Ja, das ist genau die Variante, die ich auch am plausibelsten finde - siehe mein Posting von gerade eben.

Sorry, aber das sehe ich gerade für gut und richtig an. Der Nutzer soll seine PIN irgendwo sinnvoll ablegen, wo er sie wieder lesen kann. Stichwort Zettel im Tresor, Passwordsafe, was weiß ich.

Dass man sie beliebig im Bankingprogramm, in dem sie nur "zur Verwendung" hinterlegt ist, wieder anzeigen kann, halte ich für ungut. Musterfall: Man bankt gerade, hibiscus ist offen, man wird kurz weggerufen und macht hibiscus nicht zu - weil vielleicht gerade eine Abfrage läuft. Jeder der nun an den Rechner kann, kann sich die PIN zeigen lassen.

Früher konnte man in B4 die PIN, die mit ***** maskiert war, im Bankzugangsdialog auch wieder anzigen, indem man den Cursor ins Feld gesetzt hat. Das wurde - in meinen Augen richtigerweise - entfernt.

Ja, das stimmt auch wieder. Mir fiel halt als Parallele die Passwort-Verwaltung im Browser ein. Dort kann man sich die Passworte ja auch anzeigen.

Ja. Aus dem Grund - und weil das, wenn's bequem sein soll - zwischen Geräten synchronisiert wird, würde ich dort immer nur "unkritische" Passwörter ablegen - niemals Bankzugänge...

Vielleicht kann man den Nutzer beim Hinterlegen der PIN im Bankzugang darauf hinweisen, dass sie hier nur VERWENDET wird aber nicht wieder angezeigt werden kann und der Nutzer für die dauerhafte wieder lesbare Archivierung andernorts selbst zuständig ist. Aus Sicherheitsgründen.

Zumal man in meinen Augen heute ohne eine sinnvolle globale Passwortverwaltung eh nicht mehr auskommen kann. Zugänge zum WebBanking lasse ich ausschließlich von meinem Passworttresor auf Anforderung einfügen - niemals vom Browser.

Das könnte man aber dadurch verhindern, indem zur Anzeige eines Passwortes zwingend jedes Mal das Master-Passwort eingegeben werden muss. Das wäre dann auch nicht anders, als wenn es im Passwortsafe gespeichert wäre und hätte den Vorteil, dass es eben nicht noch zusätzlich im Passwortsafe gespeichert werden muss.

PS: Sorry übrigens, es war nicht meine Absicht, dass das Thema so ausartet.

Och, ich denke nicht, dass das ausgeartet ist - ich sehe das als durchaus fruchtbare Diskussion - und so wie ich das lese sieht Olaf das auch so. Und es ist sicher sinnvoller, so ein Thema erst von verschiedenen Seiten zu diskutieren, bevor es vielleicht eingebaut wird...

Das mit dem Master-Password - prinzipiell natürlich auch möglich. Aber nur, wenn NUR der Kontoeigentümer damit arbeitet. Gerade im geschäftlichen Umfeld kommt es öfter vor, dass Mitarbeiter die Umsätze verarbeiten und dazu auch mal einen Abruf anstoßen - und dazu natürlich das Programm starten. Zahlungen können sie nicht machen, weil ihnen die TANs fehlen. Also kein echtes Problem. Man möchte aber vielleicht trotzdem nicht, dass sie dann die echten BANK-PINs anzeigen können und dann ggf. auch von zuhause aus auf die BankWebsite zugreifen können. Klar, das ist jetzt ein besonderer Fall, aber das kommt öfter vor, als man meinen mag. Ich kenne das aus der Praxis.

Ja, das ist ein mir auch bekanntes Szenario. In dem soll es in der Tat gar nicht moeglich sein, die gespeicherten PINs einzusehen.

Das glaube ich gerne, dass das öfter vorkommt. Sinnvoller wäre da aber, wenn es eine Art Rechteverwaltung gäbe, also eine Trennung zwischen Admininstrator-Rechten und Benutzer-Rechten. Der Admin dürfte selbstverständlich alles, also auch Passwörter auslesen, mit seinem Passwort und die Benutzer dürften nur das, was der Administrator ihnen erlaubt, z.B. nur Umsätze abrufen. Konten anlegen oder Plugins installieren dürfte der Benutzer hingegen nicht, ebenso wenig das Passwort auslesen. Aber das würde ja nun wirklich den Rahmen sprengen auch noch Benutzerrechte einzuführen, obwohl das sicher ein nettes Feature wäre.

Klar. Als nächstes baut Olaf jetzt eine komplette Rechteverwaltung ein, die, wenn sie halbwegs was taugen soll, letztendlich genauso groß wird, wie das Programm selber. Als nächtes kommt dann die komplette Netzwerkfähigkeit mit gleichzeitigen Arbeitsplätzen...

Merkst Du was? Eierlegende Wollmilchsau? Freie Software!? Kostenlos....

Es gibt so viel, was man KÖNNTE. Je mehr davon man macht, so komplizierter wird das Programmsystem und umso schwieriger wartbar und um so mehr Support benötigt es.

Wer etwas mit "ich möchte eine eierlegende Wollmilchsau" braucht oder auch nur will... gibt es. Heißt SFIRM oder MULTICASH usw. Das geht unglaublich weit. Dafür gibts Entwickler und ganze Supportabteilungen. Nur kostet das dann so richtig Geld. Mit jährlichen Wartungsgebühren usw. Insofern ist das sicher kein gangbarer Weg für eine freie, kostenlose Software.

@msa
Ich frage mich, warum du jetzt auf mich los gehst? Ich habe doch im Beitrag bereits geschrieben, dass das den Rahmen sprengen würde. Ich brauche sicher keine Belehrungen, was bei freier Software möglich ist, ich programmiere und supporte mit TV-Browser schließlich selbst eine die über mehrere 100.000 Zeilen Quellcode verfügt.

Ich habe nur festgestellt, was für die Unternehmen eine richtige Lösung wäre, denn das Master-Passwort anderen mitzuteilen, halte ich bereits für ein Sicherheitsbruch, auch wenn es bequem ist.

Ich gehe absolut nicht auf dich los, sorry, wenn Du das Gefühl hattest.

Ich habe nur Gedanken zur Situation aufgeschrieben. Ich begleite el. Banking auf PC / Kundenseite seit dem Jahr 1989, zuerst knapp 20 Jahre beruflich, danach als Kunde. Ich habe in der Zeit viel erlebt und viel gesehen. Und grundsätzlich immer miterlebt, dass Software so lange mit Funktionen aufgeblasen wurde, bis sie nicht mehr wartbar war und niemand mehr sie verstanden hat. Entweder sie mußte dann weggeworfen und neu geschrieben werden (wenn man die Resourcen dazu hat) oder es hat PLOPP gemacht und die Software war tot. Mitsamt der entsprechenden Firma.

Dass es "sauberere" Wege gibt, als einen Angestellten per hbiscus Umsätze über die Kennung des Kontoinhabers abholen zu lassen, darüber brauchen wir nicht reden. Der einzig richtige Weg wäre eine bankseitige Abrufkennung für jeden entsprechenden MA. Aber das wird praktisch halt in den seltensten Fällen gemacht. In den meisten Fällen läuft es genau so, wie ich es geschildert habe. Olaf hat ja auch geschrieben, dass er das so kennt.

Und...TV-Browser - kannte ich garnicht. Muss ich mir mal anschauen!

Ist okay. Ich habe hier nur beim Brainstorming mitgemacht, denn wir sollten den Beginn nicht vergessen. Ich speichere die PINs ja gerade nicht und brauche daher auch keine Funktion sie auslesen zu können. Ich habe es nur von Benutzerseite aus betrachtet und da wäre halt die Funktion die PINs im Fall des Falls auslesen zu können schon hilfreich.

Und weil es vielleicht auch zu selten gesagt wird, danke Olaf für die hervorragende Arbeit. Ich bin mit Jameica, Hibiscus und SynTAX sehr zufrieden. Ich hoffe du hast es auch so verstanden, dass das Speichern einzelner PINs für mich ein Nice-To-Have-Feature ist, ich brauche das nicht unbedingt, ging ja bisher auch ohne.

Kein Stress - alles in Ordnung ;)
Fuer das Konfigurieren der PIN-Speicherung hab ich ja schon ein Ticket angelegt. Ich denke, ich werde es bei Gelegenheit so aehnlich einbauen, wie es msa fuer Banking4 beschrieben hat - also direkt im Bankzugang. Muss mir aber noch paar Gedanken machen, wie man die bisherige globale Einstellung migriert und wie man dann mit PIN-Cache und permanentem PIN-Speicher umgeht. Denn bisher gibts in Hibiscus ja beides. Der Cache gilt hierbei nur fuer die Dauer der Sitzung.

Damit es was bringt, sollte das ganze Procedere durch die Aenderung ja eher einfacher als komplizierter werden. Ich versuche in all den Jahren schon immer nen brauchbaren Kompromiss zu finden - aus neuen Features auf der einen Seite, aber ohne dass es dadurch im Laufe der Zeit immer komplexer wird.

Den PIN-Cache benutze ich auch, die Einstellung dafür ist doch auch automatisch gesetzt, soweit ich mich erinnern kann, habe ich dort nämlich nichts eingestellt. Den sollte es auf jeden Fall auch weiterhin geben.