DREHSCHEIBE-Online 

Anzeige

HIER KLICKEN!

 01 - News 

  Neu bei Drehscheibe Online? Hier registrieren! Zum Ausprobieren und Üben bitte das Test-Forum aufsuchen!
News und aktuelles Betriebsgeschehen - Achtung: Werbung und Updatemeldungen für Websites werden gelöscht, bzw. ins Allgemeine Forum verschoben!
Links bitte mit kurzer Erklärung zum verlinkten Inhalt versehen, andernfalls werden diese entfernt.

Seiten: 1 2 3 4 All

Angemeldet: -

Traumflug schrieb:
TheDemon schrieb:
Keine Ahnung, wie du da jetzt wieder auf das Smartphone kommst.
Das ist die von den Banken beworbene, also die massgebliche Lösung.
Wer zu blöd ist, der sollte das mit dem Online-Banking wirklich besser lassen: "Kein passendes Mobiltelefon? Wenn Sie kein Mobiltelefon besitzen, auf dem Sie die Commerzbank photoTAN-App installieren können, haben Sie die Möglichkeit, bei Anmeldung zur photoTAN ein preisgünstiges Lesegerät zu erwerben."

[www.commerzbank.de]

Nix "massgebliche Lösung". Es gibt Optionen.
TheDemon schrieb:
"Kein passendes Mobiltelefon? Wenn Sie kein Mobiltelefon besitzen, auf dem Sie die Commerzbank photoTAN-App installieren können, haben Sie die Möglichkeit, bei Anmeldung zur photoTAN ein preisgünstiges Lesegerät zu erwerben."

[www.commerzbank.de]
Nix "massgebliche Lösung". Es gibt Optionen.
Die Lesegerät-Option sieht so aus:

1. ich rufe die Bankseite auf, melde mich an, und gebe einen Überweisungsauftrag ein
2. die Bank schickt mir auf meinen Bildschirm ein Bild
3. das Lesegerät generiert daraus einen Code
4. ich tippe den Code auf der Bankseite ein
5. die Bank prüft den Code und führt bei positivem Ergebnis den Auftrag aus

Der gehackte Browser war zwischendurch auch nicht faul. Er hat schon während des Schrittes 1 die von mir eingetippte Steuerzahlung in Höhe von 498,04 EUR in eine Überweisung von 4980,40 umgewandelt und dies an die Bank weitergeleitet. Der Empfänger ist anstelle des Finanzamts nun Herr Alexejew Ganov in Kasachstan, bei dem ich nach Schritt 5 das Geld suchen gehen kann.

Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein...
kmueller schrieb:
TheDemon schrieb:
"Kein passendes Mobiltelefon? Wenn Sie kein Mobiltelefon besitzen, auf dem Sie die Commerzbank photoTAN-App installieren können, haben Sie die Möglichkeit, bei Anmeldung zur photoTAN ein preisgünstiges Lesegerät zu erwerben."

[www.commerzbank.de]
Nix "massgebliche Lösung". Es gibt Optionen.
Die Lesegerät-Option sieht so aus:

1. ich rufe die Bankseite auf, melde mich an, und gebe einen Überweisungsauftrag ein
2. die Bank schickt mir auf meinen Bildschirm ein Bild
3. das Lesegerät generiert daraus einen Code
4. ich tippe den Code auf der Bankseite ein
5. die Bank prüft den Code und führt bei positivem Ergebnis den Auftrag aus

Der gehackte Browser war zwischendurch auch nicht faul. Er hat schon während des Schrittes 1 die von mir eingetippte Steuerzahlung in Höhe von 498,04 EUR in eine Überweisung von 4980,40 umgewandelt und dies an die Bank weitergeleitet. Der Empfänger ist anstelle des Finanzamts nun Herr Alexejew Ganov in Kasachstan, bei dem ich nach Schritt 5 das Geld suchen gehen kann.

Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein.
Wie gesagt: Wenn man halt zu blöd ist. Lass es halt sein. Du warst ja schon zu blöd die PhotoTan zu finden. Das es dann noch weitere Defizite gibt, das wundert mich nicht.
TheDemon schrieb:
kmueller schrieb:
Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein.
Wie gesagt: Wenn man halt zu blöd ist. Lass es halt sein. Du warst ja schon zu blöd die PhotoTan zu finden. Das es dann noch weitere Defizite gibt, das wundert mich nicht.
Diesen Quatsch von sich fernzuhalten, ist ein Zeichen intakten Verstands (das Gegenteil heißt 'Digitale Demenz').
kmueller schrieb:
TheDemon schrieb:
kmueller schrieb:
Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein.
Wie gesagt: Wenn man halt zu blöd ist. Lass es halt sein. Du warst ja schon zu blöd die PhotoTan zu finden. Das es dann noch weitere Defizite gibt, das wundert mich nicht.
Diesen Quatsch von sich fernzuhalten, ist ein Zeichen intakten Verstands (das Gegenteil heißt 'Digitale Demenz').
Nöö, wenn man erkennbar zu blöd ist, sämtliche verfügbaren Optionen zu erfassen, dann ist das alles, nur kein Zeichen eines intakten Verstandes. Denn nur mit allen bzw. möglichst vielen Informationen kann man saubere Entscheidungen treffen.

Bei dir scheint es eher eine Paranoia zu sein. Denn da sind die geglaubeten Argumente so stark (Wahn), das nichts die darauf basierende Meinung ändern kann. Wie man sieht
Eins ist Fakt: Die Verkazfszahlen besonders der "kleineren" Reisezentren gehen seit Jahren zugunsten der "modernen" Vertriebswege (Internet, Handy) zurück.
Ich frage mich wie die Leute, die man mit der "Aktion" im Auge hat, die gefühlten 10 Millionen Tarifvarianten verstehen sollen, um damit klar zu kommen.
Ferner betrachte ich diese "Aktion" gerade bei internationalen Verbindungen (Fahrkarten und Reservierungen), die nicht in einem durchgehenden Zug aus D zurückgelegt werden
als "Schuss in den Ofen"!
Oder sollen sich die Reisenden bei jeder in Frage kommenden Bahnverwaltung einen Kundenaccount anlegen, um beispielsweise Tickets und Reservierungen von Karlsruhe nach Siracusa zu
erwerben?
Iregndwie empfinde ich dies aus Sicht potentieller Kunden als Hohn.
Ingo Oerther schrieb:
Eins ist Fakt: Die Verkazfszahlen besonders der "kleineren" Reisezentren gehen seit Jahren zugunsten der "modernen" Vertriebswege (Internet, Handy) zurück.
Ich frage mich wie die Leute, die man mit der "Aktion" im Auge hat, die gefühlten 10 Millionen Tarifvarianten verstehen sollen, um damit klar zu kommen.
Ferner betrachte ich diese "Aktion" gerade bei internationalen Verbindungen (Fahrkarten und Reservierungen), die nicht in einem durchgehenden Zug aus D zurückgelegt werden
als "Schuss in den Ofen"!
Oder sollen sich die Reisenden bei jeder in Frage kommenden Bahnverwaltung einen Kundenaccount anlegen, um beispielsweise Tickets und Reservierungen von Karlsruhe nach Siracusa zu
erwerben?
Iregndwie empfinde ich dies aus Sicht potentieller Kunden als Hohn.
Dass gerade bei kleinen RZ die Verkaufszahlen zurückgehen, ist leider wahr. Allerdings gibt es für jede Reise auch nicht 10 Mio Tarifvarianten. Das System zeigt nur die Varianten, die beim Durchlösen in Frage kommen auf. Die Varianten, die durch Stückeln zustande kommen, zeigt das System nicht. Diese kennen eben nur die professionellen Verkäufer. Aber genau dort liegt das Problem: Es gibt so viele Möglichkeiten, dass Du als Einzelner, sie fast alle gar nicht kennen kannst.

Andererseits fahren nun auch die wenigsten von Karlsruhe nach Siracusa. Die meisten fahren eben von Pforzheim nach Karlsruhe bzw. von Vaihingen (Enz) bis Stuttgart oder in Gegenrichtung. Die zweitmeisten fahren von Pforzheim oder Vaihingen (Enz) nach Frankfurt, Köln oder München. Das geht i.d.R. auch noch ziemlich einfach. Dann gibt es welche, die fahren von Pforzheim oder Vaihingen nach Paris, Wien oder Zürich. Da wird es schon schwieriger, geht aber auch noch. Auch das bringt das System alles noch zustande.

Schwierig und haarig wird es aber, wenn die Leute dann eben nicht nach Zürich sondern nach Mailand oder mit Umstieg in Paris nach Bordeaux fahren oder sogar über London hinaus bis nach Inverness, Southampton oder Penzance fahren. Aber da ist dann auch das Problem, dass selbst die DB-Verkaufsstellen auch nicht weiter als bis London ausstellen können. Zahlreiche private Agenturen wie eben die Bahnfüchse, die Schöneberger oder eben Gleisnost können da aber noch abhelfen. Aber auch sie können nicht unbegrenzt Lösungen anbieten. Aber ja, gerade für Leute, die eben nach "Klein Kleckersdorf /Temse" hinter London fahren. Gerade für die wird es eben schwierig, da dann die Bahn-App eben sagt, kein Preis ermittelbar.

Aber selbst wenn "Herr 0815 Familienvater" mit seiner Familie nach Bruck a.d.Leitha fahren möchte, hin mit dem RJ zurück mit dem NJ, selbst da kann "Herr 0815 Familienvater" schon an die Decke springen, weil dann das System schon sagt, keine Preisauskunft möglich, da eben bei NJ-Benutzung nicht durchgelöst werden kann. So schön, wie es ist, dass die ÖBB die Nachtzüge übernommen hat und weiterbetreibt. Aber hier passt eben die Strategie - nicht nur der DB - die Leute immer mehr auf digitale Verkaufskanäle zu lenken nicht zusammen, weil hier eben Spezialwissen von Nöten ist. "Herr 0815 Familienvater" hat bei Weitem Besseres zu tun als diese Spezialitäten zu kennen, dass man eben bei Benutzung des NJ nicht durchlösen kann, sondern eben stückeln muss.

Herzliche Grüsse
Martin
Hallo Martin!

Vielen Dank für Deine Ausführungen.
Meine Bemerkung "gefühlte 10 Millionen Varianten" war ironisch gemeint. ;-)

Ich werde die Reservierungen für die diesjährige Rumänienreise (mit meinem Arbeitskollegen Burkhard) wohl wieder bei den
Profis der Bahnagentur Schöneberg buchen.
Ich habe den Eindruck, die kommen mit den "Kniffen" bei internationalen Reservierungen am besten zurecht.

Mich treibt halt der "Ärger" um, dass es für "Normalverbraucher" schwer geworden ist, ausländische Tickets und Reservierungen bei der DB zu bekommen.
M.E. passt das leider nicht in ein zusammenwachsendes Europa.
Die Grenzen fallen, aber Bahntariflich werden neue hochgezogen, das ist wahrlich unschön.

Gruß

Ingo
TheDemon schrieb:
kmueller schrieb:
Diesen Quatsch von sich fernzuhalten, ist ein Zeichen intakten Verstands (das Gegenteil heißt 'Digitale Demenz').
Nöö, wenn man erkennbar zu blöd ist, sämtliche verfügbaren Optionen zu erfassen, dann ist das alles, nur kein Zeichen eines intakten Verstandes. Denn nur mit allen bzw. möglichst vielen Informationen kann man saubere Entscheidungen treffen.
Eine gut funktionierende Lösung, die ihren Zweck erfüllt reicht.

Der vollständig informierte ständig alles bis auf 4 Stellen hinter dem Komma abwägende Wirtschaftsteilnehmer ist eine Erfindung der Geldtheologen. Man erkennt dies ganz leicht an der Unzahl leitender Leistungsträger, die nach Skandalen (z.B. dem Dieselskandal) voller Entsetzen und Selbskritik feststellen, daß sie selbst in ihrem unmittelbaren Verantwortungsbereich nicht das geringste mitgekriegt hatten.
Ingo Oerther schrieb:
Mich treibt halt der "Ärger" um, dass es für "Normalverbraucher" schwer geworden ist, ausländische Tickets und Reservierungen bei der DB zu bekommen.
M.E. passt das leider nicht in ein zusammenwachsendes Europa.
Zum Ausgleich kann man mittlerweile auf der Straße über fast jede Grenze mit nur geringfügig verminderter Geschwindigkeit einfach so drüberrollen.
Ingo Oerther schrieb:
Hallo Martin!

Vielen Dank für Deine Ausführungen.
Meine Bemerkung "gefühlte 10 Millionen Varianten" war ironisch gemeint. ;-)

Ich werde die Reservierungen für die diesjährige Rumänienreise (mit meinem Arbeitskollegen Burkhard) wohl wieder bei den
Profis der Bahnagentur Schöneberg buchen.
Ich habe den Eindruck, die kommen mit den "Kniffen" bei internationalen Reservierungen am besten zurecht.

Mich treibt halt der "Ärger" um, dass es für "Normalverbraucher" schwer geworden ist, ausländische Tickets und Reservierungen bei der DB zu bekommen.
M.E. passt das leider nicht in ein zusammenwachsendes Europa.
Die Grenzen fallen, aber Bahntariflich werden neue hochgezogen, das ist wahrlich unschön.

Gruß

Ingo
Grüss Dich Ingo,

ja, es ist schon klar, dass die 10 Millionen symbolisch gemeint sind. :)
Ansonsten aber bin ich mit Dir einer Meinung. Alle reden von Europa, Einheitlichkeit, Einigkeit. Aber Bahntariflich und Fahrkartentechnisch geht die Tendenz momentan eher in die andere Richtung. Da bin ich mit Dir einer Meinung. Das passt nicht gut zusammen.

Herzliche Grüsse
Martin

TAN

geschrieben von: JanH

Datum: 12.05.19 15:15

kmueller schrieb:
TheDemon schrieb:
"Kein passendes Mobiltelefon? Wenn Sie kein Mobiltelefon besitzen, auf dem Sie die Commerzbank photoTAN-App installieren können, haben Sie die Möglichkeit, bei Anmeldung zur photoTAN ein preisgünstiges Lesegerät zu erwerben."

[www.commerzbank.de]
Nix "massgebliche Lösung". Es gibt Optionen.
Die Lesegerät-Option sieht so aus:

1. ich rufe die Bankseite auf, melde mich an, und gebe einen Überweisungsauftrag ein
2. die Bank schickt mir auf meinen Bildschirm ein Bild
3. das Lesegerät generiert daraus einen Code
4. ich tippe den Code auf der Bankseite ein
5. die Bank prüft den Code und führt bei positivem Ergebnis den Auftrag aus

Der gehackte Browser war zwischendurch auch nicht faul. Er hat schon während des Schrittes 1 die von mir eingetippte Steuerzahlung in Höhe von 498,04 EUR in eine Überweisung von 4980,40 umgewandelt und dies an die Bank weitergeleitet. Der Empfänger ist anstelle des Finanzamts nun Herr Alexejew Ganov in Kasachstan, bei dem ich nach Schritt 5 das Geld suchen gehen kann.

Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein...
Dieses prinzipielle Betrugsszenario ist zwar genau ein Grund, warum die iTAN als unsicher abgeschafft werden soll, aber bei photoTan sollte das eigentlich nicht möglich sein. In den photoTAN-Code sollten bei korrekter Implementierung nämlich zum einen die Überweisungsdaten (Kontonummer, Betrag), als auch ein kundenspezifisches kryptographisches Geheimnis eingehen, welches nur der Bank und dem jeweiligen Kunden [1] bekannt ist.
In dem obigen Szenario passiert daher folgendes:
Um sowohl die Bank als auch mich zu täuschen, müsste der Angreifer gegenüber der Bank die korrekte TAN für die manipulierte Überweisung berechnen [2] und gleichzeitig mir gegenüber einen neuen photoTAN-Code für die originale Überweisung generieren, der von meinem Lesegerät dann auch akzeptiert wird. Da er aber das kryptographische Geheimnis nicht kennt, kann er das nicht machen.
Oder der Angreifer leitet das originale photoTAN-Bild unverändert weiter - dann tauchen auf meinem Lesegerät aber die manipulierten Überweisungsdaten auf, die mich hoffentlich stutzig werden lassen.


[1] Bei der Einrichtung des Lesegerätes sollte dieses Geheimnis natürlich nicht einfach online übermittelt werden, und eine kurze Suche liefert bei einigen Banken auch tatsächlich das Stichwort "Aktivierungsbrief". Alternativ nutzt man bei der Variante chipTAN die Bankkarte des Kunden als sicheren Geheimnisträger und spart sich den extra Aktivierungsbrief. Bei Nutzung einer Handy-App als Lese"gerät" besteht natürlich das Risiko, dass bei gehacktem Handy ein Angreifer das Geheimnis aus den gespeicherten Daten der App auslesen könnte - mit eigenständigen Lesegeräten geht das hingegen nicht, ohne das Lesegerät selber (oder den Aktivierungsbrief, sofern noch vorhanden) zu klauen.
[2] Und wenn er dazu in der Lage wäre, könnte er gleich eigenständig Überweisungen in Auftrag geben und müsste nicht darauf warten, von mir ausgelöste Überweisungen zu manipulieren.

Re: TAN

geschrieben von: Traumflug

Datum: 12.05.19 16:26

JanH schrieb:
kmueller schrieb:
Die Lesegerät-Option sieht so aus:

1. ich rufe die Bankseite auf, melde mich an, und gebe einen Überweisungsauftrag ein
2. die Bank schickt mir auf meinen Bildschirm ein Bild
3. das Lesegerät generiert daraus einen Code
4. ich tippe den Code auf der Bankseite ein
5. die Bank prüft den Code und führt bei positivem Ergebnis den Auftrag aus

Der gehackte Browser war zwischendurch auch nicht faul. Er hat schon während des Schrittes 1 die von mir eingetippte Steuerzahlung in Höhe von 498,04 EUR in eine Überweisung von 4980,40 umgewandelt und dies an die Bank weitergeleitet. Der Empfänger ist anstelle des Finanzamts nun Herr Alexejew Ganov in Kasachstan, bei dem ich nach Schritt 5 das Geld suchen gehen kann.

Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein...
Dieses prinzipielle Betrugsszenario ist zwar genau ein Grund, warum die iTAN als unsicher abgeschafft werden soll, aber bei photoTan sollte das eigentlich nicht möglich sein. In den photoTAN-Code sollten bei korrekter Implementierung nämlich zum einen die Überweisungsdaten (Kontonummer, Betrag), als auch ein kundenspezifisches kryptographisches Geheimnis eingehen, welches nur der Bank und dem jeweiligen Kunden [1] bekannt ist.
In dem obigen Szenario passiert daher folgendes:
Um sowohl die Bank als auch mich zu täuschen, müsste der Angreifer gegenüber der Bank die korrekte TAN für die manipulierte Überweisung berechnen [2] und gleichzeitig mir gegenüber einen neuen photoTAN-Code für die originale Überweisung generieren, der von meinem Lesegerät dann auch akzeptiert wird. Da er aber das kryptographische Geheimnis nicht kennt, kann er das nicht machen.
Oder der Angreifer leitet das originale photoTAN-Bild unverändert weiter - dann tauchen auf meinem Lesegerät aber die manipulierten Überweisungsdaten auf, die mich hoffentlich stutzig werden lassen.
Ja, so sollte es laufen. Doch dann wird eben vorexerziert, wie man das binnen Sekunden umschiffen kann. Das externe Lesegerät ist ja die Ausnahme, primär wird eine entsprechende App auf dem (gleichen) Telefon empfohlen. Und diese App kennt das Geheimnis, also kann eine manipulierte App auch einen neuen Code berechnen.

Davon abgesehen macht ein gemeinsames Geheimnis den Hickhack mit einer TAN überflüssig, die Überweisungs-App oder -Webseite kann das gerade so gut selbst berechnen. Womit man dann wieder bei der klassischen verschlüsselten Datenübertragung wäre, wie das auch HTTPS, SSH, GnuPG und PGP machen. Die Korrektheit dieser Programme sicherzustellen wäre sehr viel wichtiger.

Die sicherere Vorgehensweise wäre übrigens, dass nicht die Bank dem Kunden einen Aktivierungscode schickt, sondern umgekehrt, dass der Kunde ein Geheimnis erstellt und den öffentlichen Teil davon an die Bank schickt. Dadurch muss das Geheimnis erst gar nicht transportiert werden Das ist ebenfalls kryprografisches 1x1, doch bei den Banken noch nicht angekommen. Allerdings machen das auch so manche Andere falsch: [documentation.cpanel.net] [www.siteground.com] [www.namecheap.com] (das sind Webhoster, die empfehlen, den privaten Schlüsselteil auf dem Server zu generieren und zu speichern)

Für mehr Frieden auf Drehscheibe-Online: DSO peacemaker

Re: TAN

geschrieben von: kmueller

Datum: 12.05.19 16:38

JanH schrieb:
Dieses prinzipielle Betrugsszenario ist zwar genau ein Grund, warum die iTAN als unsicher abgeschafft werden soll, aber bei photoTan sollte das eigentlich nicht möglich sein. In den photoTAN-Code sollten bei korrekter Implementierung nämlich zum einen die Überweisungsdaten (Kontonummer, Betrag), als auch ein kundenspezifisches kryptographisches Geheimnis eingehen, welches nur der Bank und dem jeweiligen Kunden bekannt ist.

Bei der Einrichtung des Lesegerätes sollte dieses Geheimnis natürlich nicht einfach online übermittelt werden, und eine kurze Suche liefert bei einigen Banken auch tatsächlich das Stichwort "Aktivierungsbrief". Alternativ nutzt man bei der Variante chipTAN die Bankkarte des Kunden als sicheren Geheimnisträger und spart sich den extra Aktivierungsbrief. Bei Nutzung einer Handy-App als Lese"gerät" besteht natürlich das Risiko, dass bei gehacktem Handy ein Angreifer das Geheimnis aus den gespeicherten Daten der App auslesen könnte - mit eigenständigen Lesegeräten geht das hingegen nicht, ohne das Lesegerät selber (oder den Aktivierungsbrief, sofern noch vorhanden) zu klauen.
Um das 'Geheimnis' zu bewahren, sollten Dritte nie irgendeine 'Träger'karte oder irgendein anderes Gerät in die Hand (bzw. in den Geräteschlitz) bekommen, das an der Generierung der TAN mitwirkt. Allein deswegen scheiden für mich Verfahren aus, die Bankomat- oder Kreditkarten nutzen.

'Unabhängiges' Gerät gibt es, und ich nutze es. Allerdings auch das nur für elektronische Einsichtnahme, während die Funktion 'Überweisung' vereinbarungsgemäß deaktiviert ist. Überweisungen führe ich per 'mobile TAN' aus und zwar über ein Girokonto bei einer anderen Bank, das auf einem Stand gehalten wird, der nicht allzuviel Beute erlaubt.

Absolut diebstahlssicher ist nur etwas, das gar nicht 'da' ist.

Re: Authentisierung

geschrieben von: Alfons Grünewald

Datum: 14.05.19 22:03

kmueller schrieb:
TheDemon schrieb:
"Kein passendes Mobiltelefon? Wenn Sie kein Mobiltelefon besitzen, auf dem Sie die Commerzbank photoTAN-App installieren können, haben Sie die Möglichkeit, bei Anmeldung zur photoTAN ein preisgünstiges Lesegerät zu erwerben."

[www.commerzbank.de]
Nix "massgebliche Lösung". Es gibt Optionen.
Die Lesegerät-Option sieht so aus:

1. ich rufe die Bankseite auf, melde mich an, und gebe einen Überweisungsauftrag ein
2. die Bank schickt mir auf meinen Bildschirm ein Bild
3. das Lesegerät generiert daraus einen Code
4. ich tippe den Code auf der Bankseite ein
5. die Bank prüft den Code und führt bei positivem Ergebnis den Auftrag aus

Der gehackte Browser war zwischendurch auch nicht faul. Er hat schon während des Schrittes 1 die von mir eingetippte Steuerzahlung in Höhe von 498,04 EUR in eine Überweisung von 4980,40 umgewandelt und dies an die Bank weitergeleitet. Der Empfänger ist anstelle des Finanzamts nun Herr Alexejew Ganov in Kasachstan, bei dem ich nach Schritt 5 das Geld suchen gehen kann.

Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein...
Wenn Du deinem Rechner nicht traust, dann verwende doch ein Live-Linux-System. Leider wird das hervorragende c't Bankix nicht mehr angeboten.
Bei dem System meiner Hausbank sehe ich jedenfalls bevor ich den Code bekomme die IBAN, an welche die Überweisung geht, sowie den Betrag. Erst nach dem zweimaligen Bestätigen mit "OK" wird mir der Code angezeigt. Software auf meinem Rechner ist dabei keine im Spiel, außer dem Browser.

Gruß

Alfons


Alfons Grünewald

Seiten: 1 2 3 4 All

Angemeldet: -