Postbank chipTAN comfort

Hallo zusammen,

wie ich erfahren habe, schafft die Postbank Mitte 2011 das iTAN-Verfahren (endlich) ab.
Ab November wird das neue "Postbank chipTAN comfort-Verfahren" angeboten. Die Geräte gelangen jetzt schon in den Verkauf.

@matrica
Wird das neue Verfahren schon ab November 2010 in mp2011 unterstützt (oder muss ich noch eine neue iTan-Liste bestellen?)

Viele Grüße

Steht sicherlich alles ausführlich auf der aktuellen Seite der Herstellers: http://www.matrica.de

Hallo,

lt. Angaben der Postbank soll es zunächst nicht mit Bankingprogrammen (also nicht mit HBCI) funktionieren.

Hallo,



Das könnte nur ein Software leisten, die mittels ScreenScraping auf die Postbank zugreift. Da dürfte die Auswahl sehr gering sein.
Ich würde jetzt nicht in Panik verfallen und warten, bis die Postbank das chipTAN-Verfahren auch für HBCI anbietet. Bis dahin kannst Du noch iTAN nutzen.

Hallo an alle,

ist ja etwas abenteuerlich was man hier zu lesen bekommt:

@Reynard25


Darf ich fragen woher du diese Informationen erhalten hast? Könnte die gleiche Quelle sein die mir vor Jahren weissmachen wollte elektronische Kontoauszüge würden nur über die Webseite funktionieren.

@Reynard25


Holger hat es ja bereits richtig beschrieben:
Was sollen wir den genau auf der Webseite eintragen? Das moneyplex chipTAN-comfort mit der Postbank beherscht? Dann könnten wir auch schreiben daß moneyplex SMS-TAN mit der SPK Buxtehude kann und Smart-TAN-Plus mit der VB Castrop-Rauxel.

Will sagen:
Klar kann moneyplex das ChipTAN-Verfahren. Wenn jetzt die Postbank auf ein anderes TAN-Verfahren wechselt ist das keine grosse Sache mehr. Es gibt im Moment zig-TAN-Verfahren und die Insitute werden sich welche davon aussuchen. iTAN ist Schnee von gestern und wird abgeschafft, daher kommen jetzt die ganzen TAN-Verfahren.

Und hat man die aktuelle Version moneyplex 2011 braucht man sich keine Sorgen um einen Wechsel des Sicherheitsverfahren zu machen, in der Version sind alle neuen Sicherheitsverfahren enthalten.

Tschüss

Sebastian

*kopfschüttel*

Hi MP-Linuxer

Deine Aussage ist so, wie Du sie hinstellst definitiv falsch!
HBCI ist für die Versionen 2.01 -2.2 vor allem ein Verfahren, wie Informationen von und zu der Bank übertragen werden können und wie diese abgesichert werden. In dieser HBCI Spezifikation wurden zur Absicherung elektronische Signaturen mit DES oder RDH Verfahren definiert. Das alles zusammen hat man HBCI genannt und nennt es heute noch so.
Dann haben die Sparkassen eine PIN\TAN Erweiterung zu HBCI 2.2 geschaffen und damit über HBCI 2.2 die Aufträge mit PIN\TAN abgesichert.
Als dann die Zweischrittverfahren aufkamen, hat es zu dieser Erweiterung wieder eine Erweiterung gegeben. Das alles kann man sehr schön daran sehen, dass die PIN\TAN GVs bei allen Banken, die dies nach den Erweiterungen zu HBCI 2.2 umgesetzt haben, mit den Sparkassen Segmenten laufen.

Böse könnte man also sagen, die Postbank unterstützt HBCI 2.2 mit der Proprietären Sparkassen (Zweischritt) Erweiterung der Proprietären Sparkassen PIN\TAN Erweiterung.

Erst mit FinTS 3.0 gibt es ein Framework, in der man die Formalien, die bankfachlichen Formate, die Sicherheitsverfahren usw. von einander getrennt hat. Hier steht HBCI in der Tat für die Absicherung mit den RDH oder DES Verfahren.

D.h. nur für Banken, die FinTS 3.0 oder höher unterstützen, ist HBCI wirklich ein Synonym für die Verwendung von elektronische Signaturen.


Auch wenn ich kein Fan von PIN\TAN bin, sollte man nicht von "nur" sprechen! Moderne TAN Verfahren bietet gegen deutlich differenzierte Angriffsszenarien Schutz, als es -aktuell- bei den elektronischen Signaturen der Fall ist (mal von einer Ausnahme abgesehen).


Naja, ob es Dir schmeckt oder nicht, dieses Verfahren ist in den meisten Konstellationen sicherer als die Verwendung einer Chipkarte, von daher stimmt diese Aussage so sicherlich nicht! Zumal, das Verfahren nichts Neues ist, sondern sich bereits bei den Sparkassen und einem Teil der Volksbanken und Raiffeisenbanken etabliert hat (was nicht bedeuten soll, dass die Leserhersteller dabei kein Geld verdienen).

Viele Grüße

Holger

Hallo Harry,

jetzt einfach "Ja" zu sagen würde es nicht so richtig treffen.
Also als Medium selber ist die Chipkarte auch heute vermutlich das sicherste Medium das es gibt, wenn der Angriff hierdrauf erfolgen würde.

Aktuelle Angriffe manipulieren aber im Browserfenster die Zahlungen und das, was Dir angezeigt wird. Sprich, Du glaubst, dass Du eine Zahlung erfasst hast und diese frei gibst. In Wirklichkeit sollst Du aber eine Zahlung frei geben, die der Trojaner selber erfasst hat, oder die er vor der Einreichung bei der Bank entsprechend manipuliert hat.
Wenn Dir keine Möglichkeit gegeben ist, so eine Manipulation zu erkennen, ist das Verfahren (gegen diese Angriffsform) nicht sicher.

Die modernen TAN Verfahren Sm@rt TAN plus (chip TAN ist das gleiche), mobile TAN bieten diese Möglichkeit und die Freigabe gilt ausschliesslich für den Auftrag, den Du kontrolliert hast.

Bei der Chipkarte hast Du diese Kontrollmöglichkeit nur, wenn Du einen SECODER verwendest und die Bank das Display entsprechend nutzt. In diesem Fall würde die Chipkarte gegen dieses Angriffszenario mit den modernen TAN Verfahren gleich ziehen und die Gesamtsicherheitsbilanz der Chipkarte ist vermutlich dann wieder höher als beim TAN Verfahren.

Theoretisch gilt das natürlich auch für Kundenprodukte. Aber hier kommen die im Browser genutzten Angriffsszenarien bisher nicht vor. Wenn man das Angriffsszenario für Kundenprodukte ausschliessen könnte, könnte man sagen, hier ist die Chipkarte das sicherere Medium.......

Sicherheit ist leider relativ! Man muss sich immer überlegen, wogegen man sich schützen möchte, um beurteilen zu können, ob etwas sicher ist.

Schöne Beispiele findest Du vor fast jedem Bahnhof: Schau mal wieviele Vorderräder Du dort ohne Fahrrad angekettet findest, oder wieviele Fahrräder ohne Sattel oder Räder. Hier haben die Schlösser am Rad, oder am Rahmen auch super funktioniert, sind also sicher, oder

Viele Grüße

Holger

Hi Harry,

bei deiner Bank tut sich was in den nächsten Tagen? Im Browser, oder beim Banking mit einem Programm? Weißt Du ob deine Bank am Rechenzentrum GAD "hängt"?

Viele Grüße

Holger

Hallo Holger, anscheinend unterscheiden sich Sprachgebrauch und "innere Werte" voneinander. (oder nennen wir es 'mal EDVler-Welt und Bankin-Spezialist-Welt )

Vom Sebastian hab' ich folgende Rückmeldung:


[http://www.onlinebanking-forum.de/phpBB2/viewtopic.php?t=12368]

Für ihn zählt anscheinend HBCI+ auch nicht als "echtes" HBCI.

Mit meiner Annahme, HBCI+ stamme von der PB, habe ich wohl voll daneben gelangt.
Die scheinen sich das tatsächlich um die Jahrtausendwende von den Spks "geborgt" zu haben.
Meine "Zählung" ging anscheinend kurz danach los, noch bevor PIN/TAN in das neue FinTS3 (alias HBCI3) integriert wurde.
Tut mir echt leid wegen der Fehlinfo mit der Abstammung.

Und seit eben genannter Integration in den Standard (schon ein par Jährchen her...) zählt PIN/TAN, wie Du sagt, auch als "echtes" HBCI
... egal, ob man das einsehen will, oder nicht; ich gehör' zu den letzteren, wie Du wohl bemerkt hast
Da hast Du ganz offiziell also auch schon seit längerer Zeit recht...

Liebe Grüße

Maico al. MP-Linuxer