FinTS über Browserbanking?

Hi stekna,

du darfst dir FinTS bzw. HBCI nicht als ein Verschlüsselungsverfahren vorstellen. Das HBCI-Protokoll ist an und für sich nur ein Kommunikationsprotokoll, dass vorschreibt, wie die Nachrichten zwischen Bank und Kunde auszusehen haben. Dies lässt sich im Browserbanking nicht realisieren, denn dort gibt es ja schon ein Kommunikationsprotokoll (HTTP/HTTPS). Der Nachrichtenaustausch zwischen Kunden und Server passiert in jedem Fall per HTTPS-Requests und damit mit normaler SSL-Verschlüsselung. Was die Bank im Endeffekt auf Server-Seite damit macht, ist ihre Sache. Es ist durchaus vorstellbar, dass eine Bank die engegengenommenen Nachrichten als HBCI-Nachrichten aufbereitet und an ihren HBCI-Server weiterreicht, aber in der Regel sind Internetbanking und HBCI/FinTS zwei unterschiedliche Bereiche.
Btw. auch HBCI-Pin/Tan aus einem Client-Produkt arbeitet nur mit einfacher SSL-Verschlüsselung. Eine bessere Kryptographie ist bei PIN/TAN einfach nicht möglich, weil sonst auf der Kundenseite zwingend ein Schlüssel hinterlegt werden müsste (Diskette, Chipkarte...). Weil der Schlüssel vor jeder Verbindung neu ausgehandelt werden muss, ist das derzeitige HBCI-PIN/TAN daher auch nicht resistent gegen Man-In-The-Middle-Angriffe (das wird sich hoffentlich mit dem Zweischrittverfahren ändern).

Gruss, Marcel

danke für die antworten
was ich aber nicht verstehe ist, dass viele banken ihr PIN/TAN als FinTS PIN/TAN verkaufen. da wird ja dann auch kein schlüssel im programm hinterlegt