Bargeld soll verschwinden

Registrierte und angemeldete Benutzer sehen den BMW-Treff ohne Werbung
Hier registrieren oder anmelden!
Auch aufgrund massiver Botzugriffe limitieren wir eventuell die Anzahl der eingeblendeten Beiträge für Gäste.
    • Neu
    Zitat von EAMA

    Ein einfacher Chipkartenleser, in den man die Girocard reinsteckt und sich für die jeweiligen Überweisungsdaten eine TAN generieren läßt, ist ein offline-Gerät, das nicht mit dem Internet in Kontakt kommt.

    Ganz im Gegensatz zu einem Smartphone.

    So viel zu einem ganz wesentlichen Unterschied hinsichtlich der Angreifbarkeit von außen.

    Und für die Überweisung muss der Rechner dann nicht online sein? Die Bank muss ja irgendwie die TAN abgleichen können. Was ist wenn die Karte wegkommt? Die meisten Menschen dürften ihre Girocard im Geldbeutel rumtragen. :idee:

    Zitat von Westfale

    Die CB zumindest ist offensichtlich der Meinung, dass es sicherer ist, sonst würde sie bei HBCI mit Chipkarte nicht signifikant höhere Limite erlauben.

    Der Grund dürfte sein, dass der private Schlüssel die Karte nicht verlässt.

    Während immer mehr Banken diese Form abschaffen? :idee: Was ist bei einem Verlust des Schlüssels?

    Ich weiß nicht mehr, mit welchem TAN-Verfahren ich damals unser Haus gebaut habe. Es war jedenfalls kein Problem. Und einen Kartenleser habe ich dafür nie gebraucht. :sz:

    Wenn Du das nächste Mal lachst, weil Deine Eltern Dich fragen wie sie einen Screenshot machen können, dann denke daran, dass sie Dir gezeigt haben wie man einen Löffel und das Klo benutzt... :zf:

    • Neu
    Zitat von basti313

    Auf nem modernen Smartphone kann man sowohl Fingerabdruck als auch FaceID kaum fälschen

    Ich glaube auch, dass die Gefahr hier gering ist, deshalb würde diesen Ansatz wohl auch kaum jemand wählen.

    Wobei ich bei Gesichtserkennung immer wieder erstaunt bin, wie weit sich Frauen schminken können, und das Ding sie trotzdem wiedererkennt. Ich hatte da bei manchen Mädels schon Schwierigkeiten :duw:

    An alle Mitmenschen, die es mit mir aushalten, ohne mich gleich im Wald aussetzen zu wollen: Danke :hi:

    • Neu
    Zitat von Stefan

    Und für die Überweisung muss der Rechner dann nicht online sein? Die Bank muss ja irgendwie die TAN abgleichen können.

    Verstehe ich nicht...?

    Zitat von Stefan

    Was ist wenn die Karte wegkommt? Die meisten Menschen dürften ihre Girocard im Geldbeutel rumtragen. :idee:

    Dann fehlt doch der 2. Faktor: Das Gerät, auf welchem der Login geschützt ist, bzw. das Gerät, welches als solches überhaupt autorisiert ist.

    Stefan Mir ist da noch ein Vergleich eingefallen, leider politisch, daher keine Diskussion um momentane Verhältnisse. Gewaltenteilung ist das Stichwort, dürfte in deinem Job ja sehr bekannt sein. Wenn wir das BVG als 2. Faktor abschaffen, und die Hoheit für alles ins Parlament legen, weil dort sind ja genug Leute, die das kontrollieren, was kann das für Folgen haben? Warum ist diese Gewaltenteilung sinnvoll?

    Warum haben für gewisse Zugänge mindestens 2 Personen einen Schlüssel? Oder mehrere Personen Zugangscodes, welche nur zusammen zum Öffnen oder zur Inbetriebnahme führen? Müsste ja einen logischen Grund haben.

    An alle Mitmenschen, die es mit mir aushalten, ohne mich gleich im Wald aussetzen zu wollen: Danke :hi:

    • Neu
    Zitat von Stefan

    Und für die Überweisung muss der Rechner dann nicht online sein? Die Bank muss ja irgendwie die TAN abgleichen können. Was ist wenn die Karte wegkommt? Die meisten Menschen dürften ihre Girocard im Geldbeutel rumtragen. :idee:

    Ein losgelöster Kartenleser hat mit dem PC nix zu tun. Nur der ist Online.

    - Entweder steckst Du Deine Karte rein, tippst die Tan die die Bank anzeigt ein und bekommst eine andere angezeigt die Du am PC eintippst
    - Oder bei QR Tan steckst Du die Karte in den Leser, fixierst mit dessen Kamera den angezeigten QR Code und bekommst dann die TAN angezeigt die Du am PC eintippst.
    - So ähnlich ist es mit dem Flickr Code den ich persönlich aber noch nie genutzt habe

    Wenn man mit nem Programm arbeitet ist der Kartenleser am PC angeschlossen, bekommt seine Daten von dem Programm übermittelt (man spart das eingeben der TAN) und gibt dann im Programm durch mehrfaches bestätigen (Betrag, Kontonummer etc) am Leser die Überweisung frei. Natürlich mit gesteckter Girocard

    Auch ich gehe mit der Zeit und fahre E-Autos: E30, E31 und E46! :daumen:

    Das BMW Cabrio ist eines jener sachlichen Transportmittel, das grundsätzlich offen, vollgetankt und mit dem Schlüssel im Zündschloß in der Garage stehen muß - für alle dringenden Fälle.

    • Neu
    Zitat von Martin

    Wobei ich bei Gesichtserkennung immer wieder erstaunt bin, wie weit sich Frauen schminken können, und das Ding sie trotzdem wiedererkennt. Ich hatte da bei manchen Mädels schon Schwierigkeiten :duw:

    Funktioniert das auf dem Smartphone besser als auf dem PC?

    Wir wurden in der Firma genötigt "Windows Hello" einzusetzen. Das Ding erkennt mich zuverlässig nicht, aber ich erkenne mich morgens selbst nicht im Spiegel. Vielleicht sollte ich es mit Schminken versuchen...:kasper:

    • Neu

    Mein iPhone erkennt mich nicht ohne Brille. Scheint für die Gesichterkennung nötig zu sein.... :crazy:

    "Was ist das entwertendste was Sie dem Recht, welches wir respektieren sollen, antun können? - Erlassen und vollstrecken Sie ein Gesetz das des Schutzes unwürdig ist." Akane Tsunemori

    • Neu
    Zitat von Bob65

    Wir wurden in der Firma genötigt "Windows Hello" einzusetzen. Das Ding erkennt mich zuverlässig nicht, aber ich erkenne mich morgens selbst nicht im Spiegel.

    Kenne ich, wobei ich da den Fingerprint aus o.g. Gründen bevorzuge.

    Ansonsten versuche es mal, die Reihenfolge zu ändern:

    Erst die benötigte Morgendosis von 2-3 Tassen Kaffee und warten bis 30min nach dem Aufstehen vergangen sind. Dann klappt es zumindest bei mir

    Auch ich gehe mit der Zeit und fahre E-Autos: E30, E31 und E46! :daumen:

    Das BMW Cabrio ist eines jener sachlichen Transportmittel, das grundsätzlich offen, vollgetankt und mit dem Schlüssel im Zündschloß in der Garage stehen muß - für alle dringenden Fälle.

    • Neu
    Zitat von Stefan

    Während immer mehr Banken diese Form abschaffen? :idee: Was ist bei einem Verlust des Schlüssels?

    Kosten sind offensichtlich wichtiger als Sicherheit. Meines Wissens gibt es keinen einzigen dokumentierten erfolgreichen Angriff auf HBCI.

    Schlüssel weg verstehe ich nicht, der verlässt ja die Karte nicht, die wiederum sperrt sich nach wenigen Fehleingaben der PIN

    • Neu

    Korrekt!

    Deshalb war ich auch so sauer dass die SSKM das abgeschafft hat.

    Und die größte Frechheit war, dass sie ein Jahr vorher noch eine Jahresgebühr für die HBCI Karte eingeführt haben, die kein Ablaufdatum hat und die ich seit >10 Jahren hatte.

    Auch ich gehe mit der Zeit und fahre E-Autos: E30, E31 und E46! :daumen:

    Das BMW Cabrio ist eines jener sachlichen Transportmittel, das grundsätzlich offen, vollgetankt und mit dem Schlüssel im Zündschloß in der Garage stehen muß - für alle dringenden Fälle.

    • Neu
    Zitat von Martin

    Ich glaube auch, dass die Gefahr hier gering ist, deshalb würde diesen Ansatz wohl auch kaum jemand wählen.

    Ich hab mir das jetzt mal so überlegt. Mein Smartphone braucht zum "Freischalten" entweder meinen Daumen oder eine von mir vergebene 8-stellige PIN damit man überhaupt auf die Oberfläche kommt. Dann benötigt die Banking-App die Login-Daten wie beim normalen Online-Banking auch, also Kennung und PIN. Das kann man sich einfacher gestalten, indem man das auf Biometrie umstellt. Bei einem genehmigungspflichten Auftrag verweist die Banking-App auf die TAN-App mit eigenen, nicht identischen Login-Daten. Diese App muss für dieses Telefon freigeschalten worden sein. Auch hier kann man auf Wunsch die Login-Daten biometrisch ersetzen. Dann bin ich also in der TAN-App, mir werden die anstehenden Aufträge angezeigt. Um einen Auftrag freizugeben braucht es dann nochmal eine PIN bzw. Biometrie.

    Klar, jemand könnte das Telefon per Trojaner o.ä. übernehmen. Muss man aber auch erstmal schaffen. Und dann muss er obiges Prozedere durchlaufen um festzustellen, dass auf meinem Arme-Leute-Konto ein Überweisungslimit vorhanden ist. Ehrlich? Da gibt es einfachere und schnellere Methoden um an anderer Leute Geld zu kommen. Und angesichts von ca. 8 Milliarden Überweisungen in Deutschland pro Jahr ist die Wahrscheinlichkeit dass ich einem nigerianischen Prinzen aus Blödheit selbst überweise deutlich höher, als dass es jemand anders versucht.

    Zitat von Bob65

    Wir wurden in der Firma genötigt "Windows Hello" einzusetzen. Das Ding erkennt mich zuverlässig nicht, aber ich erkenne mich morgens selbst nicht im Spiegel. Vielleicht sollte ich es mit Schminken versuchen...:kasper:

    Oder mit weniger Schminken... :idee: :duw: :hehe:

    Zitat von Westfale

    Kosten sind offensichtlich wichtiger als Sicherheit. Meines Wissens gibt es keinen einzigen dokumentierten erfolgreichen Angriff auf HBCI.

    Schlüssel weg verstehe ich nicht, der verlässt ja die Karte nicht, die wiederum sperrt sich nach wenigen Fehleingaben der PIN

    Es gibt durchaus einige Fälle, in den Anfangsjahren sogar im ÖRR vorgeführt. Auch konnten Karten kopiert werden. Bis heute.

    Gibt es denn einen Fall bei FinTS bzw. PSD2 der nicht auf Phishing oder Dummheit des Anwenders zurückzuführen ist? HBCI ist heute ja weiterhin im Hintergrund das was letztlich dahinter steckt.

    HBCI ist aber natürlich weder zu verteufeln und hat weiterhin seine Anwender, ist aber auch sicher nicht das Allheilmittel in Sachen Sicherheit. Fehler 60 ist weiterhin das Hauptproblem. Bei allen Verfahren.

    Wenn Du das nächste Mal lachst, weil Deine Eltern Dich fragen wie sie einen Screenshot machen können, dann denke daran, dass sie Dir gezeigt haben wie man einen Löffel und das Klo benutzt... :zf:

    • Neu
    Zitat von Stefan

    Klar, jemand könnte das Telefon per Trojaner o.ä. übernehmen.

    Genau das ist der Punkt. Eine Hardware, eine Software. Single Point of Failure.

    Man mag es ja kaum glauben, aber in Bereichen mit höheren Sicherheitsanforderungen werden Computerberechnungen von zwei unabhängigen Hardwaresystemen berechnet, und danach arbitriert. Ist das Ergebnis gleich, wird es freigegeben. Ist es ungleich, wird neu berechnet. Ist es wieder ungleich, erfolgen Eskalationsmechanismen.

    Prinzipiell nix anderes als Chip-TAN.

    Zitat von Stefan

    Muss man aber auch erstmal schaffen.

    Ist das so unwahrscheinlich? Wenn ich mir die letzten Jahre über die Meldungen von nicht mehr funktionierenden kommunalen Verwaltungen ansehe, weil irgendjemand etwas eingeschleppt hat, sehe ich das Problem als real existierend an. Erst recht auf einfachen Smartphones, wenn ich dann so höre, wie sorglos und unbekümmert irgendwelche Apps installiert werden, die einem täglich sagen, welches Tier man am jeweiligen Datum im Verhältnis zur Mondphase ist :crazy:

    An alle Mitmenschen, die es mit mir aushalten, ohne mich gleich im Wald aussetzen zu wollen: Danke :hi:

    • Neu
    Zitat von Martin

    Genau das ist der Punkt. Eine Hardware, eine Software. Single Point of Failure.

    Kannste aber auch, und IMHO wahrscheinlicher, auf einem "richtigen" Rechner haben.

    Zitat von Martin

    Ist das so unwahrscheinlich? Wenn ich mir die letzten Jahre über die Meldungen von nicht mehr funktionierenden kommunalen Verwaltungen ansehe, weil irgendjemand etwas eingeschleppt hat, sehe ich das Problem als real existierend an. Erst recht auf einfachen Smartphones, wenn ich dann so höre, wie sorglos und unbekümmert irgendwelche Apps installiert werden, die einem täglich sagen, welches Tier man am jeweiligen Datum im Verhältnis zur Mondphase ist :crazy:

    rechnung.exe? :zf:

    Gestern, Kollege kommt... Onlineschulung mit zig Teilnehmern. Die Schulungskraft hat einen Link geteilt und das geht nicht. Ja klar.. war ein Link der am Ende auf einer .exe gelandet ist... Ja mei, .exe ist halt nicht ganz unberechtigt gesperrt im System. Bisschen schade weil ich da nen guten Stundenrechner hatte, aber hilft ja nixn...

    Und letztlich sind wir am Ende bei Fehler 60, PEBKAC, PICNIC, UTS, BDU und FSVG angelangt... Das beste System bringt halt nichts wenn im Layer 8 was nicht passt...

    Wenn Du das nächste Mal lachst, weil Deine Eltern Dich fragen wie sie einen Screenshot machen können, dann denke daran, dass sie Dir gezeigt haben wie man einen Löffel und das Klo benutzt... :zf:

    • Neu
    Zitat von Stefan

    Kannste aber auch, und IMHO wahrscheinlicher, auf einem "richtigen" Rechner haben.

    Eben nicht. Hast du den 2. Teil des Absatzes gelesen?

    Den Chipkartenleser zu kompromittieren ist schlicht unmöglich, würde ich sagen.

    An alle Mitmenschen, die es mit mir aushalten, ohne mich gleich im Wald aussetzen zu wollen: Danke :hi:

    • Neu
    Zitat von Stefan

    Kannste aber auch, und IMHO wahrscheinlicher, auf einem "richtigen" Rechner haben.

    Sach ma, hast Du meine Antwort weiter oben überhaupt gelesen? :heul:

    Auch ich gehe mit der Zeit und fahre E-Autos: E30, E31 und E46! :daumen:

    Das BMW Cabrio ist eines jener sachlichen Transportmittel, das grundsätzlich offen, vollgetankt und mit dem Schlüssel im Zündschloß in der Garage stehen muß - für alle dringenden Fälle.

    • Neu
    Zitat von Westfale

    Kosten sind offensichtlich wichtiger als Sicherheit.

    Es könnte durchaus sein, dass die entstehenden Schäden (Reputation nicht eingerechnet) geringer sind als die Kosten der erhöhten Sicherheit. Für die Bank wäre es dann win/win.

    Betroffener Kunde möchte ich nicht sein.

    An alle Mitmenschen, die es mit mir aushalten, ohne mich gleich im Wald aussetzen zu wollen: Danke :hi:

    • Neu
    Zitat von Martin

    Eben nicht. Hast du den 2. Teil des Absatzes gelesen?

    Den Chipkartenleser zu kompromittieren ist schlicht unmöglich, würde ich sagen.

    Genauso wenig wie Du meinen. ;) Du hast nicht eine App. Du hast - im Falle der SPK - für das reine Banking mindestens 3, dazu ggf. das mobile Zahlen. Alle mit unterschiedlichen Zugängen. Klar, auf einem Gerät. Aber auch das muss man ja nicht haben. Man kann sein Banking weiterhin auch oder ausschliesslich am Rechner machen und lediglich die Verifizierung per pushTAN vornehmen.

    Letztlich muss wohl jeder selber wissen was er möchte. Absolute Sicherheit (die es nicht geben kann) per Gold-Standard HBCI oder sehr hohe Sicherheit PS2D im Verbund mit Flexibilität. Da draussen lauern jedenfalls ganz andere Gefahren für das eigene Geld. Sogar den Klassiker Einwurf-Überweisungshein gibt es immer noch regelmässig. :kpatsch: Und eines eint beide Varianten: Sie sind ein vielfaches sicherer als Bargeld. :p

    Wenn Du das nächste Mal lachst, weil Deine Eltern Dich fragen wie sie einen Screenshot machen können, dann denke daran, dass sie Dir gezeigt haben wie man einen Löffel und das Klo benutzt... :zf:

    • Neu
    Zitat von Detlev

    Du hast für Dein iPhone ne Brille? :respekt:

    das musste ich jetzt direkt mal testen, ob die Gesichtserkennung mit und/oder ohne Brille funktioniert. Geht sowohl als auch

    Gruß
    Arno

    • Neu
    Zitat von Detlev

    Du hast für Dein iPhone ne Brille? :respekt:

    Mit einem Dutzendgesicht kann so eine Brille nötig sein. Wegen der Sicherheit und so....

    "Was ist das entwertendste was Sie dem Recht, welches wir respektieren sollen, antun können? - Erlassen und vollstrecken Sie ein Gesetz das des Schutzes unwürdig ist." Akane Tsunemori