Hibiscus, Kennwort der Saldenaktualisierung dauerhaft speichern

 
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Hibiscus, Kennwort der Saldenaktualisierung dauerhaft speichern

 · 
Gepostet: 13.10.2016 - 11:44 Uhr  ·  #21
PS:

Zitat geschrieben von Kleinsparschwein

...Dann hole ich die griffbereit notierte PIN, hoffe, immer noch nicht von einem Keylogger befallen zu sein und tippe die PIN wieder ein... :'(


Moment. Das heisst, die manuelle Eingabe der PIN ist jetzt unsicherer als die permanente Speicherung auf dem Rechner? Das ist ein hanebüchenes Argument.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 141
Dabei seit: 12 / 2011
Betreff:

Re: Hibiscus, Kennwort der Saldenaktualisierung dauerhaft speichern

 · 
Gepostet: 13.10.2016 - 15:06 Uhr  ·  #22
Zitat
Ich schreibe den Namen der Datei aber nicht hier ins Forum.


OK, aber es ist die Datei, von der hier die Rede war? Nicht daß ich beim Probieren etwas zerschieße...

Zitat
Hinterfrage doch mal, warum dann bei deiner Bank dauernd Fehler auftreten?

Die häufigsten PIN-Löschgründe bei mir sind gar nicht direkt Bankfehler, sondern
1. vergessen, daß ich noch offline bin
2. mal wieder versucht, bei Sparda-Bank eine Umbuchung vorzunehmen.
3. Abbruch einer losgeschickten Überweisung wegen irgendwelchem Zögern (z. B. Kontostand vorher nicht aktualisiert/überprüft).

Zitat
Das heisst, die manuelle Eingabe der PIN ist jetzt unsicherer als die permanente Speicherung auf dem Rechner?

Davon bin ich fest überzeugt. Sichere manuelle Eingabe würde voraussetzen, daß man nur mit der Bildschirm-Tastatur (osk) arbeitet. Ganz schlecht sind Funktastaturen. Dem gegenüber ist die gespeicherte PIN in einem verschlüsselten Container oder einer verschlüsselten Datenbank - oder dann beim Einsatz in einem verschlüsselten Datenstrom - nicht so ohne weiteres abzugreifen.

Gruß
Kleinsparschwein
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Hibiscus, Kennwort der Saldenaktualisierung dauerhaft speichern

 · 
Gepostet: 13.10.2016 - 15:38 Uhr  ·  #23
Zitat geschrieben von Kleinsparschwein

Die häufigsten PIN-Löschgründe bei mir sind gar nicht direkt Bankfehler, sondern
1. vergessen, daß ich noch offline bin


Dafür gibt es unter Hibiscus->Einstellungen eine Option "Dauerhafte Internetverbindung. Aufforderung zum Verbinden nicht erforderlich". Nimm dort das Häkchen raus. Dann wirst du explizit aufgefordert, die Internetverbindung herzustellen.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Hibiscus, Kennwort der Saldenaktualisierung dauerhaft speichern

 · 
Gepostet: 14.10.2016 - 08:43 Uhr  ·  #24
Zitat geschrieben von Kleinsparschwein

Zitat
Das heisst, die manuelle Eingabe der PIN ist jetzt unsicherer als die permanente Speicherung auf dem Rechner?

Davon bin ich fest überzeugt. Sichere manuelle Eingabe würde voraussetzen, daß man nur mit der Bildschirm-Tastatur (osk) arbeitet. Ganz schlecht sind Funktastaturen. Dem gegenüber ist die gespeicherte PIN in einem verschlüsselten Container oder einer verschlüsselten Datenbank - oder dann beim Einsatz in einem verschlüsselten Datenstrom - nicht so ohne weiteres abzugreifen.
Davon bin ich ebenfalls überzeugt und Keylogger sind Realität.
Bildschirmtastaturen sind nun aber auch keine Lösung, die Eingabe ist mit einer Videoaufzeichnung auszuspähen ist für gängige Trojaner kein Problem mehr.

Es ist aber wichtig, hier die Haftungssituation zu beachten: Speichert man die PIN, handelt grob fahrlässig und die Bank wird keine Haftung übernehmen. Das Risiko umfasst ja beispielsweise nicht nur Keylogger, sondern auch Veruntreuung in Familie und Firma. Darüber muss man also mehr als zweimal nachdenken...
Unter Umständen kann das Speichern der PIN also sicherer sein, gerade beim PIN&TAN-Verfahren, aus Haftungsgründen rate ich aber davon ab.
Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: Hibiscus, Kennwort der Saldenaktualisierung dauerhaft speichern

 · 
Gepostet: 14.10.2016 - 08:59 Uhr  ·  #25
Zitat geschrieben von Raimund Sichmann
... und die Bank wird keine Haftung übernehmen...

a.) wie will eine Bank dies nachweisen?
b.) bei der Eingabe in der Bank-WebGUI könnte evtl. von der Eingabegeschwindigkeit Rückschlüsse gezogen werden. Über eine Software ist dies nicht möglich, da die Info nicht mitgesandt wird.

aber ist eine Sicherheitsdiskussion hier wirklich sinnvoll?
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Hibiscus, Kennwort der Saldenaktualisierung dauerhaft speichern

 · 
Gepostet: 14.10.2016 - 09:13 Uhr  ·  #26
Zitat geschrieben von infoman

Zitat geschrieben von Raimund Sichmann
... und die Bank wird keine Haftung übernehmen...

a.) wie will eine Bank dies nachweisen?


Das ist sicherlich schwer bis unmöglich. Dennoch darf die Haftungsproblematik deshalb nicht ignoriert werden und ich finde es auch gut, dass Raimund das hier nochmal erwähnt hat. Das war es auch, worum es mir eigentlich ging: Die Diskrepanz zwischen technischer Realität und juristischen Implikationen. Daher kann man aus meiner Sicht nicht pauschal sagen, dass das Speichern der PIN besser ist. Insbesondere auch dann nicht, wenn das hier Laien lesen, diese die PIN bedenkenlos speichern, es dann zu einem Schaden kommt (egal, was dabei der Angriffsvektor war) und der User dann gegenüber der Bank bedenkenlos aussagt, dass er die PIN natürlich sicher abgespeichert hatte.

Zitat geschrieben von infoman

aber ist eine Sicherheitsdiskussion hier wirklich sinnvoll?


Nein, eigentlich nicht. Denn wir hatten diese Diskussion ja schon unzählige Male.

Die PIN kann ja in Hibiscus gespeichert werden. Im konkreten Fall ging es darum, dass sie nach einem Fehler bei der Kommunikation mit der Bank erneut eingegeben werden muss. Und das halte ich für sinnvoll. Andernfalls müsste die Anwendung vorher prüfen, aus welchem Grund es zu einem Fehler kam. Und die PIN nur genau dann aus dem Wallet löschen, wenn sichergestellt ist, dass der Grund für den Fehler eine falsche PIN (oder anderweitig fehlerhafte Zugangsdaten) war. Denn andernfalls läuft man Gefahr, dass Hibiscus beim dritten Fehlversuch eine Sperre des Zugangs bei der Bank auslöst.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Hibiscus, Kennwort der Saldenaktualisierung dauerhaft speichern

 · 
Gepostet: 14.10.2016 - 17:26 Uhr  ·  #27
Zitat geschrieben von hibiscus
Zitat

a.) wie will eine Bank dies nachweisen?


Das ist sicherlich schwer bis unmöglich.

Ob ihr es glaubt oder nicht: Es gibt auch ehrliche Kunden und Zeugen.
Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 6694
Dabei seit: 06 / 2008
Betreff:

Re: Hibiscus, Kennwort der Saldenaktualisierung dauerhaft speichern

 · 
Gepostet: 14.10.2016 - 17:37 Uhr  ·  #28
wenn ein Kunde ehrlich ist, dann wird er die Bank - bei eigenem Verschulden - nicht in Haftung nehmen - somit wird es garnicht publik
unabhängig hiervon bleibt es jedoch dabei, dass die Bank es nicht nachweisen kann

... oder kann es sein, dass einen smilie vergessen hast
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Hibiscus, Kennwort der Saldenaktualisierung dauerhaft speichern

 · 
Gepostet: 15.10.2016 - 14:17 Uhr  ·  #29
Es gibt unterschiedliche Facetten und sehr viele Möglichkeiten. Du kannst z.B. grob fahrlässig handeln, ohne dir dessen bewusst zu sein. Das passiert z.B. vielen Geldwäschern hinter dem Phishing. Aber wir sollten das Hibicus-Forum nicht zu sehr strapazieren, wenn jemand das Bedürfnis hat, es noch auszudiskutieren, möge er einen neuen Thread im allgemeinen Teil öffnen.
Gruß
Raimund
Gewählte Zitate für Mehrfachzitierung:   0