Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Fintech: Die geschwätzige API von N26

Da kommt man aus dem Kopfschütteln nicht mehr raus

  1. Thema

Neues Thema Ansicht wechseln


  1. Da kommt man aus dem Kopfschütteln nicht mehr raus

    Autor: RipClaw 27.12.16 - 20:31

    Ich hab mir gerade den Vortrag angesehen und wär beinahe vom Stuhl gefallen als er gemeint hat das die App noch nicht mal Certificate Pinning macht.

  2. Re: Da kommt man aus dem Kopfschütteln nicht mehr raus

    Autor: TC 27.12.16 - 20:39

    Dabei ist das seit Pokemon Go nun wirklich jedem ein Begriff...

  3. Re: Da kommt man aus dem Kopfschütteln nicht mehr raus

    Autor: jak 28.12.16 - 00:13

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Ich hab mir gerade den Vortrag angesehen und wär beinahe vom Stuhl gefallen
    > als er gemeint hat das die App noch nicht mal Certificate Pinning macht.

    Mensch, die haben nicht mal TANs. Alle Transaktionen werden mit der gleichen Pin freigegeben, und das im Regelfall ja auch noch gleich vom selben Gerät aus. Gute Nacht.

  4. Re: Da kommt man aus dem Kopfschütteln nicht mehr raus

    Autor: D4ni3L 28.12.16 - 09:14

    jak schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich hab mir gerade den Vortrag angesehen und wär beinahe vom Stuhl
    > gefallen
    > > als er gemeint hat das die App noch nicht mal Certificate Pinning macht.
    >
    > Mensch, die haben nicht mal TANs. Alle Transaktionen werden mit der
    > gleichen Pin freigegeben, und das im Regelfall ja auch noch gleich vom
    > selben Gerät aus. Gute Nacht.

    Naja du meldest dich bei Websites ja auch immer mit dem selben Passwort an ... Das ganze Konstrukt ist sicher wenn dein Account Passwort nicht zu erraten ist oder mit anderen Portalen übereinstimmt...

    Da lesen wieder Menschen was oder hören etwas von Themen die sie nicht durchschauen und urteilen dann auf Grund ihres eigenen Horizonts... Traurig

  5. Re: Da kommt man aus dem Kopfschütteln nicht mehr raus

    Autor: kazhar 28.12.16 - 09:52

    D4ni3L schrieb:
    --------------------------------------------------------------------------------
    > Naja du meldest dich bei Websites ja auch immer mit dem selben Passwort an
    > ... Das ganze Konstrukt ist sicher wenn dein Account Passwort nicht zu
    > erraten ist oder mit anderen Portalen übereinstimmt...
    Das ist aber keine Webseite, sondern eine Transaktion. Das sollte man schon ein Mindestmaß an Gehirnschmalz in Sicherheit investieren.

    > Da lesen wieder Menschen was oder hören etwas von Themen die sie nicht
    > durchschauen und urteilen dann auf Grund ihres eigenen Horizonts... Traurig
    Wie soll man denn sonst urteilen als auf Basis des eigenen Wissens, der eigenen Erfahrung und - wenn beides nicht vorhanden - der Aussagen anderer?

  6. Re: Da kommt man aus dem Kopfschütteln nicht mehr raus

    Autor: Wageslave 28.12.16 - 10:31

    D4ni3L schrieb:
    --------------------------------------------------------------------------------
    > jak schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RipClaw schrieb:
    [...]
    > > Mensch, die haben nicht mal TANs. Alle Transaktionen werden mit der
    > > gleichen Pin freigegeben, und das im Regelfall ja auch noch gleich vom
    > > selben Gerät aus. Gute Nacht.
    >
    > Naja du meldest dich bei Websites ja auch immer mit dem selben Passwort an
    > ... Das ganze Konstrukt ist sicher wenn dein Account Passwort nicht zu
    > erraten ist oder mit anderen Portalen übereinstimmt...

    Das stimmt nur bedingt - wenn Du ein beliebiges Forum/Newsseite oder eine Zeitschrift die sich mit der Thematik auseinander setzt in letzter Zeit gelesen hast wird Dir aufgefallen sein, dass es recht viele Artikel zum Thema "zwei Faktor Authentifizierung" gab.

    Darüber hinaus ist eine Transaktion schon etwas anderes als z.B. ein Amazon-Account. Dort greifen mehr Sicherheitsmaßnamen (z.B. kann man nicht "einfach so" auf eine neue Adresse bestellen).

    > Da lesen wieder Menschen was oder hören etwas von Themen die sie nicht
    > durchschauen und urteilen dann auf Grund ihres eigenen Horizonts... Traurig

    Hmmm...

  7. Re: Da kommt man aus dem Kopfschütteln nicht mehr raus

    Autor: jak 28.12.16 - 12:01

    Wageslave schrieb:
    --------------------------------------------------------------------------------
    > D4ni3L schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > jak schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > RipClaw schrieb:
    > [...]
    > > > Mensch, die haben nicht mal TANs. Alle Transaktionen werden mit der
    > > > gleichen Pin freigegeben, und das im Regelfall ja auch noch gleich vom
    > > > selben Gerät aus. Gute Nacht.
    > >
    > > Naja du meldest dich bei Websites ja auch immer mit dem selben Passwort
    > an
    > > ... Das ganze Konstrukt ist sicher wenn dein Account Passwort nicht zu
    > > erraten ist oder mit anderen Portalen übereinstimmt...
    >
    > Das stimmt nur bedingt - wenn Du ein beliebiges Forum/Newsseite oder eine
    > Zeitschrift die sich mit der Thematik auseinander setzt in letzter Zeit
    > gelesen hast wird Dir aufgefallen sein, dass es recht viele Artikel zum
    > Thema "zwei Faktor Authentifizierung" gab.
    >
    > Darüber hinaus ist eine Transaktion schon etwas anderes als z.B. ein
    > Amazon-Account. Dort greifen mehr Sicherheitsmaßnamen (z.B. kann man nicht
    > "einfach so" auf eine neue Adresse bestellen).

    Einloggen in meinen Amazon Account ist sogar sicherer (abgesehen von Social Engineering des Kundenservices) als eine Transaktion in N26: Mein Amazon Account hat 2 Factor Authentifizierung mittels Google Authenticator.

    Und "eine Sachen wissen und eine Sache haben" ist nunmal wirklich sicherer als "2 Sachen wissen" :)

  8. Re: Da kommt man aus dem Kopfschütteln nicht mehr raus

    Autor: jdf 29.12.16 - 08:29

    D4ni3L schrieb:

    > Naja du meldest dich bei Websites ja auch immer mit dem selben Passwort an
    > ... Das ganze Konstrukt ist sicher wenn dein Account Passwort nicht zu
    > erraten ist oder mit anderen Portalen übereinstimmt...

    Dummfug, denn du kannst im Jahr 2016 nicht garantieren, dass die von dir verwendete Hardware und/oder der von dir verwendete Kommunikationsweg sicher ist - evtl. bist du ja schon gehackt, der Keylogger läuft und wurschtegal, wie "umständlich" dein kleines schnuckeliges Passwörtchen ist: du bist längst potentielles Opfer, Konto ist längst leer (und du siehst es auf deiner Fake-Bankseite noch nicht mal, das ist so bitter...)
    Deine Sicherheit steht und fällt so mit äußerst unsicheren Faktoren, die nicht in deinem Einflussbereich liegen - wäre mir für mein Geld zu wenig, wenn es doch Alternativen gibt, die _sicherer_ sind. Mehr als dieses kleine _er_ kann man eh nicht erreichen; soviel Wert sollte einem sein Geld dann trotzdem sein.


    >
    > Da lesen wieder Menschen was oder hören etwas von Themen die sie nicht
    > durchschauen und urteilen dann auf Grund ihres eigenen Horizonts... Traurig
    Siehst du die Glashauswand da vorne? Hier, dein Stein...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ING-DiBa AG, Nürnberg
  2. Landesbetrieb Bau und Immobilien Hessen (LBIH), Wiesbaden
  3. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden
  4. BWI GmbH, Berlin, München, Nürnberg, Rheinbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 39€
  2. 26€ (ohne Prime oder unter 29€ zzgl. Versand) - Bestpreis!
  3. 259€ + Versand oder kostenlose Marktabholung (Bestpreis!)
  4. (aktuell u. a. Edifier R1700BT für 114,90€ + Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


    Erneuerbare Energien: Die Energiewende braucht Wasserstoff
    Erneuerbare Energien
    Die Energiewende braucht Wasserstoff

    Kein anderes Element ist so universell und dabei simpel aufgebaut wie Wasserstoff und das energiereiche Gas lässt sich aus fast jedem Energieträger gewinnen. Genauso vielseitig gestaltet sich seine Nutzung.
    Ein Bericht von Jan Oliver Löfken

    1. Strom-Boje Mittelrhein Schwimmende Kraftwerke liefern Strom aus dem Rhein
    2. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
    3. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um

    Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
    Ricoh GR III im Test
    Kompaktkamera mit Riesensensor, aber ohne Zoom

    Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
    Ein Test von Andreas Donath

    1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
    2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

    1. Apollo 11: Armbanduhr im Raumschiffstil kommt zum Mondlandungsjubiläum
      Apollo 11
      Armbanduhr im Raumschiffstil kommt zum Mondlandungsjubiläum

      Auf Kickstarter finanzieren die Uhrenmacher von Xeric die Apollo 11 Automatic Watch. Diese Uhr soll den 50. Jahrestag der Mondlandung feiern und ist in Kooperation mit der US-Raumfahrtbehörde Nasa entstanden. Das Produkt ist erst einmal auf 1.969 Stück limitiert.

    2. Windows 10: Windows-Defender-Dateien werden als fehlerhaft erkannt
      Windows 10
      Windows-Defender-Dateien werden als fehlerhaft erkannt

      Der System File Checker in Windows 10 markiert neuerdings Dateien des Windows Defender als fehlerhaft. Der Bug ist auch Microsoft bekannt. Das Problem: Die neue Version des Defenders verändert im Installationsimage verankerte Dateien. Der Hersteller will das mit einem Update von Windows 10 beheben.

    3. Keystone: Mechanische Tastatur passt Tastendruckpunkte den Nutzern an
      Keystone
      Mechanische Tastatur passt Tastendruckpunkte den Nutzern an

      Die auf Kickstarter finanzierte Keystone ist eine mechanische Tastatur mit Hall-Effekt-Schaltern. Diese können die Druckstärke registrieren. Eine Software ermöglicht es der Tastatur, das Tippverhalten der Nutzer zu analysieren und Druckpunkte entsprechend anzupassen.


    1. 10:00

    2. 13:00

    3. 12:30

    4. 11:57

    5. 17:52

    6. 15:50

    7. 15:24

    8. 15:01