Onlinebanking Forum ALF-BanCo

Hi,
aus Sicherheitsgründen nutze ich HBCI mit Chipkarte (DKB).
Für die Fachleute: Für mich dient HBCI dazu, einem Man-In-Browser-Angriff vorzubeugen.
ich ärgere mich über die Implementierung.
Wenn es wirklich sicher seins sollte, müßte in meinem ReinerSCT Kartenleser die Transaktion (Empfänger und Transaktionssumme) angezeigt werden.

Statt dessen muss ich blind die Transaktion autorisieren, die Alf Banco übermittelt.
Ein gerissener Angreifer könnte statt einem Browser auch alf Banco trojanisieren.

In der Folge bin ich zwar praktisch sicherer, weil Kriminelle eher Browser angreifen werden als Alf Banco, aber immer noch angreifbar.
Ich weiß, dass Starmoney auch nicht besser ist.

Gibt es einen Grund für diese Sicherheitslücke?

Für mich ist damit der Sinn dieser Lösung doch sehr in Frage gestellt.

Ein gerissener Angreifer könnte statt einem Browser auch alf Banco trojanisieren.

Dann würde im Kartenleser was stehen?
Woher bezieht er die Daten, warum wären diese durch den " gerissener Angreifer " nicht kompromitiert?

Solche "sichere Anzeige" macht nur Sinn, wenn sie über ein unabhängiges, getrenntes Gerät erfolgen würde.
Was nach aktuellen Veröffentlichungen zur mTAN nun dann auch nicht immer sicher ist.

Hi Chrisitan,
wie beschrieben sollten die Transaktionsdaten drin stehen.
Es gibt in dem Setup mit HBCI mit Chipkartenleser und Chipkarte ja genau dieses unabhängige Gerät.
Nämlich den zertifizierten Chipkartenleser, der eine Ende-Zu-Ende verschlüsselte und authentisierte Kommunikation mit der Bank aufbauen kann.
Ich frage mich eben, warum genau dieses wichtige Feature nicht genutzt wird.

Was hindert ein Schadprogramm, welches Alf befallen hätten, falsche Daten an den Leser zu senden?

nichts.
Dann zeigt der Chipkartenleser die falschen Empfängerdaten und den falschen Betrag an, und ich autorisiere die Zahlung nicht.
Ich signiere ja mit dem Schlüssel auf dem Chip eben genau eine Zahlung gegenüber der Bank, und nicht gegenüber Alf Banko.



Sieht HBCI keine Ende-Zu-Ende-Sicherheit vor?

Hallo,

vermutlich nutzen Sie einen Secoder, bei dem die Transaktionsdaten im Display angezeigt werden können.
Die Secoder-Untertstützung wurde bisher leider sehr selten nachgefragt.

Trotzdem werden wir dies als eine der nächsten größeren Änderungen umsetzen.
Da wir den Aufwand noch nicht abschätzen können, können wir leider auch noch nicht sagen, bis wann dies dann möglich sein wird.

Falls Sie möchten, können Sie sich über unser Kontakt-Formular bei uns melden, dann können wir Ihnen bei Interesse sobald verfügbar eine Vorab-Version zum Test zukommen lassen.

Gruß,
ALF

Klasse!

Finde ich eine wichtige und sehr gute Verbesserung.
Nur so ist die Argumentation von HBCI mit Banking-Software als sicherer Lösung aufrecht erhaltbar.
Stelle mich gerne als Tester bereit.

[quote="JamesJoker"]Klasse!

Finde ich eine wichtige und sehr gute Verbesserung.
Nur so ist die Argumentation von HBCI mit Banking-Software als sicherer Lösung aufrecht erhaltbar.
Stelle mich gerne als Tester bereit.[/quote]

Ich auch, wenn ich die PIN auf meiner HBCI-Chipkarte via meines cyberjack wave bis dahin geändert bekomme (s. mein Thema von heute)!

Viele Grüße
tobelbe.