Sicherheitslücke bei libfinx?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7
Dabei seit: 02 / 2020
Betreff:

Sicherheitslücke bei libfinx?

 · 
Gepostet: 11.02.2020 - 16:59 Uhr  ·  #1
Hallo,

ich habe bei der erst Anmeldung über die libfinx die TAN aus dem App eingegeben, da ich danach gefragt wurde.
Seit dem wird mir keine TAN mehr gefragt und ich kann sofort einloggen und Umsätze abrufen.

Ist das so gewollt oder liegt hier eine Fehler?

VG
Frank Neumann aus Erlangen
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7280
Dabei seit: 03 / 2007
Betreff:

Re: Sicherheitslücke bei libfinx?

 · 
Gepostet: 11.02.2020 - 17:41 Uhr  ·  #2
Was hat die libfintx mit einer TAN-Eingabe zu tun? Garnichts. Eine TAN wird immer dann abgefragt, wenn der Bankrechner eine verlangt. Die Software auf dem Kundenrechner ist nur "Vermittler". Das heißt, der Bankrechner fordert keine TAN mehr an und spuckt die Umsätze "freiwillig" aus.

Erklärung wäre, dass die Bank die 90-Tage-Regel nutzt. Einmal TAN und dann für 90 Tage keine mehr.

Um welche Bank geht es eigentlich?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7
Dabei seit: 02 / 2020
Betreff:

Re: Sicherheitslücke bei libfinx?

 · 
Gepostet: 11.02.2020 - 19:57 Uhr  ·  #3
Hi,

also d.h. nach 90 Tagen würde mich die Bank erneut nach TAN fragen, wenn ich wieder mit dem libfinx anmelde?
Es handelt sich um die DKB
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7280
Dabei seit: 03 / 2007
Betreff:

Re: Sicherheitslücke bei libfinx?

 · 
Gepostet: 11.02.2020 - 20:00 Uhr  ·  #4
Die DKB verwendet auf der HBCI-Schnittstelle (und die wird hier genutzt) die 90-Tage-Regel. Deswegen musstest Du beim ersten Mal eine TAN eingeben - und dann für 90 Tage nicht mehr. Nach 90 Tagen wird wieder eine TAN angefordert. Und außerdem immer dann, wenn Du Umsätze anforderst, die mehr als 90 Tage in der Vergangenheit liegen.

Im Gegensatz dazu fordert die DKB bei jedem Login is WebBanking eine TAN an (alternativ Bestätigung über die DKB-App).
Benutzer
Avatar
Geschlecht:
Beiträge: 6961
Dabei seit: 06 / 2008
Betreff:

Re: Sicherheitslücke bei libfinx?

 · 
Gepostet: 11.02.2020 - 20:25 Uhr  ·  #5
es handelt sich somit um PSD2 und nicht im Ansatz um eine "Sicherheitslücke", weil das kann bei manchen Usern schnell in die falschen Hals kommen bzw. ein Produkt in "Verruf" bringen.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7
Dabei seit: 02 / 2020
Betreff:

Re: Sicherheitslücke bei libfinx?

 · 
Gepostet: 11.02.2020 - 20:32 Uhr  ·  #6
Sorry, aber ich habe doch nur gefragt und war doch nicht böse von mir gemeint.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6135
Dabei seit: 02 / 2003
Betreff:

Re: Sicherheitslücke bei libfinx?

 · 
Gepostet: 12.02.2020 - 08:17 Uhr  ·  #7
Zitat geschrieben von Frank Neumann

Sorry, aber ich habe doch nur gefragt und war doch nicht böse von mir gemeint.

Hat auch keiner von Dir böse aufgefasst. Aber das Thema wird hier mindestens seit dem Sommer 2019 immer wieder in allen Facetten diskutiert und immer wieder von den gleichen Leuten gebetsmühlenartig erklärt.
Manchmal ist das dann halt nervend, wenn man das Gefühl hat, dass sich niemand mit seinem Banking beschäftigt hat, obwohl die Banken das immer wieder -mal mehr mal weniger gut kommuniziert haben.
Und eine Aussage Sicherheitslücke und sich nicht informiert haben, wirkt dann halt schon mal als Brandbeschleuniger fürs genervt sein.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7280
Dabei seit: 03 / 2007
Betreff:

Re: Sicherheitslücke bei libfinx?

 · 
Gepostet: 12.02.2020 - 11:55 Uhr  ·  #8
Abschließend noch etwas zum Verständnis: "Sicherheit" kann es nur auf Seiten des "nicht manipulierbaren" Bankrechners geben - etwas, worauf die Software auf der Kundenseite keinerlei Einfluss hat. Eine echte Sicherheit auf Kundensoftwareseite kann es nie geben, insofern kann es da auch keine wirklichen Sicherheitslücken geben.

Klar, es gibt Kundensoftware, bei der es eine Benutzerverwaltung gibt, so dass bestimmte Benutzer bestimmte Aktionen nur nach Anmeldung mit Passwort usw. durchführen bzw. einsehen können. Aber eine wirkliche Sicherheit ist das nicht, denn auf die Kundensoftware hat ein "Bösewicht" ja direkten Zugriff. Wenn er nicht gleich die Anmeldung knacken kann, kann er einen Trojaner hinterlegen, der das Nutzer-Anmeldepasswort ausspäht oder er kann den Datenverkehr zwischen Kundensoftware und Bank mitlesen und kann da die Anmeldedaten herausfiltern - schon ist die vermeintliche Sicherheit kompromittiert.

Also gibt es Sicherheit nur gegenüber dem von Kundenseite her nicht manipulierbaren Bankrechner. Wenn dieser eine TAN fordert, dann gibt es keinen Weg daran vobei - ohne TAN geht es nicht - und wenn sich die Kundensoftware (oder der Kunde :-) ) auf den Kopf stellt. Genauso fragt die Kundensoftware eben dann keine TAN ab, wenn der Bankrechner keine verlangt.

Halten wir fest: Alle Einschränkungen auf Seiten der Kundensoftware sind mehr oder weniger nur "organisatorische Hilfsmittel". Sicherheit (und Sicherheitslücken) kann es nur auf Bankrechnerseite geben. Insofern war die Ursprungsfrage schon - verzeih mir den Ausdruck, aber mir fällt kein besserer ein, ist nicht böse gemeint - "Unsinn".
Gewählte Zitate für Mehrfachzitierung:   0