Andreas Pfau - Sa 09.10.04 14:44
Titel: Ist HBCI wirklich so viel besser als PIN/TAN?

---

Hallo,

ich mach seit einiger Zeit Onlinebanking mit PIN/TAN. Gut, gestern hab ich mit nem bekannten gesprochen (nicht so der PC-Checker ehrlich gesagt) und der meinte dann gleich "ja, PIN/TAN ist doch das schlechteste, HBCI sei hundertausendmal sicherer, und da hätte er eine direkte Verbindung zur Bank die abhörischer ist" usw.

Also. Die direkte Bankverbindung - hahaha, wie soll das gehen, die Daten laufen schön seriell übers ISDN zum nächsten Webserver und dann Zur Bank. SSL hin oder her, aber das ist bei PIN/TAN und HBCI doch sicherlich das gleiche...

Aber die Sicherheit. Angenommen jemand knackt mit nem Keylogger meinen PIN. Meine TANs ligen sicher bei mir, und zwar nirgendas aufm Rechner, nur auf dem Papier. Theoretisch selbst für den verbissendsten Hacker hoffnungslos, was schlimmes mit meinem Onlienaccout anzufangen, oder? Er könnte allerhöchstens die SSL-Connection knacken und den aktuell eingetippten TAN benutzen bevor ich dazu komme, denke ich mal.

Zum HBCI. Es gibt einen asymmetrischen Key, aber meines erachtens doch keine sonstige zusätzliche Sicherheit, oder? Also wenn es der "Hacker" tatsächlich schafft den übertragenen Key (der BEI JEDER Transaktion gleich ist, oder wie?) abzufangen hätte er doch mit dem entsprechenden KnowHow vorrausgesetzt den Vollen Zugriff auf mein Konto???

Ja, kann man nun wirklich sagen HBCI sei sicherer? Ich lese überall nur "sicherer weil asymetrisch" und "kein TAN erforderlich", aber ist es nun wirklich besser einen immer gleichen Key zu verwenden oder welchselnde Keys (-> TAN), der dafür weniger gut verschlüsselt ist?

NeWsOfTzzz - Sa 09.10.04 15:30

---

Bei TAN wird das eigentlich so gemacht:
Du hast nen Trojaner auf dem PC, willst homebanken und gibst ne TAN ein, jetzt kommt ne Meldung TAN schon benutzt obwohl du sie gar net benutzt hast. Dann gibst du halt die nächste TAN ein und der Hacker benutzt die gerade abgefangene TAN.

Andreas Pfau - Sa 09.10.04 16:54

---

Ich hab das noch nie probiert (aus guten Grunde), aber wird dann nicht die Liste gesperrt? Ich meine, ich wäre da jetzt sofort skeptisch, weil ich der meinung bin dass die gesamte Liste verfällt wenn man auch nur einen TAN falsch eintippt. Aber klar, die Idee mit dem TAN abfragen stimmt. Technisch nur zu einfach machbar...

Ein großer Pluspunkt für HBCI - Keylogs scheitern.

pascal4free - Sa 09.10.04 17:48

---

also die tanliste von mir funzt immer noch, und ich hab schon mehrmals ne tan versehentlich doppelt eingegeben (einfach vergessen durchzustreichen, oder es ist ein trojaner den weder NAV noch Kaspersky findet)

Andreas Pfau - Sa 09.10.04 20:20

---

Gut zu wissen. Dann hab ich wohl keinen Trojaner :D

Also kann man sagen dass HBCI einfach gegen Trojaner sicher ist oder? Ist natürlich schon eine Scierheitslücke wenn man das mal so sieht :(