Secoder

Fragen zu Bedienung, Funktionen u.ä.
Antworten
My1
Beiträge: 3
Registriert: Mo 3. Jun 2019, 20:53

Secoder

Beitrag von My1 »

ich hätte mal eine Frage:
kann ALF Banco secoder und wenn ja in welchen editionen? ich habe auf der vergleichstabelle und im FAQ nix zu dem Thema gefunden, deswegen wollte ich hier mal fragen.

ich habe aktuell ein Konto bei der HVB und nutze Banking4w für mein HBCI Banking aber man muss ja schon sagen dass ohne die Anzeige der Überweisungsdaten am Kartenleser man im Prinzip auch iTAN nutzen kann, da beide keine für den nutzer prüfbare bindung zwischen dem Auftrag und der Anfrage für die Bestätigung des Sicherheitsmerkmals aufweisen.
Benutzeravatar
ALF
Site Admin
Beiträge: 11955
Registriert: Do 9. Okt 2003, 14:21
Wohnort: Leingarten

Re: Secoder

Beitrag von ALF »

Hallo,

nach unseren Informationen unterstützt die HVB das Secoder-Verfahren nicht.
Da auch sonst dieses Verfahren kaum genutzt wird und die Sparkassen angekündigt haben, das Verfahren dieses Jahr wieder abzuschalten, haben wir uns entschieden, dies nicht weiter zu verfolgen.

Gruß,
ALF
My1
Beiträge: 3
Registriert: Mo 3. Jun 2019, 20:53

Re: Secoder

Beitrag von My1 »

okay ich muss sagen, dass das sehr schade ist, da ohne secoder eben die sicherheit auf etwa iTAN level abfällt.

Vor allem bringt die sparkasse dann ja alle bestehenden user in die gleiche Problematik weswegen itan in psd2 verboten ist.

Und wie aufwändig ist secoder denn gestaltet dass das die bank extra können muss?
Bekommt dwr Leser nicht sowieso die auftragsdaten zum signieren?

Ich meine die banking software sendet die Überweisung an den Leser (was ja sogar im klartext möglich ist, da der User das eh überprüfen muss und ja noch nix ins internet geht)

Dann zeigt der leser die daten an

Dann bestätigt der User via pin (oder bricht ab)

Im erfolgsfall bekommt die banking software die Signatur die die dann mit den Daten an die Bank senden kann (Dank der Signatur würde auch hier unverschlüsselt reichen, wenn es nur um die Änderungssicherheit und Identität geht (das ist aber nicht der fall, deswegen noch TLS drüber)

Und die Bank prüft einfach anhand des im Konto gespeicherten public key.

Was ist da bitte so aufwändig?
Benutzeravatar
ALF
Site Admin
Beiträge: 11955
Registriert: Do 9. Okt 2003, 14:21
Wohnort: Leingarten

Re: Secoder

Beitrag von ALF »

Hallo,

die Sparkassen bieten allen betroffenen Kunden dafür chipTAN USB an, das im Prinzip ähnlich funktioniert.

Dabei muss die generierte TAN dann nicht mehr eingetippt, sondern nur noch am Leser bestätigt werden.

Gruß,
ALF
My1
Beiträge: 3
Registriert: Mo 3. Jun 2019, 20:53

Re: Secoder

Beitrag von My1 »

naja nur ist das verfahren sowohl kryptographisch als auch Konzeptuell nicht so sicher, da es wieder die 6 stellige TAN gibt, dessen prüfung prinzipbedingt ein Shared Secret verlangt (nicht geil), vergleich mit HOTP nur dass da eben kein Counter sondern die überweisungsdaten rein gehen, wo der hash auf 6 Zahlen gekürzt wird.

während bei HBCI mit Karte der offensichtliche vorteil besteht dass man Theoretisch sehr gute sicherheitsalgorithmen verwenden kann, wie bspw eine signatur basierend auf Ed25519 mit SHA256 (oder aktuell eben mit RSA), wo man auf Bankseite nur den Public Key der Karte braucht und fertig.

ein bedeutender unterschied ist dass sowohl die Public Keys der Karte als auch die Shared Secrets für ChipTAN irgendwie für den server zugreifbar sein müssen um die TANs zu prüfen.

mal etwas worstcase ansicht:
bei einem Hack von Chiptan konten reicht ein reiner lesezugriff aus um an die Secrets zu kommen und dann spätestens mit einem gestohlenen PW (da manche banken sehr laxe richtlinien haben, die einen Bruteforce eines hashes deutlich vereinfachen, oder andere u.A. teile des PW abfragen und so nicht einfach hashen können, ist da u.U. nicht mal das Opfer nötig) böses zeug zu machen.

bei HBCI gibts nur den Public Key bei der Bank dessen Kenntnis keinen Umbringt, hier müsste man schon entweder den pubkey knacken (solange es noch kein quantum gibt, viel spaß dabei) oder diesen austauschen (spuren hinterlassen durch den Schreibzugriff)

der einzige Vorteil den CHipTAN USB hat ist dass es (wahrscheinlich) kompatibel zu den anderen wegen ist chipTAN zu generieren, was es natürlich relativ praktisch in der hinsicht macht.
Antworten