Hibiscus PIN speichern

Und wie soll da ein Trojaner rankommen? Ich meinte nicht das Abheften der PIN in einem Aktenordner zu Hause (falls an den jemand Unbefugtes rangekommen ist, hast du noch ganz andere Probleme als die PIN) sondern das Speichern in einer Software, die potentielles Angriffsziel einer Schadsoftware sein kann. Sicher wirst du jetzt sagen, dass DEIN Rechner sicher ist und da nichts passieren kann. Die Aussage laesst sich aber leider nicht verallgemeinern.



Die Antwort dazu hast du gerade selbst geliefert. Weil es KOMMERZIELLE Programme sind. Und was wollen die Anbieter kommerzieller Programme? Verkaufen. Und man verkauft Programme nun mal am besten, wenn man das reinbaut, was die User wollen - voellig egal, ob der Softwarehersteller von der Funktion ueberzeugt ist oder nicht. Diesem Zwang muss ich mich als Programmierer einer Opensource-Software aber gluecklicherweise nicht unterwerfen. Ich kann das einbauen, wovon ICH ueberzeugt bin.



Da hast du mich falsch verstanden. Ich meinte natuerlich nicht, dass eine Software einfach - mir nichts, dir nichts - ploetzlich mit der Bank kommuniziert. Aber ich denke JEDER hat schonmal fluechtig auf einen Button geklickt und eine Sekunde zu spaet gemerkt, dass es der falsche war. Sei es das versehentliche Loeschen einer Datei oder das zu fruehe Absenden einer Mail. Die explizite PIN-Eingabe schuetzt vor dem versehentlichen Absenden einer Ueberweisung. Und nein, ein einfaches "Sind Sie sicher?" als Warnhinweis reicht da meiner Meinung nach nicht aus. Ich habe schon oft genug versehentlich Dateien geloescht. Trotz Warnhinweis.



Das "Ist das OK?" war keine Frage von mir sondern Bestandteil des Satzes "ACHTUNG, ich greife jetzt auf dein Konto zu.".



Du kannst das auch bei Hibiscus selbst entscheiden. Indem du dir den Quellcode holst und es dir einbaust. Bei kommerzieller Software bezahlst du den Hersteller fuer die Funktionen, die du haben willst. Bei Opensource musst du das nicht. Du kannst es selbst aendern.



Das ist deine Meinung. Ich hab halt eine andere.



Wieso nehme ich dem User denn Moeglichkeit, sich selbst um die Sicherheit der PIN zu kuemmern? Ganz im Gegenteil. Bei Hibiscus bleibt die PIN beim User. Bei Anwendungen, die die PIN jedoch speichern, gibt der User die Kontrolle ueber die PIN an das Programm.

Jetzt bin ich doch wieder auf diese Diskussion eingestiegen. Eigentlich habe ich meine Meinung hierzu schon so oft geaeussert. Ich will mich fuer diese Entscheidung nicht immer wieder rechtfertigen muessen. Wie Stefan schon schrieb: "Eine Banking-PIN gehört nicht gespeichert.".

Ja, koennte ich. Will ich aber eigentlich nicht. Ich meine, mich zwingt doch niemand dazu, das einzubauen. Ich baue an Hibiscus, weil es mir Spass macht. Und wenn ich das nicht fuer sinnvoll halte, muss ich es doch nicht einbauen, oder?



Ich bin mir nicht sicher, ob du informiert bist, wem du hier grad Kenntnislosigkeit unterstellst.

Danke, ich glaube, ich hab den Unterschied jetzt verstanden.

Ach nein, doch nicht. Erklär's mir nochmal bitte. Mit PIN/TAN kann ich also nur von zu Hause aus arbeiten ("HOME"), und bin dabei aber NICHT ONLINE (sonst wäre es ja online-Banking)? Und wenn ich mit RSA-Schlüsseln arbeite, geht das von zu Hause aus nicht (sonst wäre es ja wieder HOME-Banking)? Muss ich dazu dann ins Internet-Cafe gehen? [SCNR]


Wortklauberei. Der wesentliche Sinn meiner Aussage ist offensichtlich nicht bei Dir angekommen.


Der Vorschlag wurde gehört. Und abgelehnt. Wie Olaf schon sagte: es hindert Dich natürlich niemand daran, trotzdem entsprechende Funktionalität einzubauen.

Grüße
-stefan-

oooohhh, da habe ich doch tatsächlich einen lustigen Thread übersehen! Schade, ich hätte so gerne die Selbstdemonatge von eldomico weiter verfolgt. ..........

...irgendwie kommen in letzter Zeit lauter Kapazitäten und Spezialisten hier ins Forum?!?

...und ich hätte das hier auch noch gerne weiterverfolgt, erinnert es mich doch irgendwie an den gefährlichsten Hacker der Welt.

Hylli

Zur Ehrenrettung von eldomico:
Je nach Bank (und nach Bestrebungen im ZKA) ist die Begrifflichkeit HBCI PIN und Onlinebanking PIN in der Tat zu unterscheiden. Insgesamt ist die Namensgebung der vielen PINs sicherlich nicht förderlich für das Verständnis der Materie. Wenn eldomico nicht über so ein ungesundes Maß an aggressivem Halbwissen verfügen würde, hätte man diesen Teil seiner Aussagen sogar sauber klären können. Alles andere wärme ich mal nicht auf

Gruß

Holger

Aus den Richtlinien einer großen Bank, nicht von irgendeiner 0815 Bank aus Hintertupfingen! Auch bei anderen Banken sind ebensolche Hinweise zu lesen.



Eine sogenannten "Wahlmöglichkeit" für den User wäre doch nach wie vor eine "feine" Sache!

Warum nochmal dieser Versuch? Ich bin mit dem jetzigen benutzten auch kostenfreien Programm, sehr zufrieden - ist aber kein Opensource! Warum die Wertigkeit auf Opensource? Z. Zt. existiert ein (fast) fertiges Opensource - Windowssystem, d.h. es fehlt noch der Übergang vom Alpha- zum Betastatus von ReactOS UND ... na ja lieber keinen neuen Ärger mit der HBCI-PIN Abspeicherung! Der Vorteil (auch für einige andere) bei diesem System, keine lästige Emulation von Windowsprogrammen bei anderen Nicht-Windows-Betriebssystemen. Aber das gehört hier nicht her und sollte nur der Erklärung dienen.

PS. dies hier brauch nicht kommentiert werden, aber ich schaue mal was eventuell doch so hilfreiches beigetragen wird.

freundlichst
eldomico

Hallo!


Ich finde es auch sehr übel, dass es nicht möglich ist, PINs zu speichern. Hat inzwischen jemand eine patch oder ein plugin geschrieben oder so etwas?

[Geschwafel]
Die Tatsache, dass ich immer wieder PINs aller meiner Bankverbindungen eingeben muss, war bisher das einzige, was mich von einem Umstieg auf Hibiscus abgehalten hat. Ich kann es verstehen, dass die Funktion eventuel "unattraktiv" wirkt, fände es aber Klasse, wenn zumindest eine versteckte Option vorhanden wäre oder ähnliches. Es gibt wirklich wirklich wirklich genug Leute, für die die Eingabe der PIN einen großen Stolperstein im Workflow darstellt und auch genug die selbst darauf aufpassen können. Dass die PIN nur pro Sitzung gespeichert werden kann (eine Funktion, die bei mir übrigens defekt ist - die Pins für allem Konten müssen bei mir für jede Synchronisation eingegeben werden) führt meines Erachtens bei den meisten höchstens dazu, dass sie das Programm offen lassen statt es zu beenden.
[/Geschwafel]

Naja... gnucash kann ich im Moment leider nicht ohne größere Umstände zum laufen kriegen, da es sich mit den neuen aqbanking-versionen nicht kompilieren lässt.... wäre klasse wenn jemand eine vorläufige Lösung für mein "Hibiscus-PIN-Problem" hätte - so langsam geht mir das ständige PIN-Eingeben wirklich sehr auf die Nerven.


Merci!

Ich weiß, es ist "eigentlich" ein rotes Tuch. Aber wenn man genau hinsieht, will der Autor das Speichern der PIN nur "eigentlich" nicht einbauen und vielleicht ist seine Standfestigkeit ja schon angeknackst?


Also für mich ist Hibiscus "eigentlich" völlig unbenutzbar*. Ich muss 8 (natürlich unterschiedliche) PINs eingeben und nach jeder PIN auch noch einen Moment warten, so dass ich über 2 Minuten konzentriert da dransitzen muss. Für mich wäre das ideale Banking-Programm wie ein Emailprogramm, das mich einfach nur bei Neuigkeiten sofort informiert und um das ich mich sonst nicht kümmern muss.

Ich starte Hibiscus einmal morgens und lasse es dann den ganzen Tag laufen, um wenigstens das Sitzungs-Caching nutzen zu können, was dann bei einer Fehleingabe aber auch wieder sehr labil reagiert. Warum wird dann der gesamte Cache geleert und die ganze Synchronisation abgebrochen? Dann muss ich mühsam die Häkchen bei den schon abgerufenen Accounts entfernen, die Synchronisation neustarten und auch alle nachfolgenden PINs nochmals eingeben. Zumindest bräuchte nur die eine PIN aus dem Cache gelöscht zu werden, oder noch besser es erfolgt sofort eine zweite und dritte Abfrage und die Synchronisation läuft anschließend weiter (selbst wenn die PIN tatsächlich vergessen wurde).

Es ist natürlich total toll, dass ich dadurch alle 8 PINs auswendig kann, aber irgendwie beschäftige ich mich wirklich den ganzen Tag mit meinem Bankingprogramm und das nur weil ich es einfach nicht wahrhaben will, dass niemand eine Lösung dafür bietet.

Das Programm den ganzen Tag offen zu lassen ist auch nervig und sicherheitsbedenklich. Und ich habe sogar schon versucht, ein Scriptingprogramm darauf anzusetzen, aber dann müsste ich die PINs im Klartext ins Script schreiben! (Und ich würde vom Autor erwarten, dass er das verhindert hat)

*Trotzdem bleibe ich dabei und benutze Hibiscus weil ich es sonst sehr gelungen finde.

Ich habe schon darüber nachgedacht, selbst ein Plugin zu schreiben, aber ich habe nicht die Zeit, mich damit nur für mich zu beschäftigen. Wenn auch andere Benutzer Interesse hätten und mich dafür bezahlen würden, wäre es kein Problem, aber zu einem kostenlosen Programm eine kostenpflichtiges Plugin anbieten? Dat geht wohl nich.

Also was nun?

Wie wärs mit einer Umfrage unter allen Usern?

Ich selbst bin schon so weichgekocht, dass ich tatsächlich dafür eine Kleinigkeit bezahlen würde, was ich sonst eigentlich nie tue und tatsächlich lieber auf kostenlose Software mit Mängeln ausweiche bzw. so lange weitersuche bis ich was kostenloses+perfektes gefunden habe

Ich habe früher, als ich noch zu viel Zeit hatte, auch massenweise Freeware-Programme geschrieben und finde das eigentlich auch super.

Also, ich wäre bereit, 20 Euro zu zahlen, wenn Hibiscus zukünftig automatisch und ohne Passworteingabe als z.B. Tray-Applikation oder Service/Daemon startet, in einstellbaren Intervallen meine Konten synchronisiert, und erst bei Neuigkeiten nach einem Passwort fragt und dann die Buchungen anzeigt - oder zumindest möglichst weit in diese Richtung. Und ich wette ich bin nicht der einzige.

Ich weiß, der Vorschlag ist ein Riesen-Problem, insbesondere weil es ein Multi-Plattform-Programm ist. Aber das ist nicht mein Problem. Ich bin der Kunde und benutze Windows

Nichts für Ungut,
-Moritz

Ist Onlinebanking in dieser Form mit dieser Software vielleicht nicht die richtige Lösung für euch, eldomico und maf-soft?
Automatisierungen macht man normalerweise auf anderem Weg, der natürlich nicht so kostengünstig aber eben genau dafür vorgesehen ist, Stichwort EBICS und Firmensoftware. Ich verstehe nicht, warum ihr von einer Privatanwender-Software Firmenkundenleistungsmerkmale verlangt, noch dazu wo das PIN speichern allen Bankbedingungen widerspricht. Das paßt einfach nicht zusammen. Insofern finde ich dieses Gebettele völlig unangebracht.
Habt ihr mal mit Eurer Bank gesprochen, welche Lösungen die anbieten?