Diskussionsforum
  • 14.11.2012 14:58
    LilaFox schreibt

    Papiertan sollte zurück kommen

    Man müsste einfach die Papiertan wieder einführen.

    Das System war im Grunde sicher.

    Allerdings mit eine kleinen Änderung. Einer Art Code den nur die Bank kennt. Die Bank sollte die geforderte TAN so wählen, dass sie abhängig von der Kontonummer des Empfängers ist. Irgendein Algorithmus wird da schon gehen.
    Eine 10-min Arbeit für einen Mathematiker für Algorithmen. Und es steht eine bessere neue Lösung.
  • 14.11.2012 15:16
    BuergerFloyd antwortet auf LilaFox
    Benutzer LilaFox schrieb:
    > Man müsste einfach die Papiertan wieder einführen.
    >
    Das System war im Grunde sicher.

    Aber nur, wenn der Computer durch Viren nicht angreifbar ist - auch keine Viren oder Eingriffe im Router dürfen möglich sein. Das kann man für einzelne, aber nicht alle Computer sicherstellen.

    > Allerdings mit eine kleinen Änderung. Einer Art Code den nur
    >
    die Bank kennt. Die Bank sollte die geforderte TAN so wählen,
    >
    dass sie abhängig von der Kontonummer des Empfängers ist.
    > Irgendein Algorithmus wird da schon gehen.
    > Eine 10-min Arbeit für einen Mathematiker für Algorithmen. Und
    >
    es steht eine bessere neue Lösung.

    Sicher denkbar - dann müsste die Liste aber eher ein Buch sein, in dem man dann zu einer Kontonummer mit bestimmten Ziffern an bestimmten Stellen (oder Seite 20, Nr 17), die passende TAN raussucht. Und dieses Buch muss für jeden Kunden individuell gedruckt werden - und sicherheitshalber nur kurze Zeit gültig sein.

    Papier + Porto, das ist für die Banken sicher teurer als ChipTAN.
  • 16.11.2012 13:09
    LilaFox antwortet auf BuergerFloyd
    Benutzer BuergerFloyd schrieb:
    > Benutzer LilaFox schrieb:
    > > Man müsste einfach die Papiertan wieder einführen.
    > >
    Das System war im Grunde sicher.
    >
    > Aber nur, wenn der Computer durch Viren nicht angreifbar ist -
    >
    auch keine Viren oder Eingriffe im Router dürfen möglich sein.
    >
    Das kann man für einzelne, aber nicht alle Computer
    >
    sicherstellen.

    Die Chance auf einem Handy einen Virus zu bekommen, so finde ich, ist inzwischen deutlich höher als auf einem Computer. Die kostenlose Lösung aus der CZ reicht da Vollkommen aus, und ist, gerade bei solchen Viren die bis in den MBR gehen, deutlich effizienter als so ein teures McAffe. Ich hab's selber erlebt. McAffe: hier ist nichts, das kostenlose Programm: ja da ist was böses.

    > > Allerdings mit eine kleinen Änderung. Einer Art Code den nur
    > >
    die Bank kennt...
    >
    > Sicher denkbar - dann müsste die Liste aber eher ein Buch sein,
    >
    in dem man dann zu einer Kontonummer mit bestimmten Ziffern an
    >
    bestimmten Stellen (oder Seite 20, Nr 17), die passende TAN
    >
    raussucht. Und dieses Buch muss für jeden Kunden individuell
    >
    gedruckt werden - und sicherheitshalber nur kurze Zeit gültig
    >
    sein.

    Nicht ganz. Meine TANs hatten (und haben immer noch :-), zusätzlich zu anderen Methoden, meine Bank bevormundet mich da ja nicht) 100 Einheiten. Mit einem geschickten Algorithmus könnte man damit also eine max. Wahrscheinlich von 1:100 erreichen.

    Die Idee mit deinem Buch finde ich gar nicht so schlecht.
    Man drucke einfach ein 10 Seiten Codebuch aus. Und mache so ca. 1000 TANs für immer gültig. Jede TAN ist dann abhängig von Zeit, Kontonummer und Betrag. Der Einmaldruck von vielleicht 1-2 € würde die unnötigen teuren SMS/CHIP-Varianten unnötig machen.

    Das Hauptproblem der neuen Methoden ist so wieso: Man wird abhängig von Zusatzgeräten. Handy kaputt, Screen-TAN-Generatur kaputt, SIM-Karte wieder mal abgelaufen. Schon hat Kunde deutlich mehr Aufwand.
  • 14.11.2012 15:17
    Telly antwortet auf LilaFox
    Benutzer LilaFox schrieb:
    > Man müsste einfach die Papiertan wieder einführen.
    >
    > Das System war im Grunde sicher.
    >
    > Allerdings mit eine kleinen Änderung. Einer Art Code den nur
    >
    die Bank kennt.

    Da ich nicht von selbst drauf komme, erkläre mir bitte, wie dieser Code dann die Phishing-Attacken unwirksam macht.

    Telly
  • 15.11.2012 07:46
    mikiscom antwortet auf Telly
    Benutzer Telly schrieb:

    > Da ich nicht von selbst drauf komme, erkläre mir bitte, wie
    >
    dieser Code dann die Phishing-Attacken unwirksam macht.
    >
    > Telly

    Also wer heutzutage noch auf Phishing-Mails rein fällt ist echt selbst schuld und sollte über den Internet-Führerschein nachdenken!
  • 15.11.2012 12:25
    Telly antwortet auf mikiscom
    > Also wer heutzutage noch auf Phishing-Mails rein fällt ist echt
    >
    selbst schuld und sollte über den Internet-Führerschein
    >
    nachdenken!

    Diese Antwort habe ich (leider ) erwartet.

    Nur sachlich drauf geantwortet, wie der Code eben solches Phishing unwirksam macht, hast Du nicht gegeben.

    Welchen Sinn hat der Code dann überhaupt? Ich hab "Dein System" wirklich nicht verstanden und daher ernsthaft nachgefragt.

    Telly
  • 15.11.2012 13:43
    mikiscom antwortet auf Telly
    Ich habe meinen Kommentar nicht auf den Code, sondern auf die Phishing-Mails bezogen.

    Aber zum Thema Code: MS merkt bei der Windows-Aktivierung auch wenn ein einzelner Nummernblock bei der telefonischen Aktivierung falsch ist. Aber genaues kann ich dazu nicht sagen.
  • 14.11.2012 16:53
    huebi99 antwortet auf LilaFox
    Benutzer LilaFox schrieb:
    > Man müsste einfach die Papiertan wieder einführen.
    >
    > Das System war im Grunde sicher.
    >
    Nicht unbedingt. Ich bin aber am überlegen für die TANs wieder ein altes Einfach-Handy, zum Beispiel mein altes Motorrola W208 zu verwenden. Auf dem lässt sich nichts installieren. Nur dann immer die Karte wechseln macht auch keinen Spass.
  • 14.11.2012 22:57
    Kai Petzke antwortet auf huebi99
    Benutzer huebi99 schrieb:
    > Ich bin aber am überlegen für die TANs wieder
    >
    ein altes Einfach-Handy, zum Beispiel mein altes Motorrola W208
    >
    zu verwenden. Auf dem lässt sich nichts installieren.

    Ich denke, das ist tatsächlich aktuell die beste Lösung.

    > Nur dann immer die Karte wechseln macht auch keinen Spass.

    SIM-Karten-Wechsel muss nicht sein. Zu dem einfach-Handy tut es ja auch jede beliebige einfach-SIM vom Discounter, die man nur für den Zweck des mTAN-Empfangs nutzt. Klar muss man dann einmal jährlich aufladen, damit die Nummer aktiv bleibt; bei manchen Prepaid-Anbietern reicht es aber bereits, einen Cent zu überweisen, damit die volle Gültigkeitsverlängerung von einem Jahr erreicht wird.


    Kai
  • 15.11.2012 20:32
    huebi99 antwortet auf Kai Petzke
    Benutzer Kai Petzke schrieb:
    reicht es aber bereits, einen Cent zu überweisen, damit die volle Gültigkeitsverlängerung von einem
    Jahr erreicht wird.

    > na ja. die Überlegung hatte ich auch. Aber, wenn man vergißt die Karte aktiv zu halten kann es passieren das man eine wichtige Transaktion plötzlich nicht ausführen kann. Da ziehe ich doch lieber den SIM-wechsel vor.
  • 16.11.2012 18:00
    Kai Petzke antwortet auf huebi99
    > Benutzer Kai Petzke schrieb:
    > reicht es aber bereits, einen Cent zu überweisen, damit die
    >
    volle Gültigkeitsverlängerung von einem
    >
    Jahr erreicht wird.

    Benutzer huebi99 schrieb:
    > na ja. die Überlegung hatte ich auch. Aber, wenn man vergißt
    >
    die Karte aktiv zu halten kann es passieren das man eine
    >
    wichtige Transaktion plötzlich nicht ausführen kann. Da ziehe
    >
    ich doch lieber den SIM-wechsel vor.

    Die Einrichtung des Dauerauftrags für die 1x jährliche Aufladung ist natürlich die erste "Amtshandlung", die man mit der neuen Karte macht. Insofern ist die Gefahr nicht so groß, dass man plötzlich auf dem Trockenen steht.


    Kai
  • 16.11.2012 18:17
    einmal geändert am 16.11.2012 18:28
    ebay_daten antwortet auf Kai Petzke
    > SIM-Karten-Wechsel muss nicht sein. Zu dem einfach-Handy tut es
    >
    ja auch jede beliebige einfach-SIM vom Discounter, die man nur
    >
    für den Zweck des mTAN-Empfangs nutzt. Klar muss man dann
    >
    einmal jährlich aufladen, damit die Nummer aktiv bleibt; bei
    >
    manchen Prepaid-Anbietern reicht es aber bereits, einen Cent zu
    >
    überweisen, damit die volle Gültigkeitsverlängerung von einem
    >
    Jahr erreicht wird.

    Dafür brauchst du aber eine alte (Tarif) Karte von o2 (LOOP). Mit anderen Tarifen und Karten geht das nicht. Bei Simyo z. B. kannst du jeden beliebigen Betrag ab 1 Euro überweisen, indes wird die Guthabenzeitfen­sterverlängerung von einem Jahr (bei o2 inzwischen: sechs Monate) erst ab einem Überweisungsbetrag von fünf Euro gewährt. Bei BLAU wird eine Überweisung von unter (wie vorgeschrieben) 10 Euro "geparkt", und entweder zurücküberwiesen oder erst dann gutgeschrieben, wenn die zehn Euro insgesamt vollgemacht sind. Die Anbieter mit der vorgeschriebenen regelmäßigen _Aufladung_ (statt Nutzung) sind also inzwischen (bis auf o2, und vielleicht noch SIMYO und GALERIAmobil) ziemlich uninteressant geworden, wenn man eine Karte nur unter dem Aspekt der minimalen passiven Kosten pro Jahr betreibt.
  • 14.11.2012 18:46
    spunk_ antwortet auf LilaFox
    Benutzer LilaFox schrieb:

    > Das System war im Grunde sicher.

    sicherer wäre nur ein spezielle Bankbetriebssystem und ein spezielles Bankeingabeprogramm für die Internetoberfläche.
    (System startet entweder von CD oder von USB-Stäbchen)

    nich sicherer ein spezielles Bankeingabegerät.

    keine Möglichkeiten auf fremden Geräte und mit fremden Programmen.
  • 15.11.2012 08:27
    dr.juergen antwortet auf LilaFox
    Ich weiss nicht warum nicht alle Banken es anbieten, aber ich nutze seit über 10 Jahren schon HBCI mit spezieller Software und Chipkarten. IMHO die immer noch sicherste Homebanking-Art.
    Dazu noch die Vorteile alle Konten und Bewegungen auf einem Blick zu haben.
    Warum sich das nicht durchsetzt???
    Jürgen
  • 25.11.2012 20:43
    für_Dagegen antwortet auf dr.juergen
    warum ? bequemlichlichkeit ,bequemlichkeit, kosten: HCBI/ HBCI+/ FinTS die sicher sind, laufen über SC's heisst du musst immer den Cardreader dahaben und eine Bankingsofware (gib allesdings auch Java-libs für Browserplugins), das kostet (Kunde und Bank) und iTs an bestimmte Geräte gebunden...

    hätte sich schon druchgesettz wenn die Banken nur noch FinTS klasse-3 Reader +Softeware subvetnioniert augeben würden