1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Und Multibanking?

  1. Thema

Neues Thema Ansicht wechseln


  1. Und Multibanking?

    Autor: simotroon 10.09.18 - 18:05

    Ich konnte nie eine Info dazu bekommen.
    Bei Mutibanking muß ich Name + Passwort bei einer 3. Bank hinterlegen, um es zu nutzen.
    Da frage ich mich lange, ob diese Passwörter in Klartext gespeichert werden...

  2. Re: Und Multibanking?

    Autor: dura 10.09.18 - 18:09

    Wenn es keine API gibt, dann vermutlich schon.

  3. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 18:12

    simotroon schrieb:
    --------------------------------------------------------------------------------
    > Ich konnte nie eine Info dazu bekommen.
    > Bei Mutibanking muß ich Name + Passwort bei einer 3. Bank hinterlegen, um
    > es zu nutzen.
    > Da frage ich mich lange, ob diese Passwörter in Klartext gespeichert
    > werden...

    Ich habe den Begriff jetzt zwar noch nie gehört, aber ich nehme an es geht um dritte Dienste die Zugriff auf dein Bankkonto haben sollen? So späße wie Sofortüberweisung?

    Nun, müssen sie nicht... Bzw. kommt es auch drauf an wie die Dienste funktionieren. Wenn sie z.B. nur die Daten der Bankkonten abrufen während du den Dienst benutzt, dann können sie z.B. das Passwort der anderen Bankkonten mit dem Passwort verschlüsselt abspeichern das du bei dem Dienst benutzt. Das Passwort wiederum speichern sie nur als Hash.
    Somit kann der Dienst die dritten Passwörter nur während deines Login-Vorgangs (denn da hat er dein Passwort) entschlüsseln und nutzen. Sie wären also immer nur temporär verfügbar während du den Dienst nutzt. Ein Leak der Datenbank wäre in so einem Fall kein Problem...

    Anders sieht das aus, wenn der Dienst auch ohne deine Anwesenheit Dinge für dich erledigen soll...
    Aber es gibt unzählige Möglichkeiten sowas zu lösen... Pauschal kann man das nicht sagen.
    Wenn du so einen Dienst nutzt, frag doch mal nach. Wenn sie es ordentlich machen, sind sie sicher auskunftsfreudig.

  4. Re: Und Multibanking?

    Autor: VengeanceDE 10.09.18 - 18:49

    Bei der DiBa funktioniert Multi Banking nur mit Banken, die den HBCI bzw. FinTS Standard unterstützen. Mit anderen Konten geht kein Multibanking. Bei diesen müsste auf den Servern das Onlinebanking der anderen Bank geöffnet werden und ein normaler Log in stattfinden. Das ist natürlich nicht sicher. Über HBCI ist das natürlich etwas anderes.

    Etwas anders sieht es bei Programmen aus, die den Login im Hintergrund direkt auf dem Gerät ausführen. Dort muss das Passwort nur Lokal gespeichert werden. So macht es z. B. Outbank, bei dem man auch einstellen kann, dass Passwörter nicht gespeichert werden und jedes mal eingegeben werden müssen

  5. Re: Und Multibanking?

    Autor: simotroon 10.09.18 - 19:11

    Nun, einmal bei DiBa Multibanking eingerichtet, bleibt es auf alle Zeiten drin.
    D.h. die Logindaten werden gespeichert?

    Oder aber wird nach der Identifizierung bei den Banken eine Art "Verbindung" gespeichert

    An sich lässt sich das ja testen... ich muß nur Password ändern und schauen, ob Diba noch zugreifen kann...

  6. Re: Und Multibanking?

    Autor: dura 10.09.18 - 19:36

    RFZ schrieb:
    --------------------------------------------------------------------------------
    > Nun, müssen sie nicht... Bzw. kommt es auch drauf an wie die Dienste
    > funktionieren. Wenn sie z.B. nur die Daten der Bankkonten abrufen während
    > du den Dienst benutzt, dann können sie z.B. das Passwort der anderen
    > Bankkonten mit dem Passwort verschlüsselt abspeichern das du bei dem Dienst
    > benutzt. Das Passwort wiederum speichern sie nur als Hash.
    > Somit kann der Dienst die dritten Passwörter nur während deines
    > Login-Vorgangs (denn da hat er dein Passwort) entschlüsseln und nutzen. Sie
    > wären also immer nur temporär verfügbar während du den Dienst nutzt. Ein
    > Leak der Datenbank wäre in so einem Fall kein Problem...

    Ich glaube nicht, dass die meisten Dienste das so machen, denn z.B. bei einem Passwort-Reset würden sonst alle Einträge verloren gehen. Das will man ja wg. Usability eher nicht.

  7. Re: Und Multibanking?

    Autor: simotroon 10.09.18 - 19:41

    Habe gerade getestet...

    Nachdem ich Passwort bei der 1. Bank geändert habe, hat die 2. Bank kein Zugriff per Multibanking darauf und kann nicht aktualisieren.
    d.h. das Passwort wird irgendwie doch gespeichert.
    Ob im Klartext ist mir nach wie vor unklar... Ich befürchte aber JA

    Und das schöne: alte Daten werden bei der 2. Bank trotzdem angezeigt - weil diese wohl gespeichert wurden...

    Doppelschlimm also



    1 mal bearbeitet, zuletzt am 10.09.18 19:44 durch simotroon.

  8. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 20:42

    dura schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube nicht, dass die meisten Dienste das so machen, denn z.B. bei
    > einem Passwort-Reset würden sonst alle Einträge verloren gehen. Das will
    > man ja wg. Usability eher nicht.

    Ja, das wäre eine logische Schlussfolgerung - die man Kunden, finde ich, sogar zumuten könnte. Aber ja, du hast schon recht, wie immer stehen Usability und Sicherheit zueinander im Gegensatz ;)

  9. Re: Und Multibanking?

    Autor: BLi8819 10.09.18 - 20:48

    > d.h. das Passwort wird irgendwie doch gespeichert.

    Oder beim Passwortwechsel werden entsprechende Sicherheitsregelungen greifen, die eine neue Authentifizierung der dritten Bank erfordert.

    Du schaust auf eine Black-Box und meinst durch Klopfen an der Seite, das innere Erkennen zu können...

  10. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 20:48

    simotroon schrieb:
    --------------------------------------------------------------------------------
    > Nachdem ich Passwort bei der 1. Bank geändert habe, hat die 2. Bank kein
    > Zugriff per Multibanking darauf und kann nicht aktualisieren.
    > d.h. das Passwort wird irgendwie doch gespeichert.

    Jein. Zu 99% ist es so. Zu 1% könnte der Dienst irgendein Zugangstoken verwenden und deine 1. Bank invalidiert einfach pauschal alle Zugangstoken bei einem Passwortwechsel. Das wäre sinnvoll, ist aber sehr unwahrscheinlich.

    > Ob im Klartext ist mir nach wie vor unklar... Ich befürchte aber JA

    Denke ich auch. Du kannst es aber testen...
    Mach mal bei Bank 2 einen Passwort Reset (keine Passwortänderung), sofern das mit akzeptablem Aufwand machbar ist.
    Wenn danach der Abruf der Daten von Bank 1 noch geht, dann hat der Server von Bank 2 die Zugangsdaten auf jeden Fall in einer Form gespeichert in der er sie selbstständig wiedergewinnen kann.
    Musst du dagegen danach den Zugang zu Bank 1 neu einrichten, besteht die Möglichkeit dass bank 2 die Zugangsdaten mit deinem Bank 2 Passwort verschlüsselt hat - und diese wegen des Passwort Reset jetzt nicht mehr entschlüsseln kann.

    > Und das schöne: alte Daten werden bei der 2. Bank trotzdem angezeigt - weil
    > diese wohl gespeichert wurden...

    Naja gut, das ist klar. Die können die Daten nicht immer live abrufen. Dass das gecached wird ist soweit verständlich und nicht so kritisch...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Heraeus Infosystems GmbH, Frankfurt am Main
  2. CompuGroup Medical SE & Co. KGaA, Koblenz, Saarbrücken
  3. Deutsches Institut für Bautechnik, Berlin
  4. Hilger u. Kern GmbH, Mannheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 39,99€ (PS4, Xbox One, Nintendo Switch)
  2. (u. a. Struggling für 8,99€, Jurassic World Evolution für 11,25€, Jurassic World Evolution...
  3. 17,99


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
SSD vs. HDD
Die Zeit der Festplatte im Netzwerkspeicher läuft ab

SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
Ein Praxistest von Oliver Nickel

  1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler

The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper