Bitte wähle nachfolgend aus, welche Beiträge auf dieser Themenseite auf dem Ausdruck ausgegeben werden sollen. Um dies zu tun markiere bitte die Checkbox auf der linken Seite der Posts, die im Ausdruck berücksichtigt werden sollen und klicke anschließend ganz unten auf der Seite auf den Button "Drucken".

Hibiscus: Speichern der PIN

Bevormundung?

mechanicus

Betreff:

Hibiscus: Speichern der PIN

 ·  Gepostet: 26.06.2011 - 09:27 Uhr  ·  #76139
Hallo,

ich möchte die PIN's der 4 Bankzugänge lokal abspeichern.
Ich möchte hier mich nicht rechtfertigen. Ich kenne mich mit Rechnersicherheit unter Linux aus, kenne das Risiko und halte es für vertretbar.

Der Warnhinweis von Hibiscus erweckt allerdings den Eindruck von Bevormundung:
Code
Nach Aktivierung dieser Funktion erhalten Sie vom Programm-Autor von Hibiscus keine Hilfe mehr bei Fragen oder Problemen.
PIN-Speicherung wirklich aktivieren?


Klicke ich auf "ja", wird trotzdem 4 Mal die PIN beim Abholen der Umsätze abgefragt, auch nach einem Neustart von Hibiscus.

Michael Döring

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 26.06.2011 - 10:20 Uhr  ·  #76140
Zitat geschrieben von mechanicus
Ich kenne mich mit Rechnersicherheit unter Linux aus, kenne das Risiko und halte es für vertretbar.

Kennst du auch die Onlinebanking-Bedingungen deiner Bank die dir das verbieten und dich bei Zuwiderhandlung in die grob fahrlässige Ecke stellen? Bei einem Schaden wird die Bank in so einem Fall deshalb nur müde lächeln, egal wie gut du dich damit auskennst und du bleibst drauf sitzen.

Das ist wie Autofahren ohne Gurt. Es geht zwar und ist vielleicht komfortabel aber bei einem Eigenschaden nach einem Unfall hast du immer selbst schuld und musst die Folgen selbst bezahlen.
Von daher: Sieh es als Bevormundung, ärgere dich drüber aber lass es trotzdem bleiben. Es ist zu deinen Gunsten!

mechanicus

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 26.06.2011 - 10:34 Uhr  ·  #76141
Zitat geschrieben von Michael Döring
Kennst du auch die Onlinebanking-Bedingungen deiner Bank die dir das verbieten und dich bei Zuwiderhandlung in die grob fahrlässige Ecke stellen?

Ja. Deine Behauptung diesbezüglich ist nicht zutreffend.
Zitat geschrieben von Michael Döring
Sieh es als Bevormundung, ärgere dich drüber aber lass es trotzdem bleiben. Es ist zu deinen Gunsten!

Woher willst Du das wissen ohne Kenntnis meiner Rechnerumgebung und meines Sachverstands??
Besserwisserei und Bevormundung in meinem privaten Bereich (dazu gehört auch die Handhabung sicherheitsrelevater Dinge) lehne ich nun mal grundsätzlich ab.

Edit:
Klang vielleicht etwas hart, aber wirf mich doch bitte nicht in einem Topf mit den Windowsidioten, die mit Superuserrechten auf dem selben Rechner ins Internet gehen, auf dem sie auch PC-Banking betreiben.

Vielleicht ist es ja auch für andere interessant:
Betriebssystem Fedora 14
speziellen user für PC-Banking (und anderer sicherheitsrelevanten Sachen) angelegt mit verschlüsselten Homeverzeichnis. Das Homeverzeichnis ist aus Sicherheitsgründen nicht ausführbar.

Holger Fischer

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 26.06.2011 - 12:04 Uhr  ·  #76144
Hi Mechanicus,

da ich -anders als die Meisten hier- die Speicherung der PIN (beim PIN\TAN Verfahren), insbesondere wenn mehrere Banken eingebunden sind, vorallem als Komfortgwewinn für den Anwneder sehe, erlaube ich mir mal ein paar Bemerkungen zu deinen Aussagen.

Zitat geschrieben von mechanicus
Zitat geschrieben von Michael Döring
Kennst du auch die Onlinebanking-Bedingungen deiner Bank die dir das verbieten und dich bei Zuwiderhandlung in die grob fahrlässige Ecke stellen?

Ja. Deine Behauptung diesbezüglich ist nicht zutreffend.

Das würde mich mehr als wundern! Die Onlinebankingvereinbarungen sind in diesen Punkten ZKA weit einheitlich. Das bedeute, dass auch die für dich gültige Vernbarung mit Sicherheit so einen Passus enthält.

Zitat geschrieben von mechanicus

Zitat geschrieben von Michael Döring
Sieh es als Bevormundung, ärgere dich drüber aber lass es trotzdem bleiben. Es ist zu deinen Gunsten!

Woher willst Du das wissen ohne Kenntnis meiner Rechnerumgebung und meines Sachverstands??
Besserwisserei und Bevormundung in meinem privaten Bereich (dazu gehört auch die Handhabung sicherheitsrelevater Dinge) lehne ich nun mal grundsätzlich ab.

Der Hinweis entsprcht der Philosophie von Hibiscus. Niemand zwingt dich dieses Programm zu verwenden! Ansonsten wird jede Banking Software, die das Thema Sicherheit und die Verantwortung den Anwender sinnvoll zu führen ernst nimmt, so einen, oder ähnlichen Hinweis zum Speichern der PIN anzeigen.

Zitat geschrieben von mechanicus

Edit:
Klang vielleicht etwas hart, aber wirf mich doch bitte nicht in einem Topf mit den Windowsidioten, die mit Superuserrechten auf dem selben Rechner ins Internet gehen, auf dem sie auch PC-Banking betreiben.

Sorry, aber die Zeiten, in denen der Ottonormalanwender (die haben nichts mit Superidioten zu tun!!) die einzige gefährdete Gruppe ist, sind schon lange vorbei!


Zitat geschrieben von mechanicus

Vielleicht ist es ja auch für andere interessant:
Betriebssystem Fedora 14
speziellen user für PC-Banking (und anderer sicherheitsrelevanten Sachen) angelegt mit verschlüsselten Homeverzeichnis. Das Homeverzeichnis ist aus Sicherheitsgründen nicht ausführbar.

Löblich, aber es reduziert nur dein Risiko (sehr weit). Es gibt keinen absoluten Schutz. Und die größte Gefahr ist sich in Sicherheit zu glauben.

Viele Grüße

Holger

mechanicus

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 26.06.2011 - 12:52 Uhr  ·  #76145
Zitat geschrieben von Holger Fischer
Die Onlinebankingvereinbarungen sind in diesen Punkten ZKA weit einheitlich. Das bedeute, dass auch die für dich gültige Vernbarung mit Sicherheit so einen Passus enthält.

Stimmt, ich hatte noch die alten Bedingungen, in denen die Rede vom "geheimhalten" ist.
Wie ernst die Banken das tatsächlich nehmen, sei mal dahigestellt.
In den Bedingungen ist die Rede vom "Personalisierten Sicherheitsmerkmal".
Aufgefüht ist da neben PIN und TAN auch der "Nutzungscode für die elektronische Signatur". Der wird also auch auf einem Zettel im Tresor verwahrt oder auswendig gelernt? In ProfiCash, GenoLite, MoneyPlex und S-Firm war eine Speicherung der PIN möglich, d.h., von den Banken geduldet.
Überall heutzutage habe ich mit PIN's zu tun, die geheim zu halten sind. Wie soll das sinnvoll organisiert werden wenn nicht mit eine sehr sicheren elektronischen Speicherung? Etwa mit einem Zettel unter der Schreibablage im Büro???
Zitat geschrieben von Holger Fischer
Der Hinweis entsprcht der Philosophie von Hibiscus. Niemand zwingt dich dieses Programm zu verwenden! Ansonsten wird jede Banking Software, die das Thema Sicherheit und die Verantwortung den Anwender sinnvoll zu führen ernst nimmt, so einen, oder ähnlichen Hinweis zum Speichern der PIN anzeigen.

Einen Warnhinweis verstehe ich ja noch, nicht aber eine massive Bevormundung wie geschildert. Obwohl gewollt, findet keine Speicherung statt.
Zitat geschrieben von Holger Fischer
Sorry, aber die Zeiten, in denen der Ottonormalanwender (die haben nichts mit Superidioten zu tun!!) die einzige gefährdete Gruppe ist, sind schon lange vorbei!

Superuser (Computeradministrator) ist ein Begriff aus der Windowswelt für einen user mit besonderen Systemadministrationsrechten. Das hat nichts mit Superidioten zu tun.
In der Windowswelt ist es leider so, dass man selbst im professionellen Bereich manche Anwendungsprogramme nur als Superuser ausführen kann. Das führt dann dazu, sich gleich als Superuser anzumelden.
Zitat geschrieben von Holger Fischer
Es gibt keinen absoluten Schutz. Und die größte Gefahr ist sich in Sicherheit zu glauben.

Stimmt, es gehört immer noch eine quantitative Risikobewertung dazu.

Michael Döring

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 26.06.2011 - 13:37 Uhr  ·  #76150
Zitat geschrieben von mechanicus
Wie ernst die Banken das tatsächlich nehmen, sei mal dahigestellt.

Du kannst mir glauben, dass das sehr ernst genommen wird. Denn jede Bank ist bestrebt, Schäden nicht zu ersetzen, denn Schäden zu ersetzen ist für alle Beteiligten nicht gut.
Und sobald ein Verstoß gegen Bedingungen rauskommt bist du als Anwender grob fahrlässig und damit im Aus. Ob das mit dem eigentlichen Schaden zu tun hat oder nicht spielt keine Rolle. Es ist schlicht Vertragsbruch.

mechanicus

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 26.06.2011 - 13:59 Uhr  ·  #76151
Wenn z.B. die Volksbank das Programm ProfiCash an ihre Kunden vertreibt, mit dem die PIN gespeichert werden kann, kann das als Duldung bewertet werden.
Wer trägt eigentlich im Schadensfall die Beweislast?
Hat die Bank dem Kunden Nachlässigkeit zu beweisen oder der Kunde der Bank gegenüber vertragskonformes Verhalten.

Ich meine bei alle dem, dass es das Bestreben des Kunden sein sollte, erst gar keine Schäden entstehen zu lassen.

Das liegt dann allerdings im persönlichen Verantwortungsbereich des Kunden, in diesem Fall also in meinem. Das entscheide ich dann aber ohne Bevormundung.

Michael Döring

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 26.06.2011 - 16:53 Uhr  ·  #76153
Im Schadenfall kann es sein, dass die Bank deinen PC haben will. Und es lässt sich garantiert über irgendeinen Weg feststellen, ob zum fraglichen Zeitpunkt der PIN gespeichert war.
Und das mit der Duldung ist Unfug. Eine Bank duldet nicht einen Vertragsbruch nur weil der Kunde eine Software verwendet, die dies möglich macht. Damit stellst du ja die Welt auf den Kopf. Die Funktion muss ja nicht genutzt werden und generell muss auch eine Software nicht genutzt werden. Gibt ja Browserbanking.
Duldung wäre höchstens, wenn die Bank nachweislich/aktenkundig weiß, dass du deinen PIN speicherst und trotzdem den Onlinebankingvertrag nicht kündigt. Dann sieht es tatsächlich ungünstig für die Bank aus.

mechanicus

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 26.06.2011 - 20:07 Uhr  ·  #76161
Zitat geschrieben von Michael Döring
Im Schadenfall kann es sein, dass die Bank deinen PC haben will.

Nun lass mal die Kirche im Dorf! Die machen auch keine Hausdurchsuchung, um nachzuweisen, dass die PIN auf einem nicht geheimen Zettel war. ;-)

Die Argumentation der Bank ist im Schadensfall stets gleich:

Die PIN kannte nur der Kunde => Er hat sie nicht geheim gehalten (Sonst könnten andere sie ja nicht anwenden). => Er ist selber Schuld.
Die TAN konnte nur er mit seiner EC-Card generieren => erst recht selber Schuld

Wie soll das auch anders sein?

Wir tun hier allerdings so, als wäre die Schadenshöhe sehr hoch. Was kann denn mit einer PIN maximal angestellt werden? Außer Kontoauszüge abholen fällt mir nichts ein.
Für Überweisungen braucht man eine gültige TAN.

Im Gegensatz zu den Barabhebungen am Geldautomaten sind mir beim PC-Banking mit Programm (nicht Onlinebanking im Browser!) keine Schadensfälle bekannt.

Das sollte keine Verharmlosung und keine Begründung für Leichtsinn sein. Es ist nur zur Risikoabwägung gedacht.

Die Sicherheitsabwägung ist meine Privatsache. Da finde ich es unpassend, wenn ein Programmautor versucht, seine Kunden zu gängeln.
Es ist korrekt, wenn er im Programm Bedenken äußert, diese massive Form in Hibiskus mit Entzug der Unterstützung und Verhinderung der vom Kunden gewollten Speicherung finde ich unpassend.

Michael Döring

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 27.06.2011 - 06:17 Uhr  ·  #76165
Zitat geschrieben von mechanicus
Wir tun hier allerdings so, als wäre die Schadenshöhe sehr hoch. Was kann denn mit einer PIN maximal angestellt werden? Außer Kontoauszüge abholen fällt mir nichts ein.
Für Überweisungen braucht man eine gültige TAN.


Wieso soll ich mich anschnallen? Fahre doch nur eben zum Bäcker um die Ecke.......
Als nächstes soll dann noch der HBCI-Karten-PIN in irgendeinem ach so sicheren Datentressor gespeichert und die Karte immer im Leser gelassen werden usw.

Und nochmal in aller Deutlichkeit: Es geht nicht darum, was das Speichern der PIN für ein Risiko birgt sondern dass du dich damit nicht an die Bedingungen für die Nutzung dieses Zugangswegs zu deiner Bank hälst.
Was du daraus machst ist deine Sache. Und dass der Autor einer Software eine Warnung ausgibt ist auch völlig korrekt. Vielleicht können man an dieser Stelle den Text nur ein wenig anpassen, dann wären wir beieinander :)

mechanicus

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 27.06.2011 - 08:29 Uhr  ·  #76166
Zitat geschrieben von Michael Döring
Was du daraus machst ist deine Sache. Und dass der Autor einer Software eine Warnung ausgibt ist auch völlig korrekt. Vielleicht können man an dieser Stelle den Text nur ein wenig anpassen, dann wären wir beieinander :)

Genau darum ging es mir und um noch mehr. Hibiskus bietet in den Einstellungen die temporäre und die dauerhafte Speicherung an. Beides ist abwählbar. Das finde ich so wie es ist gut.
Nicht gut finde ich die Formulierung des Warntextes zur dauerhaften Speicherung und erst recht nicht gut finde ich die Bevormundung, dass trotz gewünschter dauerhafter Speicherung diese schlicht nicht stattfindet.

Öffentlich eine Diskussion zu führen über ein nicht vertragskonformes Verhalten ist schon heikel. Jeder fährt, wenn es die Situation zulässt (private Entscheidung!) mit dem Auto schneller als ein vorhandenes Tempolimit erlaubt. So ein Verhalten aber öffentlich gut zu heißen und zu verteidigen ist nicht opportun.

Deshalb möchte ich das nun auch nicht mehr vertiefen und darum bitten, verantwortungsvolle persönliche Entscheidungen zu akzeptieren und zu ermöglichen.

Michael Döring

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 27.06.2011 - 09:14 Uhr  ·  #76168
Zitat geschrieben von mechanicus
So ein Verhalten aber öffentlich gut zu heißen und zu verteidigen ist nicht opportun.

Wer tut das? Was ist damit gemeint?
Der einzige, der Fehlverhalten gut geheißen hat warst du bisher, egal worum es ging :)

Zitat geschrieben von mechanicus
und erst recht nicht gut finde ich die Bevormundung, dass trotz gewünschter dauerhafter Speicherung diese schlicht nicht stattfindet.

Diese Tatsache speziell würde ich jetzt schlicht für einen Bug und nicht für eine bewußte Bevormundung halten. Hast du das schon dem Hersteller mitgeteilt?

hibiscus

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 27.06.2011 - 10:30 Uhr  ·  #76170
Zitat geschrieben von mechanicus
Die Sicherheitsabwägung ist meine Privatsache. Da finde ich es unpassend, wenn ein Programmautor versucht, seine Kunden zu gängeln.


Ich wusste gar nicht, dass die Hibiscus-User meine "Kunden" sind.

Zitat geschrieben von mechanicus
...Entzug der Unterstützung...


Ja. Und? Glaubst du, du hattest vorher einen *Anspruch* auf Unterstuetzung?

Zitat geschrieben von mechanicus
dass trotz gewünschter dauerhafter Speicherung diese schlicht nicht stattfindet.


Tja. Bei meinem Test ging das.

mechanicus

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 27.06.2011 - 10:55 Uhr  ·  #76173
Ersetze doch einfach "Kunden" durch "Anwender". Das war zugegebenermaßen eine nachlässige Formulierung von mir, die kein Anspruchsdenken dokumentieren sollte.

Einen Anspruch auf Unterstützung habe ich nicht und auch nirgends behauptet.
Die Formulierung des Warnhinweises ist aber so, dass danach keine Unterstützung mehr zu bekommen ist.

Die Speicherung klappt bei mir nicht, es wird weiter die PIN abgefragt. Da Du jegliche Unterstützung im Warnhinweis verweigerst, muss ich das mal so zur Kenntnis nehmen.
Schön, dass die permanente Speicherung wenigstens bei Dir klappt. Ich habe zunächst (weil es ja egal ist) keine Häkchen dort mehr gesetzt.

Ich bin mir noch nicht sicher, ob ich das z.Zt. nicht richtig arbeitende Programm (zwei von drei angelegten Bankverbindungen arbeiten nicht richtig) ohne Deine Unterstützung weiter teste. Ich glaube, dafür wäre mir meine Zeit zu schade.

hibiscus

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 27.06.2011 - 11:35 Uhr  ·  #76179
Zitat geschrieben von mechanicus
Einen Anspruch auf Unterstützung habe ich nicht und auch nirgends behauptet.
Die Formulierung des Warnhinweises ist aber so, dass danach keine Unterstützung mehr zu bekommen ist.


Was stoert dich dann an der Formulierung so? Ich war seit jeher gegen die permanente Speicherung der PINs - diese Position habe ich im Laufe der Jahre hier unzaehlige Male verteidigen und wiederholen muessen. Ich habe es jetzt (nur fuer PIN/TAN, nicht fuer Schluesseldiskette/Chipkarte) nur deshalb eingebaut, weil ich das Gejammer nicht mehr erhoeren konnte. Und weil es eine Funktion ist, die ich selbst nicht gut heisse, zeige ich den Hinweis an. Also wo konkret ist dein Problem damit? Wo soll da die Bevormundung sein? Ich zeige einen Warnhinweis - du kannst ihn aber ignorieren.

Zitat geschrieben von mechanicus
Die Speicherung klappt bei mir nicht, es wird weiter die PIN abgefragt.


Dann war es entweder Schluesseldiskette bzw. Chipkarte oder es kam zu einem Fehler bei der Synchronisation, der dazu fuehrte, dass die PIN nicht gespeichert wurde.

Zitat geschrieben von mechanicus
Ich bin mir noch nicht sicher, ob ich das z.Zt. nicht richtig arbeitende Programm (zwei von drei angelegten Bankverbindungen arbeiten nicht richtig) ohne Deine Unterstützung weiter teste. Ich glaube, dafür wäre mir meine Zeit zu schade.


Mir ist meine Zeit auch fuer so manches zu schade.

Michael Döring

Betreff:

Re: Hibiscus: Speichern der PIN

 ·  Gepostet: 27.06.2011 - 11:40 Uhr  ·  #76181