mTan ist für mich von den "sicheren" Verfahren das unsicherste.

chipTan finde ich zu fummelig.

Ich bin mit meiner Lösung sicherlich gut unterwegs. Sprich Linux, Moneyplex, Kartenleser.

Zitat:

Zitat von stefanbecker

mTan ist für mich von den "sicheren" Verfahren das unsicherste.

Wenn du unbedingt ein SmartPhone mit Android 4.1 haben musst

Aber Stefan, was spricht denn dagegen, ein oldschool Handy mit eigener SIM nur für den Empfang von mTANs zu nutzen?

Wieviele Überweisungen tätigst du denn täglich, sowas wie moneyplex ist ja auch nicht gerade billig.

Zitat:

Zitat von purzelbär

Wie naiv bist du cosinus? glaubst du Leute die nicht einmal Chip TAN machen(wollen)legen sich dann ein Linux zu zum Onlinebanking machen? die sind froh wenn ihr Windows halbwegs funktioniert wie war nochmal das Stichwort? Bequemlichkeit

Hier!

Ich bin so einer.

Bankgeschäfte auf der Linux Kiste mit Moneyplex, Zwei Wege Authentizierung per SMS aufs Android Smartphone.


Wer jetzt denkt das wäre leichtsinnig: selbstverständlich läuft auf dem Smartphone keine Banking App- das wäre ja sinnbefreit .. und noch selbstverständlicher logge ich nicht vom Handy aus auf die Bank Website ein.

Das Moneyplex ist dazu noch in einem Veracrypt Container installiert.


Um das zu knacken muss also jemand die Linux Kiste infizieren, dann muss das Schadprogramm warten bis ich den Container öffne, dann muss es sich die Daten aus Moneyplex rausklauben (keine Ahnung wie die da drin versteckt sind).

Parallel dazu muss ein Trojaner des gleichen Betreibers irgendwie auf mein Smartphone kommen und die TAN SMS abgreifen oder verfälschen.


Da ist die Methode die in Deutschland an ein paar Stellen angewandt wurde einfacher: Betrüger haben den PC gehackt, die Mobilnummer des Besitzers rausgefischt, sich beim Mobilfunkprovider gemeldet, behauptet sie seien Re-Seller und ihr Kunde XY habe seine Sim Karte verloren / zerstört/ sie mögen doch bitte eine neue Karte an Adresse XY (ein "Pack Agent") schicken.


Daher ist von den Zwei-Wege Authentisierungen mTan tatsächlich das schwächste Verfahren, die Schwäche liegt aber in der Schlamperei der Mobilfunkbetreiber- nicht einmal notwendigerweise beim Kunden.


Sollte das in D nochmal vorkommen besorge ich mir doch ein Kartengerät.

Ihr seid alles weicheier ich hab noch ne XP-VM mit IE6, damti wird Banking gemacht mit TAN-Liste

ich geh einfach zur bank und erledige meine Geschäfte dort ......

Warum sollte jemand einen Banking Trojaner für Linux schreiben (Marktanteil auf den Desktops weltweit etwa 1,6%) wenn noch ca. 10% der Desktops mit XP laufen ?

Die 15% Apple Geräte, das ist was Anderes, da ist wenigstens Geld auf dem Konto

Genau so: warum sollte jemand einen Trojaner für Banking Software XY schreiben wenn Millionen von Kunden Chrome, IE oder Firefox fürs Banking verwenden ?

Dackel: Warum überhaupt noch Bankingtrojaner schreiben, wenn es SmartTAN+ gibt und die Leute alles nochmal genaustens nachschauen müssen?

Muss man da wirklich die IBAN über eine wacklige Gummitastatur in einen Smart TAN Generator nochmal eintippen und auf einem LCD Display verifizieren ?

Nein Danke, mit kryptographischen Verfahren lässt sich bestimmt ein bequemerer Weg der nicht für Man in the Middle anfällig ist erzeugen. SmartTAN + wäre mir zu aufwändig. Dann eher den Chipkartenleser sofern die Verschlüsselung wirklich im Chip der Bank stattfindet.

Esgeht ja per Flickercode...

Zitat:

Zitat von W_Dackel

Muss man da wirklich die IBAN über eine wacklige Gummitastatur in einen Smart TAN Generator nochmal eintippen und auf einem LCD Display verifizieren ?

Nein...muss man nicht. Jedenfalls nicht bei den Geräten der Sparkasse. Da reicht es die Taste "F" zu drücken. Das Gerät liest den Strichcode ein. Die IBAN und der Betrag werden der Reihe nach angezeigt und werden mit einem einfachen OK bestätigt. Danach wird einem die generierte TAN angezeigt. OK drücken und das war's. So einfach ist das. Da muss nix eingetippt werden und eine wackelige Gummitastatur ist das Gerät auch nicht. Möchte bloß wissen welche unwissenden immer wieder solch einen Blödsinn verbreiten. Nur weil deren Bank eventuell solch ein Gerät ausgibt. Irgendwo gelesen? Irgendwo gehört? Irgendwo aufgeschnappt? Und Copy/Paste? Wieso fällt mir dazu jetzt Dieter Nuhr ein. Wie sagte er doch so treffend: Wenn man keine Ahnung hat einfach mal.............

Zitat:

Zitat von W_Dackel

Muss man da wirklich die IBAN über eine wacklige Gummitastatur in einen Smart TAN Generator nochmal eintippen und auf einem LCD Display verifizieren ?

Nein Danke, mit kryptographischen Verfahren lässt sich bestimmt ein bequemerer Weg der nicht für Man in the Middle anfällig ist erzeugen. SmartTAN + wäre mir zu aufwändig. Dann eher den Chipkartenleser sofern die Verschlüsselung wirklich im Chip der Bank stattfindet.

So ist das natürlich Quatsch. Bei SMartTAN+ kannst du entweder über den optischen Leser des TAN-Generators den Flickercode vom Bildschirm scannen ODER (wenn das nicht klappt, du das nicht willst oder warum auch immer) stattdessen einen Code eingeben. Deine EC-Karte muss natürlich im TAN-Generator sein. Und wenn es richtig lief wird dir als Bestätigung nochmal alles angezeigt wohin deine Überweisung gehen soll.

Ah- so macht das Verfahren Sinn. Erfahrungsgemäß werden Sicherheitsverfahren nur verwendet wenn sie nicht allzu viel Aufwand bedeuten.

Von Moneyplex gibt es übrigens auch eine freie Version die die Funktionen die man als Privatperson für ein Girokonto benötigt beherrscht.

Mir ging es darum mit einem Mausklick alle Informationen von Girokonto, Tagegeldkonto und Kreditkartenkonto (bei unterschiedlichen Banken) abzufragen und an einem Ort zu sehen. Dann gibt es bestimmte Konto-Buch Funktionen (bei Überweisungen oder Kreditkartenabbuchungen schreibe ich immer dazu wofür ich das Geld ausgab und weise die Ausgaben Kategorien zu).

Last not least bietet die Bank bei der ich mein Girokonto habe die Umsätze auf dem Webinterface nur für die letzten drei Monate an- im Banking Programm habe ich alle Umsätze seitdem ich das Programm verwende. Natürlich auch mit Suchfunktion, ist oft sehr nützlich wenn man z.B. wissen will wie viel man in den letzten Jahren fürs Handy ausgegeben hat.

Auch ein Bankenwechsel macht mit so einem Programm weniger Mühe- half mir schon als sich meine Bank bei einer defekten EC Karte querstellen wollte. Demnächst wird das je nach Gebührenstruktur wieder interessant.


Es gibt auch Open Source Anwendungen, z.B. Hibiscus.

Ich glaub wenn du das Video der Volkbank mal siehst wirds noch deutlicher. Wird auch Smart TAN optic genannt:

Ich habe so einen TAN-Generator und der ist stabil und funktioniert auch aber beim Einscannen des Codes schläft mir fast der Arm ein, so lange dauert das manchmal. Bin wieder zurück zu dem alten ITAN-Verfahren, dass sooo unsicher sein soll. Ehrlich gesagt glaube ich das nicht wirklich. Die Codetabelle ist nicht knackbar und bei Codeeingabe erscheint ein Nummernfeld, dass an zufälligen Stellen des Screens auftaucht. Wenn man nicht völlig unachtsam ist, dann ist das immer noch ziemlich sicher, es sei denn, man hat einen Banktrojaner, der alles mitliest. Aber auch bei Smart-TAN gibt es Trojaner, die den Screen mit dem Flickercode simulieren. Spätestens bei Eingabe der TAN über den Leser kann man den Betrug bemerken aber 100% sicher ist das auch nicht und eben ziemlich anstrengend.

Das Problem ist, dass es viel zu viele unachtsame Kunden gibt und die Banken darauf reagieren und zwar mit einer Verschärfung des Systems und Verschiebung der Verantwortung zum Kunden obwohl das Problem eher bei den Banken liegt die nicht genug in die Sicherheit der Systeme investieren, z.B. Geldautomaten. Es gibt noch viele Automaten, die mit XP laufen.

Sagma wie oft muss ich das eigentlich noch schreiben, wem auch immer das mit dem Flickercode zu blöde zu umständlich oder wasauchimmer ist, der kann stattdessen einen Zahlencode (der wie der Flickercode auch auf dem Bildschirm zu sehen ist) in das Gerät eintippern und muss DANN NICHT den Flickercode einscannen. Aber eigentlich sollte der Flickercode die Abtipperei ersparen und nicht andersrum, der Code soll das "umständliche" Scannen ersparen