"Uebergangsweise"?

[Siegfrid Breuer]

|Wunderschönen guten Tach!
|Ist ja fein, daß ihr euch die SMS-Kosten sparen wollt für die mTAN,
|aber ICH möchte mir die Kosten für son bescheuertes Schlaufon auch
|sparen! Was heißt also bitte bei mTAN-per-eMail "ÜBERGANGSWEISE"?
|Ich will mir auch nicht nach irgendwie gearteten Übergängen son
|Schlaufon zulegen!
|Frustrierte (wie meist) Grüße
|S.Breuer

Weiss hier vieleicht jemand, was "uebergangsweise" bedeuten koennte?
Die Dilettanten von DHL antworten leider nicht.
Es geht um deren neueste Verschlimmbesserung:

<https://www.dhl.de/info-mtan>

--
> Viel Glueck .... und ach ja, ich weiss die Antwort auch nicht...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
[Ottmar Ohlemacher in <sexo2gdm4kep$.kgh871oavnmq$.d...@40tude.net>
-> das Wahrheitsministerium raet: <http://www.hinterfotz.de/boese.html> <-

[Siegfrid Breuer]

po...@tipota.de (Siegfrid Breuer) schrieb:

> Weiss hier vieleicht jemand, was "uebergangsweise" bedeuten
> koennte?

Jetzt hamse geantwortet:

|vielen Dank fuer Ihre Nachricht.
|
|Die Zusendung des Abholcodes (mTAN) erfolgt fuer unsere Kunden
|ausschliesslich ueber die DHL Paket APP.
|
|Wir moechten Sie darauf hinweisen, dass eine Nutzung kuenftig nur mit
|der DHL Paket APP (verfuegbar fuer iOS und Android) moeglich ist. Wir
|hoffen hierbei auf Ihr Verstaendnis.

Nur, wannse mir so ein Geraet zur Verfuegung stellen, damit ich den
Bloedsinn mitmachen kann, steht nicht dabei. Ansonsten waere das ja
wohl eine kackfreche Zumutung, oder sieht das jemand anders?
Ich hab zwar hier son olles Sony Xperia, weil das mal billiger war,
als ein ein USB-Geraet zum Beschreiben von NFC-Tags aber deren Driss
laeuft natuerlich nur auf neuen teuren Geraeten! Die hamse nich alle!

--
> Ich bin nicht Deiner Meinung - kann aber jetzt leider aber auch keinen
> 100% schluessigen Gegenbeweiss anfuehren.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
[rechthabert Ohlemacher in <i735ctcindkp1ttgc...@4ax.com>]

[Stefan Schmitz]

Am Donnerstag, 27. Juni 2019 15:30:50 UTC+2 schrieb Siegfrid Breuer:
> po...@tipota.de (Siegfrid Breuer) schrieb:
>
> > Weiss hier vieleicht jemand, was "uebergangsweise" bedeuten
> > koennte?
>
> Jetzt hamse geantwortet:
>
> |vielen Dank fuer Ihre Nachricht.
> |
> |Die Zusendung des Abholcodes (mTAN) erfolgt fuer unsere Kunden
> |ausschliesslich ueber die DHL Paket APP.
> |
> |Wir moechten Sie darauf hinweisen, dass eine Nutzung kuenftig nur mit
> |der DHL Paket APP (verfuegbar fuer iOS und Android) moeglich ist. Wir
> |hoffen hierbei auf Ihr Verstaendnis.
>
> Nur, wannse mir so ein Geraet zur Verfuegung stellen, damit ich den
> Bloedsinn mitmachen kann, steht nicht dabei. Ansonsten waere das ja
> wohl eine kackfreche Zumutung, oder sieht das jemand anders?

Betreibst du kein Online-Banking?

Dafür brauchst du spätestens ab September auch ein Smartphone. iTAN darf es
dann definitiv nicht mehr geben. SMS-TAN wird dann vermutlich auch abgeschafft.

[Volker Englisch]

Siegfrid Breuer wrote on 27.06.2019 15:30:
> po...@tipota.de (Siegfrid Breuer) schrieb:

>
> Jetzt hamse geantwortet:
>
> |vielen Dank fuer Ihre Nachricht.
> |
> |Die Zusendung des Abholcodes (mTAN) erfolgt fuer unsere Kunden
> |ausschliesslich ueber die DHL Paket APP.
> |
> |Wir moechten Sie darauf hinweisen, dass eine Nutzung kuenftig nur mit
> |der DHL Paket APP (verfuegbar fuer iOS und Android) moeglich ist. Wir
> |hoffen hierbei auf Ihr Verstaendnis.

Na toll, vor deinem Posting wusste ich das noch gar nicht.

Vielleicht sollte man die Sinnhaftigkeit der Nutzung dieser
Packstationen überdenken. In letzter Zeit häufen sich hier die Fälle,
dass Sendungen angeblich nicht in der Packstation hinterlegt werden
konnten. Also doch wieder in der 20 Meter langen Schlange am Schalter
anstellen.

Da lass ich den DHL-ler die Pakete lieber gleich hinters Haus legen.

[Siegfrid Breuer]

e...@rsli.inka.de (Volker Englisch) schrieb:

>> |vielen Dank fuer Ihre Nachricht.
>> |
>> |Die Zusendung des Abholcodes (mTAN) erfolgt fuer unsere Kunden
>> |ausschliesslich ueber die DHL Paket APP.
>> |
>> |Wir moechten Sie darauf hinweisen, dass eine Nutzung kuenftig nur
>> |mit der DHL Paket APP (verfuegbar fuer iOS und Android) moeglich
>> |ist. Wir hoffen hierbei auf Ihr Verstaendnis.
>
> Na toll, vor deinem Posting wusste ich das noch gar nicht.

Mir hattense ne eMail geschickt, wo das drinstand.

> Vielleicht sollte man die Sinnhaftigkeit der Nutzung dieser
> Packstationen überdenken. In letzter Zeit häufen sich hier die Fälle,
> dass Sendungen angeblich nicht in der Packstation hinterlegt werden
> konnten. Also doch wieder in der 20 Meter langen Schlange am Schalter
> anstellen.

Wenn der Zusteller grad andere Plaene hat, und die Packstation nicht
an seiner geplanten Fahrroute liegt, kommt das hier auch oefter vor.

> Da lass ich den DHL-ler die Pakete lieber gleich hinters Haus legen.

Mich will ja keiner kennen, weil die Anfahrt und etwas Fussweg den
Paketfritzen den Schnitt kaputtmachen wuerde. Ich bin aber auch ganz
zufrieden, dass von dem Volk, was DHL da so beschaeftigt, erst
garkeiner in die Naehe meines Grundstuecks kommt.
Werde ich mir wohl jemanden suchen muessen, der kuenftig Pakete fuer
mich annimmt. Und dann muss es auch - schon aus Prinzip - nicht mehr
DHL sein.

--
> Aber leider ist uns mit Schimpfen nicht geholfen.
[schimpft Ohlemacher in <c1576t83qg61gmg92...@4ax.com>]

[Siegfrid Breuer]

ss...@gmx.de (Stefan Schmitz) schrieb:

> Betreibst du kein Online-Banking?

Doch, am PC.

> SMS-TAN wird dann vermutlich auch abgeschafft.

Die Commerzbank will die SMSe nun lediglich bezahlt haben.

--
> Dat habich zu spaet gepeilt...
[Ottmar Ohlemacher in <152z7jzv1ksjv.6cxcim3lylao$.d...@40tude.net>]

[Stephan Seitz]

Stefan Schmitz <ss...@gmx.de> wrote:
> Betreibst du kein Online-Banking?

Doch, PC mit HBCI.

Stephan

--
| Stephan Seitz E-Mail: stse+...@fsing.rootsland.net |
| Public Keys: http://fsing.rootsland.net/~stse/keys.html |

[Marc Haber]

Stefan Schmitz <ss...@gmx.de> wrote:
>Dafür brauchst du spätestens ab September auch ein Smartphone. iTAN darf es
>dann definitiv nicht mehr geben. SMS-TAN wird dann vermutlich auch abgeschafft.

Chip-TAN oder Photo-TAN?

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Bastian Blank]

Stephan Seitz wrote:
> Stefan Schmitz <ss...@gmx.de> wrote:
>> Betreibst du kein Online-Banking?
> Doch, PC mit HBCI.

HBCI ist tot. FinTS geht noch.

Bastian

[Marion Scheffels]

On Thu, 27 Jun 2019 08:43:41 -0700 (PDT), Stefan Schmitz <ss...@gmx.de>
wrote:

>Betreibst du kein Online-Banking?
>
>Dafür brauchst du spätestens ab September auch ein Smartphone. iTAN darf es
>dann definitiv nicht mehr geben. SMS-TAN wird dann vermutlich auch abgeschafft.

iTan? Die benutzt noch einer?
Die SMS-Tan kommt bei uns im August weg, da das Verfahren sich auch
als knackbar erwiesen hat - Schwachpunkt ist hier wieder mal der
Nutzer, nach dem, was ich gelesen habe.
Ansonsten gibts noch das chipTan-Verfahren, dazu braucht man so ein
kleines Gerät, in das man seine ecKarte steckt.
Oder ein BestSign-Gerät über USB oder Bluetooth.

MarionS
--
einwega...@marions.de

"Darf ich Ihnen unseren Zehnerpack anbieten?"
"Wieviel sind denn da drin?"

[Matthias Hanft]

Marion Scheffels schrieb:

>
> iTan? Die benutzt noch einer?

Hab' ich heute noch für mehrere Banken, ja. Funktioniert
immer noch prima :-)

> Oder ein BestSign-Gerät über USB oder Bluetooth.

Oder die BestSign- (oder Finanzassistent-) -App aufm Handy.

Zusatzgeräte (ChipTAN oder BestSign) sind grundsätzlich Mist -
zum einen sind die nie da, wo ich grad bin (ich reise viel),
und zum andern ist immer gerade die Batterie leer, wenn man
sie braucht.

Gruß Matthias.

[Marc Haber]

Matthias Hanft <m...@hanft.de> wrote:
>Marion Scheffels schrieb:
>> iTan? Die benutzt noch einer?
>
>Hab' ich heute noch für mehrere Banken, ja. Funktioniert
>immer noch prima :-)

"funktioniert prima" heißt nicht notwendigerweise "frei von
Sicherheitslücken". Das ist ja das gemeine, dass man Probleme mit der
Sicherheit erst mit dem Aufschlag des Kindes auf der Wasseroberfläche
bemerkt.

>> Oder ein BestSign-Gerät über USB oder Bluetooth.
>
>Oder die BestSign- (oder Finanzassistent-) -App aufm Handy.
>
>Zusatzgeräte (ChipTAN oder BestSign) sind grundsätzlich Mist -
>zum einen sind die nie da, wo ich grad bin (ich reise viel),
>und zum andern ist immer gerade die Batterie leer, wenn man
>sie braucht.

Ich habe sechs ChipTAN-Kartenleser, das ist billigste Schüttware, da
ist immer einer griffbereit. Einen oder zwei im Büro Süd zu
hinterlegen fände ich zumutbar.

Ich kann mich bei meinen Geräten nur an _einen_ Batteriewechsel
erinnern, und da lag für mehrere Tage ein Buch auf dem Gerät.

Grüße
Marc

[Matthias Hanft]

Marc Haber schrieb:

>
> "funktioniert prima" heißt nicht notwendigerweise "frei von
> Sicherheitslücken". Das ist ja das gemeine, dass man Probleme mit der
> Sicherheit erst mit dem Aufschlag des Kindes auf der Wasseroberfläche
> bemerkt.

Zumindest kann kein Hacker der Welt eine ausgedruckte iTAN-
Liste hacken, die in meiner Schreibtischschublade liegt.

Und IMHO existieren iTAN-Sicherheitslücken nur bei Leuten,
die zu blöd für die anständige Verwendung sind ("geben Sie
hier Ihre PIN und 20 iTANs ein") oder deren Computer schon
so hoffnungslos mit Viren und Trojanern verseucht sind, dass
eh nix mehr zu retten ist. Beides trifft für mich nicht zu,
und ein ganz klein wenig ärgere ich mich schon, dass das
Online-Banking (für mich) im Laufe der Jahre immer komplexer
und umständlicher wird, nur weil es diesen kleinen Prozent-
satz unwissender und unverbesserlicher Trottel gibt...

Naja, vielleicht ist es ja auch ein großer Prozentsatz :-)

> Ich habe sechs ChipTAN-Kartenleser, das ist billigste Schüttware, da
> ist immer einer griffbereit. Einen oder zwei im Büro Süd zu
> hinterlegen fände ich zumutbar.

Ich bin seit der Existenz dieser Dinger der Meinung: Wenn
eine Bank will, dass ich sowas benutze, möge sie mir das
Teil auch (unentgeltlich!) zur Verfügung stellen. Deswegen
habe ich sowas bis heute nicht, weil bisher noch keine Bank
dazu bereit war und ist.

Naja, außer Consors: Die haben für die Dauer der Geschäfts-
beziehung einen TAN-Generator kostenlos *verliehen*. Das
finde ich OK - wenn man das Konto schließt, kriegt ihn halt
der nächste Kunde. Herschenken muss eine Bank schließlich
auch nix.

Außerdem würden auch zwei ortsfeste Geräte meinen Bedarf nicht
vollständig abdecken: Ich arbeite (und überweise) auch gerne
mal bei 320 km/h...

> Ich kann mich bei meinen Geräten nur an _einen_ Batteriewechsel
> erinnern, und da lag für mehrere Tage ein Buch auf dem Gerät.

Batteriebetriebene Geräte sind per se pöse[TM] :-)

Gruß Matthias.

[Ralph A. Schmid, dk5ras]

Marion Scheffels <einwega...@marions.de> wrote:

>Die SMS-Tan kommt bei uns im August weg, da das Verfahren sich auch
>als knackbar erwiesen hat - Schwachpunkt ist hier wieder mal der
>Nutzer, nach dem, was ich gelesen habe.

Ja, das Problem ist nahezu immer der Nutzer.

>Ansonsten gibts noch das chipTan-Verfahren, dazu braucht man so ein
>kleines Gerät, in das man seine ecKarte steckt.
>Oder ein BestSign-Gerät über USB oder Bluetooth.

Ja, wegen einiger Schwachmaten, die zu doof sind, mit den Systemen
korrekt umzugehen, hat der mündige Nutzer nun solchen (sorry)
Scheißendreck an der Backe :( Es wird immer umständlicher, immer mehr
unzuverlässiger Zirkus mit voneinander abhängigen Geräten wird gebaut,
und letztlich fallen die Leute dann halt auf den Enkeltrick rein, und
die Kohle ist dennoch weg. Unglaublich.



-ras

--
Ralph A. Schmid +49-171-3631223 +49-911-21650056
http://www.schmid.xxx/ http://www.db0fue.de/
http://www.bclog.de/ http://www.kabuliyan.de/

[Ralph A. Schmid, dk5ras]

Matthias Hanft <m...@hanft.de> wrote:

>Oder die BestSign- (oder Finanzassistent-) -App aufm Handy.

Aktuell habe ich für drei Banken bereits vier Anwendungen auf dem
Handy. Ganz tolle Nummer :( Mal sehen, wann die Österreicher die
SMS-TAN abschaffen und wieder anderes Hexenwerk nötig wird.

>Zusatzgeräte (ChipTAN oder BestSign) sind grundsätzlich Mist -

Genau.

>zum einen sind die nie da, wo ich grad bin (ich reise viel),
>und zum andern ist immer gerade die Batterie leer, wenn man
>sie braucht.

Geht mir auch so, bin fast nie daheim, wenn ich Überweisungen tätige.
Na, wird halt noch mehr Kreditkarte und PayPal genutzt, das geht
(noch) ohne diesen nutzlosen Klimbim.

[Ralph A. Schmid, dk5ras]

Marc Haber <mh+usene...@zugschl.us> wrote:

>Ich habe sechs ChipTAN-Kartenleser, das ist billigste Schüttware, da
>ist immer einer griffbereit. Einen oder zwei im Büro Süd zu
>hinterlegen fände ich zumutbar.

Alleine das Gepfriemel, wenn ich irgendwo im Zug hocke und da mit
zwei, drei Geräten, Geldbörse, darin enthaltener Karte usw. usf.
hantieren muß, um mal eben schnell was zu überweisen *nerv*

Ich warte ja auf den Tag, wo man alternativ das alles einfach Cortana,
Siri, Alexa und wie die Schnepfen alle heißen ansagt :))) Das ist dann
sicher ganz sicher und auch in Ordnung so, jaja.

[Stephan Seitz]

Ralph A. Schmid, dk5ras <ra...@schmid.xxx> wrote:
> Ja, wegen einiger Schwachmaten, die zu doof sind, mit den Systemen
> korrekt umzugehen, hat der mündige Nutzer nun solchen (sorry)
> Scheißendreck an der Backe :( Es wird immer umständlicher, immer mehr

Ja, war bei der Packstation doch nicht anders. Ging früher via Karte
und Mail, dann mußte es SMS werden, weil Idioten nicht damit
nicht umgehen konnten. :-(
Und da ich kein Handy habe, war Packstation dann essig.

Shade and sweet water!

[Stefan Schmitz]

Am Mittwoch, 3. Juli 2019 11:47:25 UTC+2 schrieb Marc Haber:
> Matthias Hanft <m...@hanft.de> wrote:
> >Marion Scheffels schrieb:
> >> iTan? Die benutzt noch einer?
> >
> >Hab' ich heute noch für mehrere Banken, ja. Funktioniert
> >immer noch prima :-)
>
> "funktioniert prima" heißt nicht notwendigerweise "frei von
> Sicherheitslücken". Das ist ja das gemeine, dass man Probleme mit der
> Sicherheit erst mit dem Aufschlag des Kindes auf der Wasseroberfläche
> bemerkt.

Welche Sicherheitslücke gibt es bei iTAN, wenn der Benutzer vernünftig damit
umgeht?

Kurz nachdem die Deutsche Bank mich zum Umstieg auf photoTAN genötigt hat,
habe ich schon den ersten Phishing-Versuch dazu erlebt. Wer irgendwo mehrere
iTANs eingibt, lädt auf der verlinkten Seite auch ein Bild seiner
Aktivierungsgrafik hoch.

[Fa.lk.Sc.H.a.de]

Am 03.07.2019 um 14:41 schrieb Ralph A. Schmid, dk5ras:
> Marc Haber <mh+usene...@zugschl.us> wrote:
>
>> Ich habe sechs ChipTAN-Kartenleser, das ist billigste Schüttware, da
>> ist immer einer griffbereit. Einen oder zwei im Büro Süd zu
>> hinterlegen fände ich zumutbar.
>
> Alleine das Gepfriemel, wenn ich irgendwo im Zug hocke und da mit
> zwei, drei Geräten, Geldbörse, darin enthaltener Karte usw. usf.
> hantieren muß, um mal eben schnell was zu überweisen *nerv*
>
> Ich warte ja auf den Tag, wo man alternativ das alles einfach Cortana,
> Siri, Alexa und wie die Schnepfen alle heißen ansagt :))) Das ist dann
> sicher ganz sicher und auch in Ordnung so, jaja.
>

mich hat die neue Variante meiner Bank überrascht, Positiv überrascht.
Die Tan wird auf dem Handy erzeugt und automatisch übernommen, das geht
jetzt mit dem Handy sehr viel schneller als am PC. Und der Clou ist die
Fotofunktion, nicht nur Überweisungsträger kann das Ding zuverlässig
scannen auch Briefe wo die Kontonummern dann irgendwo unten im
Kleingedruckten stehen. Anfangs habe ich das noch überprüft inzwischen
kuck ich nur noch kurz drauf und fertig.

[Fa.lk.Sc.H.a.de]

Am 03.07.2019 um 16:18 schrieb Stephan Seitz:
> Ralph A. Schmid, dk5ras <ra...@schmid.xxx> wrote:
>> Ja, wegen einiger Schwachmaten, die zu doof sind, mit den Systemen
>> korrekt umzugehen, hat der mündige Nutzer nun solchen (sorry)
>> Scheißendreck an der Backe :( Es wird immer umständlicher, immer mehr
>
> Ja, war bei der Packstation doch nicht anders. Ging früher via Karte
> und Mail, dann mußte es SMS werden, weil Idioten nicht damit
> nicht umgehen konnten. :-(
> Und da ich kein Handy habe, war Packstation dann essig.
>

moment mal, wie machen die das den, wenn sie von mir gar keine
Handynummer haben?
Der fall kommt nämlich gerade auf mich zu.

[Stephan Seitz]

Huch?

Meine "Kündigungsmails" für die Packstation mangels Handynummer gabs
im Januar 2013.

[Marion Scheffels]

On Wed, 3 Jul 2019 07:57:59 -0700 (PDT), Stefan Schmitz <ss...@gmx.de>
wrote:

>Welche Sicherheitslücke gibt es bei iTAN, wenn der Benutzer vernünftig damit
>umgeht?

Es sind eben die Unvernünftigen und schlicht Dummen, die das System
kaputt machen, auch bei der mTan.

Ich hatte Leute mit ner ausgedruckten Phishing-Mail am Schalter, denen
habe ich gebetsmühlenartig wieder gesagt, dass das ne Fälschung sei -
- und dann kam nur ein "aber da steht doch Ihr Name drauf", und damit
war für die Leute die Mail immer noch echt.

[Dschen Reinecke]

Am 03.07.2019 16:57, schrieb Stefan Schmitz:

Moin Stefan!

> Welche Sicherheitslücke gibt es bei iTAN, wenn der Benutzer vernünftig damit
> umgeht?

Ich wenn ich die iTAN für sinnvoll halte und alles was als App auf einem
per se *unsicheren* Gerät (Rootrechte für Google oder Apple und nicht
für mich) läuft für unsicherer halte gibt es ein Problem:

Du siehst nicht was Du mit der iTAN authentifizierst (bzw. diese Anzeige
ist vergleichsweise einfach zu manipulieren). Alle neueren Verfahren
nutzen die Empfänger-Kontonummer und den Betrag als Callange zur
TAN-Erzeugung und zeigen es in der App oder auf dem Gerät an. Wenn Du
dies vergleichst ist ein Man-in-the-Middle-Angriff fast ausgeschlossen.

Ciao Dschen

--
Dschen Reinecke

=== der mit dem Namen aus China ===

http://WWW.DSCHEN.DE mailto:use...@dschen.de

[Stefan Schmitz]

Am Donnerstag, 4. Juli 2019 11:39:05 UTC+2 schrieb Dschen Reinecke:

> Du siehst nicht was Du mit der iTAN authentifizierst (bzw. diese Anzeige
> ist vergleichsweise einfach zu manipulieren). Alle neueren Verfahren
> nutzen die Empfänger-Kontonummer und den Betrag als Callange zur
> TAN-Erzeugung und zeigen es in der App oder auf dem Gerät an. Wenn Du
> dies vergleichst ist ein Man-in-the-Middle-Angriff fast ausgeschlossen.

Gibt es denn solche Angriffe mit der iTAN oder drohen sie ernsthaft?

Dazu müsste man ja erst mal die verschlüsselte Banking-Seite so manipulieren,
dass sie mir falsche Daten anzeigt. (Oder mein Gerät so manipulieren, dass es
mir die Banking-Seite falsch anzeigt.)
Und dann müsste man abwarten, bis ich eine echte Transaktion mit iTAN bestätige,
um diese Transaktion gegenüber der Bank durch eine andere zu ersetzen.

Und was nützt es, solche Angriffe auszuschalten, wenn eine Komplettübernahme
des Bankings möglich ist, bei denen der Kunde gar nichts von den getätigten
Transaktionen sieht?

[Matthias Hanft]

Dschen Reinecke schrieb:

>
> Du siehst nicht was Du mit der iTAN authentifizierst (bzw. diese Anzeige
> ist vergleichsweise einfach zu manipulieren).

Wie denn, wenn ich eine TLS-Ende-zu-Ende-gesicherte Verbindung
zu meiner Bank habe und auf deren Website steht "geben Sie iTAN
Nr. 57 für die Überweisung von 100 EUR auf das Konto 123456 ein"?

Auch die iTAN selbst geht dann ja TLS-Ende-zu-Ende-gesiohert zur
Bank.

Da müsste schon ein schwerwiegender Trojaner die Bildschirmaus-
gaben meinen Browsers abfangen und manipulieren und gleichzeitig
ein Keylogger die eingetippte iTAN mitschneiden und an seinen
molwanischen Server übermitteln oder so.

Klar, dass das dann einfach zu manipulieren ist, wenn ich eine
solche Trojaner-Software installiere. Tue ich aber nicht. Aber
anscheinend tun es genügend Leute, dass die Banken nach anderen
(und IMHO nicht unbedingt besseren/sichereren) Verfahren gesucht
haben. Und ich muss es ausbaden...

Gruß Matthias.

[Dschen Reinecke]

Am 04.07.2019 20:01, schrieb Matthias Hanft:

Moin Matthias!
Moin Stefan,
Dein Posting fragt das gleiche, ich antworte nur einmal.

> Wie denn, wenn ich eine TLS-Ende-zu-Ende-gesicherte Verbindung
> zu meiner Bank habe und auf deren Website steht "geben Sie iTAN
> Nr. 57 für die Überweisung von 100 EUR auf das Konto 123456 ein"?
>
> Auch die iTAN selbst geht dann ja TLS-Ende-zu-Ende-gesiohert zur
> Bank.
>
> Da müsste schon ein schwerwiegender Trojaner die Bildschirmaus-
> gaben meinen Browsers abfangen und manipulieren und gleichzeitig
> ein Keylogger die eingetippte iTAN mitschneiden und an seinen
> molwanischen Server übermitteln oder so.
>
> Klar, dass das dann einfach zu manipulieren ist, wenn ich eine
> solche Trojaner-Software installiere. Tue ich aber nicht. Aber
> anscheinend tun es genügend Leute, dass die Banken nach anderen
> (und IMHO nicht unbedingt besseren/sichereren) Verfahren gesucht
> haben. Und ich muss es ausbaden...

Ich wäre auch gerne bei der ITAN geblieben. Bei meiner Bank habe ich ein
passendes potoTAN-Gerät gekauft. Dabei musste ich mich fragen lasen, ob
ich nicht lieber die kostenlose App nutzen würde, das sei ganz einfach.

Die iTAN ist in soweit sicher, daß die Manipulierbarkeit/Kopierbarkeit
des Papiers auf Deinem Schreibtisch fast nicht gegeben ist für einen
üblichen Angreifer.

Aber der Man-in-the-middle kann z.B. per Phishing eine gefakte Seite
präsentiern, die mit den dort eingegebenen Zugangsdaten den korrekten
Inhalt von der original Seite holt und als Proxy ausliefert. Erst wenn
ein Nutzer dort eine Überweisung tätigt werden die Daten nicht mehr
1-zu-1 weitergegeben, sondern manipuliert.

Das ist jetzt nicht wahnsinnig wahrscheinlich, aber lass die gefakte
Seite auf ein paar Tippfehler-Domains laufen, die können gültige
Zertifikate haben.

Das ist fast so wie damals mit papiernen Überweisungen: Es sollen öfter
Post-Briefkästen Freitag Nachmittags aufgebrochen worden sein und die
Briefe von Firmen an Ihre Banken wurden rausgefischt. Die
Überweisungsträger wurden ausgetauscht gegen welche mit geänderten
Kontodaten und die Unterschrift wurde gefälscht. So wurde das dann
erneut an die Bank versendet.
Wenn nur die Kontonummer, nicht aber der Name, Verwendungszweck oder
Betrag geändert wurde fiel dies oft erst nach Wochen auf, wenn eine
Mahnung für eine vermeintlich gezahlte Rechnung ankam.

[Matthias Hanft]

Dschen Reinecke schrieb:

>
> Aber der Man-in-the-middle kann z.B. per Phishing eine gefakte Seite
> präsentiern, die mit den dort eingegebenen Zugangsdaten den korrekten
> Inhalt von der original Seite holt und als Proxy ausliefert. Erst wenn
> ein Nutzer dort eine Überweisung tätigt werden die Daten nicht mehr
> 1-zu-1 weitergegeben, sondern manipuliert.
> Das ist jetzt nicht wahnsinnig wahrscheinlich, aber lass die gefakte
> Seite auf ein paar Tippfehler-Domains laufen, die können gültige
> Zertifikate haben.

Dann müsste aber, um diesen Fall mal weiterzuspinnen, der Angreifer
den Bank-DNS gehackt haben, damit ich auf "seiner" Seite rauskomme
statt bei meiner Bank, oder? Also ich habe ja im Browser ein Lese-
zeichen z.B. auf https://meine.postbank.de/#/login - und das löst
mein Nameserver zu 185.157.32.20 auf (ich sehe gerade, dass es da
im DNS sogar zwei RRSIG-Records dafür gibt, da könnte man wohl
sogar die DNS-Antwort damit checken). Und dann zeigt ja der Browser
das Zertifikat "DB Privat- und Firmenkundenbank AG [DE]" an und
füllt den Login auch gleich selber aus, was er auf einer falschen/
anderen Seite nicht tun würde.

Als einzige Möglichkeit, dass der Hacker meine Daten kriegt, sehe
ich aktuell nur, dass er den Postbank-Server hackt und sich die
gesamte Kommunikation von dort schicken lässt. Aber *dieses*
Problem hätte man ja immer und mit jeder Bank...

Gruß Matthias.

[Marc Haber]

Matthias Hanft <m...@hanft.de> wrote:
>Marc Haber schrieb:
>> "funktioniert prima" heißt nicht notwendigerweise "frei von
>> Sicherheitslücken". Das ist ja das gemeine, dass man Probleme mit der
>> Sicherheit erst mit dem Aufschlag des Kindes auf der Wasseroberfläche
>> bemerkt.
>
>Zumindest kann kein Hacker der Welt eine ausgedruckte iTAN-
>Liste hacken, die in meiner Schreibtischschublade liegt.

Entschuldige, ich verwechselte iTAN und mTAN.

>Und IMHO existieren iTAN-Sicherheitslücken nur bei Leuten,
>die zu blöd für die anständige Verwendung sind ("geben Sie
>hier Ihre PIN und 20 iTANs ein") oder deren Computer schon
>so hoffnungslos mit Viren und Trojanern verseucht sind, dass
>eh nix mehr zu retten ist. Beides trifft für mich nicht zu,
>und ein ganz klein wenig ärgere ich mich schon, dass das
>Online-Banking (für mich) im Laufe der Jahre immer komplexer
>und umständlicher wird, nur weil es diesen kleinen Prozent-
>satz unwissender und unverbesserlicher Trottel gibt...

Dennoch gibt es genug dieser Idioten, die dafür gesorgt haben, dass
die Versicherungen den Banken Dampf gemacht haben, diese Idioten
auszubremsen.

>> Ich habe sechs ChipTAN-Kartenleser, das ist billigste Schüttware, da
>> ist immer einer griffbereit. Einen oder zwei im Büro Süd zu
>> hinterlegen fände ich zumutbar.
>
>Ich bin seit der Existenz dieser Dinger der Meinung: Wenn
>eine Bank will, dass ich sowas benutze, möge sie mir das
>Teil auch (unentgeltlich!) zur Verfügung stellen. Deswegen
>habe ich sowas bis heute nicht, weil bisher noch keine Bank
>dazu bereit war und ist.

Ja, deswegen kommen für die Banken kostenlose, aber unsicherere
Methoden mit Apps auf den bereits vorhandenen Smartphones immer mehr
in Mode. Unterm Strich erweist uns das allen einen Bärendienst. Ich
buche den Kauf des TAN-Generators einfach als 6855[1], wie die
Kontoführungsgebühren.

>Außerdem würden auch zwei ortsfeste Geräte meinen Bedarf nicht
>vollständig abdecken: Ich arbeite (und überweise) auch gerne
>mal bei 320 km/h...

Ich hatte auch mal immer einen dabei, das habe ich mir abgewöhnt.

>> Ich kann mich bei meinen Geräten nur an _einen_ Batteriewechsel
>> erinnern, und da lag für mehrere Tage ein Buch auf dem Gerät.
>
>Batteriebetriebene Geräte sind per se pöse[TM] :-)

Im konkreten Fall trägt der Batteriebetrieb zur hohen Sicherheit des
Verfahrens bei.

Grüße
Marc

[1] SKR 04, "Nebenkosten des Geldverkehrs"

[Marc Haber]

Stefan Schmitz <ss...@gmx.de> wrote:
>Dazu müsste man ja erst mal die verschlüsselte Banking-Seite so manipulieren,
>dass sie mir falsche Daten anzeigt. (Oder mein Gerät so manipulieren, dass es
>mir die Banking-Seite falsch anzeigt.)
>Und dann müsste man abwarten, bis ich eine echte Transaktion mit iTAN bestätige,
>um diese Transaktion gegenüber der Bank durch eine andere zu ersetzen.

Es gibt durchaus Schlangenöl-Software, die man für teures Geld
einkauft, und die dann die Sicherheit so weit reduziert ("im Namen der
Sicherheit"), dass solche Angriffe möglich werden.

[Dschen Reinecke]

Am 04.07.2019 22:33, schrieb Matthias Hanft:

Moin Matthias!

> Dschen Reinecke schrieb:

>> Das ist jetzt nicht wahnsinnig wahrscheinlich, aber lass die gefakte
>> Seite auf ein paar Tippfehler-Domains laufen, die können gültige
>> Zertifikate haben.
>
> Dann müsste aber, um diesen Fall mal weiterzuspinnen, der Angreifer
> den Bank-DNS gehackt haben, damit ich auf "seiner" Seite rauskomme
> statt bei meiner Bank, oder? Also ich habe ja im Browser ein Lese-
> zeichen z.B. auf https://meine.postbank.de/#/login - und das löst
> mein Nameserver zu 185.157.32.20 auf (ich sehe gerade, dass es da
> im DNS sogar zwei RRSIG-Records dafür gibt, da könnte man wohl
> sogar die DNS-Antwort damit checken). Und dann zeigt ja der Browser
> das Zertifikat "DB Privat- und Firmenkundenbank AG [DE]" an und
> füllt den Login auch gleich selber aus, was er auf einer falschen/
> anderen Seite nicht tun würde.

Ja, Du machst es so, ich mache es so, wir wissen auch daß es ein DNS
gibt, aber der gemeine DAU weiß es nicht und macht irgendwas: Er tippt
*postbank* ins Suchfenster seiner Startseite und klickt auf den obersten
gefundenen Eintrag (normalerweise der Link zu seinem Onlinebanking, aber
heute die Werbeanzeige, die zu postbank.com mit kyrillischem o
geschrieben führt). Oder der etwas ambitioniertere DAU: Er weiß, daß es
das URL-Feld im Browser gibt und er nicht auf irgendwelche Links klicken
soll, wenn er zu seiner Bank will, also tippt er *www.postbnk.de*
(fehlendes a) und lässt sich auch durch die Links vom
Auto-Vervollständigen nicht aus der Ruhe bringen.

Für beide Domains hat der Ganove tolle Zertifikate erstellen lassen und
der DAU guckt vielleicht noch kurz und sieht ein grünes Schloss. Und mit
dem Proxy-Verfahren des Man-in-the-middle scheint die Seite ja auch
normal zu funktionieren.

[Marc Haber]

Dschen Reinecke <use...@dschen.de> wrote:
>Ja, Du machst es so, ich mache es so, wir wissen auch daß es ein DNS
>gibt, aber der gemeine DAU weiß es nicht und macht irgendwas: Er tippt
>*postbank* ins Suchfenster seiner Startseite und klickt auf den obersten
>gefundenen Eintrag (normalerweise der Link zu seinem Onlinebanking, aber
>heute die Werbeanzeige, die zu postbank.com mit kyrillischem o
>geschrieben führt). Oder der etwas ambitioniertere DAU: Er weiß, daß es
>das URL-Feld im Browser gibt und er nicht auf irgendwelche Links klicken
>soll, wenn er zu seiner Bank will, also tippt er *www.postbnk.de*
>(fehlendes a) und lässt sich auch durch die Links vom
>Auto-Vervollständigen nicht aus der Ruhe bringen.
>
>Für beide Domains hat der Ganove tolle Zertifikate erstellen lassen und
>der DAU guckt vielleicht noch kurz und sieht ein grünes Schloss. Und mit
>dem Proxy-Verfahren des Man-in-the-middle scheint die Seite ja auch
>normal zu funktionieren.

Oder der halbwissende Computerbildleser hat sich einen "Virenscanner"
installiert, der damit Reklame macht, auch von https-Sites
heruntergeladene Malware zu scannen, _bevor_ sie auf der eigenen
Platte landet, hat dafür 127.0.0.1 als Webproxy eingetragen und das
Root-Zertifikat des Virenscanners in seinem Browser als
vertrauenswürdig eingetragen (das ist Stand der Technik für https
öffnende Proxies).

Dann fängt er sich eine Malware ein, die der Scanner noch nicht
erkennt, da brandneu.

[Matthias Hanft]

Marc Haber schrieb:

>
> Ich
> buche den Kauf des TAN-Generators einfach als 6855[1], wie die
> Kontoführungsgebühren.

Ich hab sogar noch ein Argument dagegen: Meine EC-... äh...
Girocard steckt normalerweise in meinem Geldbeutel. Der liegt
im Erdgeschoss, damit ich ihn schnell zur Hand habe, wenn ich
fortgehe. Wenn ich jetzt also im 1. Stock im Büro am Schreib-
tisch sitze und was überweisen wollte, müsste ich ein Stockwerk
tiefer gehen, die Girocard aus meinem Geldbeutel holen, wieder
die Treppe rauf, Karte in Leser, TAN erzeugen, überweisen, und
dann die Karte wieder runtertragen und in den Geldbeutel stecken
(weil ichs sonst bestimmt vergessen und beim nächsten Einkauf
ohne Karte dastehen würde).

Das ist F***ING unpraktisch.

(Ok, Geldbeutel defaultmäßig ins Büro mit rauf nehmen wäre
eine Alternative. Aber dort brauch ich den sonst NIE - das
wäre tatsächlich eine reine "Überweisungsprophylaxe", d.h.
ich würde ihn in 99% aller Fälle umsonst mit raufnehmen.
Und beim Fortgehen würde ich mir mehr als einmal denken
"oh, Mist, der Geldbeutel liegt noch oben" und müsste
dann nochmal rauf - und ggf. die Schuhe nochmal ausziehen,
wenn ich sie schon anhabe. Nein, ich mach' mir das Leben
nicht mit Absicht noch unpraktischer - ist eh schon
unpraktisch genug.)

Gruß Matthias.

[Matthias Hanft]

Dschen Reinecke schrieb:

>
> Ja, Du machst es so, ich mache es so, wir wissen auch daß es ein DNS

> gibt, aber der gemeine DAU weiß es nicht und macht irgendwas [...]

Ich sag doch, dass ich nur wegen dieser paar Deppen leiden muss :-)

(Ja, im Ernst, ich weiß, es sind nicht nur ein paar.)

Gruß Matthias.

[Matthias Hanft]

Marc Haber schrieb:

>
> Oder der halbwissende Computerbildleser hat sich einen "Virenscanner"
> installiert, der damit Reklame macht, auch von https-Sites
> heruntergeladene Malware zu scannen, _bevor_ sie auf der eigenen
> Platte landet, hat dafür 127.0.0.1 als Webproxy eingetragen und das
> Root-Zertifikat des Virenscanners in seinem Browser als
> vertrauenswürdig eingetragen (das ist Stand der Technik für https
> öffnende Proxies).

...und das ist auch der Grund, warum der ELSTER-Client "ERiC" in so
einem Fall keine Verbindung zum ELSTER-Server herstellen kann: Der
checkt nämlich (hartcodiert) das Server-Zertifikat und verweigert
den Verbindungsaufbau, wenn er ein anderes findet. Leider sagt er
das mit einer verwirrenden/nichtssagenden Fehlermeldung, so dass
ich ständig Supportfälle habe à la "Ihr Programm funktioniert nicht,
ich kann den ELSTER-Server nicht erreichen". Sobald der Anwender
dann seine "Kaspersky Internet Security" abschaltet (oder wie sie
alle heißen), geht's dann plötzlich wie durch ein Wunder... grmpf.

Gruß Matthias.

[Ralph A. Schmid, dk5ras]

Marc Haber <mh+usene...@zugschl.us> wrote:

>127.0.0.1 als Webproxy eingetragen und das
>Root-Zertifikat des Virenscanners in seinem Browser als
>vertrauenswürdig eingetragen (das ist Stand der Technik für https
>öffnende Proxies).

Ernsthaft? Ach du Scheiße. Das Schlangenöl aus gelben Schachteln ist
ja noch übler als gedacht :(((

[Marc Haber]

Matthias Hanft <m...@hanft.de> wrote:
>Marc Haber schrieb:
>> Ich
>> buche den Kauf des TAN-Generators einfach als 6855[1], wie die
>> Kontoführungsgebühren.
>
>Ich hab sogar noch ein Argument dagegen: Meine EC-... äh...
>Girocard steckt normalerweise in meinem Geldbeutel. Der liegt
>im Erdgeschoss, damit ich ihn schnell zur Hand habe, wenn ich
>fortgehe. Wenn ich jetzt also im 1. Stock im Büro am Schreib-
>tisch sitze und was überweisen wollte, müsste ich ein Stockwerk
>tiefer gehen, die Girocard aus meinem Geldbeutel holen, wieder
>die Treppe rauf, Karte in Leser, TAN erzeugen, überweisen, und
>dann die Karte wieder runtertragen und in den Geldbeutel stecken
>(weil ichs sonst bestimmt vergessen und beim nächsten Einkauf
>ohne Karte dastehen würde).
>
>Das ist F***ING unpraktisch.

Aber sicher. Die Karte hat den Schlüssel und gibt ihn nicht her.

Grüße
Marc

[Marc Haber]

Abhilfe: myEbilanz soll eine andere Webseite aufrufen und das
Zertifikat checken. Geht das schief, kannst Du eine sinnvolle
Fehlermeldung erzeugen.

[Marc Haber]

"Ralph A. Schmid, dk5ras" <ra...@schmid.xxx> wrote:

>Marc Haber <mh+usene...@zugschl.us> wrote:
>
>>127.0.0.1 als Webproxy eingetragen und das
>>Root-Zertifikat des Virenscanners in seinem Browser als
>>vertrauenswürdig eingetragen (das ist Stand der Technik für https
>>öffnende Proxies).
>
>Ernsthaft? Ach du Scheiße. Das Schlangenöl aus gelben Schachteln ist
>ja noch übler als gedacht :(((

Wie soll das denn anders gehen?

[Matthias Hanft]

Marc Haber schrieb:

>
> Aber sicher. Die Karte hat den Schlüssel und gibt ihn nicht her.

Ja, das ist natürlich "absolut sicher".

Ich kann aber auch mit "sicher genug" gut leben :-)

Gruß Matthias.

[Matthias Hanft]

Marc Haber schrieb:

>
> Abhilfe: myEbilanz soll eine andere Webseite aufrufen und das
> Zertifikat checken. Geht das schief, kannst Du eine sinnvolle
> Fehlermeldung erzeugen.

Hmmm... was schickt denn so ein MITM-Proxy eigentlich für ein
Zertifikat? Das mit seinem Proxy-CN? Oder gar eins mit dem
Zielserver-CN?

Könnte ich im Prinzip ja auch gleich mit dem "realen" Ziel
https://datenannahme2.elster.de/ machen. Aber der will schon
gar nicht erst mit mir reden, wenn ich nicht ein (ebenfalls
im ELSTER-Client hartcodiertes) Client-Zertifikat mitschicke.

Also am besten die eigene Website aufrufen und dann schauen,
ob der CN im empfangenen Zertifikat "Hanft" oder "Kaspersky"
ist?

Anderer Punkt: Ich bin mehr oder weniger stolz drauf, dass
meine Software nicht "heimtelefoniert" (ohne dass der Anwender
das weiß bzw. aktiv veranlasst hat). Eine Testverbindung zu
meinem Server (oder anderswohin) würde dieses Prinzip kaputt-
machen...

Gruß Matthias.

[Marc Haber]

Matthias Hanft <m...@hanft.de> wrote:
>Marc Haber schrieb:
>> Abhilfe: myEbilanz soll eine andere Webseite aufrufen und das
>> Zertifikat checken. Geht das schief, kannst Du eine sinnvolle
>> Fehlermeldung erzeugen.
>
>Hmmm... was schickt denn so ein MITM-Proxy eigentlich für ein
>Zertifikat? Das mit seinem Proxy-CN? Oder gar eins mit dem
>Zielserver-CN?

Manche MITM-Proxies erzeugen für jede Website ein Zertifikat mit
passendem CN und Signatur der Proxy-CA.

>Könnte ich im Prinzip ja auch gleich mit dem "realen" Ziel
>https://datenannahme2.elster.de/ machen. Aber der will schon
>gar nicht erst mit mir reden, wenn ich nicht ein (ebenfalls
>im ELSTER-Client hartcodiertes) Client-Zertifikat mitschicke.

Wer authentifiziert sich denn da zuerst?

>Also am besten die eigene Website aufrufen und dann schauen,
>ob der CN im empfangenen Zertifikat "Hanft" oder "Kaspersky"
>ist?

Ich würde einfach den Fingerprint vergleichen.

>Anderer Punkt: Ich bin mehr oder weniger stolz drauf, dass
>meine Software nicht "heimtelefoniert" (ohne dass der Anwender
>das weiß bzw. aktiv veranlasst hat). Eine Testverbindung zu
>meinem Server (oder anderswohin) würde dieses Prinzip kaputt-
>machen...

Einen Tod muss man sterben und z.B. https://www.elster.de/ abrufen,
mit dem Schmerz, dass man dann den Zertifikatswechsel nachziehen muss.

[Enrik Berkhan]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Matthias Hanft <m...@hanft.de> wrote:
>>Also am besten die eigene Website aufrufen und dann schauen,
>>ob der CN im empfangenen Zertifikat "Hanft" oder "Kaspersky"
>>ist?
>
> Ich würde einfach den Fingerprint vergleichen.

Eigene CA-Liste pflegen. Es geht doch um eine "richtige" Anwendung?

> Einen Tod muss man sterben und z.B. https://www.elster.de/ abrufen,
> mit dem Schmerz, dass man dann den Zertifikatswechsel nachziehen muss.

Dann muss man nur bei CA-Wechsel/-Update nachziehen. Oder nicht?

Viele Grüße,
Enrik

[Matthias Hanft]

Marc Haber schrieb:

>
> Manche MITM-Proxies erzeugen für jede Website ein Zertifikat mit
> passendem CN und Signatur der Proxy-CA.

OMG :-(

[ELSTER]

> Wer authentifiziert sich denn da zuerst?

Keine Ahnung. So tief steck' ich im TLS-Protokoll nicht drin.

Wenn man

openssl s_client -connect datenannahme3.elster.de:443

macht, kriegt man aber erst mal das Serverzertifikat:

subject=/C=DE/ST=Bayern/L=M\xC3\xBCnchen/O=Bayerisches Landesamt fuer Steuern/OU=IuK 16/CN=*.elster.de
issuer=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2

und dann kommt die Info, welche CAs der Client-Zertifikate
(und welche Typen) denn so alles akzeptiert würden:

Acceptable client certificate CA names
/CN=Elster-Betrieb TLS CLIENT CA/OU=Elster/O=BayLfSt/ST=Bayern/C=DE
/C=DE/ST=Bayern/L=Muenchen/O=Bayerisches Landesamt fuer Steuern/OU=ELSTER/CN=offeneschnittstelle
/C=DE/ST=Bayern/L=Muenchen/O=Bayerisches Landesamt fuer Steuern/OU=ELSTER/CN=ERiC Client Certificate
/C=DE/O=DATEV eG/CN=CA DATEV DSI 03
/C=DE/ST=Bayern/L=Muenchen/O=Bayerisches Landesamt fuer Steuern/OU=ELSTER/CN=root-edako-ca
/C=DE/ST=Bayern/L=Muenchen/O=Bayerisches Landesamt fuer Steuern - Dienststelle Muenchen/OU=ELSTER/CN=Elster HTTPS-Client
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: ECDSA+SHA512:RSA+SHA512:ECDSA+SHA384:RSA+SHA384:ECDSA+SHA256:RSA+SHA256:DSA+SHA256:ECDSA+SHA224:RSA+SHA224:DSA+SHA224:ECDSA+SHA1:RSA+SHA1:DSA+SHA1
Shared Requested Signature Algorithms: ECDSA+SHA512:RSA+SHA512:ECDSA+SHA384:RSA+SHA384:ECDSA+SHA256:RSA+SHA256:DSA+SHA256:ECDSA+SHA224:RSA+SHA224:DSA+SHA224:ECDSA+SHA1:RSA+SHA1:DSA+SHA1
Peer signing digest: SHA512

Allerdings...

> Ich würde einfach den Fingerprint vergleichen.

...hab ich in meiner Software gar keine TLS-Bibliotheken - da müsste
ich erst mal schauen, ob ich da was passendes finde.

Und abgesehen davon: Wenn ich den Fingerprint des Zertifikats selber
vergleiche, würde das ja bei jedem Zertifikatswechsel (alle drei
Monate) schiefgehen. Da müsste ich ja jedesmal in der infinitesimalen
Mikrosekunde des Zertifkatswechsels ein Update meines Programms mit
dem neuen Fingerprint rausbringen? Das geht nicht.

Oder ich prüfe nur die CA. MITM-Proxies haben doch hoffentlich niemals
Let's Encrypt als CA?

> Einen Tod muss man sterben und z.B. https://www.elster.de/ abrufen,
> mit dem Schmerz, dass man dann den Zertifikatswechsel nachziehen muss.

Da gilt aber auch das obige, und sogar noch mit der zusätzlichen Ein-
schränkung, dass ich den Zeitpunkt von Zertifikatswechseln auf den
ELSTER-Servern nicht selbst bestimmen kann.

Gruß Matthias.

PS: Das Problem (also dass wegen Kaspersky & Co. keine ELSTER-Verbindung
hergestellt werden kann) ist derzeit noch nicht sooo groß, als dass
dringender Handlungsbedarf (für hochkomplexe Lösungen) bestünde. Aber
ich behalte die hier gemachten Lösungsvorschläge auf jeden Fall im
Hinterkopf, falls sich das noch auswächst...

PPS: Wie machen das eigentlich weitverbreitete Programme wie das Wiso
Sparbuch & Co.? Die müssten ja das gleiche Problem haben. Oder wissen
die, wie sie für sich selbst Ausnahmen in den gängigen "Security
Sites" eintragen können?

PPPS: Ich könnte ja mal im ELSTER-Entwicklerforum vorschlagen, die nichts-
sagende Fehlermeldung "Verbindung zu den ELSTER-Servern kann nicht
aufgebaut werden" durch was sinnvolleres (und/oder den Grund dafür)
zu ersetzen...

[Thomas Hochstein]

Marion Scheffels schrieb:

> iTan? Die benutzt noch einer?

Ich würde mir wünschen, dass das noch möglich wäre: ein bequemes und
sicheres System. (Man darf natürlich nicht auf Phishing reinfallen
oder sich Malware auf sein System installieren lassen; aber das
Risiko, dass Kartendaten und PIN am Automaten ausgespäht werden,
erscheint mir deutlich höher.)

[Thomas Hochstein]

Dschen Reinecke schrieb:

> Du siehst nicht was Du mit der iTAN authentifizierst (bzw. diese Anzeige
> ist vergleichsweise einfach zu manipulieren).

Das "vergleichsweise einfache" Vorgehen würde mich interessieren.

> Alle neueren Verfahren
> nutzen die Empfänger-Kontonummer und den Betrag als Callange zur
> TAN-Erzeugung und zeigen es in der App oder auf dem Gerät an. Wenn Du
> dies vergleichst ist ein Man-in-the-Middle-Angriff fast ausgeschlossen.

Ich vergleiche mit Sicherheit keine IBANs; meine Zeit habe ich nicht
gestohlen.

[Thomas Hochstein]

Ralph A. Schmid, dk5ras schrieb:

> Aktuell habe ich für drei Banken bereits vier Anwendungen auf dem
> Handy.

Drei Banken, drei verschiedene Geräte im Schrank neben dem
Schreibtisch gestapelt ...

[Thomas Hochstein]

Volker Englisch schrieb:

> Na toll, vor deinem Posting wusste ich das noch gar nicht.

Die Benachrichtigung kam per Mail an den hinterlegten Mailaccount.

> Vielleicht sollte man die Sinnhaftigkeit der Nutzung dieser
> Packstationen überdenken. In letzter Zeit häufen sich hier die Fälle,
> dass Sendungen angeblich nicht in der Packstation hinterlegt werden
> konnten.

Dann ist die Sendung zu groß oder es ist kein Fach (in der notwendigen
Größe) mehr freii. (Oder die Packstation ist defekt.) Das kommt vor.

> Also doch wieder in der 20 Meter langen Schlange am Schalter
> anstellen.

Alternativ werden die Sendungen auch mal in anderen Packstationen
hinterlegt, teilweise mehr als 10 km entfernt. Da lernt man immerhin
sein näheres und weiteres Wohnumfeld kennen. :)

[Thomas Hochstein]

Matthias Hanft schrieb:

> Ich hab sogar noch ein Argument dagegen: Meine EC-... äh...
> Girocard steckt normalerweise in meinem Geldbeutel. Der liegt
> im Erdgeschoss, damit ich ihn schnell zur Hand habe, wenn ich
> fortgehe.

Allerdings. - Die Wege sind hier kürzer (kleinere Wohnung), aber es
ist nicht weniger nervig.

[Ralph A. Schmid, dk5ras]

Marc Haber <mh+usene...@zugschl.us> wrote:

>>Ernsthaft? Ach du Scheiße. Das Schlangenöl aus gelben Schachteln ist
>>ja noch übler als gedacht :(((
>
>Wie soll das denn anders gehen?

Gar nicht. Da hat einfach keiner reinzusehen, wenn es verschlüsselt
ist.

[Ralph A. Schmid, dk5ras]

Thomas Hochstein <t...@inter.net> wrote:

>> Aktuell habe ich für drei Banken bereits vier Anwendungen auf dem
>> Handy.
>
>Drei Banken, drei verschiedene Geräte im Schrank neben dem
>Schreibtisch gestapelt ...

Ja, das ist der gleiche Irrsinn.

[Ralph A. Schmid, dk5ras]

Thomas Hochstein <t...@inter.net> wrote:

>aber das
>Risiko, dass Kartendaten und PIN am Automaten ausgespäht werden,
>erscheint mir deutlich höher.

Sehe ich auch so.

[Ralph A. Schmid, dk5ras]

Thomas Hochstein <t...@inter.net> wrote:

>Alternativ werden die Sendungen auch mal in anderen Packstationen
>hinterlegt, teilweise mehr als 10 km entfernt. Da lernt man immerhin
>sein näheres und weiteres Wohnumfeld kennen. :)

Das wäre bei mir ein Grund für massiven Protest - wie soll ich da
hinkommen? Zum Glück haben wir drei Packstationen direkt bei der Post
stehen, das klappt quasi immer.

[Hans Wein]

Am 08.07.2019 um 16:17 schrieb Michael 'Mithi' Cordes:
> Thomas Hochstein füllte insgesamt 7 Zeilen u.a. mit:

>
>> Drei Banken, drei verschiedene Geräte im Schrank neben dem
>> Schreibtisch gestapelt ...
>

> Hö? Also Sparkasse Bremen und Landessparkasse zu Oldenburg funktionieren
> mit demselben chipTAN-Generator. Gut, sind jetzt beides Sparkassen, aber
> da sollte es doch keine Insellösungen geben?

Doch, hat es zumindestens noch gegeben, als die Sparkassen das
chipTAN-Verfahren einführten. Das von ihnen verkaufte Gerät stammte zwar
von Reiner, war sparkassenrot und trug das S-Logo. Bei den Volksbanken
funktionierte es aber nicht.

Hans

[Matthias Hanft]

Michael 'Mithi' Cordes schrieb:
>
> Zweitkarte?

Naja, meine Frau hat halt noch *ihre* Karte. Die steckt
aber naturgemäß in *ihrem* Geldbeutel :-)

Ob man als *eine* natürliche Person *zwei* Girocards
haben kann, weiß ich gar nicht. Wäre eine gangbare
Idee (eine im Geldbeutel zum Bezahlen im Laden, eine
im Schreibtisch zum Überweisen), aber vermutlich
spielen die Banken da nicht mit. Habs aber noch nie
probiert.

Gruß Matthias.

[Volker Englisch]

Thomas Hochstein wrote on 07.07.2019 18:20:
> Volker Englisch schrieb:
>
>> Na toll, vor deinem Posting wusste ich das noch gar nicht.
>
> Die Benachrichtigung kam per Mail an den hinterlegten Mailaccount.

Dann sollte ich mir mal Gedanken über den Spamfilter machen :)

>> Vielleicht sollte man die Sinnhaftigkeit der Nutzung dieser
>> Packstationen überdenken. In letzter Zeit häufen sich hier die Fälle,
>> dass Sendungen angeblich nicht in der Packstation hinterlegt werden
>> konnten.
>
> Dann ist die Sendung zu groß oder es ist kein Fach (in der notwendigen
> Größe) mehr freii. (Oder die Packstation ist defekt.) Das kommt vor.
>

> Alternativ werden die Sendungen auch mal in anderen Packstationen
> hinterlegt, teilweise mehr als 10 km entfernt. Da lernt man immerhin
> sein näheres und weiteres Wohnumfeld kennen. :)

Hier: Kleinstadt. 25.000 Einwohner. Direkt an der Grenze zu AT. Ein
Postamt ist übrig geblieben, dafür haben wir zwei Packstationen.
Allerdings werden diese zu einem großen Teil von unseren Nachbarn aus
AT und CH verwendet, die sich damit das grenzüberschreitende Porto
sparen :)

Ich werde mal recherchieren, aber ich denke, due nächste Packstation
ist rund 20 km entfernt.

[Marc Haber]

"Ralph A. Schmid, dk5ras" <ra...@schmid.xxx> wrote:

>Marc Haber <mh+usene...@zugschl.us> wrote:
>
>>>Ernsthaft? Ach du Scheiße. Das Schlangenöl aus gelben Schachteln ist
>>>ja noch übler als gedacht :(((
>>
>>Wie soll das denn anders gehen?
>
>Gar nicht. Da hat einfach keiner reinzusehen, wenn es verschlüsselt
>ist.

Security-Abteilungen großer Konzerne sehen das anders, ich habe schon
erlebt dass eine gesagt hat "entweder wir kaufen so einen Proxy oder
wie blockieren Port 443".

[Marc Haber]

Michael 'Mithi' Cordes <mithr...@news-2019-06.dvd-welt.de> wrote:
>Thomas Hochstein füllte insgesamt 7 Zeilen u.a. mit:
>

>>Drei Banken, drei verschiedene Geräte im Schrank neben dem
>>Schreibtisch gestapelt ...
>

>Hö? Also Sparkasse Bremen und Landessparkasse zu Oldenburg funktionieren
>mit demselben chipTAN-Generator. Gut, sind jetzt beides Sparkassen, aber
>da sollte es doch keine Insellösungen geben?

Meine ChipTAN-Generatoren funktionieren mit allen meinen Banken, die
ChipTAN anbieten.

[Marc Haber]

"Ralph A. Schmid, dk5ras" <ra...@schmid.xxx> wrote:

>Thomas Hochstein <t...@inter.net> wrote:
>>Alternativ werden die Sendungen auch mal in anderen Packstationen
>>hinterlegt, teilweise mehr als 10 km entfernt. Da lernt man immerhin
>>sein näheres und weiteres Wohnumfeld kennen. :)
>
>Das wäre bei mir ein Grund für massiven Protest - wie soll ich da
>hinkommen?

Auf diesem Ohr ist DHL völlig taub und nicht auf prozessuale
Korrekturen eingestellt. Dann geht das Paket halt zurück, wenn Du's
nicht abholst.

Grße

[Thomas Hochstein]

Ralph A. Schmid, dk5ras schrieb:

> Thomas Hochstein <t...@inter.net> wrote:
>
>> Alternativ werden die Sendungen auch mal in anderen Packstationen
>> hinterlegt, teilweise mehr als 10 km entfernt. Da lernt man immerhin
>> sein näheres und weiteres Wohnumfeld kennen. :)
>
> Das wäre bei mir ein Grund für massiven Protest

Das wird DHL sehr interessieren.

> - wie soll ich da hinkommen?

Mit dem Auto, mit dem Rad oder mit öffentlichen Verkehrsmitteln.

-thh

[Thomas Hochstein]

Michael 'Mithi' Cordes schrieb:

> Thomas Hochstein füllte insgesamt 7 Zeilen u.a. mit:
>

>> Drei Banken, drei verschiedene Geräte im Schrank neben dem
>> Schreibtisch gestapelt ...
>

> Hö?

1x chipTAN mit Flicker-Code (schon seit Jahren)
1x chipTAN-QR (neu, voher chipTAN mit manueller Eingabe)
1x photoTAN (neu, vorher iTAN)

> Also Sparkasse Bremen und Landessparkasse zu Oldenburg funktionieren
> mit demselben chipTAN-Generator. Gut, sind jetzt beides Sparkassen, aber
> da sollte es doch keine Insellösungen geben?

Jeder sucht sich eben seinen Standard aus ...

[Ralph A. Schmid, dk5ras]

Thomas Hochstein <t...@inter.net> wrote:

>Das wird DHL sehr interessieren.
>
>> - wie soll ich da hinkommen?
>
>Mit dem Auto, mit dem Rad oder mit öffentlichen Verkehrsmitteln.

Und gerne auch noch mit Öffnungszeiten, die ich nicht nutzen kann,
weil ich da selbst arbeite. Dann geht das Paket halt zurück. Was will
man machen?!

[t...@inter.net]

On Monday, 15 July 2019 08:53:05 UTC+2, Ralph A. Schmid, dk5ras wrote:
> Thomas Hochstein <t...@inter.net> wrote:

> >> - wie soll ich da hinkommen?
> >
> >Mit dem Auto, mit dem Rad oder mit öffentlichen Verkehrsmitteln.
>
> Und gerne auch noch mit Öffnungszeiten, die ich nicht nutzen kann,
> weil ich da selbst arbeite.

Bei euch haben Packstationen Öffnungszeiten? :-O

[Marc Haber]

Man kann sich halt nicht aussuchen, wo ein Paket hinterlegt wird.
Selbst ausdrücklich an die Packstation bestellte Pakete landen nicht
selten in die Agentur.

Grüße

[Bastian Blank]

Thomas Hochstein wrote:
> Marion Scheffels schrieb:
>> iTan? Die benutzt noch einer?
> Ich würde mir wünschen, dass das noch möglich wäre: ein bequemes und
> sicheres System.

Wie definierst du "sicher"?

> (Man darf natürlich nicht auf Phishing reinfallen
> oder sich Malware auf sein System installieren lassen;

Aber genau um diese beiden Probleme geht es bei der ganzen Geschichte.
Es sind beides Angriffe auf den Enduser bzw sein Gerät.

> aber das
> Risiko, dass Kartendaten und PIN am Automaten ausgespäht werden,
> erscheint mir deutlich höher.)

Warum? Was kann man in Europa noch mit den einfach auslesbaren Daten
anstellen?

Bastian

[Bastian Blank]

Thomas Hochstein wrote:
> 1x chipTAN mit Flicker-Code (schon seit Jahren)
> 1x chipTAN-QR (neu, voher chipTAN mit manueller Eingabe)

Und diese Geräte geben unterschiedliche Antworten, sind also nicht
austauschbar?

Bastian

[Thomas Hochstein]

Bastian Blank schrieb:

Sie haben vor allem unterschiedlichen Input (und reagieren auf den
jeweils anderen naheliegenderweise gar nicht). Mag sein, dass einer
der beiden Anbieter auch die andere chipTAN-Variante beherrscht;
sinnvoller (oder sicherer) wird es dadurch auch nicht.

Ich "freue" mich schon darauf, mich künftig regelmäßig per TAN
anmelden zu dürfen, um auch nur den Kontostand zu sehen. Mir scheint
das eine recht komplizierte Weise zu sein, Onlinebanking zu
sabotieren; man könnte es doch auch einfach abschalten?

-thh

[Thomas Hochstein]

Bastian Blank schrieb:

> Thomas Hochstein wrote:
>> Marion Scheffels schrieb:
>>> iTan? Die benutzt noch einer?
>> Ich würde mir wünschen, dass das noch möglich wäre: ein bequemes und
>> sicheres System.
>
> Wie definierst du "sicher"?

Ausreichend sicher.

>> (Man darf natürlich nicht auf Phishing reinfallen
>> oder sich Malware auf sein System installieren lassen;
>
> Aber genau um diese beiden Probleme geht es bei der ganzen Geschichte.
> Es sind beides Angriffe auf den Enduser bzw sein Gerät.

Sicherheitssysteme, die versuchen, Nutzer vor Unkenntnis und
Gleichgültigkeit zu schützen, scheitern daran in der Regel - und
behindern dabei auch diejenigen, die in der Lage wären, das System zu
nutzen.

-thh