1. Foren
  2. Kommentare
  3. Sonstiges
  4. Alle Kommentare zum Artikel
  5. › Weitere Hintertür beim iTAN…

Was ist das für ein Schwachsinn?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was ist das für ein Schwachsinn?

    Autor: Sven 25.11.05 - 16:53

    HBCI hat garnichts mit PIN/TAN zu tun - wenn man eine HBCI-Software benutzt und am HBCI teilnimmt, benutzt man garkeine TAN-Liste mehr - warum sollte ein Nutzer also diese Daten auf irgendeiner Seite eingeben? - dazu müsste man wohl ganz unzurechnungsfähig sein...

    Das ist wieder so eine c´t-Meldung, die wirklich für Verblödung sorgt, indem man völlig dumm zwei Verfahren in Zusammenhang bringt, die ganz und gar nichts miteinander zu tun haben.

    Dass heißt, die Täter müssten irgendeine Online-Banking-Software benutzen, die den alten Btx-Zugang nutzt - das ist eine völlig andere Methode und steht mit HBCI überhaupt nicht im Zusammenhang! Die Software müsste nicht einmal HBCI unterstützen...

  2. Re: Was ist das für ein Schwachsinn?

    Autor: ln 25.11.05 - 16:54

    Sven schrieb:
    -------------------------------------------------------
    > HBCI hat garnichts mit PIN/TAN zu tun - wenn man
    > eine HBCI-Software benutzt und am HBCI teilnimmt,

    Nicht alles, was DU nicht verstehst, ist "ein Schwachsinn"! Es gibt verschiedene HBCI-Formen, eben auch mit PIN/TAN!

  3. Re: Was ist das für ein Schwachsinn?

    Autor: Andreas Selle 25.11.05 - 17:58

    ln schrieb:
    -------------------------------------------------------
    > Sven schrieb:
    > --------------------------------------------------
    > -----
    > > HBCI hat garnichts mit PIN/TAN zu tun - wenn
    > man
    > eine HBCI-Software benutzt und am HBCI
    > teilnimmt,
    >
    > Nicht alles, was DU nicht verstehst, ist "ein
    > Schwachsinn"! Es gibt verschiedene HBCI-Formen,
    > eben auch mit PIN/TAN!
    >

    Richtig. Und wers nicht glaubt kann hier http://www.hbci-zka.de/spec/2_2.htm den HBCI PIN/TAN Standard nachlesen.

    Ausserdem ist der Bericht alles andere als Neu. Auf http://www.onlinebanking-forum.de/ wurde diese Angriffsmöglichkeit schon vor Monaten diskutiert. Übrigens, für alle Fragen rund ums Onlinebanking das einzig wahre Forum!

    Die Leute von der c't brauchen halt immer etwas länger :-)

  4. Re: Was ist das für ein Schwachsinn?

    Autor: sleipnir 25.11.05 - 18:35

    Andreas Selle schrieb:
    -------------------------------------------------------
    > ln schrieb:
    > --------------------------------------------------
    > -----
    > > Sven schrieb:
    >
    > --------------------------------------------------
    >
    > -----
    > > HBCI hat garnichts mit
    > PIN/TAN zu tun - wenn
    > man
    > eine
    > HBCI-Software benutzt und am HBCI
    >
    > teilnimmt,
    > > Nicht alles, was DU nicht
    > verstehst, ist "ein
    > Schwachsinn"! Es gibt
    > verschiedene HBCI-Formen,
    > eben auch mit
    > PIN/TAN!
    >
    > Richtig. Und wers nicht glaubt kann hier den HBCI
    > PIN/TAN Standard nachlesen.
    >
    > Ausserdem ist der Bericht alles andere als Neu.
    > Auf wurde diese Angriffsmöglichkeit schon vor
    > Monaten diskutiert. Übrigens, für alle Fragen rund
    > ums Onlinebanking das einzig wahre Forum!
    >
    > Die Leute von der c't brauchen halt immer etwas
    > länger :-)
    >
    >

    Dennoch hat er recht insofern das HBCI per PIN/TAN Schwachsinn ist. Bei vernünftigen Banken kann man das ganze durch Asynchrone Kryptografie machen, das ist ein bischen sicherere als PIN/TAN.


  5. Re: Was ist das für ein Schwachsinn?

    Autor: ln 25.11.05 - 19:39

    sleipnir schrieb:

    > Dennoch hat er recht insofern das HBCI per PIN/TAN
    > Schwachsinn ist. Bei vernünftigen Banken kann man
    > das ganze durch Asynchrone Kryptografie machen,
    > das ist ein bischen sicherere als PIN/TAN.
    >

    Ob das Sinn macht oder nicht, war nicht die Frage. Was bitte ist eine "vernünftige Bank"??

    Was ist denn schon sicher und wie sicher muss es sein? Wir wollen doch bitte die Relation bewahren! Wenn ich mit 250 über die AB rausche, können mir erheblich unangenehmere Dinge passieren als mit PIN/TAN. Ein gewisses Risiko bleibt IMMER ...

  6. Re: Was ist das für ein Schwachsinn?

    Autor: Hallo 26.11.05 - 12:35

    wenn die Straße in Schuss und es trocken ist, und grade weniger Verkehr ist, gehts ja noch. Auch bei 30Km kann dir einiges passieren, zb. bei Glätte, vereiste Straßen, "Blitzeis", oder im Winter mit Sommerreifen, wie gerade erst gestern wieder erlebt, unterwegs zu sein.

    Tja, die meisten Unfälle passieren zuhause ;-)

    ln schrieb:
    -------------------------------------------------------
    > sleipnir schrieb:
    >
    > > Dennoch hat er recht insofern das HBCI per
    > PIN/TAN
    > Schwachsinn ist. Bei vernünftigen
    > Banken kann man
    > das ganze durch Asynchrone
    > Kryptografie machen,
    > das ist ein bischen
    > sicherere als PIN/TAN.
    >
    > Ob das Sinn macht oder nicht, war nicht die Frage.
    > Was bitte ist eine "vernünftige Bank"??
    >
    > Was ist denn schon sicher und wie sicher muss es
    > sein? Wir wollen doch bitte die Relation bewahren!
    > Wenn ich mit 250 über die AB rausche, können mir
    > erheblich unangenehmere Dinge passieren als mit
    > PIN/TAN. Ein gewisses Risiko bleibt IMMER ...
    >


  7. Re: Was ist das für ein Schwachsinn?

    Autor: equi 27.11.05 - 19:18

    Andreas Selle schrieb:
    -------------------------------------------------------
    > Die Leute von der c't brauchen halt immer etwas
    > länger :-)
    >

    Mal ganz davon abgesehen dass man das durch simples Lesen der Infobroschüre hätte herausfinden können. Aber das kann man heutzutage ja nicht erwarten...


  8. war mir auch neu

    Autor: xXXx 28.11.05 - 08:49

    ich nutze hbci und hab ne diskette mit ner schlüssel-datei. funktioniert zwar sicherlich nach nem ähnlichen prinzip wie pin/tan, aber das kann mir als anwender egal sein.

  9. Die CT hatte das auch mal ausführlicher vorgestellt

    Autor: shotbot 28.11.05 - 22:09

    Hi,

    Die c't hatte die Phishingproblematik auch mal ausführlich vorgestellt im Zusammenhang mit den ganzen Techniken die existieren. Der Artikel war eigentlich sehr gut, vorgestellt wurde neben Tan, iTan und die ganzen neuen Geräte wie Schlüsselanhänger, die einem Tans erstellen natürlich auch HBCI in den verschiedenen Versionen mit Chipkarte, Pin/Tan mit dem bescheuerten Marketingnamen HBCI+ und auch die Diskette.

    Zusammenfassend:
    Da die Phisher ja mittlerweile mit Viren und Co arbeiten, sind nicht mehr nur die allerschlimmsten DAUs betroffen. Außerdem sind damit im Prinzip alle Verfahren, die innerhalb des Betriebssystems laufen, potentiell gefährdet, also auch HBCI mit Diskette oder HBCI mit Chipkarte Klasse 1 (eintippen der Pin auf der PC-Tastatur). Grundsätzlich sicher ist nur HBCI mit Chipkarte ab Klasse 2 (eigene Tastatur im Chiplesegerät).

    So und jetzt hätte ich gerne das die Banken endlich einmal in Massen HBCI-Geräte bereitstellen, dass die nicht über 50 Euro kosten - denn das ist schließlich das Problem!

    Grüße,
    Alex

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Hannover Rück SE, Hannover
  2. Papierfabrik Palm GmbH & Co KG, Aalen
  3. Deutsche Post DHL Group, Berlin-Friedrichshain
  4. Kassenärztliche Vereinigung Baden-Württemberg KVBW, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de