Banking 4W

Pin Eingabe erforderlich HBCI Disketenverfahren

 
Benutzer
Avatar
Geschlecht:
Alter: 55
Beiträge: 4
Dabei seit: 02 / 2018
Betreff:

Banking 4W

 · 
Gepostet: 08.02.2018 - 21:45 Uhr  ·  #1
Hallo ich nutze Banking 4W schon seit ein paar Jahren. Bis jetzt hatte ich noch nie Probleme.
Ich benutze HBCI Diskettenverfahren (USB-Stick als Schlüssel), Banking 4W ist auf dem PC installiert. Seit einem Update im Dezember 2017 oder Januar 2018 muss ich Zusätzlich noch eine Pin (Für Bankzugang) eingeben z.B für Überweisungen. Kann man diese abfrage des Pin irgend wo abschalten?

Als Notlösung habe ich jetzt eine alte Version: 6.4.2.6171 von Banking 4W installiert wo ich nicht zusätzlich eine Pin eingeben muss. Ich benutze ja eine Schlüsseldatei auf dem USB-Stick da finde ich es unnötig und umständlich da noch extra eine Pin eingeben zu müssen.
Wenn das nicht mit der Pin änderbar ist müsste ich bei der Notlösung (Alte Version) bleiben. Wo ich aber nicht weis ob das andere Nachteile hat? Mein Bankzugang funktioniert auf jeden Fall problemlos.

Ich empfinde diese zusätzliche Abfrage eines Pin als Verschlimmbesserung.

Betriebssystem Windows 10 Pro 64bit. Version: 1709 Build: 16299.214
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Banking 4W

 · 
Gepostet: 09.02.2018 - 03:55 Uhr  ·  #2
Das wurde in der neuen Version tatsächlich geändert. Früher wurde das im Programm gespeicherte Passwort der Schlüsseldatei sowohl für den Abruf von Umsätzen als auch für das Senden von Aufträgen verwendet (so wie Du es kanntest). Seit dem bewußten Update muss beim Senden von Aufträgen das Schlüsseldatei-Passwort in jedem Falle von Hand eingegeben werden. Dies geschieht deswegen, dass sich der Benutzer einerseits bewußt wird, dass er Aufträge erteilt. Ein weiterer Hintergrund ist, dass im Falle des geöffnet stehen gelassenen Programms und Verlassen des Rechners jeder der vorbeikommt ohne weiteres Aufträge erteilen kann - dies ist höchst unsicher. So wie eigentlich das gesamte Schlüsseldateiverfahren nicht sehr sicher ist. Jeder der mal den usb-Stick in die Finger bekommt, kann sich die Schüsseldatei kopieren, ohne dass der Eigentümer es merkt. Mit dieser konnte er dann jederzeit unter Nutzung des abgespeicherten Passworts im Programm Aufträge senden. Auch nicht sehr schön.

Es gibt keinen Weg, an der aktuellen Version das alte Verhalten wieder herzustellen. Du kannst es nur durch Einsatz einer alten Version umgehen, so wie Du es gemacht hast. Probleme werden früher oder später auftreten, da sich "die Welt drumrum" ändert (Bankrechnerseitig) und das Programm entsprechend nachgezogen werden muß. Solange es bei den von Dir eingesetzten Banken keine Veränderung gibt, geht es wohl, sobald die erste Änderung kommt, mußt Du dann doch auf eine neue Programmversion gehen. Allerdings: Gemäß neuer EU-RIchtlinien ist das Schlüsseldatei-Verfahren eh nicht mehr als sicher eingestuft (u.A. weil die Datei jederzeit beliebig kopiert werden kann und dann per Brute-Force das Passwort herausgefunden werden kann), auch weitere Problem gibt es dabei (keine externe Kontrollanzeige der wirklichen Auftragsdaten vor der Freigabe, so dass Man-in-the-Middle-Attacken funktionieren) usw. Deswegen ist davon auszugehen, dass alle Banken, die derzeit noch Schlüsseldateiverfahren haben, diese spätestens im Lauf des nächsten Jahres abschalten werden, dann kannst Du eh nicht mehr so weitermachen wie bisher.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Banking 4W

 · 
Gepostet: 09.02.2018 - 06:06 Uhr  ·  #3
Zitat geschrieben von msa

Allerdings: Gemäß neuer EU-RIchtlinien ist das Schlüsseldatei-Verfahren eh nicht mehr als sicher eingestuft (u.A. weil die Datei jederzeit beliebig kopiert werden kann und dann per Brute-Force das Passwort herausgefunden werden kann), auch weitere Problem gibt es dabei (keine externe Kontrollanzeige der wirklichen Auftragsdaten vor der Freigabe, so dass Man-in-the-Middle-Attacken funktionieren) usw. Deswegen ist davon auszugehen, dass alle Banken, die derzeit noch Schlüsseldateiverfahren haben, diese spätestens im Lauf des nächsten Jahres abschalten werden, dann kannst Du eh nicht mehr so weitermachen wie bisher.

Mhhh das Thema ist komplexer.
Zunächst mal, dir EU Richtlinie macht keinerlei Aussage darüber, welches Verfahren sicher ist und welches nicht. Die Richtlinie gibt nur abstrakt vor, welches Sicherheitsniveau ein Verfahren erfüllen muss.

Das ist letztendlich auch die Ausgangsbasis der im aktuellen Entwurf der technischen Umsetzungsstandards möglichen Ausnahme. Bei Firmenkunden muss demnach das Sicherheitsmedium selber die Vorgaben nicht erfüllen, wenn die Rahmenbedingungen unter denen das Medium eingesetzt wird ein ähnliches Sicherheitsniveau erreicht. Darüber, ob das der Fall ist, entscheidet die Aufsicht.
D.h. wenn die Schlüsseldatei als solche den Vorgaben nicht erfüllt, können die Banken bei der Aufsicht eine Ausnahme beantragen.
Was kann man daraus ableiten?
Für den Verbraucher stehen die Chancen schlecht, die Schlüsseldatei über Ende 2019 weiter nutzen zu können. Für Nicht Verbraucher ist alles offen.

Der erwähnte zweite Kanal zur Anzeige und Kontrolle wird als Solcher nicht gefordert. Was gefordert ist, ist das dem Kunden transparent sein muß, welche Aufträge er unterschreiben möchte.

Da die regulatorischen technischen Vorgaben noch nicht beschlossen sind, ist das alles noch nicht sicher!

Viele Grüße
Holger
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Banking 4W

 · 
Gepostet: 09.02.2018 - 12:29 Uhr  ·  #4
Klar ist das komplexer. Aber ich wollte keine wissenschaftliche Abhandlung schreiben, sondern dem Fragesteller nahe bringen, dass er sich nicht mehr allzu sehr auf "sein Diskettenverfahren" versteifen soll, dass es wahrscheinlich in der vorhandenen Form nicht mehr allzu lang leben wird. Quintessenz sozusagen. Und die Meinung, dass HBCI mit Schlüsseldatei wohl aussterben wird, hast Du, lieber Holger, doch bisher auch "mitgetragen" oder erinnere ich mich da falsch?
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Banking 4W

 · 
Gepostet: 09.02.2018 - 14:50 Uhr  ·  #5
Zitat geschrieben von msa

Und die Meinung, dass HBCI mit Schlüsseldatei wohl aussterben wird, hast Du, lieber Holger, doch bisher auch "mitgetragen" oder erinnere ich mich da falsch?

Das die HBCI Schlüsseldatei ausstirbt habe ich nie mitgetragen und trage ich auch nicht mit. Aber das hast Du vermutlich gar nicht gemeint ;-) Die Info, dass die HBCI Schlüsseldatei auststerben (für den Verbraucgher auch sehr sicher) wird, habe ich u.a. hier erklärt. Das passt schon.
Da "Akademische" ist gar nicht so akademisch. Aber für den einen oder anderen -vorallem- Banker hier sehr wichtig, um Zusammenhänge verstehen zu können.
Benutzer
Avatar
Geschlecht:
Alter: 55
Beiträge: 4
Dabei seit: 02 / 2018
Betreff:

Re: Banking 4W

 · 
Gepostet: 10.02.2018 - 23:43 Uhr  ·  #6
Danke für eure Antworten.
Mal sehn was ich machen werde. Ich bin damals auf das HBCI Diskettenverfahren umgestiegen da das Pin/Tan Verfahren eingestellt wurde und dieser Tangenerator den man an den Bildschirm hebt bei mir Zuhause nie richtig funktioniert hat.

Offiziell wurde das HBCI Diskettenverfahren schon vor Jahren nicht für Privatkunden von meiner Bank (Volksbank) angeboten und ich habe es damals nur Bekommen da ich damals Firmenkunde gewesen bin und ich sonst auf das Online Banking verzichtet hätte.
Online Banking sollte nicht komplizierter sein als die Bedienung eines Bankautomaten also 2 Schritte (Bankkarte und Pin), Mittlerweile sind es 3, Passwort der Bankensoftware, HBCI Schlüsseldatei und Pin von der Bank. Ich denke da werde ich mich mal von meiner Bank beraten lassen wo da die Reise beim Online Banking hingeht.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 36
Dabei seit: 11 / 2013
Betreff:

Re: Banking 4W

 · 
Gepostet: 13.02.2018 - 18:43 Uhr  ·  #7
Zitat geschrieben von Grisu_1968

Danke für eure Antworten.
Mal sehn was ich machen werde. Ich bin damals auf das HBCI Diskettenverfahren umgestiegen da das Pin/Tan Verfahren eingestellt wurde und dieser Tangenerator den man an den Bildschirm hebt bei mir Zuhause nie richtig funktioniert hat.


Bei mir funktionierte der Flickercode zwar problemlos aber mich nervte das Verfahren an sich dennoch. Doch es gibt eine technische Lösung: Ich benutze jetzt seit einiger Zeit den tanJack Bluetooth von Reiner SCT, da spart man sich das an-den-Bildschirm-halten, ein kleines Zusatzprogramm liest den Flickercode aus und übermittelt die Transaktionsdaten dann per USB an den TAN-Generator. Dort prüft man dann wie gehabt die angezeigten Transaktionsdaten und kann auf Wunsch sogar die TAN per USB in die Zwischenablage transportieren um sie dann ins Bankingprogramm einzufügen. Natürlich kann man sie auch manuell übertragen. Das Gerätchen hat aber weiterhin auch die Sensoren an der Rückseite, kann also auch wie ein klassischer TAN-Generator verwendet werden. Ist immer noch nicht die optimale Lösung (schön wäre direkte Kommunikation zwischen Bankingprogramm und dem Generator ohne den Umweg über den Flickercode), aber schon sehr brauchbar. Mit ca. 30-35 Euro ist der Generator auch noch halbwegs erschwinglich, ich hab die Investition jedenfalls nicht bereut. Einziger Haken war die Ersteinrichtung, der benötigte Windowsdienst für die Kommunikation mit der Karte im Generator war bei mir deaktiviert, es dauerte etwas bis zu dieser Erkenntnis. :) Seitdem funktioniert das Procedere aber problemlos.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Ruhrpott
Beiträge: 49
Dabei seit: 03 / 2014
Betreff:

Re: Banking 4W

 · 
Gepostet: 13.03.2018 - 09:55 Uhr  ·  #8
So :(

habe jetzt auch das Problem das ich die PIN für die HBCI Datei nicht mehr weiß bzw. habe. Musste gerade von einem Konto eine ÜW machen das ich nur sehr selten nutze.
Lieder habe ich mir die PIN für die HBCI nicht aufgeschrieben. Ich meine ich habe Sie damals (2013) mit ins Bankschließfach gepackt. Jetzt müsste ich zur bank fahren um dann
evt die PIN dort zu finden. Nicht grad schön, wenn ich sie auch hoffentlich da aufgeschrieben habe.
War ja auch praktisch das man sich diese nicht merken musste.

Gibts keine Möglichkeit sich die PIN anzeigen zu lassen, da Sie ja imme rnoch im Tresor gespeichert ist? Keine Lust wegen so einer tollen (Ironie) Änderung an den selten benötigten Konten komplett HBCI neu einrichten zu müssen.

Gruß
Christian
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Banking 4W

 · 
Gepostet: 13.03.2018 - 18:47 Uhr  ·  #9
Der frühere Komfort bedingt jetzt die Unbequemheit. Das ist Pech, aber nicht zu ändern. Wenn man Passwörter nicht mehr griffbereit hat, hat doch hierbei die Software die geringste Schuld.
Gruß
Raimund
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: Banking 4W

 · 
Gepostet: 14.03.2018 - 10:56 Uhr  ·  #10
Also ich würde da den Weg der Schlüssel-Neugenerierung gehen. Je nach Bank ist das EIN Anruf. Warum nur ein Anruf?
Beispiel HypoVereinsbank: Irgendwas ist mit meinem Schlüssel. Ich rufe also in der zuständigen Filiale an und bitte die, den HBCI-Schlüssel zu löschen, damit ich neu initialisieren kann. ich habe das im Lauf von 10 Jahren aus versch. Gründen 3mal gemacht - anfangs verstanden die noch "Bahnhof" und mußten sich lang befragen, inzwischen kann das die normale Assistenz direkt an ihrem Computerarbeitsplatz machen.

Dann erzeuge ich einen neuen Schlüssel mit Passwort (das ich diesmal irgendwo notiere :-) ).

Anschließend gebe ich den Hash direkt im Webbanking ein und validiere ihn mit einer TAN. FERTIG.

Auch bei der Commerzbank ist die Selbst-Freigabe online im Web möglich. Bei VR müßte man den Weg über den INI-Brief gehen, und der geht in den meisten Fällen per Fax.

Dieses Vorgehen ist meineserachtens kein wirklicher Aufwand und "sicherer" als wenn ich zur Bank fahre, im Safe wühle und das Passwort dann im schlimmsten Fall doch nicht finde.
Gewählte Zitate für Mehrfachzitierung:   0