Hatte mich vorher nicht so richtig damit beschäftigt, aber erst jetzt realisiert:
Ich kann ja die HBCI-Chipkarte selbst lesen/beschreiben!!!!
Da mag der Kenner über mich lachen zwar lachen, aber ich komme aus der Telko-Branche und kenne nur die SIM/USIM-karte und nahm an dass sich ein mindestens gleichwertiges Verfahren hinter HBCI verbirgt.
Bei der SIM muss man ein paar 100.000€ und ein paar Jahre Geduld mitbringen um an EINEN Schlüssel zu gelangen (oder eventuell weniger Geld und ein paar Tage um einen Mitarbeiter eines Mobile-Operators oder SIM-Karten Herstellers bestechen um ein paar tausend Schlüssel zu bekommen).
Bei der HBCI Karte scheint der Datensatz nur durch einen 5-stelligen PIN geschützt. Und meist bekam ich bei einem Wechsel der Zugangsdaten nicht einfach eine neue Karte mit den Daten darauf und seperat den PIN dazu, nein, ich bekam einen Papierbrief.
Ich würde sagen gemessen an den aktuellen technischen Möglichkeiten ist HBCI 2.2 eher in die Ära 1985 einzuordnen oder?
Die Keyverteilung scheint mir der grösste Schwachpunkt, wie es mit der Sicherheit bei der Übertragung aussieht kann ich nicht beurteilen.
Das beste wäre, wenn die Banken USIMs für die Authentifizierung benutzen würden:
- HP stellt billige HLRs her (zentraler Schlüsselserver und autentisierungsinstanz ähnlich RADIUS)
- USIMs sind durch die millionenfache Verbreitung auch billig
- das verfahren in GSM/UMTS ist x-fach sicherer als HBCI
- Es läuft auf einem banalen IP Transport-Stack wenn man will
- USIM-abfrage über Bluetooth geht auch, damit braucht man den Schlüssel a.) nirgendwo reinstecken und kann ihn b.) auch nicht liegenlassen
Liege ich irgendwie falsch mit meiner Einschätzung?
Ich meine die Banken behaupten ja auch Magnetstreifen und 4-stellige PIN seien sicher.
Ich kann ja die HBCI-Chipkarte selbst lesen/beschreiben!!!!
Da mag der Kenner über mich lachen zwar lachen, aber ich komme aus der Telko-Branche und kenne nur die SIM/USIM-karte und nahm an dass sich ein mindestens gleichwertiges Verfahren hinter HBCI verbirgt.
Bei der SIM muss man ein paar 100.000€ und ein paar Jahre Geduld mitbringen um an EINEN Schlüssel zu gelangen (oder eventuell weniger Geld und ein paar Tage um einen Mitarbeiter eines Mobile-Operators oder SIM-Karten Herstellers bestechen um ein paar tausend Schlüssel zu bekommen).
Bei der HBCI Karte scheint der Datensatz nur durch einen 5-stelligen PIN geschützt. Und meist bekam ich bei einem Wechsel der Zugangsdaten nicht einfach eine neue Karte mit den Daten darauf und seperat den PIN dazu, nein, ich bekam einen Papierbrief.
Ich würde sagen gemessen an den aktuellen technischen Möglichkeiten ist HBCI 2.2 eher in die Ära 1985 einzuordnen oder?
Die Keyverteilung scheint mir der grösste Schwachpunkt, wie es mit der Sicherheit bei der Übertragung aussieht kann ich nicht beurteilen.
Das beste wäre, wenn die Banken USIMs für die Authentifizierung benutzen würden:
- HP stellt billige HLRs her (zentraler Schlüsselserver und autentisierungsinstanz ähnlich RADIUS)
- USIMs sind durch die millionenfache Verbreitung auch billig
- das verfahren in GSM/UMTS ist x-fach sicherer als HBCI
- Es läuft auf einem banalen IP Transport-Stack wenn man will
- USIM-abfrage über Bluetooth geht auch, damit braucht man den Schlüssel a.) nirgendwo reinstecken und kann ihn b.) auch nicht liegenlassen
Liege ich irgendwie falsch mit meiner Einschätzung?
Ich meine die Banken behaupten ja auch Magnetstreifen und 4-stellige PIN seien sicher.