Hallo,

unsere Raiffeisenbank bietet Homebanking mit 128 Bit SSL Verschlüsselung per Webinterface an. Findet ihr, dass 128 Bit sicher genug ist? Bei 256 würde ich mich schon viel sicherer fühlen :)

Das Sicherungsverfahren bei Raiffeisenbanken kenne ich nicht.

Bei Sparkassen gibt es ja die PIN (personal identification number)
und die TAN (transaction number) - das zweite ist ein zufälliger
Einmalschlüssel und somit ganz wertlos.

Anders sieht es bei Kreditkartenzahlungen aus, auch wenn die
Kartennummer erst nach 6 Monaten gecrackt wird, können 'diejenigen'
noch etwas damit anfangen. Hier liegt der Schutz jedoch darin,
dass derartige korrupte Abbuchungen widerrufen werden können,
da als unwiderrufbare Zahlungen nur bei körperlicher Unterschrift
unter einem Zahlungsbeleg gelten.

also TAN und PIN gibt es bei uns auch (habe ich auf der Seite von ihnen gelesen). Aber da alles was der Benutzer eingibt per SSL verschlüsselt wird ist das ganze System ja nur so sicher wie diese Verschlüsselung.

Wenn man die Verbindung aufzeichnet und entschlüsseln kann, kommt man ja auf alle Daten die der Benutzer eingibt und diese müssen ausreichen um die Identität dieses Benutzers zu faken.

Das wäre doch mal ein super Platz um ein One Time Pad zu benutzen, bei jeder Sitzung einfach immer 1 KByte (ok 2 Bytes reichen wohl auch sind ja immerhin 2^(2*8) Möglichkeiten )von einer Diskette oder CD mitübertragen. Dies kann dann zum u.A. zum Authentifizieren benutzt werden. Speichern müsste man dies dann halt auch auf einem Zentralcomputer bei denen, das sollte aber kein Problem bei so kleinen Datenmengen sein, die nach der Sitzung eh wertlos sind.

"Sicher" ist auf jedenfall dass wenn es jemand auf dich abgesehen hat, eine Verschlüsselung nicht mehr viel bringt ;)

Original geschrieben von geronet
"Sicher" ist auf jedenfall dass wenn es jemand auf dich abgesehen hat, eine Verschlüsselung nicht mehr viel bringt ;)


grad geht mir ein anderer Gedanke durch den Kopf: Das Hacken eines 128Bit schlüssels benötigt eine Menge CPU-Zeit diese Zeit kostet meistens (eigentlich fast immer) mehr als der Gewinn groß ist, den man davon hat.
Insofern sollte 128 Bit eigentlich bei der heutigen Rechenleistung ausreichen.

Insofern sollte 128 Bit eigentlich bei der heutigen Rechenleistung ausreichen.


Ja.
Ich glaube es ist einfacher über andere Methoden an Passwörter zu kommen.
Zb. über einen Mitschnitt der Tastenanschläge oder ähnliches.

fG
Steve

.. die TAN (transaction number) - das zweite ist ein zufälliger
Einmalschlüssel und somit ganz wertlos..
Die TANs werden absolut zufällig von Rechnern ermittelt und
(maschinell - ohne dass ein Mensch zusehen kann - Druck ohne
Farbband, dh. Thermodruck auf den Innenumschlag) den Kunden
im verschlossenen Umschlag zugesandt. Nach der Einmal-
verwendung der TAN sind sie wirklich absolut wertlos!!

Nach Bruce Schneier ist ein zufälliger Einmalschlüssel übrigens
das einzige Verfahren, dass hundert Prozent sicher ist.

hi,

die 128 bit Verschlüsselung ist mit Sicherheit nicht das Problem,
einen 128 bit Schlüssel knackt man nicht mal so nebenbei ...

Die Gefahren liegen eher darin, das entweder jemand schon auf deinem
Rechner 'sitzt' und fleissig alles mitschneidet oder das jemand sich
als man in the middle dazwischenklemmt.
Besonders beliebt ist hierbei, sich auf den Bankrechner einzunisten und
dort nur auf die Anmeldung der Kunden zu warten.

PIN und TAN ...
die PIN ist weitaus gefährlicher, das sie dir ja den Zutritt zum Konto
komplett frei macht .. hat jemand deine PIN, braucht er noch eine TAN, um auch
eine Buchung auszuführen. TANs werden meist der man in the middle abgefangen.
Die ursprüngliche Buchung wird nicht ausgeführt, der Eindringling nutzt den
TAN dann für seine Buchung.

Einige Banken bieten heute schon den kostenlosen Zusatz einer Smartcard
plus Lesegerät ..

Frage doch einfach mal bei deiner Bank nach ...

grüsse,

Die PIN ist weitaus gefährlicher, das sie dir ja den Zutritt zum Konto
komplett frei macht. hat jemand deine PIN..
.. kann er nur Abfragen durchführen.


Braucht er noch eine TAN, um auch eine Buchung auszuführen.
TANs werden meist der man in the middle abgefangen.
In Deutschland konnte aber noch niemand in die Vorschaltrechner von
Kreditinstituten eindringen.

Für die USA sieht es da anders aus, allerdings liegt dort das Hauptinteresse am
Erlangen aktiver Kreditkartennummern, da die dort das Zahlungsmittel Nr.1 sind.

Was es in Deutschland gelegentlich gab, waren faked Webseiten von Banken
(Vertipper, nach meiner Erinnerung sogar Dresdner Bank). Dagegen kann man sich
schützen, indem man per ping die IP-Nr ermittelt und diese in die Bookmarks einträgt.

Auch Win-keylogger mit Sendefunktion der getippten Tasten hat es schon
gegeben, aber nie "wirklich durchschlagende Erfolge." Smartcard plus Lesegerät
ist allerdings schon eine gute Sicherheitsverbesserung.

Ein wirkliches Risiko sind Betrügereien rund um EC-/Geldkarten mit zZ. über
60.000 Schadensfällen - siehe http://www.bka.de/text/pks.html bzw. direkt
http://www.bka.de/pks/pks2002/index2.html
-links Position 3.21 Computerkriminalität-

Bei diesen Schadensfällen sind Familienangehörige allerdings
überproportional beteiligt. :(

Hi,

im Grunde gibt es die zwei angesprochenen Verfahren: HBCI und das PIN/TAN-Verfahren.


HBCI ist teuer, weshlab mein Bankinstitut wieder vom HBCI weg ist. Die Hauptschwäche des HBCI ist, dass Kundendaten in der HBCI-Software (verschlüsselt) gespeichert werden. Ein potentielles Risiko also, wenn jemand Zugriff auf die Daten hat. Bei HBCI hat der Angreifer zumindest theoretisch die Möglichkeit, sich die nötigen verschlüsselten Dateien zu besorgen (wenn er denn dein System übernehmen konnte) und muss nur noch warten, bis Du dich das nächste mal einloggst. Das Passwort wird er dann über z. B. Keylogger abgreifen.

PIN/TAN ist zwar etwas angestaubt, aber AFAIK noch immer das sicherste Verfahren das derzeit existiert. Im Grunde funktioniert es so:

(1) Mit Browser über eine 128-Bit-SSL einloggen (mit PIN).
(2) Transaktionen mittels TAN bestätigen.

Wenn diese Verbindung nun jemand in Echtzeit abhört (sehr unwahrscheinlich :rolleyes: ), kann er sich nur mit der Kennung und dem Passwort nur einloggen, aber ansonsten nicht viel "anstellen".

Ein nicht zu verachtender Vorteil gegenüber HBCI, aus Sicht eines Linux-Users, ist die Platformunabhängigkeit. Für Linux gibt es AFAIK die Software nicht.

Einen guten Überblick über die beiden Systeme findest Du unter dem folgenden Link:

http://www.informationweek.de/index.php3?/channels/channel35/021034.htm


Gruß Korn


P. S. Ich fühle mich mit dem PIN/TAN-Verfahren eigentlich recht sicher und nutze es seit gut drei Jahren. Ich gehe eigentlich fast nicht mehr zur Bank - dank EC-Karte bin ich sehr flexibel und benötige kaum noch Bargeld.

Original geschrieben von Korn

(1) Mit Browser über eine 128-Bit-SSL einloggen (mit PIN).
(2) Transaktionen mittels TAN bestätigen.


Moin,

nur mal aus reinem Interesse, verstehe ich was falsch oder ist folgendes Szenario möglich.

1. man installiert einen speziellen Trojaner auf dem Rechner des Opfers

2. wenn dieser Mensch eine Transaktion machen will, muß er (irgendwann) PIN und TAN eingeben, richtig?
-> über den Trojaner hat man dann also Zugriff auf beides

3. da die TAN nach Benutzung verfällt, muß man dem Opfer einen Transaktionsfehler vorgaukeln, ohne daß die TAN tatsächlich abgeschickt wird.

4. Damit habe ich dann ein gültiges PIN/TAN Paar.

Oder übersehe ich was?

Original geschrieben von LX-Ben
In Deutschland konnte aber noch niemand in die Vorschaltrechner von
Kreditinstituten eindringen.
hi,

ich meine mich aber zu erinnern, das der Fall HypoVereinsbank
letztes Jahr ganz gross vom ARD Ratgeber rausgebracht wurde.
Hatte die Sendung auch gesehen, wo sie eine live Demo in der
Sendung gemacht hatten

grüsse,

Original geschrieben von kehj
3. da die TAN nach Benutzung verfällt, muß man dem Opfer einen Transaktionsfehler vorgaukeln, ohne daß die TAN tatsächlich abgeschickt wird.
4. Damit habe ich dann ein gültiges PIN/TAN Paar.
hi,

richtig ... ganz genau so läuft es !

grüsse,

wie bekommt man die TAN Paare dann mitgeteilt? Per Brief? Bekommt man da gleich mehrere auf einmal oder?

edit: danke, steht bereits in den links.

Die kommen bei meiner Sparkasse per Post im normalen
C6-Umschlag. Innenliegend ist eine separat verschlossene
Beilage (Doppelblatt), die außen mit einer Art Mohaire-
Zeichen im Buchdruck versehen sind - damit können die
auf der Innenseite abgedruckten 78 TANs auch nicht
gegen grelles Lampenlicht entziffert werden.

Der Druck ist offensichtlich ein Thermodruck, daher ist
es wichtig, diese Liste zu fotokopieren und das Original
zu vernichten, das nach 6 Monaten sowieso nicht mehr
lesbar ist. Die Anforderung einer neuen TAN-Liste
erfolgt Online. Um eine neue Liste freizuschalten, muss
man eine TAN der alten Liste benutzen, also zusätzliche
Sicherheit. Die alte TAN-Liste wird danach ungültig.

Im nächsten LINUX-Magazin (Erscheinungsdatum ist der 10. Juli 2003) wird ein umfassender Bericht über Online-Banking unter Linux enthalten sein.
Wie ich der Ankündigung entnommen habe sollte HBCI unter Linux kein Problem sein.

Thomas.

Unter www.gnucash.org (http://www.gnucash.org) findet sich die Seite des gleichnamigen Projekts.

Ein Auszug aus der Features-List:


HBCI Support
GnuCash is the first free software application to support the German Home Banking Computer
Information protocol, allowing German users to perform statement download and initiate bank
transfers and direct debits.

Na ja, man müßte doch schon einen ziemlichen Aufwand treiben, um auf diesem Wege eine Transaktion "zu klauen".

Ich hab mal 'ne Doku über einen viel einfacheren Weg gesehen:

Man baut in einem beliebigen EC-Automaten über der Tastatur einen (möglichst kleinen) Kasten mit 'ner Kamera ein.
Wenn jemand Geld abhebt, kann man mit der Kamera die PIN sehen.
An die Karte kommt man dann über den traditionellen Weg mit geschickten Fingern.

So ist es überhaupt kein Problem an die Karte und die PIN zu kommen.... Daher immer gucken, ob der Automat komisch aussieht ;)

Original geschrieben von LX-Ben

Der Druck ist offensichtlich ein Thermodruck, daher ist
es wichtig, diese Liste zu fotokopieren und das Original
zu vernichten, das nach 6 Monaten sowieso nicht mehr
lesbar ist.

Der Druck hält länger als 6 Monate, vorausgesetzt man setzt ihn nicht immer der Sonnenbestrahlung bzw. Tageslicht aus! Das heißt TAN-Liste in einen Ordner und den Ordner in den Schrank, bei Bedarf kurz rausholen Überweisung oder sonstiges tätigen und dann wieder in den Schrank!

cu

Jochen

Original geschrieben von kehj
Na ja, man müßte doch schon einen ziemlichen Aufwand treiben, um auf diesem Wege eine Transaktion "zu klauen".

Ich hab mal 'ne Doku über einen viel einfacheren Weg gesehen:

Man baut in einem beliebigen EC-Automaten über der Tastatur einen (möglichst kleinen) Kasten mit 'ner Kamera ein.
Wenn jemand Geld abhebt, kann man mit der Kamera die PIN sehen.
An die Karte kommt man dann über den traditionellen Weg mit geschickten Fingern.

So ist es überhaupt kein Problem an die Karte und die PIN zu kommen.... Daher immer gucken, ob der Automat komisch aussieht ;)

Da hab ich vor kurzem einen noch einfacheren Weg/interessanteren Fall gesehen. Die haben vor dem Schlitz wo die Karte eingeführt wird einfach noch einen kleinen wirklich kaum auffallenden Magnetkartenscanner "vorgeschaltet". Hat der Kunde die Karte eingeführt, wurde die Karte gescannt. So brauchten Sie nicht mal mehr die Karte.

Beim Abheben achte ich mittlerweile darauf.


Original geschrieben von TThomas
Unter www.gnucash.org (http://www.gnucash.org) findet sich die Seite des gleichnamigen Projekts.

Ein Auszug aus der Features-List:


HBCI Support
GnuCash is the first free software application to support the German Home Banking Computer
Information protocol, allowing German users to perform statement download and initiate bank
transfers and direct debits.


Interessant, da war ich wohl nicht mehr auf dem laufenden.


Gruß Korn

Hat der Kunde die Karte eingeführt, wurde die Karte gescannt. So brauchten
sie nicht mal mehr die Karte. Beim Abheben achte ich mittlerweile darauf.
Auf Besonderheiten sollte man/frau immer achten. Doch diese Doubletten-Methode
funktioniert seit zwei Jahren nicht mehr, jedenfalls nicht in Deutschland,
Benelux und Anrainerstaaten - es wird maschinell auch noch das Hologramm
abgeprüft. Nach meiner Kenntnis ist das aber noch ein großes Risiko in den
Staaten rechts von der Oder und in Spanien.

Original geschrieben von LX-Ben
Auf Besonderheiten sollte man/frau immer achten. Doch diese Doubletten-Methode
funktioniert seit zwei Jahren nicht mehr, jedenfalls nicht in Deutschland
hi,

naja .. dafür fällt denen aber auch dauernd wieder was neues ein ...
Hatten die nicht auch was bei den Geldautomaten in den Geldausgabeschacht
gesteckt .. beim Kunden kam dann das Geld nicht raus .. Kunde zieht wütend ab ..
kurze Zeit später kamen die Ganoven haben und das sich dann das Geld abgeholt ...

grüsse,

Hi wisnitom,
du bist ja voll auf dem laufenden :)
Ja, das mit dem vorgeschalteten Einwurfschacht hat es einige
Male gegeben. Meine Empfehlung: Nach Bundesdatenschutz-
gesetz ist vorgeschrieben, dass bei der Verarbeitung von
personenbezogenen Daten ein Ansprechpartner angegeben
werden muss - im Klartext, dort muss eine Notfall-TelefonNr.
angegeben werden. Sofern kein Direkttelefon vorhanden ist,
sollte man per Handy die Bank anrufen und das Eintreffen der
Notfallmannschaft abwarten. :eek:

hi,

prinzipiell wäre es möglich die kartendaten aus dem magnetstreifen mit einer 2ten komponente auf der physikalischen karte zu kombinieren (stichwort geldkartenchip)

man könnte somit 3 authentifzierungsmerkmale benutzen (magnetstreifen, chip & pin), nur leider sind viele banken in deutschland nicht bereit ihren kunden den chip zur verfügung zu stellen.

zum thema 128 bit / webbanking -> ist sicher, weil sonst wäre es in deutschland nicht vom zka zugelassen ...

der aufwand den du hast um den key während einer banking session zu cracken - der im übrigen 1024 bit lang ist pro session und nicht wie von einigen leuten fälschlicherweise auf 128 bit degradiert wird - und der ertrag der sich damit erziehlen lässt stehen in keinem sinnvollen verhältniss. gottseidank kann man bei den meisten banken die konten nicht leerräumen mit dem onlinebanking, weil es bestimmte maximalbeträge gibt, die man nicht überschreiten kann.

auch trojaner nutzen in der regel nichts, wenn es man tan's verwendet die nur einmal gültig sind.

Original geschrieben von Bauchi
auch trojaner nutzen in der regel nichts, wenn es man tan's verwendet die nur einmal gültig sind. wie gesagt....das stimmt so nicht....
1. wenn ein trojaner aufm system is... is schon mal schlecht
2.. wenn der dann halt irgendwann mal das root-pwd knackt...kann er dem user tatsächlich alles vorgaukeln...
3. aber eben: wenn ich 30 Minuten lang "geheime" Daten übertragen will und eine Verschlüsselung nehme... (bsp:128bit; 2-3Jahre) .... die die nächsten 2-3 Jahre mit dem momentan grössten Cluster der Welt nicht geknackt werden kann....bin ich "sicher", wenn ich nach den 30Minuten den Key neu generiere...tja...
greetings
pablo