Hallo,

ein Bekannter von mir, möchte gern wissen, wie sicher diese Verschlüsselung für online-banking ist.

Hat jemand von euch Erfahrung damit und kann einschätzen, ob das ausreicht oder was es noch für Möglichkeiten gibt?

Ich hoffe, das das Thema im richtigen Forenbereich steht, falls nicht bitte verschieben.

Gruß Max

128bit ist für onlinebanking sicher.

clientseitig (sprich du/dein bekannter am heimpc) hat man sowieso _keinen_ einfluss auf die verschlüsselung, denn die wird serverseitig vorgegeben (wenn der server z.b. meint, das er nur für 56bit zertifiziert ist, dann kannst du nicht mehr als mit 56bit verschlüsseln, auch wenn der ie max. 128bit[1] kann)

wichtiger ist: welcher client kann alles 128 bit: alle aktuellen browser -> ergo: wenn ein älteres os vorhanden ist (win95/win98/nt4), dann gilt mal: browser updaten![2][3]

auch erklären die banken[4] einiges dazu...

wie das mit synchroner und asynchroner verschlüsselung genau aussieht: keine ahnung (bin kein mathematiker *g*)

kannst ja bei interesse google bemühen...

fakt ist: 128bit sind (nach heutigem stand) sicher, nur müssen diese von beiden seiten unterstützt werden!

[img]graemlins/teufel3.gif[/img]

[1] ob es für windows/ie mehr gibt, kann ich gar nicht sagen, nur aus der theorie: eine höhere verschlüsselung als 128bit würde gegen das us-waffenexportgesetz fallen. wennn jetzt jemand sagt: moment - pgp/gpg hat doch höhere bitraten (1024/2048/...), dem sei gesagt: das sind nicht die gleichen verfahren (es gibt synchrone und asynchrone verschlüsselungen)
[2] die mit win95/98/nt4 ausgelieferten browser konnten eine verschlüsselungsstärke bis max. 40bit. im feb. 2000 wurde das exportgesetz (eben für onlinebanking) gelockert, sodass die 128bit-verschlüsselung verfügbar war...
[3] http://www.rewirpower.de/home/contact/help/browser.html
[4] :
http://www.bekb.ch/index/angebot/ang...ank_sicherheit
http://www.sgkb.ch/onba/help_b.html#sec

Hi n_dot_force,

danke erst mal.

Gruß Max [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von n_dot_force:
128bit ist für onlinebanking sicher.</font>[/QUOTE]Na abgesehen davon, daß durch eine Man-In-The-Middle-Attacke[1] der ganze Datenverkehr abgehört werden kann...
Und durch Proxyserver lassen sich ganz elegant die Zertifikate austauschen oder entfernen...

ciao,
docprantl

[1] Mitsniffen und Manipulieren des Keyexchange

</font><blockquote>Zitat:</font><hr />Original erstellt von Dr Prantl:
Und durch Proxyserver lassen sich ganz elegant die Zertifikate austauschen oder entfernen...
</font>[/QUOTE]Das klingt aber jetzt ganz anders? Mein Bekannter möchte gern wissen, ob er seine Bankgeschäfte wie bisher oder eben mit online-banking abwickeln kann.

Gruß Max

Freilich kann er das. Er sollte aber bei jeder neuen Sitzung kontrollieren, ob das SSL-Zertifikat auch zur Site gehört oder ob es ungültig ist.

Es gibt aber noch ganz andere Risiken: bei meiner Bank beispielsweise bleibt die Sitzung solange offen, bis ich mich auslogge. Das heißt, selbst wenn ich meine Verbindung kappe und mich unter einer neuen IP (und auch einem neuen Browserfenster) neu einwähle, kann ich auf die selbe Sitzung noch zugreifen. [img]redface.gif[/img]

Hi Dr Prantl,

wie macht er das jetzt? Im normalen Bankgeschäft, läßt er die Überweisungen schreiben, dann ab zur Bank.

So wie du jetzt schreibst, ist dann online bei jeder Überweisung das Zertifikat zu checken?

Wie denn jetzt, jede Überweisung ein anderes Zertifikat? Oder nur eines das zur Kontonummer paßt? und dass man vor jeder Überweisung prüfen sollte?

Gruß Max

Nein, er soll nicht bei jeder Überweisung das Zertifikat prüfen, sondern nur, bevor er sich auf der Bankingseite einloggt. Wenn er die Bankingseite betritt, erscheint unten in der Statuszeile des Browsers ein Schloßsymbol. Das heißt, die Seite wurde per Zertifikat verschlüsselt. Ein Doppelklick auf das Symbol bringt ein paar Details zum Vorschein. Hier sollte sich erkennen lassen, daß das Zertifikat zum Bankserver gehört und daß der Fingerprint stimmt. Diesen kann er vorher bei seiner Bank erfragen.

Aber keine Regel ohne Ausnahme. Bei manchen Onlinekonten erfolgt die Verschlüsselung nicht per SSL, sondern wird durch ein Java-Applet vorgenommen. In diesem Fall läuft das Banking komplett in diesem Applet ab und du hast möglicherweise kein Schloßsymbol unten im Browser.

ciao,
docprantl

Hi docprantl,

Danke für die Erklärung. [img]smile.gif[/img] Dann ist aber diese 128 Bit-Verschlüsselung bedenkenlos zu handhaben, für online-banking (wie n_dot_force schon zu Beginn sagte!). Mit den geschriebenen Vorgehensweisen! Er geht ja davon aus, dass die von der Bank vorgegebenen Schlüssel, sicher sind.

Gruß Max

Hallo,

noch eine Frage dazu. Was oder wie wird verfahren, falls wirklich irgendjemand an die Bankdaten herankommt und finanziellen Schaden verursacht? Voraussgesetzt alle Sicherheitsbestimmungen wurden eingehalten. Ist er dann versichert über die Bank oder trägt er den eventuellen Schaden selbst?

Gruß Max

du mögest das zuständige geldinstitut befragen

[img]graemlins/teufel3.gif[/img]