PS:



Moment. Das heisst, die manuelle Eingabe der PIN ist jetzt unsicherer als die permanente Speicherung auf dem Rechner? Das ist ein hanebüchenes Argument.

OK, aber es ist die Datei, von der hier die Rede war? Nicht daß ich beim Probieren etwas zerschieße...


Die häufigsten PIN-Löschgründe bei mir sind gar nicht direkt Bankfehler, sondern
1. vergessen, daß ich noch offline bin
2. mal wieder versucht, bei Sparda-Bank eine Umbuchung vorzunehmen.
3. Abbruch einer losgeschickten Überweisung wegen irgendwelchem Zögern (z. B. Kontostand vorher nicht aktualisiert/überprüft).


Davon bin ich fest überzeugt. Sichere manuelle Eingabe würde voraussetzen, daß man nur mit der Bildschirm-Tastatur (osk) arbeitet. Ganz schlecht sind Funktastaturen. Dem gegenüber ist die gespeicherte PIN in einem verschlüsselten Container oder einer verschlüsselten Datenbank - oder dann beim Einsatz in einem verschlüsselten Datenstrom - nicht so ohne weiteres abzugreifen.

Gruß
Kleinsparschwein

Dafür gibt es unter Hibiscus->Einstellungen eine Option "Dauerhafte Internetverbindung. Aufforderung zum Verbinden nicht erforderlich". Nimm dort das Häkchen raus. Dann wirst du explizit aufgefordert, die Internetverbindung herzustellen.

Davon bin ich ebenfalls überzeugt und Keylogger sind Realität.
Bildschirmtastaturen sind nun aber auch keine Lösung, die Eingabe ist mit einer Videoaufzeichnung auszuspähen ist für gängige Trojaner kein Problem mehr.

Es ist aber wichtig, hier die Haftungssituation zu beachten: Speichert man die PIN, handelt grob fahrlässig und die Bank wird keine Haftung übernehmen. Das Risiko umfasst ja beispielsweise nicht nur Keylogger, sondern auch Veruntreuung in Familie und Firma. Darüber muss man also mehr als zweimal nachdenken...
Unter Umständen kann das Speichern der PIN also sicherer sein, gerade beim PIN&TAN-Verfahren, aus Haftungsgründen rate ich aber davon ab.
Gruß
Raimund

a.) wie will eine Bank dies nachweisen?
b.) bei der Eingabe in der Bank-WebGUI könnte evtl. von der Eingabegeschwindigkeit Rückschlüsse gezogen werden. Über eine Software ist dies nicht möglich, da die Info nicht mitgesandt wird.

aber ist eine Sicherheitsdiskussion hier wirklich sinnvoll?

Das ist sicherlich schwer bis unmöglich. Dennoch darf die Haftungsproblematik deshalb nicht ignoriert werden und ich finde es auch gut, dass Raimund das hier nochmal erwähnt hat. Das war es auch, worum es mir eigentlich ging: Die Diskrepanz zwischen technischer Realität und juristischen Implikationen. Daher kann man aus meiner Sicht nicht pauschal sagen, dass das Speichern der PIN besser ist. Insbesondere auch dann nicht, wenn das hier Laien lesen, diese die PIN bedenkenlos speichern, es dann zu einem Schaden kommt (egal, was dabei der Angriffsvektor war) und der User dann gegenüber der Bank bedenkenlos aussagt, dass er die PIN natürlich sicher abgespeichert hatte.



Nein, eigentlich nicht. Denn wir hatten diese Diskussion ja schon unzählige Male.

Die PIN kann ja in Hibiscus gespeichert werden. Im konkreten Fall ging es darum, dass sie nach einem Fehler bei der Kommunikation mit der Bank erneut eingegeben werden muss. Und das halte ich für sinnvoll. Andernfalls müsste die Anwendung vorher prüfen, aus welchem Grund es zu einem Fehler kam. Und die PIN nur genau dann aus dem Wallet löschen, wenn sichergestellt ist, dass der Grund für den Fehler eine falsche PIN (oder anderweitig fehlerhafte Zugangsdaten) war. Denn andernfalls läuft man Gefahr, dass Hibiscus beim dritten Fehlversuch eine Sperre des Zugangs bei der Bank auslöst.

Ob ihr es glaubt oder nicht: Es gibt auch ehrliche Kunden und Zeugen.
Gruß
Raimund

wenn ein Kunde ehrlich ist, dann wird er die Bank - bei eigenem Verschulden - nicht in Haftung nehmen - somit wird es garnicht publik
unabhängig hiervon bleibt es jedoch dabei, dass die Bank es nicht nachweisen kann

... oder kann es sein, dass einen smilie vergessen hast

Es gibt unterschiedliche Facetten und sehr viele Möglichkeiten. Du kannst z.B. grob fahrlässig handeln, ohne dir dessen bewusst zu sein. Das passiert z.B. vielen Geldwäschern hinter dem Phishing. Aber wir sollten das Hibicus-Forum nicht zu sehr strapazieren, wenn jemand das Bedürfnis hat, es noch auszudiskutieren, möge er einen neuen Thread im allgemeinen Teil öffnen.
Gruß
Raimund