Hi,
nutze das selbst nicht unter Linux, da Windows Nutzer, hatte aber schon von einigen gehört, dass es dort genauso gut läuft
Bei einigen Cardreadern ist es nötig, ein Firmware Update zu instalieren, aber das is ja im allgemeinen keine schlechte Idee.

Naja dann ist okay. Ich bleibe bei meinem SmartTAN+ bzw. Optic.
Ist browserbasiert und bietet mir deswegen größmöglichste Flexibilität.

Zitat:

Zitat von cosinus

Ich bleibe bei meinem SmartTAN+ bzw. Optic.
Ist browserbasiert und bietet mir deswegen größmöglichste Flexibilität.

Diese SmartTAN-optic/SmartTAN plus/chipTAN comfort/wie auch immer genannten Flickering-Geräte sind nicht browserbasierend oder nicht, sondern sie funktionieren mit diversen Grundlagen, dies kann eine eigene Bankingsoftware sein (auf Windows-, Mac- oder Linux-Grundlage oder eine browsergestützte Software/Onlinebanking im Browser. Die Software muss nur ganz einfach Flickering unterstützen.

Ok, sie sind nicht browserbasiert, über welche Software der Flickercode erzeugt weiß ja das "doofe" Gerät nicht aber dafür muss man halt eben noch am PC und am Geräte die Daten gegenchecken und verifizieren

Ich wollte damit nur ausdrücken, dass mein Onlinebankingverfahren bisher browserbasiert ist.

Ich sehe schon hier sind jetzt die Fachleute unter sich, sollte ich noch Fragen haben melde ich mich

Hoffe das ich die dann auch beantwortet bekomme, jetzt wollte ich aber erst malsagen für die vielen Informationen.

Zitat:

Zitat von cosinus

über welche Software der Flickercode erzeugt weiß ja das "doofe" Gerät nicht

Deshalb funktioniert es eben auch mit jeder Bankingsoftware, die diesen Flickercode erzeugt.

Zitat:

Zitat von cosinus

aber dafür muss man halt eben noch am PC und am Geräte die Daten gegenchecken und verifizieren

Also "Gegenchecken" tu ich nicht mit dem PC, denn da steht ja sowieso nur was ich (trotz schon getätigter Kontrolle möglicherweise falsch) eingetippt habe, sondern ich vergleiche die Anzeige von SmartTAN-optic/SmartTAN plus/chipTAN comfort/wie auch immer genannten Flickering-Geräte mit dem, was auf der Rechnung steht, die ich begleichen will.

Zitat:

Zitat von cosinus

Seh ich schonmal als Nachteil eher...weil mit der Bankingsoftware ist man idR ja auf ein Betriebssystem festgenagelt oder nicht? Mag vllt auch auf die Software selbst ankommen...ich fände es aber shice wenn ich zB nur unter Windows das machen könnte was ich will weil die Bank mir das vorschreibt

Nö. Wie Markusg schreibt gibt es einige Banking Programme unter Linux.

Die meisten Open Source Internet Banking Programme gibt es auch in Linux Versionen.

Da viele Programme den HBCI Standard in Form einer externen Lib benötigen (HBCI ist leider nur ein rein deutscher Standard, in anderen Ländern scheint sich das Verfahren dass sich das Banking Programm direkt mit der Bank verbindet (bisher?) nicht durchgesetzt zu haben) verwende ich Moneyplex (hat mir Stefan Becker vor langer Zeit mal empfohlen, bin sehr zufrieden. Das Programm gibt es natürlich auch für Windows.)

Ich habe die Kaufversion erworben da ich einige Funktionen die über die "Free & Easy" Version hinausgehen benötige.

Bankix kommt direkt mit korrekt konfigurierter Open Source Banking Software. Kann man direkt einsetzen oder als "Spickzettel" zur Konfiguration eines eigenen Open Source Programmes unter der eigenen Lieblings- Linux Distribution nutzen.

Bei Bezahlsoftware hat man dann natürlich den Support des Herstellers, auch das war ein Grund warum ich beim Banking ausnahmsweise keine Open Source Software einsetze.

Zitat:

Nö. Wie Markusg schreibt gibt es einige Banking Programme unter Linux.

Ja, hatte ich gestern nicht auf dem Schirm, irgendwie bin ich mal wieder von einer Bank ausgegangen, die nur Windows-Software anbietet...

Die Software die dir kostenlos von deiner Bank angeboten wird ist natürlich Windows basiert.... Aber du kannst ja den Kaffee der Bank annehmen ohne die Software der Bank zu verwenden. .

Bei Banking Software würde ich wegen den Updates ein verbreitetes Programm oder eines das vom Hersteller unterstützt wird verwenden.

Im Übrigen bin ich (anscheinend im Gegensatz zu vielen hier) der Meinung dass selbst mTan sicher genug ist wenn man ein wenig Grips einsetzt... wenn im Browser die Aufforderung erscheint auf dem Handy "Sicherheitssoftware" zu installieren sollte einem eigentlich klar sein wohin der Hase läuft...

Ein Verfahren mit Kartenleser ist natürlich in Bezug auf Sicherheit das Nonplusultra, jedenfalls wenn der Kartenleser die Daten der Transaktion auf einem eigenen Display anzeigt.

Warts mal ab. Irgendwann kommt beim MTAN eine "vollautomatische" Lösung, die dir die notwendigen Zertifikate unterschiebt. Wie gesagt: Halbwegs sicher wird sowas nur bei Phone ohne SMART, spricht Steinzeithandy ohne Internet-Zugang.

Na ja, und zur aktuell "manuellen" Lösung: Was Grips angeht, sieht man die Realität ja bei den ganzen "habe aus Versehen geöffnet"-Threads hier im Forum.

Dein Szenario verstehe ich nicht.

Das einzige realistische Angriffszenario auf mTan das ich kenne besteht darin, dem Smartphone einen Trojaner unterzuschieben und dem PC einen Trojaner unterzuschieben. Beide müssen mit derselben Zentrale kommunizieren um das System auszuhebeln.

Wie sähe dein automatisches System aus ? Da müsste doch immer noch das Handy irgendwie "gekapert" werden ? Wie soll das "automatisch" passieren?

Selbst wenn Handy und PC unabhängig voneinander gekapert würden: wie sollen die beiden Trojaner herausfinden welches Handy zu welchem PC gehört ?

Klar: Steinzeithandy ist sicher.


Das Angriffsszenario das in Australien mal angewandt wurde ist hoffentlich unrealistisch: dort haben die Angreifer einfach beim Handyprovider angerufen und behauptet das Handy sei verloren gegangen, somit die SMS auf ein Handy der Angreifer umgeleitet. Ich hoffe dass die Provider mittlerweile so schlau sind das nicht mehr zu tun.

Mit "automatisch" meine ich den Wegfall der Sicherheitsabfrage "Wollen Sie den Trojaner wirklich installieren?". So was wie "drive by download" unter Nutzung von Sicherheitslücken.

Was bei Windows geht, wird auch bei Android gehen.

Das australische Szenario halte ich für echt unwahrscheinlich (statistisch gemeint). Da kann es ja nur um Einzelfälle gehen, wo man die Person kennt bzw. beraubt hat.

.. das geht bestimmt. Bleibt für den Kriminellen aber noch das Problem welcher Handytrojaner zu welchem PC Trojaner passt. Das dürfte nichttrivial sein sobald die Schadsoftware sich einigermaßen verbreitet hat.

Eine Seite (im Web) - per Mail, Fakenachricht in 'sozialen' Netzwerken etc. zugestellt - leitet den Nutzer an auf beiden Systemen jeweils den einen Teil der dazu nötigen Malware zu installieren.
So einfach ist das.


Mal abgesehen davon, dass ich mich Frage was an einem reinem Mobiltelefon "Steinzeit" sein soll, wenn man einfach nur ein Telefon haben will (und nicht täglich zum Ladegerät laufen will). Auch ganz abgesehen davon, dass ein simples Gerät (eben ein Mobiltelefon) + Prepaidkarte eigentlich immer im Budget eines Smartphonekiddies drin sein sollte. Kostet einmalige weniger als die Grundkosten im Monat eines 'Smartphones' und hält deutlich länger.

Dann müsste ich die Nachricht aber sowohl im Handy als auch auf dem PC lesen... ich lese meine Mails aber meist nur einmal... und nur sehr selten auf dem Handy.

Leider bietet mein Pre Paid Anbieter nicht an, zwei Sim Karten unter der gleichen Nummer erreichbar zu halten, sonst hätte ich schon längst wieder mein "Steinzeithandy" parallel zum "Smartphone" im Betrieb. Es gibt eine Menge Gelegenheiten bei denen ein kleines "Steinzeithandy" viel praktischer ist als ein Smart-Prügel... und das jetzt unabhängig vom Internetbanking.

Wenn das von dir geschilderte Szenario in die Praxis kommt (und sogar Linux angegriffen wird) werde ich halt auf einen TAN Generator umsteigen...