Feature Request: TAN-Verwaltung

 
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Berlin
Homepage: blog.kunstgriff.ne…
Beiträge: 20
Dabei seit: 10 / 2009
Betreff:

Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 11:53 Uhr  ·  #1
Hallo, erst einmal ein dickes Lob an den Entwickler dieser Software!
Ich setzte mit meiner Buchhaltungssoftware auch noch MacGiro ein und muss sagen das vom Interface und "Look-and-feel" Pecunia ganz klar die Nase vorn hat. Und dann noch das ganze als OpenSource und Intel-Native-App. - Superklasse!

Ich habe auch gleich den Menüpunkt "Spenden" bemüht und dem Entwickler etwas überwiesen.

Nun zu meinem Feature request:
Es wäre toll, wenn es eine TAN Verwaltung gäbe, also wenn man TANs im Programm speichern könnte und diese dann automatisch mit einer Überweisung übermittelt werden würden. Meine Bank hat zwar das iTan Verfahren ich kann aber unter HBCI immer irgendeinen TAN eingeben, bin also nicht an die TanNummer gebunden. Warum auch immer. Überweise ich über das WebInterface muss ich eine Nummer einhalten. Egal.

Was mir noch aufgefallen ist, ist das Empfänger und Transaktions-Feld nicht automatisch genutzt wird. Das kann mit der Syntax zusammenhängen, welche meine Bank nutzt. Bin bei der Deutschen Bank. Mein Mitarbeiter ist bei der Sparkasse Berlin und da scheint es einwandfrei zu funktionieren.
Wundert mich irgendwie da ich dachte HBCI 2.2 sei ein Standart den alle Banken gleich interpretieren müssen. Wohl nicht. Vielleicht kann das der Entwickler dieser herrlichen Software ja noch irgendwie hinbiegen.

Was ich genau meine sieht man hier in dem Screenshot: Der Empfänger und die Transaktionsart sind beide im Verwendungszweck enthalten und die dafür vorgesehenen Felder bleiben einfach leer.

Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 100
Dabei seit: 01 / 2006
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 12:15 Uhr  ·  #2
verstehe ich das richtig, die Deutsche Bank unterstützt im HBCI keine iTAN sondern nur die nichtindizierte TAN ?

Oder nutzt du HBCI bei Ktn. einer anderen Bank, wenn ja welche ? :)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 12:38 Uhr  ·  #3
Ob indiziert oder nicht, ich rate dringend von der elektr. Speicherung von TAN's ab!
Das ist stets ein beliebtes Angriffsziel für Trojaner aller Art!

Wem die TAN-Liste lästig ist, sollte chipTAN oder mTAN verwenden aber um Gottes Willen bitte keine TAN's abtippen und speichern!

Edit: Und besonders bei Open Source Software wäre es ja überhaupt garkein Problem, herauszufinden, wo TAN's liegen und wie sie verschlüsselt sind. Das wird den Entwicklern aber sicher klar sein, weshalb es dieses "Feature" auch hoffentlich niemals geben wird. :)
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Berlin
Homepage: blog.kunstgriff.ne…
Beiträge: 20
Dabei seit: 10 / 2009
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 12:47 Uhr  ·  #4
Zitat geschrieben von isaria
verstehe ich das richtig, die Deutsche Bank unterstützt im HBCI keine iTAN sondern nur die nichtindizierte TAN ?


Ja, genau.

Zitat geschrieben von isaria
Oder nutzt du HBCI bei Ktn. einer anderen Bank, wenn ja welche ? :)


Nein, keine.

Zitat geschrieben von Michael Döring
Wem die TAN-Liste lästig ist, sollte chipTAN oder mTAN verwenden aber um Gottes Willen bitte keine TAN's abtippen und speichern!


Deine Trojanertheorie erschließt sich mir nicht ganz: Wie soll das bitte gehen, wenn die TANs in einer durch den MacOS X Schlüsselbund gesicherten separaten Datei abgelegt sind? So machen das im übrigen auch die professionellen Programme MacGiro und StarMoney.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 12:51 Uhr  ·  #5
Zitat geschrieben von Georg_
Deine Trojanertheorie erschließt sich mir nicht ganz: Wie soll das bitte gehen, wenn die TANs in einer durch den MacOS X Schlüsselbund gesicherten separaten Datei abgelegt sind? So machen das im übrigen auch die professionellen Programme MacGiro und StarMoney.


MacGiro und Starmoney sind Open Source?
Ich denke nicht.

Und was eine Software in einem Schlüsselbund lesen kann, kann ein Trojaner sowieso. Und bei Open Source gibt es nicht einmal das Hindernis, dass man erst herausfinden muss, wo es liegt und wie es verschlüsselt ist, denn man kann es in der "open source" einfach nachlesen.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 12:56 Uhr  ·  #6
Hi Georg,

unabhängig davon, das die theoretische Gefahr dass die gespeicherten Daten gehackt werden sehr wohl besteht, verstößt Du damit gegen die Sonderbedingungen, die Du unterschrieben hast. Sollte es bei deinem Konto irgendwo zu einem Schadensfall kommen, hast Du nach aktueller Rechtssprechung grob fahrlässig gehandelt und haftest für den Schaden!

Die Kudnenprodukthersteller machen in der Regel fast alles, was den Komfort des Anwenders erhöht. Ob Du damit gegen irgendetwas verstößt, ist denen erstmal egal.

Zum Thema Schlüsselbund:

Ich hoffe doch, Du bist nicht so naiv und glaubst wirklich, dass man an diese Daten nicht rankommt!? Wobei das gar nicht mal notwendig ist. Dank der gespeicherten TANs würde ich mir einfach einen jleinen Trojaner bauen, der die Software steuert. Ich kann ja sicher sein, dass die entsprechende TAN automatsich aus dem Datensave genommen wird.

Gruß

Holger
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6108
Dabei seit: 02 / 2003
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 12:59 Uhr  ·  #7
Hi Michael,

es ist viel einfacher! Ich muss gar nicht die Vesrchlüsselung hacken! Wozu diese Mühe!? BruteForce Attacke auf das Passwort, dafür gibt es genügend Tools. Da die wenigsten heir ein kryptisches Passwort nehmen sind die meisetn Agriffe mit Wörterbüchern bereits nach wenigen Minuten am Ziel.

Gruß

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 13:13 Uhr  ·  #8
Ja Holger, ich weiß das alles. Der Fragesteller scheint mir etwas naiv und (sorry für den Begriff) lesefaul, was sich hoffentlich ab sofort ändert.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Berlin
Homepage: blog.kunstgriff.ne…
Beiträge: 20
Dabei seit: 10 / 2009
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 14:13 Uhr  ·  #9
Zitat geschrieben von Michael Döring
Ja Holger, ich weiß das alles. Der Fragesteller scheint mir etwas naiv und (sorry für den Begriff) lesefaul, was sich hoffentlich ab sofort ändert.


Soso, naiv und lesefaul bin ich also. :evil:
Danke für die netten Worte zum Wochenende!

Was alles theoretisch möglich ist mir schon klar. Und das das größte Sicherheitsrisiko vor dem Compi sitzt und nicht darin ist. Ok.

Nu aba mal Butter bei die Fische: Gibt es konkrete Fälle, die dokumentiert sind, wo sich z.B. ein BotNetz über einen Mac hergemacht hat, darauf Trojaner injeziert hat und dann die Konten/Passwörter/etc. ausspioniert bzw. geplündert wurden?

Wohl gemerkt ich spreche von einem Mac nicht einem WindowsPC.

Wenn dem so ist, dann hätte ich gerne einen Link zu solch einem Fall.

Vielen Dank.

Bzw. kannst Du ja gerne einen Beweis antreten. Meine IP ist ja einfach rauszubekommen. Meinen Vornamen auch. Also sollte es ja für Dich ein leichtes sein, mein Rootpassword zu phishen. Kannst Du dann gerne hier veröffentlichen.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 14:19 Uhr  ·  #10
Zitat geschrieben von Georg_
Nu aba mal Butter bei die Fische: Gibt es konkrete Fälle, die dokumentiert sind, wo sich z.B. ein BotNetz über einen Mac hergemacht hat, darauf Trojaner injeziert hat und dann die Konten/Passwörter/etc. ausspioniert bzw. geplündert wurden?


Sorry, wollte nicht beleidigend werden. Aber manches muss man einfach ganz krass sagen. Liegt an meiner Paranoia, ich bearbeite beruflich Trojaner-Schadenfälle......

Du bist vermutlich volljährig, mach, was Du möchtest. Gewarnt bist Du und mit dem hier zitierten Satz wirst Du im Schadenfall bei Deiner Bank trotzdem keine Erstattung erhalten, weil Du trotzdem grob fahrlässig handelst, wenn Du TAN's speicherst.
Übrigens: Selbst wenn Du einen Schadenfall erleidest, der mit der Speicherung der TAN's garnichts zu tun hat (...weil MAC ja unglaublich sicher ist...), handelst Du trotzdem grob fahrlässig und jegliche Ansprüche gegen Deine Bank - soweit sich diese überhaupt ergeben - sind erloschen und nur auf Kulanz möglich. Nur mal so zur Info.

Schönes WE!
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Berlin
Homepage: blog.kunstgriff.ne…
Beiträge: 20
Dabei seit: 10 / 2009
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 14:38 Uhr  ·  #11
Zitat geschrieben von Michael Döring
Sorry, wollte nicht beleidigend werden. Aber manches muss man einfach ganz krass sagen. Liegt an meiner Paranoia, ich bearbeite beruflich Trojaner-Schadenfälle......


Entschuldigung angenommen. Da Du ja beruflich mit Trojaner-Schadenfällen zu tun hast, kannst Du ja sicher auch berichten, wieviel von den "Opfern" Mac-Anwender sind. Oder ist das geheim?

Zitat geschrieben von Michael Döring
Du bist vermutlich volljährig, mach, was Du möchtest.


Was soll der Oberlehrer-Unterton? Kannst Du nicht sachlich argumentieren sondern nur von oben herab phrasen dreschen?

Zitat geschrieben von Michael Döring
Gewarnt bist Du und mit dem hier zitierten Satz wirst Du im Schadenfall bei Deiner Bank trotzdem keine Erstattung erhalten, weil Du trotzdem grob fahrlässig handelst, wenn Du TAN's speicherst.
Übrigens: Selbst wenn Du einen Schadenfall erleidest, der mit der Speicherung der TAN's garnichts zu tun hat (...weil MAC ja unglaublich sicher ist...), handelst Du trotzdem grob fahrlässig und jegliche Ansprüche gegen Deine Bank - soweit sich diese überhaupt ergeben - sind erloschen und nur auf Kulanz möglich. Nur mal so zur Info.


Kannst Du jetzt noch mal ganz konkret sagen was Deiner Meinung nach grob fahrlässig ist? Onlinebanking im Allgemeinen? Die Nutzung dessen auch ohne Speicherung der TANs?
Lies doch nochmal Deinen Satz: Selbst wenn Du einen Schadenfall erleidest, der mit der Speicherung der TAN's garnichts zu tun hat, handelst Du trotzdem grob fahrlässig…
Merkst Du eigentlich welch leere Worte Du da postest? Womit denn, nun handel ich GROB FAHRLÄSSIG?
Mir wird Angst und Bange vor so Sicherheitsexperten wie Dir!
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 14:48 Uhr  ·  #12
Ich beschränke mich auf das Sachliche - wie zuvor auch schon:
Du handelst grob fahrlässig, wenn Du - egal in welcher Form und auf welchem Medium - TAN-Nummern elektronisch speicherst.

Beispiel aus unseren Teilnahmevereinbarungen: "[...]und insbesondere die Sicherungsmedien sicher vor dem Zugriff unberechtigter Dritter zu verwahren."

Beispiel aus unseren Sonderbedingungen: Erster Spiegelstrich der Pflichten des Kunden: "PIN und TAN dürfen nicht elektronisch gespeichert oder in anderer Form notiert werden"

Ich finde, das ist allgemein verständlich formuliert.

P.S.: Ich bin kein Sicherheitsexperte sondern derjenige, bei dem unvorsichtige Leute trotz Fahrlässigkeit nach einem Schadenfall um Erstattung bitten.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Berlin
Homepage: blog.kunstgriff.ne…
Beiträge: 20
Dabei seit: 10 / 2009
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 15:10 Uhr  ·  #13
Danke für die Aufklärung. Um das elektronische speichern von PIN und TAN geht es also. Den PIN speichert ja so ziemlich jede OnlineBanking Software aus Bequemlichkeitsgründen des Anwenders. Aber der PIN ist ja auch nicht wirklich sicher: 5-stellige Zahl - ganz großes Kino - nichtmal Sonderzeichen sind erlaubt und länger als 5 Zeichen darf der auch nicht lang sein.
Aber mal was anderes: Wie weist Du Deinen "Kunden" nach, das diese die PINs und TAN elektronisch gespeichert haben?
Die Beweislastumkehr ist ja hier nicht wirklich so einfach wie von Dir dargestellt. Seis drum ich habe es Verstanden und wir müssen das Thema nicht weiter ausweiten. Wollte eigentlich nur von dem Autor der Software wissen, ob es angedacht ist so ein "Feature" zu bringen.
Meine eigentllch wirklich interessanten Fragen, kannst oder willst Du ja leider auch nicht beantworten.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 15:19 Uhr  ·  #14
Im Zweifel will ich meinem Kunden kein Fehlverhalten nachweisen, ich bin ja nicht dessen Feind.
Besser ist, man kommt garnicht soweit, diese Frage stellen zu müssen. Und dazu trägt bei, wenn Produkte garnicht erst "Features" anbieten, die eine Verstoß des Kunden ermöglichen.

Und welches sind denn die für Dich "wirklich interessanten" Fragen?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 10
Dabei seit: 10 / 2009
Betreff:

Feature Request: TAN-Verwaltung

 · 
Gepostet: 16.10.2009 - 15:31 Uhr  ·  #15
Hallo alle miteinander,

also um auch noch meinen Senf dazu zu geben:

Ich nutze Online- Banking jetzt seit 1995 ( damals noch über das gute alte BTX, wer sich erinnert) und ich habe noch nie, auch nicht als das dann mit dem T-Online- Banking Programm möglich war, irgendeine PIN oder TAN gespeichert. Wer zur Eingabe von ein paar Zeichen zu faul ist, der sollte seine Bankgeschäfte dann doch lieber in der Filiale machen finde ich. Ich nutze momentan das mTAN- Verfahren und ich weiß nicht, was daran so unbequem sein soll? :?: :?: :?:

Gruß Frank
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Berlin
Homepage: blog.kunstgriff.ne…
Beiträge: 20
Dabei seit: 10 / 2009
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 17.10.2009 - 22:47 Uhr  ·  #16
Zitat geschrieben von Michael Döring
Und welches sind denn die für Dich "wirklich interessanten" Fragen?


MIch würde interessieren ob Mac-User Opfer von Phishing-Attacken geworden sind?
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Im wunderschönen Ahrtal
Beiträge: 2077
Dabei seit: 04 / 2004
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 17.10.2009 - 23:35 Uhr  ·  #17
Kannst du auf dem Mac Mails empfangen?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 18.10.2009 - 09:16 Uhr  ·  #18
Zitat geschrieben von Georg_
MIch würde interessieren ob Mac-User Opfer von Phishing-Attacken geworden sind?


Leider darf ich - auch nicht anonym - zu Schadenfällen überhaupt nichts sagen.
Macht aber nichts, Fellini hat die entscheidende Antwort schon in Form einer Frage gegeben.

Im übrigen sollte man m.E. sein Verhalten beim Onlinebanking nicht danach ausrichten, was man befürchten könnte oder wahrscheinlich ist sondern daran, wie man im Schadenfall auf der sicheren Seite ist und sich nichts vorwerfen lassen braucht.

Pharming-Seiten beispielsweise haben mit dem OS garnichts zu tun und wenn Du erstmal auf so einer - heutzutage teilweise sogar richtig gut gemachten - Seite eine TAN eingegeben hast, hilft es Dir nichts mehr, dass Du die elektr. Speicherung Deiner TAN's damit entschuldigst, dass Du einen Mac nutzt.

Dann werden die Gesamtumstände betrachtet und wenn eine grobe Fahrlässigkeit Deinerseits im Spiel ist, wird es schwierig für Dich.
Das ist weder oberlehrerhaft gemeint noch will ich Dich angreifen. Ist nur ein gut gemeinter Tipp aus der Praxis.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Berlin
Homepage: blog.kunstgriff.ne…
Beiträge: 20
Dabei seit: 10 / 2009
Betreff:

Re: Feature Request: TAN-Verwaltung

 · 
Gepostet: 18.10.2009 - 10:26 Uhr  ·  #19
Natürlich kann ich auf meinem Mac Mails empfangen, und das sagt genau was aus? Ich kann aber keine als PDF getarnte EXE Datei ausführen, falls Du das meinst. Welches andere Gefahrenpotential besteht in einer email?

Pharming-Seiten schön und gut. Diese können ja wohl nicht in mein Banking Programm schauen, meinen Schlüsselbund öffnen und dann dort Daten auslesen. Wenn solch ein Fall bekannt wäre, ginge das sicher durch die entsprechende Presse. Ich gebe auch nicht auf "irgendeiner" Seite einen TAN ein. Wie kommst Du darauf und darum ging es in meinem Ursprungsposting auch gar nicht!

Welche Gefahren im allgemeinen herrschen ist mir durchaus bewusst und diese müssen wir hier auch nicht alle erörtern. Meine Fragen sind doch relativ OS-spezifisch und auch auf EIN Programm hin.
Gewählte Zitate für Mehrfachzitierung:   0