|
Welche Variante fürs Onlinebanking ist "besser"? Hallo, da ich erstmal einen ernstzunehmenden Befall durch Spyware hatte/habe, stellt sich mir nun die Frage, welche Variante zukünftig fürs Online-Banking besser/sicherer ist: Bisher habe ich den Browser + iTan Verfahren genutzt. Nach dem Problem habe ich zumindest schonmal auf mTAN umgestellt. Leider gibt es bei meiner Bank nur 2 Möglichkeiten: entweder mTAN + Browser oder Banking-Software (hatte da die Lösung von Steganos ins Auge gefasst) + iTAN. Welche Variante bietet eure Meinung nach mehr Sicherheit und warum? Das iTAN Verahren hat ja den Vorteil, dass eine konkrete TAN abgefragt wird und falls man den Vorgang abbricht, die gefragte TAN direkt entwertet wird. Hat jemand Erfahrungen in Bezug auf die Steganos Software? Danke und Gruß Martin |
Mtan. Welche Bank ist das denn ? Warum sollte Mtan nicht per Banking Software funktionieren ? Warum Steganos ? Die Testsieger unter den Bezahlprogrammen sind Starmoney und WISO mein Geld. Bei der Buhl Data GmbH (WISO) muss man aber aufpassen weil die einem ständig versuchen irgendwelche Update / Software Abos aufzudrücken. Dafür schneidet sie in Tests gut ab. Starmoney ist soweit ich weiß praktisch Marktführer, ist wohl auch billiger. Ich verwende Moneyplex von Matrica (einziger kommerzieller Anbieter der sowohl für Windows, Linux und Mac verfügbar ist), bin sehr zufrieden, ich verwende bei der Postbank Mtan mit Moneyplex. Mein Setup: OpenSuse Linux, Moneyplex in einem Truecryptcontainer von 1 Gb installiert (den ich regelmäßig auf eine externe Platte sichere), den Container öffne ich nur wenn ich Banking betreibe. Banking geht bei meinem Girokonto mit mTan, bei meinem Kreditkartenkonto und dem Tagegeldkonto leider nur per Itan. Die Itan - Bögen habe ich nicht auf dem PC sondern nur in Papierform. Ich verwende die "Pro" Version in die man auch Wertpapierdepots einpflegen kann und die dann über das Internet die Kursinformationen holt und mitplottet.. Bei Fragen hat mir der Kundendienst immer sehr zügig und kompetent geholfen, ich bleibe da Kunde.. Es gibt eine Free-Version von Moneyplex die man herunterladen kann. Soweit ich informiert bin hat sie unter Windows einen Monat lang den Umfang der Standardversion und reduziert sich dann auf den Umfang der "free and easy" Version die man kostenlos weiter benutzen kann. http://www.matrica.de/produkte/mpfea...ml#featurelist Alternativ: Gnucash oder Hibiscus, freie Software unter der GPL. Würde aber diese Programme auch so installieren dass alle Finanzdaten auf einem Truecrypt / Realcrypt Container liegen da man bei den meisten Programmen nicht herausfindet ob sie die Daten überhaupt verschlüsseln (Matrica scheint das zu tun) und wenn ja : wie sicher der Algorithmus ist. Bei Truecrypt ist man da auf der sicheren Seite: selbst wenn jemand den Container stiehlt kommt (sicheres Passwort!) nicht an die Daten ran. |
Guten Morgen, aus Sicherheitsgründen bietet meine Bank nur iTAN + HBCI oder mTAN + Browser an, damit nicht mTAN auf dem gleichen Gerät genutzt wird, auf dem möglicherweise auch die (mobile) banking-software läuft. Steganos ist gut getestet und günstig, kostet 10€ und ohne Abo o.ä. Daher stellt sich mir die Frage iTAN(natürlich nur auf Papier) + Steganos oder mTAN + Browser. Starmoney und WISO sind so umfangreich, dass sie viele Bugs haben müssen und eben teuer sind. |
Moneyplex hat etwa den Funktionsumfang von Starmoney und hat keine merklichen Bugs... Ich würde mTan verwenden, d.h. Google Chrome nur fürs Internet Banking verwenden, und für das restliche Surfen einen anderen Browser installieren. Wenn du ganz sicher sein willst kannst du ja Bankix vom Heise Verlag oder eine andere Live Linux Distri fürs Onlinebanking verwenden. Banking Programme entfalten ihre volle "Kraft" wenn man mehrere Konten bei unterschiedlichen Banken hat: ich gebe einmal mein Truecrypt Passwort ein und habe dann per Mausklick alle Konten im Überblick.. da das in deinem Fall anscheinend nicht zutrifft würde ich eher die zusätzliche Sicherheit des mTan Verfahrens verwenden und auf Bankingsoftware verzichten. :kaffee: Von Steganos Banking habe ich noch nie gehört, falls du das Programm wirklich einsetzen willst solltest du im Online Banking Forum nachsehen welche Erfahrungen andere Anwender damit gemacht haben. Ansonsten hatte ich noch Gnucash und Hibiscus erwähnt.. beide können mTan sofern die Bank dieses für Banking Software anbietet... |
Mein Gedanke war eben nur der, dass beim Einsatz einer Banking-Software zumindest ein großer Teil der Mal-/Spyware ins Leere läuft, da sie auf den Browser fixiert ist. Bei meiner Bank sieht es leider so aus: mTAN geht nur im Browser, iTAN bleibt aber weiterhin für Banking-Software aktiv, funktioniert also nur beim Banking im Browser nicht mehr. Daher kann ich genauso gut Banking Software mit iTAN benutzen... Bei den Tests gängiger Computerzeitschriften schneidet das Programm als gute, sichere aber günstige Variante ab. Die Software ist baugleich zu Subsembly Banking. Welches Forum genau meinst du? |
Meine Meinung habe ich oben gepostet: nach meiner Meinung ist Online Banking mit Browser und mTan sicherer als mit Banking Software und Itan. Begründung: bei mTan müssen die Angreifer dein Handy und den Computer kapern, bei Itan wäre es denkbar trotz Bankingprogramm eine Überweisung zu manipulieren ohne dass du es merkst. Angenommen ich beauftrage eine Überweisung auf einem infizierten PC, dann erhalte ich in der SMS die mir die mTan übermittelt Betrag und Zielkonto.. es wird also sehr schwer für einen Angreifer die Überweisung zu fälschen ohne dass ich das mitbekomme. Forum: www. onlinebanking-forum.de :: Index hat extra Unterforen für die einzelnen Software Versionen.. an deiner Stelle würde ich trotzdem zuerst Open Source ausprobieren... ich bin auch nur auf ein Kaufprogramm umgestiegen weil Open Source damals das was ich benötigte nicht bot. Andererseits hatte ich den Kaufpreis meiner Kopie im ersten Jahr schon wieder drin da ich dadurch dass es so bequem ist Gelder zügig vom Girokonto aufs Tagegeldkonto transferiere... |
Zitat:
Wenn irgendwo im Zeitschriftennamen vierbuchstabige Wörter auftauchen ist Zurückhaltung geboten. PS: Nur weil die Tests schlecht (nicht vertrauenswürdig) sind, muss das getestete Produkt nicht so sein. |
Ich nutze die Steganos Software und bin sehr zufrieden! Sie ist sehr preiswert und nicht mit unnützen Funktionen verstopft. In der Computer Bild gab es diese Software (2011er Version) sogar mal kostenlos, vielleicht lohnt ja ein Blick bei Ebay. Auch wenn ich die Steganos Software mit mTans nutzen kann, so halte ich die Kombination Steganos + ITan deutlich sicherer als Browser + mTan, da der Browser eben ein beliebtes Angriffsziel ist und die Steganos Software relativ unbekannt und damit vor Angriffen relativ sicher ist. Ausserdem ist mir noch kein Virus bekannt, der die HBCI Schnittstelle der Banking Software angegriffen hat. |
hi, also für mich fällt der browser zum onlinebanking raus. du kannst da viel zu viel fälschen. zur einfachen "geben sie x tan nummern ein" bis zum fälschen des überweisungsbetrages ist da einiges möglich. handys als zusatz geräte sind meiner meinung nach auch nicht so sicher, da sie immer multimedialer werden, aber keine schutzsoftware haben und prinzipiell ebenfalls mit malware infiziert sein können. deswegen würde ich zu hbci, also banking mit spezieller software und cardreader raten, da kann man alle ausgaben 2mal überprüfen, am bildschrm und auf dem gerät, keylogger können nichts mit loggen, verschlüsselung der übertragung sollte ebenfalls besser sein, etc. |
Zitat:
Da mTan sehr aufwendig zu knacken ist (er müsste sich Spielarten des gleichen Trojaners auf Handy und auf PC einfangen..) halte ich das dann doch für sicherer als Itan + HBCI Software. Wenn der TE jetzt mehrere Konten verwalten müsste würde ich dann aus Komfortgründen doch die Banking Software verwenden, da mir auch keine Angriffe auf Banking Software bekannt sind. Warum der TE jetzt unbedingt die Steganos Software verwenden will statt kostenlose Alternativen auszuprobieren bleibt sein Geheimnis... :glaskugel: |
Zitat:
|
Gnucash und Hibiscus. Wenn du meinen Beitrag oben gelesen hättest .. da stehen die drin. |
Danke für die Antworten. Mag laienhaft klingen, aber bei den Freeware Programmen ist meine Sorge in Bezug auf die Sicherheit irgendwie etwas größer, da (soweit ich richtig informiert bin) die Sourcecodes ja zur Verfügung stehen, Hacker also gezielt Sicherheitslücken suchen können. Steganos kostet bei Amazon 9,99€, da muss ich grundsätzlich nicht lange überlegen. Rein von der Funktionalität her reicht mir das, da brauche ich kein Starmoney, Wiso oder Moneyplex, die alle mehr kosten und ggfs. nur Jahresversionen sind. Leider bietet die ING-DiBa eben nur die beiden Möglichkeiten Browser +mTAN und Banking Software + iTAN an. Da ich erst letztes Jahr gewechselt bin, möchte ich ungern jetzt schon wieder die Bank wechseln. Ich bin nach wie vor unentschlossen, für beide Varianten gibt es gute Gründe dafür und welche dagegen. |
du verwechseltst freeware mit open source, da gibts unterschiede. |
Ing Diba ? Da verwende ich Itan mit dem Bankingprogramm. Dabei handelt es sich bei mir allerdings nur um ein Tagegeldkonto auf dem aufgrund der schlechten Zinsen nicht mehr viel drauf ist. Damals war der IngDiba Browser Zugang zum Abgewöhnen kompliziert.. das war für mich mit ein Grund auf das Banking Programm umzustellen... bei der Postbank und bei den meisten Sparkassen ist das viel einfacher.. Für die Banksoftware sprechen Komfortgründe: während beim Online Banking im Browser in der Regel nur die Transaktionen des letzten halben Jahres zur Verfügung stehen behält dein Online Banking Programm alle Transaktionen ab der ersten Installation. Außerdem ist mit dem Bankingprogramm ein Bankenwechsel einfacher, weil alle abgespeicherten Überweisungen im Programm gespeichert sind.. und somit problemlos auch bei anderen Banken verwendet werden können. Dass Open Source Software unsicherer sei weil man den Sourcecode einsehen kann ist übrigens ein Märchen. Gerade weil jeder den Sourcecode einsehen kann arbeiten die OS Programmierer meist viel sauberer als ein bezahlter Programmierer der unter Zeitdruck arbeitet und weiß dass eine Dekompilierung seines Codes per Gesetz verboten ist.. sollte also ein Außenstehender Fehler im Code finden kann er die gar nicht bekanntmachen. Bei Open Source dagegen schauen viele andere auch auf den Code.. tendentiell halte ich die also für sicherer... Bei einem Bezahlprogramm würde ich aber vor dem Kauf noch versuchen herauszufinden wie gut der Support ist. Da liegt für mich auch der Hauptunterschied zwischen Bezahl- und Freeware. Bei Freeware / Open Source kann ich keinen Support erwarten. Der Support, und die Tatsache dass Gnucash als ich auf ein Banking Programm umsteigen wollte nicht ganz sauber mit HBCI zusammenarbeitete führten dazu dass ich eine Bezahlsoftware kaufte. Bin damit aber sehr zufrieden da ich ab und an den Support gebraucht habe (Quellen für Wertpapierkurse finden...) Da ich mein Internetbanking unter Linux betreiber mache ich mir wegen Schadsoftware keine großen Sorgen.. Wenn du ganz sicher gehen willst kannst du dir noch Bankix ansehen.. da ist glaube ich Gnucash drauf... Moneyplex ist übrigens nur insofern eine "Jahresversion" als es bei Herausgabe der nächsten Version keine Updates für die Alte mehr gibt... wie das bei den anderen Programmen ist weiß ich nicht, da muss man auf der Homepage des Herstellers nachsehen. Ich erhalte also bei Moneyplex jetzt noch kostenlose Updates für Moneyplex 2011 obwohl wir mitten in 2012 sind. |
naja, ganz stimmt das ja nicht auch in bezahlten programmen kann man fehler finden, nehmen wir windows, da kommen die ganzen fehler die gefunden werden nicht von microsoft allein, es melden auch dritt personen etwas an microsoft. und open source ist nicht unbedingt sicherre als jedes andere modell, sieh zb firefox, da werden häufig einige sicherheitslücken geschlossen obwohl es open source ist. und du brauchst dann natürlich immernoch fähige leute die sich den quellcode ansehen um dann fehler zu finden. aber richtig ist, wenn man ein programm kauft, sollte man auf jeden fall mal schauen, wie gut der suport ist. |
Stimmt natürlich, nur müssen die Leute die Sicherheitslücken finden bei "closed code" anders vorgehen.. und das dürfte zeitintensiver sein. Natürlich finden sich auch in Open Source Sicherheitslücken, nur die Interpretation durch die Closed Source Industrie dass Open Source unsicherer sei weil jeder reinschauen kann.. die ist Blödsinn. |
hi, da hast du recht, wollte nur sagen, dass das eine nicht zwangsläufig besser ist als das andere. theoretisch müsste open source sicherer sein, aber wie das nun mal so ist mit der theorie... |
Die MS Statistiken gegen den Firefox sind jedenfalls Quark.. unabhängig ob mittlerweile der IE wieder sicher ist oder nicht... :pfeiff: Die "iiii.. da wurden n+1 Sicherheitslücken entdeckt" gegen Open Source Browser wenn man selbst bei den Patches des eigenen Systems den Browser einfach mitpatcht... und bei den Patches gar nicht richtig dazuschreibt welche Lücke genau gepatcht wird.. das ist definitiv Propaganda. |
es gibt ja auch unabhängige statistiken, im jahr 2010 war danach zb der firefox der browser mit den meisten lücken. |
Also irgendwie bin ich immernoch unentschlossen, welche Variante ich auf Dauer nutzen werde. Für Beide gibt es Pro und Contra Argumente. Ach ja nur mal noch am Rande: Steganos Online Banking ist identisch mit Subsembly Banking. |
Steganos Online Banking basiert auf dem Subsembly Banking, aber ist eine deutliche Weiterentwicklung. Gerade die jetzt rauskommende Version SOB 14, die man bei der PC Welt seit heute testen kann, hat einige Features, die Subsembly nicht bieten kann. Insofern ist es definitiv worth a try. Die Beta kann man bis Ende August testen und sogar als Teilnehmer der Beta noch dazu billiger dann als Vollversion erwerben als andere Nicht-Beta User. achso ja link ist hier: Exklusiv: Steganos Online-Banking 14 Beta jetzt ausprobieren - Beta-Test - Firewalls & Onlinesicherheit - PC-WELT |
Zitat:
Auch eine Lösung über Banking-Software mit sicherer Übertragung per Identifizierung per USB-Stick finde ich sehr sicher. Leider agieren die Banken sehr unterschiedlich. Eigentlich sollte man sich, bevor man auf irgendwelche Software umsteigt, sich mit seiner Bank ins Benehmen setzen. Man sollte auch in Erfahrung bringen, ob die Servicehotline der Hausbank die ins Auge gefasste Lösung überhaupt supportet. Ich bereue nicht, auf eine Lösung umgestiegen zu sein, die mir meine Hausbank empfohlen hat und auch hervorragend supportet. Mit 10 € war ich zwar nicht dabei, aber so viel mehr war es nicht. Der Betrag war etwas höher, die erste Zahl war aber eine zwei. Den Mehrwert gegenüber dem Einloggen per Browser finde ich schon das Geld wert. Ich nenne jetzt weder Bank noch Software. |
Für mich sollten Banken das tun was sie können, und nicht per Servicehotline zig Banking Programme unterstützen (wollen). Letzteres kann eigentlich nur zu Frustration führen. Eine Bank die kein HBCI unterstützt kommt für mich nicht mehr in Frage, einfach aus Komfortgründen, nicht einmal aus (den genannten) Sicherheitsgründen. Das heißt: für mich muss eine Bank einen Dienstleister beauftragen der HBCI regelkonform einrichtet und "in Schuss hält". Den Support meines Programmes erwarte ich dann bei Kaufsoftware vom Hersteller. An der Stelle bin ich mit Matrica sehr zufrieden. Meine Variante war deutlich teurer als die 10 Euro Lösung, aber sie musste auch von Anfang an deutlich mehr können. Da damit das Hin- und Herüberweisen zwischen Giro- und Tagegeldkonto deutlich einfacher war als im Browser bei unterschiedlichen Banken hatte ich das Geld durch Zinsgewinne gleich im ersten Jahr schon wieder raus... hat sich voll gelohnt, und der Komfort ist deutlich höher. Ich habe Konten (Giro, Tagegeld, Depot, Kreditkartenkonto) bei unterschiedlichen Banken und hatte noch nie Probleme mit deren HBCI Implementierung. Das liegt auch daran dass es nur eine Handvoll Dienstleister gibt die HBCI betreuen, somit die meisten Banken die gleiche Hard- und Software für HBCI einsetzen. |
Zitat:
Wenn eine Bank HBCI anbietet, soll sie das empfohlene Programm auch supporten:) Zitat:
Zitat:
Wenn eine Bank ein Programm empfiehlt, soll sie auch den Support realisieren. |
klappt bei mir bisher einwandfrei.. genau so wie meine Voip Verbindungen mit verschiedenen Anbietern, die Mailclients mit verschiedenen Anbietern.... die DvDs spielen ab, CDs auch... Wenn man sich an Standards hält sollte es mit jeder guten Software gehen.. dazu sind die Standards ja da... |
Die Frage, ob mTAN mit Browser besser ist, als iTAN mit Software kann man so garnicht beantworten. Beide Verfahren gelten heute als nicht mehr sicher und sollten nicht benutzt werden. Mit mTAN hat man zwar den Vorteil, dass zumindest ein Medienbruch, oder eine Kanaltrennung zwischen Überweisung und Authentifizierung durchgeführt wird, Sicherheit hat man aber trotzdem nicht. Mir fallen auf Anhieb drei Trojaner ein, die speziell für mTAN entwickelt wurden: Zeus, SpyEye und Tatanga. Fakten zu iTAN-Trojanern findet man heute eher in Geschichtsbüchern. Das Ding ist so alt, dass ich es eigentlich kaum fassen kann, dass sowas im Jahre 2012 immer noch eingesetzt wird. Wenn dein Bankaccount halbwegs sicher sein soll, würde ich entweder zu chipTAN (Browserbanking) greifen, oder zu HBCI/FinTS mit Chipkarte (Softwarebanking). Falls du noch mehr Informationen zum Thema suchst, kann ich noch diese Seite empfehlen: www.online-banking-cd.de |
Kommerzielles mTan Knacken braucht aber immer noch eine gewisse "Mithilfe" vom rechtmäßigen Kunden. Wer einigermaßen misstrauisch ist für den sollte mTan eigentlich immer noch sicher genug sein: Zeus-Trojaner verstärkt Angriffe auf mTANs | heise online Die recht sicheren und doch mit ca. 10 Euro nicht so teuren TAN Generatoren werden übrigens auch von vielen Online Banking Programmen unterstützt. Königsklasse sind - klar- die von bankolyt favorisierten Chipleser.. leider recht teuer und leider bieten viele Banken dieses Verfahren gar nicht an. |
Also ich mache onlinebanking über HBCI mit einem Programm daß mir dafür von meiner Bank zur Verfügung gestellt wurde. Das ganze läuft mit einem key auf einem USB Stick, und auf diesem Stick befindet sich auch NUR der key. |
Ich habe jetzt bei einer Bank wegen eines Tagegeldkontos mit HBCI Zugang angefragt. Die "anonymisierte" Antwort vom Kundendienst: Zitat:
|
<Edit / hat sich erledigt>Man vermeide horizontales Scrollen, wenn man was ordentlich lesen können soll. :pfeiff: </edit> Proprietäre Insellösungen könnten aber auch den Vorteil haben, dass die Inseln zu unrentabel für die Bösewichte sind. :rofl: |
Leider scheint der Kunde zu dusselig zu sein um das zu begreifen. Bei den meisten Banken für Tagegeldkonten bei denen ich nachgefragt hatte steht HBCI gar nicht zur Verfügung. Eigentlich logisch: mit HBCI und Banking Software wird es für den Kunden viel leichter die Bank zu wechseln. Da eine Bank die HBCI anbietet zusätzlich eh noch ein Webportal anbieten muss ist die Motivation für ausländische Banken nicht sehr hoch, zumal anscheinend nur ein Bruchteil der Deutschen Bankensoftware einsetzt. Zum horizontalen Scrollen: Zitat:
|
Zitat:
|
Vielen Dank! Zu "proprietären Insellösungen" versuche ich mich kurz zu fassen: war bei einem Fachhändler und einer Autowerkstatt weil ich in mein 12 Jahre altes Auto ein neues Radio einbauen wollte. Leider sind die "Marken"hersteller jetzt bei Autos wieder endgültig da dass jeder sein eigenes Süppchen kocht. Statt dass das Auswechseln eines Radios- wie es bei Einhaltung der Standards wäre- so einfach ginge wie das Auswechseln einer Glühbirne habe ich es jetzt aufgegeben da sowohl Autoteile Unger wie auch meine Fachwerkstatt sich überfordert fühlten. (Ich habe keine Lust Stunden meines Urlaubs damit zu verbringen am Radio rumzufrickeln und hinterher evtl. nur mit Teillösungen leben zu müssen..) Bleibt halt das alte Radio drin und der Ärger über die dummen Kunden die sich Insellösungen aufdrücken lassen .. und den Herstellern nicht klar machen dass die sich gefälligst an die Standards halten und Teile / Dienstleistungen austauschbar halten sollen so dass eine Marktwirtschaft in Gang kommt.... Auch der Erfolg von Apple zeigt dass man mit Insellösungen gut Geld verdienen kann... |
Hallo! Oder mache es unvorhersehbar wie ich: Ich habe einen extra abgestellten Pentium 500-II mit einer Windows 98 Partition, auf der die Bankingsoftware läuft, natürlich über HBCI. Der Rechner wird nur für diese eine Internetverbindung benutzt :) Grüße, Sascha |
Keine gute Idee.. Windows 98 wird nicht mehr gepatcht, viele Lücken die bereits in '98 vorhanden sind werden von anderer Software ausgenutzt, außerdem gibt es bestimmt noch viele "Opfer" die mit Win98 im Netz unterwegs sind. => Bad Idea, das einzige was deine Win98 Kiste schützt ist dass du außer Banken nichts anderes tust.. und dass du wahrscheinlich hinter dem Paketfilter eines Routers hängst. => Die Grundidee ist schon richtig, probiere doch mal Bankix auf diesem Rechner aus.. also Festplatte raus, Bankix auf USB Stick mit Schreibschutz, zweiten USB Stick rein für die Daten, dann bist du sehr sicher unterwegs... (falls die alte Kiste USB kann...) => Oder ein Xubuntu oder Lubuntu drauf. Außer Gnucash und HIBISCUS läuft dort auch das kommerzielle Programm Moneyplex ( verwende ich, dient meinen Zwecken sehr gut, vor allem der Mailsupport ist klasse...) |
Deswegen sagte ich ja "ausschließlich für Onlinebanking" benutzt ;) Sobald man damit den Browser oder Email benutzen will, ist die Idee schon hinfällig und unbedingt davon abzuraten. Für mich klappt das seit über 10 Jahren bombensicher... |
.. ich nehme an dass er gegen das Internet durch einen Paketfilter geschützt ist. Er sollte dann aber auch nicht von den anderen Rechnern im LAN aus erreichbar sein.. sei es durch spezielle Router in ein separates Subnetz getrennt.. oder dadurch dass er nie läuft wenn ein anderes Gerät im LAN / WLAN aktiv ist. Sonst könnte er durch einen infizierten PC im LAN / WLAN kompromittiert werden. Insgesamt habe ich den Verdacht dass eine Linux Variante doch besser wäre als ein altes ungepatchtest Betriebssystem... auch wenn ich zugebe dass die Wahrscheinlichkeit dass du mit deiner Methode auf die Nase fällst sehr gering ist... |
Hallo zusammen, ich beschäftige mich auch grad mit dem Thema. Wenn ich das richtig sehe, sollte mTan doch noch sehr sicher sein, wenn der Anwender aufmerksam ist. Wenn man nun statt Smartphone ein klassisches Handy ohne infizierbares Betriebssystem nutzt, sollte das doch absolut sicher sein. Was ist mit diesen Tangeneratoren , die man mit Karte nutzt (chipTan etc.)? Kein Betriebssystem, kein Virus und ich kann unabhängig vom Browser die Transaktionsdaten prüfen. Was soll da schiefgehen? Habe mal ein wenig gegoogelt, "chipTan" ist m.E. bis jetzt noch nicht geknackt worden. Vermutlich wird der sicherste Weg sein immer das neueste Verfahren zu nutzen, da jedes Verfahren irgendwann mal von den "bösen Jungs" überlistet wird. LG Emander |
Zitat:
Das Forum wäre vermutlich vom Umfang nur im einstelligen Prozentbereich des jetzigen Stands. |
Zitat:
Beim Chiptan wurde per "Man in the Browser" dem Kunden eine "Testüberweisung" untergejubelt die dann in den Umsätzen im Browser nicht angezeigt wurde. Die Kunden die die "Testüberweisung" tätigten und mit ihrem ChipTan Gerät bestätigten überwiesen wirklich Geld an die Gauner. Wer bei solchen Sachen misstrauisch ist fällt nicht darauf herein. Ein anderer Trick war: im Browser wird eine fehlerhafte Gutschrift angezeigt und der "Überweisende" bittet einen das Geld "zurückzuüberweisen". Da die Gutschrift nie erfolgt war etc.... Auch hier: bei einem gesunden Misstrauen würde das nicht funktionieren. Mtan: da gab es in Australien mal einen sehr fiesen Fall in dem die Gauner die Telefongesellschaft überzeugen konnten dass die SMS bitte ganz dringend an eine andere Nummer geschickt werden müssten.. in dem Falle war die Telefongesellschaft so dämlich. Das ist aber nicht der Normalfall, im Normalfall versuchen die Gauner dir den PC und das Smartphone zu infizieren. Meist indem der Browser beim internetbanking die Nachricht anzeigt man müsse "unbedingt Sicherheitssoftware für das Smartphone nachinstallieren". Auch hier : ein misstrauischer Nutzer würde nicht drauf reinfallen. Oder um das was Shadow schrieb mal mit einem alten Fabel-Spruch auszudrücken: "Die Klugheit des Fuchses wird oft überschätzt weil man ihm die Dummheit der Hühner als Verdienst anrechnet". |
Liste der Anhänge anzeigen (Anzahl: 6) Äußerst wichtiges Thema hier in der "Security" Community, dem Trojaner Board, das ich sehr interessiert und aufmerksam verfolge, um dadurch mein Online Banking zu optimieren bzw. sicherer zu machen. Musste vor vier Jahren bitterböse Erfahrungen mit Online Banking machen und viel Lehrgeld zahlen, weil ich leichtsinnig mit meiner Kreditkarte (Kreditkartennummer wurde abgefischt) im Internet zahlte. Seitdem ist für mich: Kauf mit Kreditkarte im Internet absolut out - also, no Way! Meine Installation für Online Banking wie folgt:
Hier die Snapshots zum Ff-Portable -->Anhang 45888-->Anhang 45889 . Wie ist eure Meinung zu diesem Sicherheitskonzept für das Online Banking? Für eine sachdienlich-kritische Meinung/Info. wäre ich der Community sehr dankbar. Mit meinen besten Grüßen Simplex Ps.: In den Anhängen (Add-on Manager) sind die Security-Tools erkennbar: |
ja, onlinebanking über den browser zu machen, ist, wie ich ja schon 1-2 mal ausgeführt hab, fahrlässig. chipcard reader, der klasse 3, und banking software wie starmoney, und man ist gut dabei natürlich ist es nötig, das das dazugehörene system immer auf dem aktuellen stand ist, auch dritt anbieter software. und die banking software natürlich auch, und evtl. neue firmware updates des cardreaders eingespielt werden. oder über ne linux cd, dort aber trotzdem, banking über spezielle software, da hier bessere verschlüsselungsmöglichkeiten gegeben sind, und über den cardreader. |
Von der ct gibt es mit BankIX eine gute Linux Lösung. Oder noch besser Linux DualBoot, Moneyplex+Cardreader. Da sieht man diesem Windows Trojaner Zeugs ganz entspannt entgegen. Ist halt der Vorteil, wenn man betriebssystemtechnisch zu einer Randgruppe gehört :) |
Liste der Anhänge anzeigen (Anzahl: 1) Zitat:
ist, wie ich ja schon 1-2 mal ausgeführt hab, fahrlässig". Habe leider keine Vorstellung, wie man ohne Browser Online Banking betreiben kann. Auch ist mir das Verfahren über "...linux cd ...und über den cardreader" nicht ansatzweise bekannt. Gibt es dazu Abhandlungen, wenn ja, wo (?) -bitte Link! Gruß Simplex Hi, @stefanbecker, grüß Dich! Auch hier muss ich passen ...da ich null Ahnung habe! Zitat:
|
Yep. Linux. Wenn du eh den Browser vom USB Stick startest könntest du zum "Banken" eigentlich auch eine Bankix auf USB Stick installieren: c't Bankix, Download bei heise Zu deinem Konzept: für meinen Geschmack zu viele Tools.. je mehr Tools man installiert desto größer wird dann wieder die Angriffsfläche. Was macht dich so sicher dass der Windows Defender sich mit der Kaspersky Suite verträgt, und dass die Kaspersky Firewall nicht wieder die Windows Firewall "durchlöchert" ? Wenn ich Firewalls "in Reihe" Schalten würde dann "physikalisch", d.h. bei mir läuft der Linux Paketfilter IPtables auf dem PC, und die Fritz Box hat selbst noch einen Paketfilter.. so können die sich nicht in die Quere kommen... In deinem Falle könntest du einen Squid Proxy mit Paketfilter und Virenscanner einrichten.. da diese SW auf einem anderen Rechner läuft kann sie deiner Sicherheitssoftware nicht in die Quere kommen. Ich kaufe durchaus mit Kreditkarte im Internet ein, aber eben nur bei als seriös bekannten Händlern. Ebay und andere "Gaunerecken" meide ich ganz einfach. |
hxxp://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-284099.html hxxp://www.heise.de/download/ct-bankix.html |
Stefan meint per HBCI / FinTS Programm: Homebanking Computer Interface Gibt auch kostenlose, ich habe mir auf seinen Tipp hin unter Linux Moneyplex installiert (Kaufversion) und bin damit sehr zufrieden. |
Zitat:
Hoffe das (Linux und HBCI - ???) ist kompatibel mit meinem Betriebssystem "Windows Vista 32-Bit" und ich bekomme das auf einen neuen USB-Stick installiert. Würde auch die ..... Software kaufen, wenn alles okay. Bin immer sehr erfreut über freundlich, hilfreich sachdienlichen Infos bzw. Unterstützung in dieser Community ......danke an all! Mit meinen allerbesten Grüßen Simplex |
Linux ist ein eigenes Betriebssystem, komplett unabhängig von Windows. Das ist auch der "Gag" an der Bankix: dort wird ein Ubuntu-Linux von CD oder USB Stick gebootet. Das heißt dein Windows PC könnte so verseucht sein wie er will, an die Bankdaten kämen die Schadprogramme nicht ran. Bankix empfiehlt sich für Leute die sich nicht groß in Linux einarbeiten wollen da die C't Redaktion dieses Linux bereits eingerichtet hat. Ein Dual Boot (beim Start fragt dich dein Rechner ob er Windows oder Linux booten soll) ist dagegen etwas für jemanden der sich in Linux einarbeiten will. Meine Schätzung: ca. 1 Jahr, danach kannst du Linux aber so konfigurieren wie du es dir unter Windows nie hättest träumen lassen. |
https://sites.google.com/site/realmadnex/anleitungen/ctbankix Zur Frage nach Bankix+USB. |
Zitat:
Die Chance ist also 1 : 1 Million, wenn man eine zufällige TAN eingibt. Oder anders ausgedrückt: Bei einer Million Versuchen hat der Angreifer im Schnitt einmal Erfolg. Angesichts dessen, dass solche Angriffe ja nicht von Hand, sondern automatisiert geschehen, erscheint mir das auch nicht so sicher. Ein achtstelliges Passwort aus Buchstaben, Zahlen und Zeichen hat eine erheblich höhere Sicherheit durch Raten getroffen zu werden. Die Frage ist, ob es sich noch lohnt Zugänge zu Bankkonten zu hacken, wenn die Überweisungen nur mit Kartenlesegerät und Karte getätigt werden können. |
Zitat:
Nach dreimal ist (meines Wissens) Schluss. Das gilt für jeden Geschäftsvorfall, bei jedem Versuch hast du die Trefferwahrscheinlichkeit von 1 zu ~ 1 Million! Bei zu vielen Falschversuchen wird Onlinebanking gesperrt (3 mal 3? müsste nachsehen). |
Zitat:
- egal innerhalb welcher Zeitperiode - gesperrt wird, aber dass der Zähler nach jeder richtigen TAN-Eingabe wieder auf Null gesetzt wird. Das würde bedeuten, dass man je nach Häufigkeit der Überweisungen recht viele Versuche pro Jahr hat. Man braucht also nur eine hinreichende Anzahl von gehackten Bankaccounts, um Erfolg zu haben. |
Zitat:
Und selbst dem dümmsten objektiv noch geschäftsfähigen Nutzer (ich weiß, ich bin gnadenloser Optimist), aber auch der Bank würde eine "ständige" (der Bank schon eine mehrmalige) Neufreischaltung auffallen. Außerdem protokolliert auch aus Eigenschutz eine Bank da einiges mit und wertet dies auch aus. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board