Fürs Online-Banking muss ich jedesmal:
ein Kundencode
ein Passwort
ein Sicherheitscode eingeben (4x4 Ziffern) eingeben.
Wo soll ich den Kundencode bei Keepass eintragen und wo den Sicherheitscode.
Ich habe den Sicherheitscode mit dem TAN-Assistenten eingegeben, weiss aber nicht wie ich ihn bei der Online-Bankidentifizierung verwenden kann.
Danke für die Hilfe
Olaf19 
adrino „Wie verwendet man "TAN" mit Passwortmanagern?“
Bei welchem Geldinstitut bist du denn, und womit managst du die Passwörter?
Ich mache Online-Banking bei der SpardaBank, und da gibt es keine Möglichkeit, irgendetwas davon als Formulardaten o.Ä. zu speichern... und ehrlich gesagt: unter dem Aspekt der Sicherheit betrachtet, halte ich das auch entschieden für sinnvoller.
CU
Olaf
gelöscht_84526 adrino „Wie verwendet man "TAN" mit Passwortmanagern?“
Passwörter, PINs, TANs usw. gehören nicht auf dem Rechner abgespeichert, in keiner Form - also auch nicht verschlüsselt. Somit erübrigt sich eine weitere Antwort.
Gruß
InvisibleBot adrino „Wie verwendet man "TAN" mit Passwortmanagern?“
Zugangsdaten zu Deinem Konto gehören auf keinen Fall im Rechner gespeichert, wie Olaf und King schon gepostet haben. Wenn Du es einfacher haben willst, stell Dein Homebanking auf HBCI um und besorg Dir eine Bankingsoftware. (z.B. StarMoney) Dann musst Du nur zum Starten der Software ein Passwort eingeben, die HBCI-Karte einstecken und die PIN (4stellig) eingeben. TANs gibts dann nicht mehr. Das ist übrigens auch viel sicherer als die PIN/TAN Methode, weil Dir keiner mehr TANs klauen kann, und selbst wenn er die PIN weiß nützt das ohne die Karte gar nichts.
Olaf19 InvisibleBot „Zugangsdaten zu Deinem Konto gehören auf keinen Fall im Rechner gespeichert,...“
Hi I'Bot, was ich immer nicht verstehe: weil Dir keiner mehr TANs klauen kann - wie funktioniert das?
Die TANs liegen auf Papier gedruckt bei mir zuhause in der Schublade, das kann also nicht gemeint sein... wenn ich aber eine TAN-Nr. über die Tastatur eingebe und mich dabei jemand "belauscht" - sei es über einen Keylogger oder durch Mitschnitt meines Traffics, dann nützt ihm die geklaute Nummer nichts, da sie bei eben dieser meiner letzten Transaktion schon verbraucht worden ist.
Die SpardaBank hat ihr TAN-Verfahren kürzlich noch verfeinert: Jetzt gibt es sog. "iTANs". Wesentlicher Unterschied zu früher: Man kann jetzt nicht mehr nach Belieben TANs von der Liste aussuchen, sondern es muss immer ein ganz bestimmtes TAN genutzt werden. Alles in allem halte ich dieses ganze Verfahren für sehr sicher, und das nicht erst seit dieser Neuerung.
CU
Olaf
ABatC Olaf19 „Hi I Bot, was ich immer nicht verstehe: weil Dir keiner mehr TANs klauen kann -...“
Tja, so schlau sind einige Leute auch...es gibt einige Keylogger, die die Eingabe der Tan mitschneiden - und dann einfach das Senden der Daten an die Bank unterbinden ('Verbindungsprobleme' o.Ä.). Die Daten sind dann in sekundenschnelle bei jemand anders gelandet, der schnell die Überweisung in seinem Sinne tätigt...
Olaf19 ABatC „Tja, so schlau sind einige Leute auch...es gibt einige Keylogger, die die...“
Okay - wenn diese Tools gleichzeitig in der Lage sind, den Vorgang zu stören, so dass die TAN erhalten bleibt, dann wird es klar... aber dazu müsste man schon einen Trojaner bei sich installiert haben, oder?
THX für die Info
Olaf
ABatC Olaf19 „Okay - wenn diese Tools gleichzeitig in der Lage sind, den Vorgang zu stören,...“
Wenn schon ein Keylogger da ist sollte der Trojaner nicht weit sein...oder eher umgekehrt, der Trojaner bringt den Keylogger mit.
REPI ABatC „Tja, so schlau sind einige Leute auch...es gibt einige Keylogger, die die...“
Dann darf aber der gerade laufende aktuelle Vorgang nicht unterbrochen werden. Denn sonst ist bei "iTan's" die explizit geforderte Tan hinfällig und verbraucht. Beim nächsten Vorgang wird man wieder aufgefordert eine neue "bestimmte" Tan aus dem TAN-Block zu verwenden.
Will heissen, die Gangster müssen den Rechner realtime ausspähen. Ein wie auch immer zugestellte Tan ist auch bei Abbruch des Vorganges schon wertlos.
ABatC REPI „Dann darf aber der gerade laufende aktuelle Vorgang nicht unterbrochen werden....“
Ich habe auch von TAN, nicht von iTan geredet...und da hat man eine Liste, die der Reihe nach abgearbeitet wird - und erst nach der Benutzung wird die momentane ungültig. Da klappt die obrige Methode einwandfrei.
Aber bei iTan wird es sicher auch Möglichkeiten geben...
Olaf19 ABatC „Ich habe auch von TAN, nicht von iTan geredet...und da hat man eine Liste, die...“
> Aber bei iTan wird es sicher auch Möglichkeiten geben...
Hmm... weiß nicht recht. Wenn es so abläuft, wie du oben beschrieben hast, dann wüsste ich nicht, wie das funktionieren sollte.
Konkret: Wenn man mir sagt, benutzen Sie die iTAN-Nr. 37 auf Ihrer Liste, ich gebe die Nummer ein, sie wird abgefangen und gleichzeitig eine Übertragung an die Bank verhindert - dann ist iTAN-Nr. 37 in diesem Augenblick verfallen, und das Abfangen hat nichts gebracht.
Selbst wenn die Nummer nicht verfallen würde: Beim nächsten Mal wird ja nicht wieder die Nr. 37 verlangt, sondern irgendeine ganz andere, so dass die Datendiebe auch in diesem Fall nichts mit ihrem Fang anfangen können.
CU
Olaf
REPI Olaf19 „ Aber bei iTan wird es sicher auch Möglichkeiten geben... Hmm... weiß nicht...“
Deshalb stellen ja z.Z. viele Banken vom einfachen TAN Verfahren zu eben diesem indizierten Tan-Verfahren um !
"Von wegens de Sicherheit"
OWausK Olaf19 „ Aber bei iTan wird es sicher auch Möglichkeiten geben... Hmm... weiß nicht...“
AFAIK
Das iTan hat einer Counter > wenn du die x. iTAN nicht innerhalb von y Sekunden eingibst soll sie automatisch verfallen.
Das iTAN Verfahren ist hackbar, aber praktisch ausgeschlossen. Es müssen innerhalb der y Sekunden
> die iTan "verzögert" werden
> während deine Überweisungsdaten manipuliert werden
> und die iTan dann die man. Ü freigibt
Keine Ahnung wie das geht, soll aber machbar sein.
Meine Meinung: Aber wahrscheinlich auch nur, wenn auch der Server der Bank gehacked wird...
Borlander Olaf19 „ Aber bei iTan wird es sicher auch Möglichkeiten geben... Hmm... weiß nicht...“
xafford Borlander „iTAN ist zwar schon besser, aber auch nicht 100% sicher...“
Noch viel geschickter, man installiert auf dem Rechner des betreffenden einen lokalen (manipulierten) Proxy. Surft er seine Bankseite an, so wird diese Seite über den Proxy geholt und analysiert um den Index abzugreifen. Dann lässt man ihn die Transaktion eingeben und wartet, dass er die Daten übermittelt. Nun hat man drei Möglichkeiten: Diie Transaktion übermitteln mit geänderten Empfängerdaten und geändertem Betrag, oder man führt die Transaktion nur zum Schein durch und hofft, dass es nicht so schnell auffällt dass nichts überwiesen wurde, oder man teilt dem Anwender mit, dass ein Übermittlungsfehler vorlag und startet die Transaktion neu mit dann natürlich anderer TAN.
Problem bei der Geschichte ist das Serverzertifikat, das dürfte aber kein unlösbares Problem sein, wenn man sich auf dem Rechner schon breit gemacht hat.
Nörgler xafford „Noch viel geschickter, man installiert auf dem Rechner des betreffenden einen...“
Da sollte der Tipp, Online-Banking über eine sichere Linux-Live-CD zu machen, eigentlich nicht allzu verkehrt sein.
Wenn ein DHCP-Server läuft sollte das sogar ohne das Abspeichern irgendwelcher Einstellungen sowie deren Aufruf beim Start eines solchen Systems, wie z. B. Knoppix, abgehen können.
Allerdings, der Schlendrian greift doch manchmal recht schnell ein und man "vergisst" zuweilen, dass man besser von der CD gebootet hätte; so kenne ich es jedenfalls.
xafford Nörgler „Da sollte der Tipp, Online-Banking über eine sichere Linux-Live-CD zu machen,...“
Eine andere relativ sichere Methode ist, von Anfang an nur eine virtuelle Maschine für das Surfen zu nutzen und diese bei jedem Start auf den Ausgangszustand zurück zu setzen. Seit der VMWare Player kostenlos ist könnte das eigentlich jeder so handhaben.
OWausK Borlander „iTAN ist zwar schon besser, aber auch nicht 100% sicher...“
Verstehe ich das richtig Borlander, dass du also nicht auf den Bankserver musst?
Aber du brauchst nen Server im Netz, der die falsche Seite hostet und die Daten weiterleitet...
klar, und der die ganze Zeit lauscht, wann und wo ne entsprechende Verbindung etabliert wird.
Und die Verschlüsselung der Verbindung?
Borlander OWausK „Verstehe ich das richtig Borlander, dass du also nicht auf den Bankserver musst?...“
REPI Borlander „iTAN ist zwar schon besser, aber auch nicht 100% sicher...“
Das einzige was 100% sicher ist, ist der Tod, denn der ist immer sicher !
InvisibleBot Olaf19 „ Aber bei iTan wird es sicher auch Möglichkeiten geben... Hmm... weiß nicht...“
Das iTAN-Verfahren ist auch nicht sicher. Es wird Betrügern die an TAN(s) gekommen sind zwar erschwert, sie zu nutzen, aber nicht unmöglich gemacht. Beispiel: Der Benutzer will eine Überweisung machen und ruft die Bankwebseite auf. Ein auf dem PC installierter Trojaner leitet die Verbindung auf eine gefakte Bankseite um. Dort wird nach der PIN und einer bestimmten TAN gefragt, und dem Benutzer gemeldet dass die Überweisung erfolgreich war. Der schöpft keinen Verdacht, weil er sowieso erst einen Tag später sieht ob die Überweisung wirklich abgebucht wurde. Nun muss sich der Betrüger nur noch etwas Zeit nehmen, und so lange versuchen Überweisungen vorzunehmen bis der Bankserver die "richtige" TAN wissen will.
Außerdem ist das Verfahren nicht vor Phishing sicher. (Geben sie hier 10 TANs ein, um Zugang zu unserem neuen Sicherheitsservice zu erhalten...) Erfahrungsgemäß gibts immer wieder welche die darauf hereinfallen. Da hilft auch die Diskussion nix, dass diejenigen die was eingeben "selbst schuld" sind. Klar sind sie das, aber seit das Internet ein Massenmedium ist, nutzen es viele Leute die keine Ahnung von den Möglichkeiten haben. Und sicher ist ein Verfahren nur, wenn es auch die Benutzer vor sich selbst beschützt.
Und vor diesem Hintergrund ist HBCI nunmal eindeutig die bessere Wahl.
out-freyn InvisibleBot „Das iTAN-Verfahren ist auch nicht sicher. Es wird Betrügern die an TAN s...“
