1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Warum Knuddels seine…

Und Multibanking?

  1. Thema

Neues Thema Ansicht wechseln


  1. Und Multibanking?

    Autor: simotroon 10.09.18 - 18:05

    Ich konnte nie eine Info dazu bekommen.
    Bei Mutibanking muß ich Name + Passwort bei einer 3. Bank hinterlegen, um es zu nutzen.
    Da frage ich mich lange, ob diese Passwörter in Klartext gespeichert werden...

  2. Re: Und Multibanking?

    Autor: dura 10.09.18 - 18:09

    Wenn es keine API gibt, dann vermutlich schon.

  3. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 18:12

    simotroon schrieb:
    --------------------------------------------------------------------------------
    > Ich konnte nie eine Info dazu bekommen.
    > Bei Mutibanking muß ich Name + Passwort bei einer 3. Bank hinterlegen, um
    > es zu nutzen.
    > Da frage ich mich lange, ob diese Passwörter in Klartext gespeichert
    > werden...

    Ich habe den Begriff jetzt zwar noch nie gehört, aber ich nehme an es geht um dritte Dienste die Zugriff auf dein Bankkonto haben sollen? So späße wie Sofortüberweisung?

    Nun, müssen sie nicht... Bzw. kommt es auch drauf an wie die Dienste funktionieren. Wenn sie z.B. nur die Daten der Bankkonten abrufen während du den Dienst benutzt, dann können sie z.B. das Passwort der anderen Bankkonten mit dem Passwort verschlüsselt abspeichern das du bei dem Dienst benutzt. Das Passwort wiederum speichern sie nur als Hash.
    Somit kann der Dienst die dritten Passwörter nur während deines Login-Vorgangs (denn da hat er dein Passwort) entschlüsseln und nutzen. Sie wären also immer nur temporär verfügbar während du den Dienst nutzt. Ein Leak der Datenbank wäre in so einem Fall kein Problem...

    Anders sieht das aus, wenn der Dienst auch ohne deine Anwesenheit Dinge für dich erledigen soll...
    Aber es gibt unzählige Möglichkeiten sowas zu lösen... Pauschal kann man das nicht sagen.
    Wenn du so einen Dienst nutzt, frag doch mal nach. Wenn sie es ordentlich machen, sind sie sicher auskunftsfreudig.

  4. Re: Und Multibanking?

    Autor: VengeanceDE 10.09.18 - 18:49

    Bei der DiBa funktioniert Multi Banking nur mit Banken, die den HBCI bzw. FinTS Standard unterstützen. Mit anderen Konten geht kein Multibanking. Bei diesen müsste auf den Servern das Onlinebanking der anderen Bank geöffnet werden und ein normaler Log in stattfinden. Das ist natürlich nicht sicher. Über HBCI ist das natürlich etwas anderes.

    Etwas anders sieht es bei Programmen aus, die den Login im Hintergrund direkt auf dem Gerät ausführen. Dort muss das Passwort nur Lokal gespeichert werden. So macht es z. B. Outbank, bei dem man auch einstellen kann, dass Passwörter nicht gespeichert werden und jedes mal eingegeben werden müssen

  5. Re: Und Multibanking?

    Autor: simotroon 10.09.18 - 19:11

    Nun, einmal bei DiBa Multibanking eingerichtet, bleibt es auf alle Zeiten drin.
    D.h. die Logindaten werden gespeichert?

    Oder aber wird nach der Identifizierung bei den Banken eine Art "Verbindung" gespeichert

    An sich lässt sich das ja testen... ich muß nur Password ändern und schauen, ob Diba noch zugreifen kann...

  6. Re: Und Multibanking?

    Autor: dura 10.09.18 - 19:36

    RFZ schrieb:
    --------------------------------------------------------------------------------
    > Nun, müssen sie nicht... Bzw. kommt es auch drauf an wie die Dienste
    > funktionieren. Wenn sie z.B. nur die Daten der Bankkonten abrufen während
    > du den Dienst benutzt, dann können sie z.B. das Passwort der anderen
    > Bankkonten mit dem Passwort verschlüsselt abspeichern das du bei dem Dienst
    > benutzt. Das Passwort wiederum speichern sie nur als Hash.
    > Somit kann der Dienst die dritten Passwörter nur während deines
    > Login-Vorgangs (denn da hat er dein Passwort) entschlüsseln und nutzen. Sie
    > wären also immer nur temporär verfügbar während du den Dienst nutzt. Ein
    > Leak der Datenbank wäre in so einem Fall kein Problem...

    Ich glaube nicht, dass die meisten Dienste das so machen, denn z.B. bei einem Passwort-Reset würden sonst alle Einträge verloren gehen. Das will man ja wg. Usability eher nicht.

  7. Re: Und Multibanking?

    Autor: simotroon 10.09.18 - 19:41

    Habe gerade getestet...

    Nachdem ich Passwort bei der 1. Bank geändert habe, hat die 2. Bank kein Zugriff per Multibanking darauf und kann nicht aktualisieren.
    d.h. das Passwort wird irgendwie doch gespeichert.
    Ob im Klartext ist mir nach wie vor unklar... Ich befürchte aber JA

    Und das schöne: alte Daten werden bei der 2. Bank trotzdem angezeigt - weil diese wohl gespeichert wurden...

    Doppelschlimm also



    1 mal bearbeitet, zuletzt am 10.09.18 19:44 durch simotroon.

  8. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 20:42

    dura schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube nicht, dass die meisten Dienste das so machen, denn z.B. bei
    > einem Passwort-Reset würden sonst alle Einträge verloren gehen. Das will
    > man ja wg. Usability eher nicht.

    Ja, das wäre eine logische Schlussfolgerung - die man Kunden, finde ich, sogar zumuten könnte. Aber ja, du hast schon recht, wie immer stehen Usability und Sicherheit zueinander im Gegensatz ;)

  9. Re: Und Multibanking?

    Autor: BLi8819 10.09.18 - 20:48

    > d.h. das Passwort wird irgendwie doch gespeichert.

    Oder beim Passwortwechsel werden entsprechende Sicherheitsregelungen greifen, die eine neue Authentifizierung der dritten Bank erfordert.

    Du schaust auf eine Black-Box und meinst durch Klopfen an der Seite, das innere Erkennen zu können...

  10. Re: Und Multibanking?

    Autor: RFZ 10.09.18 - 20:48

    simotroon schrieb:
    --------------------------------------------------------------------------------
    > Nachdem ich Passwort bei der 1. Bank geändert habe, hat die 2. Bank kein
    > Zugriff per Multibanking darauf und kann nicht aktualisieren.
    > d.h. das Passwort wird irgendwie doch gespeichert.

    Jein. Zu 99% ist es so. Zu 1% könnte der Dienst irgendein Zugangstoken verwenden und deine 1. Bank invalidiert einfach pauschal alle Zugangstoken bei einem Passwortwechsel. Das wäre sinnvoll, ist aber sehr unwahrscheinlich.

    > Ob im Klartext ist mir nach wie vor unklar... Ich befürchte aber JA

    Denke ich auch. Du kannst es aber testen...
    Mach mal bei Bank 2 einen Passwort Reset (keine Passwortänderung), sofern das mit akzeptablem Aufwand machbar ist.
    Wenn danach der Abruf der Daten von Bank 1 noch geht, dann hat der Server von Bank 2 die Zugangsdaten auf jeden Fall in einer Form gespeichert in der er sie selbstständig wiedergewinnen kann.
    Musst du dagegen danach den Zugang zu Bank 1 neu einrichten, besteht die Möglichkeit dass bank 2 die Zugangsdaten mit deinem Bank 2 Passwort verschlüsselt hat - und diese wegen des Passwort Reset jetzt nicht mehr entschlüsseln kann.

    > Und das schöne: alte Daten werden bei der 2. Bank trotzdem angezeigt - weil
    > diese wohl gespeichert wurden...

    Naja gut, das ist klar. Die können die Daten nicht immer live abrufen. Dass das gecached wird ist soweit verständlich und nicht so kritisch...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. h.a.l.m. elektronik gmbh, Frankfurt am Main
  2. SCHOTT AG, Mitterteich
  3. ista International GmbH, Essen
  4. Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth, Oldenburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Logistik: Hamburg bekommt eine Röhre für autonome Warentransporte
Logistik
Hamburg bekommt eine Röhre für autonome Warentransporte

Ein Kölner Unternehmen will eine neue Elbunterquerung bauen, die nur für autonom fahrende Transporter gedacht ist.
Ein Bericht von Werner Pluta

  1. Intelligente Verkehrssysteme Wenn Autos an leeren Kreuzungen warten müssen
  2. Verkehr Akkuzüge sind günstiger als Brennstoffzellenzüge
  3. Hochgeschwindigkeitszug JR Central stellt neuen Shinkansen in Dienst

iPad Air 2020 im Test: Apples gute Alternative zum iPad Pro
iPad Air 2020 im Test
Apples gute Alternative zum iPad Pro

Das neue iPad Air sieht aus wie ein iPad Pro, unterstützt dasselbe Zubehör, kommt mit einem guten Display und reichlich Rechenleistung. Damit ist es eine ideale Alternative für Apples teuerstes Tablet, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Tablet Apple stellt neues iPad und iPad Air vor

Philips-Leuchten-Konfigurator im Test: Die schicke Leuchte aus dem 3D-Drucker
Philips-Leuchten-Konfigurator im Test
Die schicke Leuchte aus dem 3D-Drucker

Signify bietet mit Philips My Creation die Möglichkeit, eigene Leuchten zu kreieren. Diese werden im 3D-Drucker gefertigt - und sind von überraschend guter Qualität. Golem.de hat eine güldene Leuchte entworfen.
Ein Test von Tobias Költzsch

  1. Smarte Leuchten mit Kurzschluss Netzteil-Rückruf bei Philips Hue Outdoor
  2. Signify Neue Lampen, Leuchten und Lightstrips von Philips Hue
  3. Signify Neue Philips-Hue-Produkte vorgestellt