PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Onlinebanking: Welche Technik nutzt ihr?


WhiteVelvet
2017-07-25, 13:35:26
Hallo zusammen,

ich frage mich gerade, welche Onlinebanking Technik heute am häufigsten benutzt wird... HBCI oder über den Browser?

Ich habe irgendwie das Gefühl, dass HBCI kaum noch benutzt wird, zumal es viel sicherer ist und ich keine TAN benötige. Ist ja eigentlich viel besser...

alkorithmus
2017-07-25, 13:40:14
Hallo zusammen,

ich frage mich gerade, welche Onlinebanking Technik heute am häufigsten benutzt wird

Im 3DCenter(!)

Persönlich nutze ich eine Fotokopie meiner physische TAN-Liste.

lumines
2017-07-25, 13:48:50
Pauschal unsicherer ist Online-Banking über ein Webinterface nicht. Kommt eben drauf an, wie der zweite Faktor aussieht. TAN per SMS ist heute wahrscheinlich keine gute Idee mehr, aber chipTAN ist doch eine gute Sache. Mir persönlich fehlt bei den meisten Banken eher ein Login mit U2F / FIDO als zweiter Faktor. Ein phishing-resistenter Login wäre jedenfalls angebracht für Banken.

GitHub hat vor kurzem U2F in Software vorgestellt für macOS: https://githubengineering.com/soft-u2f/

Ist sicher nicht so toll wie ein unveränderlicher, in Hardware gegossener Chip, aber gegen Phishing ist das an sich eine gute Idee.

Franconian
2017-07-25, 13:58:18
Browser mit SMS-TAN aufs iPhone. Ist für mich sicher genug und reicht für mich völlig aus (überweise alle 2-3 Monate mal was), wüsste auch nicht wozu man in der heutigen Zeit diese Steinzeitzahlungsmethode noch groß braucht. 80 % Kreditkarte, 20 % Paypal bei mir.

RaumKraehe
2017-07-25, 14:03:54
HBCI+ mit Kartenleser und Chipkarte.

Alles andere halte ich für unsicher, bzw sind die Möglichkeiten der Manipulation deutlich höher.

5tyle
2017-07-25, 14:07:48
Kommt auf die Bank drauf an. Bei zwei der Banken (Fidor, Postbank) halt auch nur SMS-TAN, für das andere Konto habe ich eine Offline TAN Liste und einen extra 2FA Key in Form eines zweiten Passworts.
Manche Banken, scheinbar nicht viele, bieten noch zusätzliche Authentifizierungsmöglichkeiten, angefangen von zusätzlicher E-Mail-Bestätigung bis zur dynamsichen Keygenerierung (Google Authenticator oder andere Verfahren).

Argo Zero
2017-07-25, 14:08:12
Chiptan bzw. SmartTAN mit SFIRM und X Online Banking.

Ich kann oben aber nichts ankreuzen, weil da irgendwas mit Browser steht.

Annator
2017-07-25, 14:08:16
chipTAN bei der Volksbank und mTAN bei Comdirect. Ankreuzmöglichkeit fehlt. :)
mTAN finde ich am Besten. Schön einfach und sicher. Evtl. ändere ich das mal auf photoTAN.

Morale
2017-07-25, 14:11:50
chipTan.
Sicher und relativ einfach.

BUG
2017-07-25, 14:32:35
Ich nutze eine Bank-Software + SMS-TAN (ich schalte WiFi und die Mobilen-Daten dann am Handy meist aus), Kartenleser & Chipkarte funktioniert auf Curved-Bildschirmen nicht.

Gruß
BUG

lumines
2017-07-25, 14:37:38
mTAN finde ich am Besten. Schön einfach und sicher.

Das Problem ist, dass SS7 keine Authentifizierung kennt. Jeder (eventuell korrupte) Provider kann jeder beliebigen Person eine SIM-Karte mit deiner Nummer ausstellen und beliebige SMS in deinem Namen versenden oder erhalten. Die Angriffsfläche für mTAN beinhaltet die Summe aller Angriffsflächen aller Mobilfunkprovider. WLAN und / oder Mobilfunk abzuschalten hilft dagegen nicht viel.

In manchen Fällen senkt 2FA per SMS sogar die Sicherheit, wenn z.B. bei einigen Diensten damit der Zugriff auf den Account wiederhergestellt werden kann. Damit kann dann sogar das Passwort umgangen werden. Das ist bei Banken weniger ein Problem, aber ein reales Problem für alles andere.

Lektüre: https://www.theregister.co.uk/2017/05/03/hackers_fire_up_ss7_flaw/

Lutter
2017-07-25, 14:42:54
StarMoney Business 8 mit HBCI-Chipkarte. ChipTAN mit TAN-Generator, smsTAN und pushTAN über den Browser oder mit StarMoney 11. Sparkasse+ -App mit pushTAN über iPhone und/oder iPad.
Dazu noch EBICS mit SFIRM 3.2. :wink:

/dev/NULL
2017-07-25, 15:11:37
mTan und Phototan.

kroko
2017-07-25, 15:13:32
Seit Jahren schon chipTan einfach und einfach sicher.

HisN
2017-07-25, 15:21:08
chipTan

RaumKraehe
2017-07-25, 15:44:42
Ich nutze eine Bank-Software + SMS-TAN (ich schalte WiFi und die Mobilen-Daten dann am Handy meist aus), Kartenleser & Chipkarte funktioniert auf Curved-Bildschirmen nicht.

Gruß
BUG

Na gibst du halt die Daten manuell in deinen Genrator. Nur wegen des Monitors auf Sicherheit zu verzichten halte ich für keine gute Idee.

Franconian
2017-07-25, 16:09:42
Gerade nochmal bei mir (Commerzbank) geschaut. Gibt nur photoTAN und mobileTAN. Zudem:

Unsere Sicherheits-Garantie
Vollkommen sorgenfrei Online Banking nutzen mit unseren innovativen TAN-Verfahren. In unserem Online Banking bieten wir Ihnen mit dem mobileTAN-Verfahren die größtmögliche Sicherheit. Das garantieren wir Ihnen. Sollte dennoch einmal etwas passieren, erstatten wir Ihnen den entstandenen Schaden. Voraussetzungen für Sie: Sie haben den Schaden nicht vorsätzlich herbeigeführt, informieren uns sofort über den Schaden und erstatten Strafanzeige bei der Polizei.

Was will man mehr? Glaube zu paranoid muss man wirklich nicht sein.

lumines
2017-07-25, 16:17:44
Nach den Problemen bei O2 hat das auch nichts mehr mit Paranoia zu tun. Ist eben passiert und das Risiko ist nach wie vor real. Man sollte SMS 2FA immer meiden, wenn das irgendwie möglich ist.

Man wird sein Geld vielleicht auch wiedersehen, wenn der Provider am anderen Ende der Welt zugibt, dass sie einen korrupten Mitarbeiter haben, der irgendwo im Darknet schon vergebene Handynummern weitergibt.

Nicht vergessen: SS7 kennt keine Authentifizierung. Irgendwem, irgendetwas nachzuweisen ist praktisch unmöglich. Gerade das macht es so problematisch.

Das Problem dabei dürfte auch weniger der monetäre Verlust sein, sondern eher die Zeit, die man investieren muss, um dem ganzen Kram dann hinterherzulaufen.

joe kongo
2017-07-25, 20:03:39
Nach der Zwangsumstellung am Beginn des Jahres statt einer postalisch zugesandten TAN Liste, TAN per SMS.

Meinetwegen könnens mir die TAN auch übers Radio ansagen, solange die Zugangsdaten zum e-banking im Kopf sind und nicht in the cloud.

Niall
2017-07-25, 20:13:40
Nach den Problemen bei O2 hat das auch nichts mehr mit Paranoia zu tun. Ist eben passiert und das Risiko ist nach wie vor real. Man sollte SMS 2FA immer meiden, wenn das irgendwie möglich ist.

Man wird sein Geld vielleicht auch wiedersehen, wenn der Provider am anderen Ende der Welt zugibt, dass sie einen korrupten Mitarbeiter haben, der irgendwo im Darknet schon vergebene Handynummern weitergibt.

Nicht vergessen: SS7 kennt keine Authentifizierung. Irgendwem, irgendetwas nachzuweisen ist praktisch unmöglich. Gerade das macht es so problematisch.

Das Problem dabei dürfte auch weniger der monetäre Verlust sein, sondern eher die Zeit, die man investieren muss, um dem ganzen Kram dann hinterherzulaufen.


Klar, alles Richtig – Nichtsdestotrotz muss man es ja schon direkt auf eine Person mit einem bestimmten Konto abgesehen haben, sowohl die Telefonnummer des TAN Devices, als auch Kontodaten, Login und Passwort kennen oder nicht? Zudem würde man die SMS mit TAN nicht selbst auch bekommen und die Bank nachvollziehen kann dass man sich nicht aus Honolulu eingeloggt hat?

Mir ist klar dass man all das relativ problemlos häckseln kann, jedoch muss man da doch wissen dass sich der Aufwand lohnt. Oder nicht?

lumines
2017-07-25, 20:28:49
Klar, alles Richtig – Nichtsdestotrotz muss man es ja schon direkt auf eine Person mit einem bestimmten Konto abgesehen haben, sowohl die Telefonnummer des TAN Devices, als auch Kontodaten, Login und Passwort kennen oder nicht?

Auch wenn niemand darüber gerne redet, aber unglaublich viele Leute da draußen benutzen für einen Großteil der Dienste immer das gleiche Passwort oder eine Variation davon. Bei anderen sind die Passwörter einfach generell zu schwach. Wenn das Passwort dann durch irgendeinen Leak einer Webseite irgendwo auftaucht, haben diese Leute dann automatisch ein Problem, weil irgendwo schon ihre Telefonnummer und Mail-Adresse drinsteht. Das öffnet wiederum Möglichkeiten für Phishing und anderen lustigen Kram.

Ich mein, irgendwie muss das ja bei den Personen per O2 automatisiert abgelaufen sein. Da wird niemand manuell etwas von Hand eingetippt haben.

Zudem würde man die SMS mit TAN nicht selbst auch bekommen und die Bank nachvollziehen kann dass man sich nicht aus Honolulu eingeloggt hat?

Tja, das ist die Frage. So genau kenne ich mich mit SS7 nicht aus. Ich würde mich jedenfalls nicht darauf verlassen. Das ganze System stammt noch aus den 80ern. Das war noch eine komplett andere Ära. Viele Annahmen, die man damals über die Architektur getroffen hat, stimmen heute so nicht mehr. Dass darüber mal TAN-Listen fürs Online-Banking ausgetauscht werden, war da einfach keine wirkliche Überlegung.

Mir ist klar dass man all das relativ problemlos häckseln kann, jedoch muss man da doch wissen dass sich der Aufwand lohnt. Oder nicht?

Na ja, wie gesagt, das wird niemand von Hand machen.

Btw, wichtiger Punkt, den RaumKraehe da nennt:

Na gibst du halt die Daten manuell in deinen Genrator. Nur wegen des Monitors auf Sicherheit zu verzichten halte ich für keine gute Idee.

chipTAN funktioniert auch mit manueller Eingabe, wenn man einen Generator mit einem Ziffernblock benutzt. Man muss nicht zwangsläufig den Sensor zum Scannen benutzen. Aus irgendwelchen Gründen steht das selten dabei, aber das geht auch so einwandfrei. Kann man nicht oft genug sagen.

Joe
2017-07-25, 21:10:27
Weder noch.
Zwei-Faktor mit Handy App.
"Push-TAN" nennen die das bei der Spaßkasse und "BestSign" bei der Postbank.

Frank
2017-07-25, 21:21:29
Gerade nochmal bei mir (Commerzbank) geschaut. Gibt nur photoTAN und mobileTAN. Zudem:
Commerzbank hat auf Nachfrage auch HBCI / Chipkarte.

Nutze selbst seit knapp 20 Jahren Chipkarte / Kartenleser mit Wiso MeinGeld. Alles andere ist doch viel zu unbequem ...

joe kongo
2017-07-25, 22:03:36
Alles andere ist doch viel zu unbequem ...

ähm, nur von einem Rechner aus wäre mir zu unbequem

schokofan
2017-07-25, 23:42:29
Commerzbank hat auf Nachfrage auch HBCI / Chipkarte.

Nutze selbst seit knapp 20 Jahren Chipkarte / Kartenleser mit Wiso MeinGeld. Alles andere ist doch viel zu unbequem ...

Hier auch, allerdings mit Starmoney. Man kann darüber zwar einiges schlechtes sagen, dem Krüppelinterface der Commerzbank ist es aber trotzdem meilenweit überlegen. Ich trauere bis heute dem UI der Dresdner Bank hinterher.

Wenn die eigene Bank kein HBCI mit Chipkarte anbietet würde ich inzwischen immer zu chip-tan greifen; die Vorteile das über das Smartphone abzuwickeln stufe ich persönlich als eher gering ein, Überweisungen muss ich dank der Bankarbeitszeiten eigentlich nie unterwegs tätigen. O2 war zwar der bekannteste aber nicht der einzige Fall in dem sms-tan erfolgreich angegriffen wurde, bei diesen Attacken dringt wirklich wenig konkretes über die technischen Hintergründe nach außen.

Ist jetzt zwar ein wenig offtopic, aber AFAIK hatte zumindest die Postbank vor einiger Zeit ein massives Problem mit Papierüberweisungen die benutzt wurden um mittels Cryptowährungen reihenweise Konten leer zu räumen; in der Öffentlichkeit hat das nicht stattgefunden. Da wird wohl seit geraumer Zeit in erster Linie auf die Plausibilität der IBAN bzw. damals Kto./BLZ geschaut und eventuell noch auf ungewöhnlich hohe Summen.

5tyle
2017-07-26, 00:11:04
... Krüppelinterface ...
Es gibt so einige Banken die haben wirklich geradezu entsetzliche und verbuggte Interfaces wo es immer nur so oberflächliche Ausbesserungsarbeiten gab wo man schon sieht, dass da Profis am Werk waren, die sind zwar oft nicht mehr ganz so schlimm wie die vor 10 Jahren, aber man merkt deutlich, dass da nur noch oberflächerlicher bis gar kein technischer Support mehr stattfindet (was echt arm ist für eine Bank). Dann noch andere Faktoren, die Postbank war dermaßen oft down mit Wartungsarbeiten, oder die Seite saulangsam, das war nicht mehr normal und mit einer der Gründe wieso ich das nicht mehr benutze. Manche Optionen in den Einstellungen hatten wirklich übelste Bugs bei den Inputs, aber nicht nur da.
Als auf IBANs umgestellt wurde, hat es aus der Überweisungsvorlage immer die letzten zwei Zahlen abgeschnitten, es hat Monate gedauert bis dieser triviale Fehler behoben wurde. Mittlerweile habe ich es sogar schonmal erlebt, dass die Bank einen falschen Betrag verarbeitet hat, obwohl der gar nicht eingegeben wurde. Bei sowas hat man auch kein Vertrauen mehr in die Sicherheitsverfahren, das muss zwar nicht zwangsweise auch schlecht sein, aber da man es nicht sehen kann wäre es jetzt nicht so verwunderlich, wenn da so einige Supportleichen im Keller liegen.
Vielleicht ist aber meine Ansicht doch zu oberflächlich, dass ein gut funktionierendes, modernes Interface auch ein hohes Sicherheitslevel verspricht.

Was neben dem eingesetzten Verfahren wichtig ist glaube ich, ist z.B. ein Tages- oder Monatslimit für Aufträge zu setzen von soviel wie man nur unbedingt benötigt. Man kann das ja kurzfristig wieder erhöhen. So kommen dann selbst im Ernstfall nur 200 Euro weg. Da ist es gut, wen die Bank für Änderungen der Einstellungen z.B. ein seperates Sicherheitsverfahren anbietet. Bei manchen kann man den Wechsel von Auftragslimits auch ein paar Tage verzögern oder ganz einfrieren. Das sollte man meiner Meinung nach unbedingt machen, wenn man Sicherheitsbedenken hat, auch wenns nervt. Login- oder Auftragsbenachrichtigungen per Mail sind auch durchaus sinnvoll, wenn es verdächtige Aktivität gab kann man schnell das Konto sperren.

Kurgan
2017-07-26, 01:05:25
kann auch nix ankreuzen da:
chefin mit banksoftware (quicken bzw. jetzt lexware finanzmanager), fürs banking über webseite wäre hier sms-tan (wird aber nicht genutzt), über lexware ein tangenerator (consors). völliger quark das ding, nur im äußersten notfall im gebrauch, auf ihr konto laufen demzufolge praktisch alle lastschriften

bei mir ebenfalls finanzmanager, tan läuft über smartphone-app (afaik bei webbanking auch, wird aber nicht genutzt). das ganze bei der dkb. nach der gewöhnungsphase ganz ok, größter vorteil die deutlich größere anzeige gegenüber sms-tan.

für die chipkartenjünger: nur sicherer als andere verfahren, wenn eingabe der pin über externen stufe 3 kartenleser erfolgt.

RaumKraehe
2017-07-26, 10:51:48
Nach der Zwangsumstellung am Beginn des Jahres statt einer postalisch zugesandten TAN Liste, TAN per SMS.

Meinetwegen könnens mir die TAN auch übers Radio ansagen, solange die Zugangsdaten zum e-banking im Kopf sind und nicht in the cloud.

Genau das ist ja das schöne an der Chiptan. Mir ist es vollkommen Wurst ob jemand meinen Online Zugang hackt. Ja, ich kann praktisch meine Kontodaten hier veröffentlichen und mehr als zu kucken wie viel auf dem Konto drauf ist kann man nicht machen. Nichts.

Man kann ja nicht mal das Passwort ändern ohne das eine Chiptan angefordert wird und diese kann man nur mit deiner Karte generieren.
Chiptan gilt als so sicher das sich hier erste Banken geweigert haben gestohlene Beträge zu zahlen da die einzige Methode mit Chiptan Überweisungen zu manipulieren bei der Generation der Tan auffallen muß. Wer da nicht richtig schaut hat dann wirklich einfach Pech.

joe kongo
2017-07-26, 12:43:22
Chiptan gilt als so sicher und deswegen Weigerung der Banken?
vs
Weigerung der Banken und deswegen gilt Chiptan als so sicher?

Ob es nicht sicherer ist die unsichere TAN zu verwenden?

joe kongo
2017-07-26, 12:48:30
del

Hacki_P3D
2017-07-26, 12:59:40
Benutze Browser mit TAN....ganz früher als Liste auf Papier, und aktuell einen HW TAN Generator...
Habe auch keinen speziellen Rechner fürs Onlinebanking und benutze auch keine Live CD/USB Geschichte.. läuft und läuft und läuft... ;D

RaumKraehe
2017-07-26, 13:38:46
Chiptan gilt als so sicher und deswegen Weigerung der Banken?
vs
Weigerung der Banken und deswegen gilt Chiptan als so sicher?

Ob es nicht sicherer ist die unsichere TAN zu verwenden?

Es gab ein Fall in dem auch eine Überweisung per Chiptan manipuliert wurde. Dabei wurde dem Kunden eine Seite untergeschoben mit manipulierten Zahlungsdaten. Kunde wollte 500,- € überweisen die manipulierte Überweisung hatte aber einen Wert von 50.000,- €.

Diese Manipulation hätte aber spätestens bei der Generierung der TAN auffallen müssen, denn egal ob der Generator nun die Daten vom Monitor abließt oder ob man die Daten per Hand in den Generator eingibt, fragt dieser im Display explizit noch einmal nach der Höhe der Überweisung und zeigt auch die Kontonummer des Empfängers an. Dort stand dann auch das 50.000 € überwiesen werden und die Kontonummer war nicht korrekt.
Da der Kunde das schlicht überlesen hat und diese Überwiesung trozdem freigegeben hat steht die Bank für diesen Schaden nicht ein.

Andere Manipulationen beim Chiptan Verfahren sind mir nicht bekannt. Ausser das Problem mit Sammelüberweisungen. Das betrifft mich persönlich aber nicht.

Korfox
2017-07-26, 13:41:23
Ich versuche eigentlich das unsicherte von dem anzuwenden, das mir meine Bank anbietet. Weil es im Schadensfall leichter ist, das Geld von der Bank zurück zu bekommen. Wird ChipTAN gebrochen wird es für die ersten Opfer ein großes Rechts-Pohei geben, bis sie ihr Geld - wenn überhaupt - zurück bekommen.

Leider ist inzwischen bei meiner Bank ChipTAN verpflichtend...

bleipumpe
2017-07-26, 15:23:56
Eigenen Officelaptop mit HBCI.

lumines
2017-07-26, 16:44:43
Ich versuche eigentlich das unsicherte von dem anzuwenden, das mir meine Bank anbietet.

Leider bieten die wenigsten Banken gar keinen zweiten Faktor an. Dann würde das vielleicht klappen.

Mit SMS 2FA hast du eben das Problem, dass es von außen immer so aussieht, als ob du einen Fehler gemacht hast. Ich wünsche jedenfalls viel Spaß darauf zu warten, bis sich die Bank einmal mit einem kleinen, lokalen Provider in Afrika in Verbindung gesetzt hat. Nicht vergessen: Mit SS7 vertraut man allen Providern weltweit. Wenn man das nicht im Hinterkopf behält, kann man nicht nachvollziehen, warum man damit immer am kürzeren Hebel sitzt.

Niemand hier weiß, was mit den Leuten passiert ihr ist, bei denen das Konto durch Lücken in SS7 leergeräumt wurde. Kann gut ausgegangen sein, kann aber auch in die Hose gegangen sein.

Wird ChipTAN gebrochen wird es für die ersten Opfer ein großes Rechts-Pohei geben, bis sie ihr Geld - wenn überhaupt - zurück bekommen.

Kommt drauf an, was du mit gebrochen meinst. Wenn die kryptografischen Primitiven gebrochen wären, dann wäre das erst einmal das Ende mit unserem Bankensystem, wie wir es momentan kennen. Dann wäre die Art der TAN-Generierung noch unser geringstes Problem. Insofern würde das alle betreffen.

Rooter
2017-07-30, 18:24:11
HBCI+ mit Kartenleser und Chipkarte.

Alles andere halte ich für unsicher, bzw sind die Möglichkeiten der Manipulation deutlich höher.THIS!

Ich bin erschrocken wie viele hier mit TAN-Listen und anderen komischen Lösungen rummachen! Gut, wenn man auch unterwegs vom Handy Überweisungen vornehmen will/muss. Trifft bei mir aber nicht zu und da fange ich doch nicht an irgendwelche Zahlenlisten zu wälzen oder kleine Tamagotschies gegen meinen Monitor zu drücken! :ucrazy:
Karte in dem Leser stecken, 5-stellige PIN eintippen und los geht's. ;)

MfG
Rooter

Haarmann
2017-07-30, 18:55:44
Doppelte TAN Liste

Eine darf erfassen

Eine darf freigeben

Heelix01
2017-07-30, 19:06:42
SMS TAN ... weil bequem.
Andere Konto TAN Generator in einer App.

Asaraki
2017-07-30, 19:27:06
Ich mach online Banking zu 99% vom Netz einer Bank aus über den Firmenrechner. Hab nur mTAN und fühl mich völlig sicher :-)