Postbank schafft chipTan ab

Smalltalk
mat6937
Beiträge: 2007
Registriert: 09.12.2014 10:44:00

Re: Postbank schafft chipTan ab

Beitrag von mat6937 » 14.09.2021 23:33:29

neanderthaler hat geschrieben: ↑ zum Beitrag ↑
14.09.2021 22:45:36
... funktioniert das Sicherheitsverfahren unter Linux aber die Sicherheit ist nicht 100% gegeben.
Ich denke, mit Windows, iOS und Android wird es auch so sein, wie mit Linux. Aber bei diesen OS's wird man m. E. noch nicht so genau hingeschaut haben.

EDIT:

Nicht gut finde ich auch, wie SealOne die Nutzung ihrer Geräte kommuniziert. Z. B. für das Seal One 2200 TF:
Der Lieferumfang enthält KEINE CD.
Die für den Betrieb erforderliche Software ist auf dem Seal One 2200 TF gespeichert.
Die Software ist NICHT auf CD erhältlich.
Frage: Muss ich eine extra Software für die Nutzung des Seal One 2200 TF auf meinem Computer installieren?

Nein. Zur Nutzung Ihres Seal One 2200 TF verbinden Sie diesen mit dem USB-Port Ihres PCs / Laptops. Das Seal One Gerät erhält vom diesem den benötigten Strom und das Netzwerk. Die notwendige Seal One Anwendung ist auf dem Seal One Gerät enthalten.
Quelle: https://www.seal-one.com/service.de
Dann aber:
Kopieren oder tippen Sie folgende Zeile in ein Terminal, um Seal One zu installieren:
wget https://seal-one.com/SOInstLin.sh && sh SOInstLin.sh
Quelle: https://www.seal-one.com/downloadPRO.de?LIN

Code: Alles auswählen

# :~$ ps aux | grep -i seal
YY        6972  0.2  0.1 114016  3736 pts/5    Sl   21:39   0:02 /tmp/SealOne/SealOne --install
YY       6982  0.0  0.0   2284   636 pts/5    S    21:39   0:00 sh -c "/tmp/SealOne/x86"/.bin/S1GUI
YY        6983  0.0  0.9 207612 25060 pts/5    Sl   21:39   0:00 /tmp/SealOne/x86/.bin/S1GUI
Welche Rolle spielen die Server von SealOne bei einer Transaktion (beim Online-Banking), die ich mit einem Gerät von SealOne mache? Wird (und wenn ja warum?) SealOne jedesmal in eine Transaktion involviert? Ich denke, das sind Fragen die SealOne und/oder die Bank von sich aus, schon im Vorfeld beantworten sollte.

Huo
Beiträge: 252
Registriert: 26.11.2017 14:03:31

Re: Postbank schafft chipTan ab

Beitrag von Huo » 15.09.2021 15:35:49

Als Postbankkunde wurde auch ich über die Abschaltung von ChipTAN informiert und nutze seit kurzem das BestSign-Verfahren mit dem Zusatzgerät Seal One 2200. Im Vergleich zum ChipTAN-Verfahren empfinde ich BestSign durchaus als etwas komfortabler: Ich muss nicht mehr meine EC-Karte hervorkramen, kein Gerät vor einen Flickercode halten und keine TAN eintippen.
mat6937 hat geschrieben: ↑ zum Beitrag ↑
14.09.2021 09:52:59
Was mir am Best-Sign-Verfahren überhaupt nicht gefällt, ist, dass eine unverschlüsselte Verbindung (http, Port 80) über das Internet zu SealOne, hergestellt wird.
Dass sich Seal One über eine unverschlüsselte HTTP-Verbindung mit dem Internet vernindet, verunsichert mich jetzt allerdings auch. Kann ich aber davon ausgehen, dass Seal One eine individualisierte Inhaltsverschlüsselung nutzt (wenn auch keine Transportverschlüsselung)?

rockyracoon
Beiträge: 1104
Registriert: 13.05.2016 12:42:18

Re: Postbank schafft chipTan ab

Beitrag von rockyracoon » 15.09.2021 19:32:16

@Huo:
Im Vergleich zum ChipTAN-Verfahren empfinde ich BestSign durchaus als etwas komfortabler: Ich muss nicht mehr meine EC-Karte hervorkramen, kein Gerät vor einen Flickercode halten und keine TAN eintippen.
Ich mag jetzt keine Reklame für die Postbank machen, erlebe es aber auch so wie Huo als wesentlich komfortableres Vorgehen, als mit dem Chip-Tan-Gerät.
Bei mir kam wie oben bereits erwähnt nervend hinzu, dass ich dabei nicht den Flickercode genutzt habe, sondern die manuelle Eingabe.

BTW: Die Aktivierung des Geräts (Seal One 2200) per USB ging unter Debian-Stable (Bullseye) problemlos.
Offen bleiben natürlich die angesprochenen Sicherheitsfragen.
Zuletzt geändert von rockyracoon am 15.09.2021 19:44:45, insgesamt 2-mal geändert.

Benutzeravatar
niemand
Beiträge: 14991
Registriert: 18.07.2004 16:43:29

Re: Postbank schafft chipTan ab

Beitrag von niemand » 15.09.2021 19:39:30

rockyracoon hat geschrieben: ↑ zum Beitrag ↑
15.09.2021 19:32:16
Ich mag jetzt keine Reklame für die Postbank machen, erlebe es aber auch so wie Huo als wesentlich komfortaleres Vorgehen, als mit dem Chip-Tan-Gerät.
Bequemer als ChipTAN sind viele Sachen. Aber bei der Einfachheit und der Sicherheit sehe ich weit und breit nichts, was da rankommt.

Eine „Sicherheitssoftware“, die ich am Paketsystem vorbei installieren soll, und die undokumentiert irgendwelche Verbindungen aufbaut, ja? Nein, sorry – da fühle ich mich eher veralbert, aber auf keinen Fall in irgendeiner Weise sicher.

OT: was hat dich eigentlich davon abgehalten, den Flicker-Code zu nutzen?
„The wise man doesn't give the right answers, he poses the right questions.“ (C. Levi-Strauss – gefunden im Manual des Apachen)

non serviam.

rockyracoon
Beiträge: 1104
Registriert: 13.05.2016 12:42:18

Re: Postbank schafft chipTan ab

Beitrag von rockyracoon » 15.09.2021 19:41:47

@niemand:
OT: was hat dich eigentlich davon abgehalten, den Flicker-Code zu nutzen?
Die Abstandseinstellung fand ich zu nervig.
Den LCD-Bildschirm mag ich nicht durch das Hantieren verschmiert haben, ganz zu schweigen von der Gefahr des Zerkratzens.
Und wie Huo geschrieben hat, bleibt auch beim Flickercode das Gefummele mit der EC-Karte und die Tan-Eingabe.

Deine Sicherheitsbedenken teile ich aber voll und ganz.
Noch mulmiger wäre mir das Verfahren dann auch noch auf einem Smartphone per Äpp ( :roll: ) auszuführen.

Es bleibt die Frage, warum das neue Verfahren überhaupt eingeführt wurde.
Ich werde das Chip-Tan-Verfahren so lange nutzen wie es geht.
Ein Bankwechsel scheint mir zum jetzigen Zeitpunkt übereilt, die Option sollte man sich aber immer frei halten.

Benutzeravatar
niemand
Beiträge: 14991
Registriert: 18.07.2004 16:43:29

Re: Postbank schafft chipTan ab

Beitrag von niemand » 15.09.2021 19:51:42

rockyracoon hat geschrieben: ↑ zum Beitrag ↑
15.09.2021 19:41:47
Den LCD-Bildschirm mag ich nicht durch das Hantieren verschmiert haben, ganz zu schweigen von der Gefahr des Zerkratzens.
Nix für ungut, aber wenn du das Ding sauber lagerst, bzw. es vor dem Einsatz kurz reinigst, verschmiert da weder was, noch gibt es irgendwelche Kratzer. Wenn doch was verschmiert, war dein Panel bereits dreckig. Nicht zuletzt kann man die guten Lesegeräte durchaus etwas vom Panel entfernt hinhalten.

Und die EC-Karte ist das Device, das die TAN erstellt, ja. Mit einem ziemlich gut geschützten Schlüssel – die Karten hat über viele Jahre bis jetzt keiner aufgemacht – und es haben wahrlich viele versucht. Und sie funktioniert autark. Da muss sich der SealOne-Kram mit höchstwahrscheinlich manipulierbarer Firmware erstmal noch beweisen.

Also läuft’s am Ende doch auf Bequemlichkeit heraus? Damit ist ja auch nix verkehrt – aber ich hätte, um wieder zum Threadthema zurückzukommen, doch gerne auch weiterhin die Option auf ein sicheres Verfahren :)

Das Interessante ist: es gibt auch ein moderneres Verfahren, das die größten Nachteile des ChipTAN-Verfahrens mit Flickercode beseitigt, aber ansonsten das Gleiche bietet: PhotoTAN hieß es, glaube ich. Da wurde statt des Flickercodes, an den man das Lesegerät ja doch eine Weile halten muss (insbesondere, wenn es einen Lesefehler gab, und die Schleife nochmal durchrödeln muss, ist’s zugegebenermaßen ja doch sehr nervig), ein zweidimensionaler Code ähnlich QR (aber mit Farben, AFAIR) mit den gleichen Daten gezeigt, den man mit einem geeigneten Devices abfotografiert hat. Das hätte™ was werden können …
„The wise man doesn't give the right answers, he poses the right questions.“ (C. Levi-Strauss – gefunden im Manual des Apachen)

non serviam.

rockyracoon
Beiträge: 1104
Registriert: 13.05.2016 12:42:18

Re: Postbank schafft chipTan ab

Beitrag von rockyracoon » 15.09.2021 19:58:05

@niemand:
Also läuft’s am Ende doch auf Bequemlichkeit heraus?
In der Abwägung "Bequemlichkeit versus Sicherheit", hätte ich natürlich das Chip-Tan-Verfahren beibehalten.
Jetzt scheint die Postbank aber über kurz oder lang das Chip-Tan-Verfahren genau so wie das frühere Mobile-Tan-Verfahren abzuschaffen.
Da möchte ich nicht erleben, dass ich irgendwann im Jahr 2022 Probleme mit dem Banking bekomme.
Sollten sich die Sicherheitsbedenken bestätigen, so kann ich immer noch auf meine Zweitbank ausweichen.

fischig
Beiträge: 1662
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Postbank schafft chipTan ab

Beitrag von fischig » 15.09.2021 19:58:39

Es bleibt die Frage, warum das neue Verfahren überhaupt eingeführt wurde.
Weil die Prioritätenliste der Kunden meistens so aussieht:

1. Bequemlichkeit
.
.
.
20. Misthaufen
.
.
.
30. Sicherheit

Benutzeravatar
Meillo
Moderator
Beiträge: 6788
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Postbank schafft chipTan ab

Beitrag von Meillo » 15.09.2021 20:34:06

fischig hat geschrieben: ↑ zum Beitrag ↑
15.09.2021 19:58:39
Es bleibt die Frage, warum das neue Verfahren überhaupt eingeführt wurde.
Weil die Prioritätenliste der Kunden meistens so aussieht:

1. Bequemlichkeit
.
.
.
20. Misthaufen
.
.
.
30. Sicherheit
LOL :-D
Use ed(1) once in a while!

rockyracoon
Beiträge: 1104
Registriert: 13.05.2016 12:42:18

Re: Postbank schafft chipTan ab

Beitrag von rockyracoon » 15.09.2021 20:53:34

@fischig:
Meiner Meinung nach unterliegst Du einem Denkfehler, weil Du die Änderung des Verfahrens den angeblich unmündigen Kunden anlastest.
Diese haben aber in keinster Weise etwas Neues verlangt.
Tatsächlich hat die Bank die Änderung angestoßen.
Und daher verbleibt trotz Deiner mehr oder weniger geistreichen Einlage nach wie vor die Frage nach dem "Warum".

Innovation als "l’art pour l’art"? Sicher nicht.

Antworten