Hibiscus mit Sparkasse Heidelberg

ringen00

Benutzer

Geschlecht: keine Angabe
Beiträge: 7
Dabei seit: 12 / 2014

Betreff:

Hibiscus mit Sparkasse Heidelberg

· Gepostet: 13.12.2014 - 23:31 Uhr · #1

Hallo,

Ich habe gerade Hibiscus installiert und versuche das Konto von der Sparkasse Heidelberg einzustellen.
Bank-Zugänge habe ich erfolgreich getestet.
Konto-Details habe ich eingetragen (Kundenkennung: Legitimations-ID).
Ich wollte die Umsätze abholen mit PIN, dann kam folgende Nachricht:

Fehler beim Aktualisieren der UPD

Log:

[13.12.2014 17:13:17] Synchronisierung via HBCI läuft
[13.12.2014 17:13:17]
[13.12.2014 17:13:17] Synchronisiere Konto: Kto. ***********[Sparkasse Heidelberg]
[13.12.2014 17:13:17] Initialisiere HBCI-Sicherheitsmedium
[13.12.2014 17:13:17] Erzeuge HBCI-Handle
[13.12.2014 17:13:17] Öffne HBCI-Verbindung
[13.12.2014 17:13:17] [BPD] max age: 7 days
[13.12.2014 17:13:17] [BPD] last update: Sat Dec 13 17:04:30 CET 2014
[13.12.2014 17:13:17] hole nutzerspezifische Daten
[13.12.2014 17:13:17] fetching UPD (BPD-Version: 209)
[13.12.2014 17:13:17] erzeuge HBCI-Nachricht DialogInit
[13.12.2014 17:13:17] signiere HBCI-Nachricht
[13.12.2014 17:13:21] verschlüssele HBCI-Nachricht
[13.12.2014 17:13:21] creating a connection to https://hbci-pintan-bw.s-hbci.de:443/PinTanServlet and checking the certificate
[13.12.2014 17:13:21] versende HBCI-Nachricht
[13.12.2014 17:13:21] warte auf Antwortdaten
[13.12.2014 17:13:21] waiting for response
[13.12.2014 17:13:21] entschlüssele Antwortnachricht
[13.12.2014 17:13:21] [error] HBCI error code: 9800:Dialog abgebrochen (HBMSG=10321)
[13.12.2014 17:13:21] [error] HBCI error code: 9931:Anmeldename oder PIN ist falsch. (4: DialogInit.ProcPrep)
[13.12.2014 17:13:21] [error] HBCI error code: 9010:PIN/TAN Prüfung fehlgeschlagen (4: DialogInit.ProcPrep)
[13.12.2014 17:13:21] überprüfe Signatur der Antwortnachricht
[13.12.2014 17:13:21] Fehler: Fehler beim Aktualisieren der UPD

Im Log steht " Anmeldename oder PIN ist falsch." Aber mit diese Leg-ID und PIN komme ich schon beim Online-Banking per Internetseite (https://bankingportal.sparkasse-heidelberg.de) rein.

Der PIN bei der Sparkasse wird auch ständig gesperrt.

Wo liegt das Fehler?

Wenn Sie mir helfen Könnten bin ich sehr dankbar!

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 14.12.2014 - 08:45 Uhr · #2

Verwende in hibiscus von deiner PIN mal nur die ersten 5 Zeichen. Länger ist deine PIN nämlich tatsächlich nicht.

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 11445
Dabei seit: 03 / 2005

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 14.12.2014 - 23:27 Uhr · #3

ringen00: Du hast mir exakt den selben Text eine Minute vorher schon per Mail geschrieben, bevor du ihn hier nochmal gepostet hast. Ich hatte dir heute morgen 09:29 Uhr mit der selben Information geantwortet, die dir auch onlbanker schrieb.
Bitte stelle Fragen nicht doppelt per Mail und im Forum. Das erzeugt unnoetigen Extra-Aufwand fuer die Leute, die dir helfen wollen.

infoman

Benutzer

Geschlecht:
Beiträge: 8140
Dabei seit: 06 / 2008

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 15.12.2014 - 11:55 Uhr · #4

@hibiscus (Verbesserungsvorschlag)
die PIN-Zeichen Problematik tritt aktuell bei div. Software auf - vielleicht einfach ein "fester Hinweis" in der Software neben das PIN-Fenster schreiben - dann sieht man es gleich s/w und muss weder hier anmelden/posten noch mailen.

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 11445
Dabei seit: 03 / 2005

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 15.12.2014 - 12:20 Uhr · #5

Ich hab die Hoffnung, dass sich die Problematik demnaechst von allein loest, wenn die letzten Banken von HBCI 2.2 auf FinTS3 umgestellt haben. Dann gibt es das ganze Problem mit der PIN-Limitierung gar nicht mehr.

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 63
Beiträge: 7571
Dabei seit: 03 / 2007

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 15.12.2014 - 12:24 Uhr · #6

Wieso sollte es das dann nicht mehr geben? Bei den Sparkassen ist die PIN intern nur 5 Stellen lang. Im Web werden auch nur 5 Stellen angenommen. Wer mehr eingibt und nicht genau hinschaut, merkt davon nichts, meint, er gibt z.B. 7 Stellen ein und verwendet werden aber nur 5. Über HBCI werden die 7 Stellen angenommen und an den Bankrechner übertragen und der sagt "falsch". Was würde da FinTS 3.0 dran ändern?

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 15.12.2014 - 12:35 Uhr · #7

msa, er meint (hofft), dass die Sparkassen dann mit FinTS 3 die PIN Begrenzung in einem gleich mit global aufheben.

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 11445
Dabei seit: 03 / 2005

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 15.12.2014 - 12:46 Uhr · #8

Ja.

FinTS 3 erlaubt IMHO bis zu 99 Zeichen lange PINs. HBCI 2.2 - wenn ich mich recht erinnere nur 6 Zeichen. Wuerden die auch bei FinTS 3 weiterhin nur die ersten 5 Stellen interpretieren bzw PINs ablehnen, die laenger sind (obwohl gemaess Spec. eindeutig erlaubt), dann wuerde die Problematik kuenftig erheblich haeufiger auftreten als bisher. Hinzu kommt, dass 5 Zeichen lange PINs zum einen in der Tat nicht mehr zeitgemaess sind und es aus meiner Sicht nur eine Frage der Zeit ist, bis eine Zeitung diesen "PIN-Abschneide-Hack" mal aufschnappt und von fatalen Sicherheitslecks schreiben wird.

Mal ehrlich: Die PINs einfach blindlinks nach dem 5. Zeichen abzuschneiden, ist echt ein kruder Hack. Und ich bin mir sicher, das Thema landet auch bei denen regelmaessig im Support. Wenn schon nur 5 Zeichen erlaubt sind, dann sollte dem Kunden das auch entsprechend deutlich vermittelt werden. Zum Beispiel, indem man nicht einfach die Laenge des Eingabefeldes mittels HTML limitiert und das Problem damit quasi auf den Browser schiebt. Sondern stattdessen mehr Zeichen zulaesst, dann aber server-seitig die Eingabe prueft und eine verstaendliche(!) Fehlermeldung anzeigt. Etwa "Die PIN darf maximal 5 Zeichen lang sein".
Wer weiss, wieviele User effektiv sehr schwache PINs haben, weil die z.Bsp. so aussehen "12345KJzd7".

ringen00

Benutzer

Geschlecht: keine Angabe
Beiträge: 7
Dabei seit: 12 / 2014

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 15.12.2014 - 13:12 Uhr · #9

Zitat geschrieben von hibiscus

Entschuldigung! Grund dafür war die reine Panik!
Hier lief am Wochendende einfach garnix mehr!
Hatten zunächst Starmoney gekauft und dieses ließ sich auf drei verschiedenen Win7 Maschinen nicht in Betrieb nehmen.
Der Support dafür belief sich auf eine teure 0900er Nummer. Ausserdem war weit und breit kein Hinweis oder eine Lösung zu finden.
Dann kam einen Tag später ganz unvermutet ein Windows Update welches allen drei Rechnern angeboten wurde und das Problem
lösen konnte.
Die Entscheidung war aber verständlicherweise bereits gefallen und nun ergab sich daraus das Problem welches zu diesem Post hier geführt hat. Klar sind Doppelposts grober Unsinn und es tut uns sehr Leid diese scheinbar recht aktive Community damit belastet zu haben!

ringen00

Benutzer

Geschlecht: keine Angabe
Beiträge: 7
Dabei seit: 12 / 2014

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 15.12.2014 - 13:43 Uhr · #10

So, das Sparkasse Heidelberg Konto funktioniert jetzt! Vielen Dank an alle!!!!

Nun geht es aber gleich weiter mit einem Commerzbank (ehm. Dresdner Bank Konto!).
Weiß nicht ob ich dafür einen neuen Thread erstellen sollte... ggf. verschieben?

Soweit ich weiß, erlaubt die Commerzbank nur den INI Brief.
Also habe ich bei Hibiscus unter 'Schülusseldiskette' einen neuen Bank-Zugang erstellen wollen.
Die Werte habe ich wie hier zu sehen eingegeben:
http://www.willuhn.de/wiki/dok…misc:rdh&s[]=commerzbank

Danach kam ein PIN-Eingabe Fenster und ein Fenster mit Hash-Werten welche mit der auf der Commerzbank Internetseite befindlichen übereinstimmten.

Nun folgte eine Fehlermeldung:
"Fehler beim Erstellen des Schlüssels: Fehler beim Erzeugen eines HBCIHandler Objektes"

Woher jetzt dieser Fehler?

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 11445
Dabei seit: 03 / 2005

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 15.12.2014 - 13:52 Uhr · #11

Zitat geschrieben von ringen00

Nun folgte eine Fehlermeldung:
"Fehler beim Erstellen des Schlüssels: Fehler beim Erzeugen eines HBCIHandler Objektes"

Poste bitte die kompletten Log-Ausgaben aus dem Log-Fenster. Hast du als Dateiformat "HBCI4Java/Hibiscus" ausgewaehlt? Welche HBCI-Version hast du eingestellt?

Siehe auch http://www.willuhn.de/wiki/doku.php?id=handbuch:setup:rdh

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 63
Beiträge: 7571
Dabei seit: 03 / 2007

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 15.12.2014 - 14:01 Uhr · #12

Hm. Wenn bei 2.2 6stellige PINs möglich sind, und die FI trotzdem 5stellige haben will, dann nehme ich nicht an, dass man das mit 3.0 ändern wird. Deswegen meine Frage.

Ich habe es gerade bei 3 Sparkassen-Websites nachgeschaut, bei der PIN-Änderung erscheint folgender Text:

Code

Bitte wählen Sie eine fünfstellige PIN, die nur Ihnen bekannt ist, und notieren oder speichern Sie diese nicht.
Erlaubte Zeichen zur Vergabe der PIN sind:

    Kleinbuchstaben von a - z
    Großbuchstaben von A - Z
    Ziffern von 0 - 9
    Sonderzeichen ä,ö,ü bzw. Ä,Ö,Ü und ß

Vermeiden Sie:

    Kombinationen aus den Anfangsbuchstaben Ihres Namens und Ihres Geburtsdatums
    Ihre Telefonnummer oder Teile davon
    Ihre Postleitzahl
    gängige Tasten- bzw. Einfachkombinationen wie 123ab, 55555
    gleiche oder ähnliche Inhalte wie beim Anmeldenamen oder der Legitimations-ID bzw. Teile davon

Bitte geben Sie zweimal die neue PIN ein und bestätigen Sie mit "Weiter".

Es ist also sehr deutlich dargelegt, was man tun darf und was man lassen soll. Wenn die Leute das mal wieder nicht lesen....
In jedem Programm haben Eingabefelder eine Maximallänge und so stellen es die Sparkassen eben im HTML auch nach. Wenn dann jemand einfach 10mal auf die Tastatur hackt und nicht mitkriegt, dass die Stellen 6-10 nicht eingegben werden - dumm gelaufen - aber eben auch selbst schuld!

Einzig könnte man es FI ankreiden, dass sie von dem PIN-String, den sie via HBCI bekommen, mehr als 5 Stellen auswerten und nicht erst alles was nach der 5ten Stelle kommt abschneiden - analog zum Web. Aber vielleicht ist das ja ein besonderes Sicherheitsfeature? Nach dem Motto "gib es GENAU ein"

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 11445
Dabei seit: 03 / 2005

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 15.12.2014 - 14:07 Uhr · #13

Zusaetzlich koennte die Sparkasse auf der Loginseite auch mehr als die 5 Stellen im Eingabefeld zulassen und dann eine entsprechende Fehlermeldung erzeugen. Erst dort entsteht ja die Problematik. Weil die User glauben, sie haetten eine laengere PIN, da sie die dort *vermeintlich* eingeben koennen. Sprich: Wuerde das Eingabefeld der Login-Seite der Sparkasse mehr als 5 Zeichen zulassen, gaebe es die ganze Problematik auch nicht. Denn dann wuerden die User bereits dort mitkriegen, dass ihre PIN zu lang ist.

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8444
Dabei seit: 08 / 2002

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 15.12.2014 - 21:26 Uhr · #14

Das Thema haben die GAD-Banken schon ganz intensiv durchlebt, die nur noch mindestens 8 Stellen bei Neuvergabe akzeptieren.
Eine mindestens 8 stellige PIN ist eine Empfehlung des BSI.
Bevor eine Sicherheitsdiskussion ausbricht: Der Hintergrund ist vermutlich nicht, dass 5 Stellen zu wenig sind, sondern dass man (womöglich im Rahmen der Snowden-Enthüllungen????) davon ausgehen muss, dass Bank-Rechenzentralen womöglich ebenfalls unterwandert sind oder werden können. Da ja nicht die PIN gespeichert wird, sondern nur eine Prüfsumme (Hash) reichen dann 5 Stellen nicht mehr...
Gruß
Raimund

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: Hibiscus mit Sparkasse Heidelberg

· Gepostet: 16.12.2014 - 15:31 Uhr · #15

Zur Frage aus #10 siehe auch http://www.onlinebanking-forum.de/forum/topic.php?t=18416

@ringen: wieso machst du jetzt weiter mit der Doppeleinstellerei??