1.) Muß man für jedes Konto eine HBCI-Einstellung erstellen (irgendwas mit FinTS) oder reicht eine Einstellung für alle Extra-Konten?
2.) Wieso darf sich dieses Verfahren eigentlich HBCI nennen? Es gibt doch kein Medium sondern nur eine PIN/TAN Abfrage. Wie sicher ist'n dieses Verfahren?
3.) Kann man mit Hibiscus auch für ein DiBa Extra-Konto Überweisungen initiieren? D.h. wie funktioniert die nachträgliche Eingabe der TAN?

Gruß, Jens.

> 1.) Muß man für jedes Konto eine HBCI-Einstellung erstellen
> (irgendwas mit FinTS) oder reicht eine Einstellung für alle Extra-Konten?

Nein. Allerdings ist das in Hibiscus falschrum gedacht. Es ist einfacher, wenn du nicht die Konten manuell anlegst sondern stattdessen erst die HBCI-Sicherheitsmedien erstellst. Klick anschliessend in der Kontenliste auf "Konten aus Sicherheitsmedium ermitteln". Dann werden die Konten (insofern die Bank das untestuetzt) automatisch angelegt und verknuepft.

> 2.) Wieso darf sich dieses Verfahren eigentlich HBCI nennen? Es gibt
> doch kein Medium sondern nur eine PIN/TAN Abfrage. Wie sicher ist'n
> dieses Verfahren?

Das ist ja nun nicht Hibiscus-spezifisch, oder?

> 3.) Kann man mit Hibiscus auch für ein DiBa Extra-Konto
> Überweisungen initiieren? D.h. wie funktioniert die nachträgliche
> Eingabe der TAN?

Hae? Die Frage verstehe ich nicht. Wieso "nachtraegliche" Eingabe der TAN?

Was genau zum Begriff "HBCI" gehört und was nicht, daran scheiden sich die Geister - spätestens seitdem es auch noch FinTS gibt...

Trotzdem darf das, was Hibiscus macht, "HBCI" heißen. Das zugrundeliegende Protokoll (wie der Nachrichtenaustausch funktioniert, wie die Nachrichten syntaktisch aufgebaut sind etc.) ist bei HBCI-PIN/TAN identisch mit den HBCI-Verfahren, bei denen ein "Medium" benutzt wird.

Nur die oben drauf gesetzte "kryptographische" (ich schreibe Kryptographie übrigens weiterhin mit "ph"!) Signatur- bzw. Verschlüsselungsfunktion ist bei HBCI-PIN/TAN halt eine andere: Bei den "anderen" HBCI-Verfahren werden für Signatur und Verschlüsselung der Nachrichten echte kryptographische Algorithmen verwendet (DES, RSA, ...), während bei HBCI-PIN/TAN die Signatur durch PIN+TAN realisiert wird, die Verschlüsselung wird an die Transportschicht (SSL) abgeschoben.

Auch im Punkt "Sicherheit" gibt es sicherlich Meinungsverschiedenheiten. Aus kryptographischer Sicht ist die Signatur bei PIN/TAN offensichtlich eher schwach (weil ein und dieselbe TAN jede beliebige Nachricht signieren könnte - eine bestimmte RSA-Signatur aber nur für eine ganz bestimmte Nachricht gültig ist. Bei den PIN/TAN-Zweischritt-Verfahren ist das schon nicht mehr ganz so schlimm...).
Die Verschlüsselung via SSL kann man als "ähnlich sicher" wie bei den anderen Verfahren einstufen.

Knackpunkt ist sicherlich eher die Tatsache, dass man einem Nutzer vllt. eher ein paar TANs herausbekommt als mal eben schnell dessen DDV-Karte klaut und auch noch die PIN dafür erfährt... Dafür ist eine TAN jedoch auch "nur" ein Einmal-Passwort - mit einer geklauten DDV-Karte kann man viel mehr Unheil anrichten...

Ich hatte mal eine Arbeit gefunden, die die Sicherheit der Verfahren auf kryptografischer Ebene mal analysiert hat (also dabei außer acht gelassen hat, dass TAN-Phishing wahrscheinlich viel einfacher ist als einen RSA-Key zu klauen). Weiß aber leider weder die URL noch den Namen des Autors - aber vllt. hilft ja eine der größeren Suchmaschinen...
Ach ja: in der Arbeit waren die PIN/TAN-Zweischritt-Verfahren auch noch nicht berücksichtigt...

-stefan-