Postbank unsaeglich
Radbert Grimmig
ist, wenn man beim mobile-TAN-Verfahren die PIN drei Mal falsch
eingegeben hat und das Verfahren daraufhin gesperrt ist.
Meine Mutter hatte sich dann schweren Herzens zur nächsten Hauptpost
begeben (15 km), nachdem man ihr in der nächsten Postfiliale (9 km,
Kiosk im Einkaufszentrum) nicht helfen konnte. Das war letzte Woche.
Mobile-TAN immer noch gesperrt, Hotline angerufen.
Zehn Minuten Warteschleife.
Konto sei immer noch gesperrt, ob wir die Möglichkeit hätten, ein Fax
zu senden?
- "Im Prinzip schon, aber ich seh nicht ganz ein, wieso, weil wir doch
letzte Woche extra schon zur Hauptpost gefahren sind."
Per Fax gehe es immer schneller, bei der Bearbeitung durch eine
Filliale kämen zusätzliche Wartezeiten dazu, das könne zwei Wochen
dauern.
Nicht einmal einen Termin, wann die Entsperrung erfolge, konnte man
mir nennen.
Vorschläge, wie ich Muttern dazu bringen kann, endlich zur Commerzbank
zu wechseln, sind willkommen. (Da gibt's nach wie vor TAN-Listen auf
Papier, die nach meiner Erfahrung einzige altersgerechte Form des
online-Bankings.)
--
Gruß
Radbert
Clemens Ladisch
> Vorschläge, wie ich Muttern dazu bringen kann, endlich zur Commerzbank
> zu wechseln, sind willkommen.
"Gehört zu 25% dem Staat, ist also 'sicher'." (Die Postbank, mit 39,5%
im Besitz der Deutschen Post AG, davon dann 30,5% KfW, ist mit insgesamt
12% nur halb so staatlich. :-)
Außerdem zur Zeit 50 Euro Startguthaben, 25 Euro "Aral SuperCard", und
25 Euro als Prämie (<https://www.empfehlen.commerzbanking.de/>).
Konto-Umzugsservice:
| * Sie geben Ihrem Commerzbank Berater die Kontoauszüge Ihres alten
| Kontos mit regelmäßigen Abbuchungen und Gutschriften.
| * Wir übernehmen den lästigen Schriftverkehr für Sie und teilen den
| entsprechenden Zahlungspartnern Ihre neue Bankverbindung bei der
| Commerzbank mit. Die Umstellung Ihrer Daueraufträge erledigen wir
| ebenfalls für Sie.
| * Nach erfolgter Umstellung gibt Ihnen Ihr Berater die eingereichten
| Kontounterlagen wieder zurück und Sie erhalten eine Aufstellung der
| geänderten Aufträge.
> Da gibt's nach wie vor TAN-Listen auf Papier,
Aber wie lange noch?
Gruß
Clemens
Radbert Grimmig
>> Da gibt's nach wie vor TAN-Listen auf Papier,
>
>Aber wie lange noch?
Gute Frage. Der Berater meint, da kommt nächstes Jahr bereits was
Softwarebasiertes.
Ich halte das für eine schlechte Idee.
--
Gruß
Radbert
Marc Haber
Die Versicherungen fordern das vehement, da es immer noch zu viele
Idioten gibt, die mit einer TAN-Liste nicht umgehen können.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Radbert Grimmig
>>Softwarebasiertes.
>>
>>Ich halte das für eine schlechte Idee.
>
>Die Versicherungen fordern das vehement, da es immer noch zu viele
>Idioten gibt, die mit einer TAN-Liste nicht umgehen können.
Und wo liegt der Sicherheitsgewinn von Software gegenüber i-TAN?
--
Gruß
Radbert
Gregor Frowein
Der Sicherheitsgewinn liegt vielleicht auf Seiten der Bank.
Sie brauchen bei Mißbrauch keine Kulanz mehr walten zu lassen, wie es
bei den 100 Tans eingebenden Deppen mit ihren trojanisch angehauchten
Rechnern ja offensichtlich geschieht.
Gruß
Gregor
Radbert Grimmig
>>Und wo liegt der Sicherheitsgewinn von Software gegenüber i-TAN?
>
>Der Sicherheitsgewinn liegt vielleicht auf Seiten der Bank.
>
>Sie brauchen bei Mißbrauch keine Kulanz mehr walten zu lassen,
Kulanz ist ohnedies eine freiwillige Leistung. Also hätten sie da nix
von beziehungsweise könnten genau so gut keine Kulanz mehr gewähren,
i-TAN aber weiter anbieten.
Wenn's das Porto wäre, wär es mir sogar nen Aufpreis wert. Für den
Versand der Kontoauszüge berechnen sie ja ebenfalls einen geringen
Betrag.
--
Gruß
Radbert
Dirk Silberbach
"Radbert Grimmig" <gri...@cityweb.de> schrieb im Newsbeitrag
> Ich hatte ja schon mal berichtet, zu was für Exkursionen man genötigt
> ist, wenn man beim mobile-TAN-Verfahren die PIN drei Mal falsch
> eingegeben hat und das Verfahren daraufhin gesperrt ist.
sondern der, der es schafft,
eine M-TAN drei mal falsch einzugeben! ;-(
Gruß Dirk
Radbert Grimmig
>Nicht die Postbank ist unsäglich,
>sondern der, der es schafft,
>eine M-TAN drei mal falsch einzugeben! ;-(
--
Gruß
Radbert
Andreas Portz
> Das ist nat�rlich ein unwiederlegbares sachliches Argument.
Das war kein Argument, sondern der erste Schritt zur Besserung.
-Andreas
--
Disclaimer - These opiini^H^H damn! ^H^H ^Q ^[ .. :w :q :wq :wq! ^d X^?
exit X Q ^C ^c ^? :quitbye CtrlAltDel ~~q :~q logout save/quit :!QUIT
^[zz ^[ZZZZZZ ^H man vi ^@ ^L ^[c ^# ^E ^X ^I ^T ? help helpquit ^D ^d
man help ^C exit ?Quit ?q CtrlShftDel "Hey, what does this button d..."
Radbert Grimmig
>On Fri, 16 Sep 2011 03:12:35 +0200, Radbert Grimmig
><gri...@cityweb.de> wrote:
>
>>Dirk Silberbach schrieb:
>>
>>>Nicht die Postbank ist unsäglich,
>>>sondern der, der es schafft,
>>>eine M-TAN drei mal falsch einzugeben! ;-(
>>
>>Schwachkopf.
>
Darum geht's überhaupt nicht.
Der Mensch, dem das unterlaufen ist, ist meine ansonsten noch sehr
rüstige Seniorin von Mutter. Die hat zwar Zeit ihres Lebens mit zwei
Köpfe größeren Realschul-Rüpeln den Boden aufgewischt, ist am Computer
(und Handy) aber nun mal schon mit Scrollen latent überfordert.
Da kann so was vorkommen, zumal bei dem, was entsprechende "Designer"
unter Ergonomie verstehen.
Vor dem Hintergrund halte ich den Zwischenruf von Dirk "Schwachkopf"
Silberbach für unverschämt und wünsche ihm[1], dass sich auch bald mal
ein Mensch, den *er* liebt (falls er dazu fähig ist) sich in diese
Lage entwickelt. Davor ist nämlich niemand gefeit, egal für wie
unsterblich er sich und die Seinen heute noch hält.
[1] Und natürlich tausend Flöhe an den Arsch, Eiterpusteln ins
Gesicht, Haarausfall, Gesichtslähmung, Halitosis, dass sein Pillermann
sich grünlich-schwarz verfärbt und abfällt etc. etc.
--
Gruß
Radbert
frank paulsen
> Und dass eine Person, die nicht in der Lage ist, einen Rechner
> hinreichend gut zu bedienen, ausgerechnet homebanking betreiben muss,
> ist schon unsagbar daneben.
da hast du natuerlich voellig recht. im prinzip sollten menschen beim
erreichen des rentenalters in heime abgeschoben werden, die erledigung
der finanzgeschaefte besorgt dann ein betreuer.
dass bedienungsprobleme bei ueblichen taetigkeiten am PC nicht an den
anwendern liegen, sondern moeglicherweise daran, dass sie da aus
unterschiedlichsten quellen mit verschiedensten hoechst unbrauchbaren
oberflaechen versorgt und ueberfordert werden, *kann* *nicht* *sein*.
--
frobnicate foo
Andreas Portz
> da hast du natuerlich voellig recht. im prinzip sollten menschen beim
> erreichen des rentenalters in heime abgeschoben werden, die erledigung
> der finanzgeschaefte besorgt dann ein betreuer.
und Konzentrationsfähigkeit, Seh- und anderer Kraft, Aufnahmefähigkeit
für neues Wissen, grundlegendes Verständnis für moderne Technologien,
einer ruhigen Hand ... TBC ... fehlt (bitte suche dir das aus, was auf
die Personen, die du speziell im Blick hattest, zutrifft), sollten:
- sich allwöchentlich ändernde Sicherheitstechniken beim online banking
erlernen und umsetzen
- mit einem Ferrari die Nordschleife für Rekordfahrten nutzen
- auf einem (vermutlich mit kleinem Display mit kleinen Buchstaben
versehenen) Handy mTANs empfangen und entziffern
- sich als Astronaut bewerben (hint: http://www.imdb.de/title/tt0186566)
- einen PC eigenverantwortlich viren- und trojanersicher an's Internet
anschließen und darauf Geldgeschäfte abwickeln
- auf öffentliche Verkehrsmittel zurückgreifen
- eine erreichbare Filialbank mit Kundendienstmitarbeitern aufsuchen
- bei Unerreichbarkeit Telefonbanking ich Betracht ziehen
Wolfgang Krietsch
>
>da hast du natuerlich voellig recht. im prinzip sollten menschen beim
>erreichen des rentenalters in heime abgeschoben werden, die erledigung
>der finanzgeschaefte besorgt dann ein betreuer.
Nein. Menschen, egal welchen Alters, die T�tigkeit X nicht (hinreichend
sicher) ausf�hren k�nnen, sollten T�tigkeit X auch nicht ausf�hren -
insbesondere dann nicht, wenn das Ausf�hren von X Gefahren mit sich bringt
und es brauchbare Alternativen gibt.
Das gilt f�r's Autofahren wie f�rs Online-Banking wie f�r's Messerwerfen
...
>dass bedienungsprobleme bei ueblichen taetigkeiten am PC nicht an den
>anwendern liegen, sondern moeglicherweise daran, dass sie da aus
>unterschiedlichsten quellen mit verschiedensten hoechst unbrauchbaren
>oberflaechen versorgt und ueberfordert werden, *kann* *nicht* *sein*.
Doch, das kann sehr gut sein. �ndert aber nichts daran.
Und nein, Polemik �ndert auch nichts.
Bye
woffi
--
9 von 10 Stimmen in meinem Kopf sagen, ich bin irre.
Eine summt.
Radbert Grimmig
>frank paulsen wrote:
>
>>
>>da hast du natuerlich voellig recht. im prinzip sollten menschen beim
>>erreichen des rentenalters in heime abgeschoben werden, die erledigung
>>der finanzgeschaefte besorgt dann ein betreuer.
>
>sicher) ausführen können, sollten Tätigkeit X auch nicht ausführen -
Ich weiß nicht, woraus hier geschlossen wird, dass die in Frage
stehende Person das online-Banking nicht sicher ausführen können soll,
nur weil sie Schwierigkeiten mit dem Mobile-TAN-Verfahren hat.
Die lädt keine Raubkopien aus dubiosen Quellen runter, installiert
keine Software, fummelt nicht an der Rechnerkonfiguration rum und
empfängt keine Emails mit ausführbaren oder sonstwie interaktiven
Anhängen und klickt nicht auf irgendwelche Links. Schon weil sie und
ihre Freunde problemlos ohne PC leben können und dies auch weitgehend
tun. Die geht da ausschließlich zum Bänken an den von mir
eingerichteten PC, und zwar aus Bequemlichkeit, weil die nächste
Postbank 15 Kilometer weit weg ist. Sie ruft den Postbank-Link aus dem
Lesezeichen-Menü auf und speichert nicht mal Passwörter ab. Sie ist
mithin ein sichererer Nutzer als gefühlte 90 Prozent aller
nassforschen Bürohengste, die sich für wer weiß wie schlau halten,
wenn sie ihr Betriebssystem "tunen" oder Ketttenbriefe und lustige
Powerpoints verschicken, aber in Wirklichkeit nicht wissen, was sie
tun und dicke Backen machen, sobald sie sich mal wieder was gefangen
haben.
Ich werde nicht mehr verstehen, wieso Mobile-TAN sicherer sein soll
als iTAN mit ausgedruckten TAN-Listen, und damit hatte sie, ebenso wie
andere ältere Nutzer aus meinem Bekanntenkreis, nicht die geringsten
Schwierigkeiten. Wenn es das noch gäbe, hätte es diesen Thread nie
gegeben. Wenn es mir gelungen wäre, sie rechtzeitig zum Bankwechsel zu
bewegen - was ich nach den Erfahrungen mit meinem Vater und der
Umstellung von dessen Bank auf TAN-Generator händeringend versucht hab
- wäre es frühestens in anderthalb, zwei Jahren dazu gekommen.
Oder wenn die Postbank zeitgemäße kundenfreundliche Verfahren für die
wiederholte Fehleingabe und dergleichen implementiert hätte und
womöglich sogar eine funktionierende Hotline, die in solchen Fragen
Bescheid weiß, so wie die selige Advance Bank damals, statt den Kunden
durch ahnungslose Mitarbeiter von Pontius nach Pilatus zu schicken in
bester Behördenmanier aus dem Kalten Krieg, hätte es ihn ebenfalls nie
gegeben.
Ich mein ja bloß.
--
Gruß
Radbert
Matthias Hanft
> Ich werde nicht mehr verstehen, wieso Mobile-TAN sicherer sein soll
> als iTAN mit ausgedruckten TAN-Listen, und damit hatte sie, ebenso wie
> andere ältere Nutzer aus meinem Bekanntenkreis, nicht die geringsten
> Schwierigkeiten. Wenn es das noch gäbe, hätte es diesen Thread nie
> gegeben. Wenn es mir gelungen wäre, sie rechtzeitig zum Bankwechsel zu
> bewegen - was ich nach den Erfahrungen mit meinem Vater und der
> Umstellung von dessen Bank auf TAN-Generator händeringend versucht hab
> - wäre es frühestens in anderthalb, zwei Jahren dazu gekommen.
wäre. Das muß man zwar - einmal im Leben - kaufen, aber als "TAN" nur
einen einzigen Knopf drücken. Wie groß/gut das Display ist, weiß ich
mangels eigener Erfahrung allerdings noch nicht.
Gruß Matthias.
Radbert Grimmig
>>Ich weiß nicht, woraus hier geschlossen wird, dass die in Frage
>>stehende Person das online-Banking nicht sicher ausführen können soll,
>>nur weil sie Schwierigkeiten mit dem Mobile-TAN-Verfahren hat.
>>
>ist, wenn man beim mobile-TAN-Verfahren die PIN drei Mal falsch
>eingegeben hat und das Verfahren daraufhin gesperrt ist."
Schließt du aus der Fehleingabe, dass sie dazu neigt, ihr Handy
einschließlich Kontonummer und PIN in der Öffentlichkeit rumliegen zu
lassen? Oder hast du noch andere haltlose Spekulationen?
>Ich weiß wiederum nicht, warum man nicht auf ein anderes
>Sicherheitsverfahren umsteigt, wenn man mit dem einen nicht klar
>kommt.
Frag doch lieber mal die Postbank, wieso sie die bewährten TAN-Listen
und iTAN abgeschafft und damit gegen die fundamentale IT-Grundregel
Nummer 1 verstoßen hat. Die papiernen Listen haben aus meiner Sicht
problemlos funktioniert und die Post dürfte sogar geringere Kosten für
ihre Zustellung haben als jeder andere Anbieter.
>Ich vermute, es gibt keine andere Bank, die da so eine breite
>Palette anbietet: mtan, chiptan, Bestsign. Ist da wirklich nichts
>geeignetes dabei?
Von Bestsign hör ich hier zum ersten Mal. In dem Postbank-Portal ist
nach wie vor ausschließlich von Mobile-TAN und Chip-TAN die Rede, wenn
es darum geht, ein Verfahren freizugeben.
Nach wie vor muss ich aber sagen: Ich seh weder den Vorteil (für
Privatkunden, die keine dutzende Überweisungen am Stück vornehmen)
noch die Notwendigkeit gegenüber TAN-Listen aus Papier, und damit hab
ich ein prinzipielles Problem.
--
Gruß
Radbert
Wolfgang Krietsch
>Ich weiß nicht, woraus hier geschlossen wird, dass die in Frage
>stehende Person das online-Banking nicht sicher ausführen können soll,
>nur weil sie Schwierigkeiten mit dem Mobile-TAN-Verfahren hat.
anscheinend.
>Ich werde nicht mehr verstehen, wieso Mobile-TAN sicherer sein soll
>als iTAN mit ausgedruckten TAN-Listen
>Oder wenn die Postbank zeitgemäße kundenfreundliche Verfahren für die
>wiederholte Fehleingabe und dergleichen implementiert hätte und
>womöglich sogar eine funktionierende Hotline, die in solchen Fragen
>Bescheid weiß, so wie die selige Advance Bank damals, statt den Kunden
>durch ahnungslose Mitarbeiter von Pontius nach Pilatus zu schicken in
>bester Behördenmanier aus dem Kalten Krieg, hätte es ihn ebenfalls nie
>gegeben.
anderen Service gewohnt: ein Anruf, und alles ist wieder gut.
Wolfgang Krietsch
>Letztlich bleibt wohl nur ein Kontenwechsel (was für mich immer ein
>Horror ist). Die DKB bietet z. B. HBCI mit Chipkarte, das ist (nach
>meinem Geschmack) sowieso die beste Lösung. Damit kommt sogar meine
>Frau klar.
Ist halt nur nichts für unterwegs.
Wolfgang Krietsch
>
>Das hat genau was mit der Sicherheit des online-Banking zu tun?
dass sie damit halt nicht klar kommt.
Dass es (IYO) dazu auch noch nicht sicher(er) ist, mag ja sein (oder auch
nicht), aber das ist doch hier nicht das Kernproblem, um das es Dir geht.
>Frag doch lieber mal die Postbank, wieso sie die bewährten TAN-Listen
>und iTAN abgeschafft und damit gegen die fundamentale IT-Grundregel
>Nummer 1 verstoßen hat.
>Nach wie vor muss ich aber sagen: Ich seh weder den Vorteil (für
>Privatkunden, die keine dutzende Überweisungen am Stück vornehmen)
>noch die Notwendigkeit gegenüber TAN-Listen aus Papier, und damit hab
>ich ein prinzipielles Problem.
eh immer dabei, ich muss so keine Papierlisten mitnehmen - praktisch.
Wolfgang Krietsch
>On Sat, 17 Sep 2011 15:21:11 +0200, Wolfgang Krietsch
>
>OK, man weiß ja nie. Aber ich hatte mir nicht gedacht, dass die ältere
>Dame, von der hier die Rede ist, ihr Banking sehr oft von außerhalb
>erledigen wird.
Vermutlich nicht. Mein Einwand war auch eher allgemeiner Natur.
Marc Haber
>Ludger Averborg wrote:
>>Letztlich bleibt wohl nur ein Kontenwechsel (was für mich immer ein
>>Horror ist). Die DKB bietet z. B. HBCI mit Chipkarte, das ist (nach
>>meinem Geschmack) sowieso die beste Lösung. Damit kommt sogar meine
>>Frau klar.
>
>Ist halt nur nichts für unterwegs.
USB-Chipkartenleser dabei habe, ist ziemlich latte. Ein
Chipkartenleser ohne Tastatur dürfte sogar handlicher sein als der
Blinkomat.
Christian Bartsch
> Ob ich nun den Blinkomat von der Sparkasse oder den
> USB-Chipkartenleser dabei habe, ist ziemlich latte. Ein
> Chipkartenleser ohne Tastatur dürfte sogar handlicher sein als der
> Blinkomat.
gibt auch vom Stick laufende Versionen) und die Kartenleser Treiber
installieren können.
Chris
--
Posted via NewsTap on Apple IPad, blame the screen keyboard for typos
Andreas Portz
> Radbert Grimmig wrote:
>> .. und damit gegen die fundamentale IT-Grundregel
>
> Welche soll das sein?
Wolfgang Krietsch
>Wolfgang Krietsch wrote:
>
>> Radbert Grimmig wrote:
>
>>> .. und damit gegen die fundamentale IT-Grundregel
>>> Nummer 1 versto�en hat.
>>
>> Welche soll das sein?
>
>never change a running system
Ja, ich dachte mir, dass er das meint. Nur weicht die Definition der Bank
von "running" offenbar von Radberts Definition ab.
Wolfgang Krietsch
>
>Das personalisierte Gerät (USB-Stick) wird mit dem USB-Anschluss
>verbunden und baut automatisch eine eigene Internetverbindung zur
>Postbank auf. Nach Eingabe und Absenden deiner Überweisungsdaten im
>neuen Postbank-Portal werden diese verschlüsselt zurück zum USB-Gerät
>gesendet und dort zur Anzeige gebracht. Nach der Kontrolle der
>angezeigten Überweisungsdaten können diese durch Druck auf einem Knopf
>am USB-Gerät digital signiert werden. Im neuen Postbank-Portal wird die
>Bestätigung angezeigt.
Äh - da fehlt aber noch was, oder? So wie Du das da beschreibst könnte
jeder, der diesen Stick findet, mit meinem Konto machen, was er will.
Irgendeine "Knowledge"-Komponente muss es dabei doch auch noch geben?!
Wolfgang Krietsch
>Marc Haber <mh+usene...@zugschl.us> wrote:
>
>> Ob ich nun den Blinkomat von der Sparkasse oder den
>> USB-Chipkartenleser dabei habe, ist ziemlich latte. Ein
>> Chipkartenleser ohne Tastatur d�rfte sogar handlicher sein als der
>> Blinkomat.
>
>Nur wirst Du auf nem fremden Rechner nicht immer Deine EB Software (OK, es
>gibt auch vom Stick laufende Versionen) und die Kartenleser Treiber
>installieren k�nnen.
Eben. Und: es ist, im Gegensatz zum Handy, ein *zus�tzliches* Ger�t, dass
ich mitnehmen muss. Mir reicht die Menge an Ger�ten und
Ladeadpatern/-ger�ten, die ich auf (l�ngeren) Reise mitnehme, jetzt schon.
Ein zus�tzliches K�stchen f�r den unwahrscheinlichen Fall, dass ich eine
�berweisung t�tigen muss, f�nde ich mehr als unpraktisch.
Marc Haber
>Das personalisierte Gerät (USB-Stick) wird mit dem USB-Anschluss
... des Windows-only-PCs?
>verbunden und baut automatisch eine eigene Internetverbindung zur
>Postbank auf.
Wie soll das technisch gehen? Du meinst, einen Tunnel?
> Nach Eingabe und Absenden deiner Überweisungsdaten im
>neuen Postbank-Portal werden diese verschlüsselt zurück zum USB-Gerät
>gesendet und dort zur Anzeige gebracht. Nach der Kontrolle der
>angezeigten Überweisungsdaten können diese durch Druck auf einem Knopf
>am USB-Gerät digital signiert werden. Im neuen Postbank-Portal wird die
>Bestätigung angezeigt.
Das Gerät hat also ein eigenes Display? Und wer es besitzt, owned das
Konto, da keine weitere PIN vom Benutzer abgefragt wird?
>Dieser Vorgang ist hochverschlüsselt mit RSA 2048-bit.
Und wie authentifiziert?
Marc Haber
>Marc Haber <mh+usene...@zugschl.us> wrote:
>> Ob ich nun den Blinkomat von der Sparkasse oder den
>> USB-Chipkartenleser dabei habe, ist ziemlich latte. Ein
>> Chipkartenleser ohne Tastatur dürfte sogar handlicher sein als der
>> Blinkomat.
>
>Nur wirst Du auf nem fremden Rechner nicht immer Deine EB Software (OK, es
>gibt auch vom Stick laufende Versionen) und die Kartenleser Treiber
>installieren können.
Auf einem fremden Rechner Onlinebanking zu machen würde mir nicht im
Traum einfallen. Ich habe natürlich immer mein eigenes Notebook dabei.
Naja, fast immer.
Matthias Hanft
> Äh - da fehlt aber noch was, oder? So wie Du das da beschreibst könnte
> jeder, der diesen Stick findet, mit meinem Konto machen, was er will.
> Irgendeine "Knowledge"-Komponente muss es dabei doch auch noch geben?!
so einen Stick findet, muß a) die Kontonummer kennen, für die der Stick
freigeschaltet ist, b) die PIN dieses Kontos, und er muß c) schnell
genug sein, daß der Kontoinhaber den Stick noch nicht gesperrt hat.
Offenbar hat man beschlossen, daß das sicher genug ist :-)
Gruß Matthias.
Andreas Portz
> Ja, ich dachte mir, dass er das meint. Nur weicht die Definition der Bank
> von "running" offenbar von Radberts Definition ab.
Matthias Hanft
>>Das personalisierte Gerät (USB-Stick) wird mit dem USB-Anschluss
>
> ... des Windows-only-PCs?
> Das Gerät hat also ein eigenes Display?
nicht den, den der Trojaner auf dem PC-Bildschirm vorgaukelt.
> Und wer es besitzt, owned das
> Konto, da keine weitere PIN vom Benutzer abgefragt wird?
> Wie soll das technisch gehen? Du meinst, einen Tunnel?
Ich denke, da passiert sowas wie eine SSL-Verbindung direkt zwischen
dem Stick und dem Postbank-Server, so daß der (möglicherweise infi-
zierte) PC außen vor bleibt.
Alles nachzulesen unter http://www.postbank.de/bestsign und den
(vielen) weiteren Folge-Links.
Gruß Matthias.
Wolfgang Krietsch
>Die ID des Sticks muß im Online-Banking freigeschaltet sein. Also wer
>so einen Stick findet, muß a) die Kontonummer kennen, für die der Stick
>freigeschaltet ist, b) die PIN dieses Kontos, und er muß c) schnell
>genug sein, daß der Kontoinhaber den Stick noch nicht gesperrt hat.
Kontonummer und PIN mehr kennen müsste - und das konnte ich mir nun
wirklich nicht vorstellen.
Marc Haber
>Marc Haber schrieb:
>> Volker Delf <nop...@invalid.invalid> wrote:
>>>Das personalisierte Gerät (USB-Stick) wird mit dem USB-Anschluss
>>
>> ... des Windows-only-PCs?
>
>"Unterstützt alle gängigen Betriebssysteme (Windows, MacOS, Linux)"
"Unterstützt Linux" heißt leider nur zu oft "hier ist das binary-only
Kernelmodul für Ubuntu 10.4 und RHEL 5.2".
>> Das Gerät hat also ein eigenes Display?
>
>Ja. Damit es den *richtigen* Überweisungsempfänger anzeigen kann, und
>nicht den, den der Trojaner auf dem PC-Bildschirm vorgaukelt.
>
>> Und wer es besitzt, owned das
>> Konto, da keine weitere PIN vom Benutzer abgefragt wird?
>
>Naja, die PIN zum Einloggen ins Konto natürlich.
eingegeben wird.
>> Wie soll das technisch gehen? Du meinst, einen Tunnel?
>> Und wie authentifiziert?
>
>Ich denke, da passiert sowas wie eine SSL-Verbindung direkt zwischen
>dem Stick und dem Postbank-Server, so daß der (möglicherweise infi-
>zierte) PC außen vor bleibt.
zertifikate der Server?
Marketingbla.
Matthias Hanft
> Interessant. Würde mich interessieren, wie das technisch gelöst ist.
> "Unterstützt Linux" heißt leider nur zu oft "hier ist das binary-only
> Kernelmodul für Ubuntu 10.4 und RHEL 5.2".
GNU/Linux x86(32bit) / 64bit ab Linux 2.6
optional: GTK+ 2.10 + libglade-2.0 / ab GTK+ 2.12
Und weiter:
"Muss ich eine extra Software für die Nutzung des Seal One® USB auf
meinem Rechner installieren?
Nein. Zur Nutzung Ihres Seal One® USB stecken Sie diesen bitte in den
USB-Port des Rechners. Das Gerät entnimmt vom PC / Laptop Strom und
Netzwerk. Das notwendige Programm ist auf dem Gerät enthalten."
Ich treff' übermorgen eh meine Postbänkerin, da kann ich sie ja mal
fragen, ob sie nicht einen "Aktionscode" für den Seal-One-Shop
übrig hat (kaufen mag ich mir so ein Ding nicht), dann kann ichs
ja mal ausprobieren. Allerdings müßte ich dann zum Linux-Online-
Banken wohl erst noch Firefox o.ä. installieren, das zöge einen
graphischen Rattenschwanz (gtk+, libXdamage, libXrandr, libXcursor
etc.) hinter sich her (mein Linux ist ein ungraphischer Kellerserver).
Naja, mal sehen.
>>Naja, die PIN zum Einloggen ins Konto natürlich.
>
> ... die das trojanische Pferd (sic!) mitlesen kann, weil es auf dem PC
> eingegeben wird.
ob das "sicher genug" ist. Allerdings müßte für eine Kompromittierung
zumindest folgendes zusammenkommen:
1. der Dieb müßte den Stick von jemandem klauen, von dem er die Konto-
nummer kennt (bei Diebstahl nicht so schwierig, bei "Stick-auf-der-
Straße-gefunden" so gut wie unmöglich)
2. gleichzeitig müßte er die PIN klauen (entweder, wenn er beim Konto-
inhaber eingebrochen ist, vom Bildschirmaufkleber abschreiben :-)
oder eben über einen Trojaner)
3. der Kontoinhaber bemerkt den Diebstahl nicht und deaktiviert den
Stick nicht rechtzeitig.
> Und der Stick kommt mit einem festen Client-Zertifikat und kennt die
> zertifikate der Server?
wohl sowas wie ein "SSL-Mini-Browser" drin, mit der Stick-ID als Client-
Zertifikat.
Gruß Matthias.