|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
Von Anonymer Feigling am Wednesday 15. February 2006, 18:41 MEW (#1)
|
|
|
|
|
Vertippen tut man sich sowieso. Manche mehr, andere weniger. Wenn Otto Normal unter Windows Homebanking per Web betreibt, ist das meines Erachtens eh grob fahrlaessig, da er hunderten Wuermern, Viren und trojanischen Ponies schutz- und kompetenzlos ausgeliefert ist.
Ich habe meiner Bank schon vor Jahren verklickert, dass "Schloss rechts unten" kaum Sicherheit bietet, da einmal auf dem Rechner (oder bei Vertipper) als Mann-in-der-Mitte (hat nichts mit schwul zu tun) trivial umgehbar. Witzig war auch, dass ich dem Typen - uebrigens der Sicherheitsabteilung nicht etwa ein gewoehnlicher Banker - das genau erklaeren sollte. Eigentlich haette ihm das laengst vor meinem Anruf klar sein sollen.
Wie gesagt, der Windowsnutzer muss erstmal ein paar Pferde schlachten, ich bin immer noch meinen Vertippern ausgeliefert. Den Fingerprint ihres Zertifikats wollten sie mir aber nicht verraten - konnten sie wahrscheinlich auch gar nicht. Dass man den bei der Anmeldung zum Home-Banking ausgehaendigt bekommen muesste, wurde nicht eingesehen.
Aber zugegeben, den jedesmal zu vergleichen waere mir wohl auch zu bloed und "known_hosts" gibt es AFAIK bei Browsern nicht. Im Browser selbst waere das wegen der breiten Angriffsfront, die ein Browser bietet, aber vielleicht auch letztlich doch keine Loesung.
Jetzt haben sie nummerierte TANs. Also nichts mer mit Qual der Wahl. Schuetzt gegen MITM kein Stueck, aber hu kaers?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
"known_hosts" gibt es AFAIK bei Browsern nicht.
Selbstverstaendlich gibt es das. Nennt sich SSL-Zertifikat.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Sunday 19. February 2006, 10:02 MEW (#5)
|
|
|
|
|
Wenn ich es dann installiert habe, sehe ich aber auch nur noch ein Schloss rechts unten, oder? Ausserdem bringt das wenig, wenn ich das Zertifikat online installiere. Ein Zertifikat kann mir ein Fischer auch andrehen. Wenn sich die Nutzer erstmal an das Akzeptieren von irgendwelchen Zertifikaten gewoehnt haben, ist schon alles verloren. Man braucht schon mindestens einen zweiten Kommunikationsweg. Was wohl machbar waere:
1. Extra-Account nur fuer Banking
2. Alle Zertifikate aus dem Browser werfen
3. Zertifikat meiner Bank, welches ich vor Ort oder per Post erhalten habe installieren
Dann, ja, dann kann ich mir einigermassen sicher sein, dass ich nur mit meiner Bank kommuniziere. Bei 99% aller Nutzer wird wohl Punkt 1 schon zuviel verlangt sein und Punkt 3 ueberlastet anscheinend meine Bank.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 16. February 2006, 09:03 MEW (#3)
|
|
|
|
|
meine bank gibt mir die fingerprints per kontoauszug mit sowie bei der neuanmeldung des onlinebankings mit.
|
|
|
|
|
|
|
