wiederum speichern sie nur als Hash.
    Somit kann der Dienst die dritten Passwörter nur während deines Login-Vorgangs (denn da hat er dein Passwort) entschlüsseln und nutzen. Sie wären also immer nur temporär verfügbar während du den Dienst nutzt. Ein Leak der Datenbank wäre in so einem Fall kein Problem...

    Anders sieht das aus, wenn der Dienst auch ohne deine Anwesenheit Dinge für dich erledigen soll...
    Aber es gibt unzählige Möglichkeiten sowas zu lösen... Pauschal kann man das nicht sagen.
    Wenn du so einen Dienst nutzt, frag doch mal nach. Wenn sie es ordentlich machen, sind sie sicher auskunftsfreudig.

  4. Re: Und Multibanking?

    Autor: VengeanceDE 10.09.18 - 18:49

    Bei der DiBa funktioniert Multi Banking nur mit Banken, die den HBCI bzw. FinTS Standard unterstützen. Mit anderen Konten geht kein Multibanking. Bei diesen müsste auf den Servern das Onlinebanking der anderen Bank geöffnet werden und ein normaler Log in stattfinden. Das ist natürlich nicht sicher. Über HBCI ist das natürlich etwas anderes.

    Etwas anders sieht es bei Programmen aus, die den Login im Hintergrund direkt auf dem Gerät ausführen. Dort muss das Passwort nur Lokal gespeichert werden. So macht es z. B. Outbank, bei dem man auch einstellen kann, dass Passwörter nicht gespeichert werden und jedes mal eingegeben werden müssen

  5. Re: Und Multibanking?

    Autor: simotroon 10.09.18 - 19:11

    Nun, einmal bei DiBa Multibanking eingerichtet, bleibt es auf alle Zeiten drin.
    D.h. die Logindaten werden gespeichert?

    Oder aber wird nach der Identifizierung bei den Banken eine Art "Verbindung" gespeichert

    An sich lässt sich das ja testen... ich muß nur Password ändern und schauen, ob Diba noch zugreifen kann...

  6. Re: Und Multibanking?

    Autor: dura 10.09.18 - 19:36

    RFZ schrieb:
    --------------------------------------------------------------------------------
    > Nun, müssen sie nicht... Bzw. kommt es auch drauf an wie die Dienste
    > funktionieren. Wenn sie z.B. nur die Daten der Bankkonten abrufen während
    > du den Dienst benutzt, dann können sie z.B. das Passwort der anderen
    > Bankkonten mit dem Passwort verschlüsselt abspeichern das du bei dem Dienst
    > benutzt. Das Passwort wiederum speichern sie nur als Hash.
    > Somit kann der Dienst die dritten Passwörter nur während deines
    > Login-Vorgangs (denn da hat er dein Passwort) entschlüsseln und nutzen. Sie
    > wären also immer nur temporär verfügbar während du den Dienst nutzt. Ein
    > Leak der Datenbank wäre in so einem Fall kein Problem...

    Ich glaube nicht, dass die meisten Dienste das so machen, denn z.B. bei einem Passwort-Reset würden sonst alle Einträge verloren gehen. Das will man ja wg. Usability eher nicht.

  7. Re: Und Multibanking?

    Autor: simotroon 10.09.18 - 19:41

    Habe gerade getestet...

    Nachdem ich Passwort bei der 1. Bank geändert habe, hat die 2. Bank kein Zugriff per Multibanking darauf und kann nicht aktualisieren.
    d.h. das Passwort wird irgendwie doch gespeichert.
    Ob im Klartext ist mir nach wie vor unklar... Ich befürchte aber JA

    Und das schöne: alte Daten werden bei der 2. Bank trotzdem angezeigt - weil diese wohl gespeichert wurden...

    Doppelschlimm also



    1 mal bearbeitet, zuletzt am 10.09.18 19:44 durch simotroon.

  8. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 20:42

    dura schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube nicht, dass die meisten Dienste das so machen, denn z.B. bei
    > einem Passwort-Reset würden sonst alle Einträge verloren gehen. Das will
    > man ja wg. Usability eher nicht.

    Ja, das wäre eine logische Schlussfolgerung - die man Kunden, finde ich, sogar zumuten könnte. Aber ja, du hast schon recht, wie immer stehen Usability und Sicherheit zueinander im Gegensatz ;)

  9. Re: Und Multibanking?

    Autor: BLi8819 10.09.18 - 20:48

    > d.h. das Passwort wird irgendwie doch gespeichert.

    Oder beim Passwortwechsel werden entsprechende Sicherheitsregelungen greifen, die eine neue Authentifizierung der dritten Bank erfordert.

    Du schaust auf eine Black-Box und meinst durch Klopfen an der Seite, das innere Erkennen zu können...

  10. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 20:48

    simotroon schrieb:
    --------------------------------------------------------------------------------
    > Nachdem ich Passwort bei der 1. Bank geändert habe, hat die 2. Bank kein
    > Zugriff per Multibanking darauf und kann nicht aktualisieren.
    > d.h. das Passwort wird irgendwie doch gespeichert.

    Jein. Zu 99% ist es so. Zu 1% könnte der Dienst irgendein Zugangstoken verwenden und deine 1. Bank invalidiert einfach pauschal alle Zugangstoken bei einem Passwortwechsel. Das wäre sinnvoll, ist aber sehr unwahrscheinlich.

    > Ob im Klartext ist mir nach wie vor unklar... Ich befürchte aber JA

    Denke ich auch. Du kannst es aber testen...
    Mach mal bei Bank 2 einen Passwort Reset (keine Passwortänderung), sofern das mit akzeptablem Aufwand machbar ist.
    Wenn danach der Abruf der Daten von Bank 1 noch geht, dann hat der Server von Bank 2 die Zugangsdaten auf jeden Fall in einer Form gespeichert in der er sie selbstständig wiedergewinnen kann.
    Musst du dagegen danach den Zugang zu Bank 1 neu einrichten, besteht die Möglichkeit dass bank 2 die Zugangsdaten mit deinem Bank 2 Passwort verschlüsselt hat - und diese wegen des Passwort Reset jetzt nicht mehr entschlüsseln kann.

    > Und das schöne: alte Daten werden bei der 2. Bank trotzdem angezeigt - weil
    > diese wohl gespeichert wurden...

    Naja gut, das ist klar. Die können die Daten nicht immer live abrufen. Dass das gecached wird ist soweit verständlich und nicht so kritisch...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Limbach Gruppe SE, Heidelberg
  2. open*i GmbH, Stuttgart
  3. Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth, Oldenburg
  4. SSI Schäfer Automation GmbH, Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 12,49€
  2. 39,99€ (PS4, Xbox One, Nintendo Switch)
  3. 5,99€
  4. (u. a. Stellaris Galaxy Edition für 11,99€, Stellaris: Apocalypse für 9,50€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck


    5G: Nokias und Ericssons enge Bindungen zu Chinas Führung
    5G
    Nokias und Ericssons enge Bindungen zu Chinas Führung

    Nokia und Ericsson betreiben viel Forschung und Entwicklung zu 5G in China. Ein enger Partner Ericssons liefert an das chinesische Militär.
    Eine Recherche von Achim Sawall

    1. Quartalsbericht Ericsson mit Topergebnis durch 5G in China
    2. Cradlepoint Ericsson gibt 1,1 Milliarden Dollar für Routerhersteller aus
    3. Neben Huawei Telekom wählt Ericsson als zweiten 5G-Ausrüster