Planetopia Bericht

Mellow

Benutzer

Geschlecht: keine Angabe
Beiträge: 88
Dabei seit: 04 / 2008

Betreff:

Planetopia Bericht

· Gepostet: 07.12.2009 - 09:55 Uhr · #1

Hallo Zusammen,

hier gehts zu dem Videobeitrag von gestern abend:
Planetopia Bericht vom 06.12.2009

Kurze Zusammenfassung:
- HBCI mit Chipkarte wird kurz als "HBCI" bezeichnet...gibt ja sonst keine andere Art der Legitimation via HBCI

- HBCI mit einem Klasse 2 Leser bekommt bei der Sicherheit 3 von 5 Vorhängeschlösser, da es manipulierbar sei. Es wird nicht gezeigt wie das vonstatten gehen soll. Als Grund der Manipuliermöglichkeit wird das fehlende Display angegeben. Find ich doch recht überzogen, oder wieviele Missbrauchsfälle wegen dem fehlendem Display sind bislang bekannt?
- Onlinebanking unter Linux bekommt ebenfalls nur 3 von 5 Vorhängeschlösser, da es auch hier theoretisch möglich ist zu manipulieren.

naja...einfach mal anschauen und sich ne eigene Meinung bilden.

vader

Benutzer

Geschlecht: keine Angabe
Beiträge: 973
Dabei seit: 12 / 2004

Betreff:

Re: Planetopia Bericht

· Gepostet: 07.12.2009 - 10:16 Uhr · #2

mal wirklich, sowas wie Planetopia ist eh der letzte Müll

ottoager

Benutzer

Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003

Betreff:

Re: Planetopia Bericht

· Gepostet: 07.12.2009 - 12:10 Uhr · #3

Hallo,

was mir an dem Beitrag zu denken gibt: Die volle Punktzahl für HBCI mit einem Klasse-3-Leser wird damit begründet, dass Kontonr. und Betrag dort im Display erscheinen würden; in dem Leser steckt 'ne SparkassenCard.

Meines Wissens gibt's diese Kombination (HBCI *und* Klasse-3-Leser *und* SparkassenCard *und* Anzeige auftragsbezogener Daten im Display) doch gar nicht, oder ist hier etwas an mir vorübergegangen?

Otto

Michael Döring

Benutzer

Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008

Betreff:

Re: Planetopia Bericht

· Gepostet: 07.12.2009 - 12:19 Uhr · #4

Zitat geschrieben von ottoager

Meines Wissens gibt's diese Kombination (HBCI *und* Klasse-3-Leser *und* SparkassenCard *und* Anzeige auftragsbezogener Daten im Display) doch gar nicht, oder ist hier etwas an mir vorübergegangen?

Korrekt. Das ist der aktuelle Stand. Es sei denn, es war eine Nicht-OSP-Sparkasse, da weiß ich nicht. Dafür kann ich nicht sprechen.

Mellow

Benutzer

Geschlecht: keine Angabe
Beiträge: 88
Dabei seit: 04 / 2008

Betreff:

Re: Planetopia Bericht

· Gepostet: 07.12.2009 - 14:10 Uhr · #5

Zitat geschrieben von ottoager

Meines Wissens gibt's diese Kombination (HBCI *und* Klasse-3-Leser *und* SparkassenCard *und* Anzeige auftragsbezogener Daten im Display) doch gar nicht, oder ist hier etwas an mir vorübergegangen?

Wäre mri auch neu....aber sicher wärs

nein mal Spass beiseite:
Planetopia scheint hier nach dem Schema zu testen:
Ist es möglich ein Verfahren zu manipulieren?

Dass der Aufwand für Hacker etc. aber viel zu hoch wäre, und deswegen die Wahrscheinlichkeit gegen Null geht interessiert aber nicht.
Mich würde interessieren, ob es mit "HBCI" (also das mit der Chipkarte laut Planetopia-Definition :roll: ) schon jemals einen Missbrauchsfall gab. Wichtig hierbei, dass Dinge wie Kartenweitergabe etc. hiervon ausgeschlossen sind (sonst müssen EC-Karten auch weg :twisted: ).

MauriceE

Benutzer

Geschlecht: keine Angabe
Beiträge: 303
Dabei seit: 01 / 2008

Betreff:

Re: Planetopia Bericht

· Gepostet: 07.12.2009 - 14:35 Uhr · #6

Ja, vielen dank an die "Fachleute" von Planetopia! Danke!

Ich durfte heute morgen schon verwirrte Kunden beruhigen, das hier nicht ganz korrekt beurteilt wurde ...

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8238
Dabei seit: 08 / 2002

Betreff:

Re: Planetopia Bericht

· Gepostet: 07.12.2009 - 23:21 Uhr · #7

Ich habs heute auch am Telefon erfahren und mich schon wieder geärgert.

Gibt es überhaupt eine Bank die HBCI mit Klasse 3 Lesern aktiv unterstützt? Meines Wissens ist es nur die Secoder Funktion, die das Display im Homebanking bisher aktiv nutzt, oder?

War nicht ein paar Sekunden im Hintergrund das Logo des ct-Bankix zu sehen? Das wäre doch mal eine Empfehlung für echt verdiente 5 Punkte gewesen

Warum diskutieren wir dies eigentlich im internen Bereich? Ich würde den Thread gerne aus dem Schatten holen, evtl. liest das ja mal jemand vom Planetopia-Team und denkt mal darüber nach.

Denn solange die Beiträge in Teilen sachlich falsch und schlecht recherchiert sind, werden viele Leute die Probleme dahinter nicht ernst nehmen. Oder steckt Absicht dahinter?

Gruß
Raimund

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: Planetopia Bericht

· Gepostet: 08.12.2009 - 08:42 Uhr · #8

Gute Nachrichten verkaufen sich schlecht, schlechte Nachrichten verkaufen sich gut. Es geht bei Planetopia nicht um die Sache an sich, sondern darum interessante Nachrichten zu verkaufen. Das muss nicht alles so genau sein.

Ich glaube auch nicht, das die nicht wissen das man es anders oder besser machten könnte. Kostet aber mehr Geld und am Ende verkauft sich der Werbeblock damit nicht besser.

Die Geschichte mit der Bezeichnung HBCI ist aber keineswegs falsch. Seit FinTS3 heisst das Sicherheitsverfahren mit Chipkarte oder Sicherheitsdatei ("wieder") HBCI. Im Prinzip war das vorher auch schon so, nur gab es eben die ursprünglich nicht vorgesehene PIN/TAN Erweiterung als Ergänzung zu HBCI 2.20, die den Begriff HBCI aufgeweicht hat.

Korrekt wäre heute: FinTS mit HBCI oder FinTS mit PIN/TAN.

Ich sehe das ganze mit einem lachenden und einem weinenden Auge. Aufklärung muss sein. Und die Chipkarte als Heilmittel darzustellen ist auch falsch. Sie hat ebenfalls das Risiko der Blindunterschrift wie die normale TAN oder iTAN auch, der Secoder ist dagegen nur in homöopatischen Dosen und unter bestimmten Voraussetzungen verfügbar und nutzbar.

Klar gab es auf Chipkarte/HBCI "classic" ggfs. noch keine Angriffe (oder unbekannt), das heisst aber nicht das es risikolos ist.

Das System Chipkarte (welche konkrete auch immer) ist aber für die gebotene Sicherheit auf Kundenseite n.m.M. einfach zu teuer und auf Supportseite zu aufwändig.