Discussion:
Spinnt die DiBa jetzt komplett?
(zu alt für eine Antwort)
Wolfgang Krietsch
2006-07-24 10:45:49 UTC
Permalink
Hi!

Irgendwie sitzden in der Sicherheitsabteilung der DiBa anscheinend nur
schwerkranke Paranoiker.


Schon immer 3 Parameter: Kontonummer, ID, Key, dann zusäctzlich
"Sicherheitsfrage", danach Einführung iTAN, danach Aufteilung des Logins in
zwei Bildschirme, und jetzt muss man sich noch einen DiBa Key vergeben, der
dann nur noch über eine grafische Bildschirmtastatur eingegeben werden kann
- was zügoges Login verhindert und automatische Login Prozeduren über
Passowrd-Datenbanken etc. nun völlig unmöglich macht.

Auf freundliche formulierte Kritik per Mail bekommt man dümmliche
Textbausteine - da kann ich mein KOnto auch bei ebay führen.

So zufrieden ich mit der DiBa - trotz nicht kostenlosem KOnto - bisher
immer war, und so nervig ein Kontowechsel auch sein mag, aber so langsam
reicht's wirklich.


Bye

woffi, genervt
Jürgen Malberg
2006-07-24 12:02:14 UTC
Permalink
Post by Wolfgang Krietsch
Irgendwie sitzden in der Sicherheitsabteilung der DiBa anscheinend nur
schwerkranke Paranoiker.
Hi!

und das ist auch gut so! Täglich kommen noch dümmliche Phishing-Mails und
zuviele Trottel fallen noch darauf rein.

MfG.
Jürgen
Jens Müller
2006-07-24 12:16:39 UTC
Permalink
Post by Jürgen Malberg
Post by Wolfgang Krietsch
Irgendwie sitzden in der Sicherheitsabteilung der DiBa anscheinend nur
schwerkranke Paranoiker.
Hi!
und das ist auch gut so! Täglich kommen noch dümmliche Phishing-Mails und
zuviele Trottel fallen noch darauf rein.
Und deswegen muß der Kunde 25 Paßwörter haben, die er sich nun wirkluch
beim besten Willen nicht mehr merken kann ...
Peter Wenz
2006-07-24 19:34:13 UTC
Permalink
Jens Müller schrieb am Mon, 24 Jul 2006 14:16:39 +0200 :

[DiBa-Internet-Banking]
Post by Jens Müller
Post by Jürgen Malberg
Post by Jürgen Malberg
und das ist auch gut so! Täglich kommen noch dümmliche Phishing-Mails und
zuviele Trottel fallen noch darauf rein.
Und deswegen muß der Kunde 25 Paßwörter haben, die er sich nun wirkluch
beim besten Willen nicht mehr merken kann ...
Bei welcher Bank ist das denn so?

Das stark vereinfachte Login bei der DiBa kannst du jedenfalls nicht
meinen, auch wenn sich der Spruch am Stammtisch supergut macht.

Cheers
Peter, kann sich sogar Gedichte mit mehr als 25 Zeilen merken...
Wolfgang Krietsch
2006-07-24 20:39:32 UTC
Permalink
Post by Peter Wenz
Das stark vereinfachte Login bei der DiBa kannst du jedenfalls nicht
meinen, auch wenn sich der Spruch am Stammtisch supergut macht.
Nur dass das "stark vereinfachte Login" der DiBa immer noch im Vergleich zu
anderen Banken nervig ist. Kontonummer + Pin, beides über die Tastatur in
ein Formular einzugeben - reicht. Mir. Völlig.

Wie schlank und einfach, auch ohhne JavaSCript und solchen Quatsch, sowas
aussehen kann, zeigt die NetBank IMHO vorbildlich, wenn man dort auf das
barrierefreie Login (geht sowas bei der DiBa überhaupt?) umschaltet:

https://www.netbank-money.de/netbank-barrierefrei-banking/view/index.jsp?blz=20090500&graphics=false

Das "normale" Login der NetBank braucht auch JavaScript und entzieht sich
automatischen Login-Mechanismen. Schade, dass die DiBa den Kunden nicht
auch die Wahl lässt.

Bye

woffi
--
Great spirits have always encountered violent opposition
from mediocre minds.
- Albert Einstein
Gregor Frowein
2006-07-25 04:36:33 UTC
Permalink
Post by Wolfgang Krietsch
Wie schlank und einfach, auch ohhne JavaSCript und solchen Quatsch, sowas
aussehen kann, zeigt die NetBank IMHO vorbildlich, wenn man dort auf das
https://www.netbank-money.de/netbank-barrierefrei-banking/view/index.jsp?blz=20090500&graphics=false
entbehrt nicht einer gewissen Komik, daß man damit den erwünschten
Sicherheitsgewinn durch den grafischen Zugriffscode aufhebt. Man baut
vielleicht darauf, daß die Pisher sportlich fair nur das normale
Portal benutzen.

Gruß
Gregor
Andreas Mauerer
2006-07-25 06:10:03 UTC
Permalink
Post by Gregor Frowein
Post by Wolfgang Krietsch
Wie schlank und einfach, auch ohhne JavaSCript und solchen Quatsch, sowas
aussehen kann, zeigt die NetBank IMHO vorbildlich, wenn man dort auf das
https://www.netbank-money.de/netbank-barrierefrei-banking/view/index.jsp?blz=20090500&graphics=false
Und ich als Sparda-HH-Kunde kann das auch nutzen, muss in der URL nur
die BLZ ändern. :-)
Post by Gregor Frowein
entbehrt nicht einer gewissen Komik, daß man damit den erwünschten
Sicherheitsgewinn durch den grafischen Zugriffscode aufhebt. Man baut
vielleicht darauf, daß die Pisher sportlich fair nur das normale
Portal benutzen.
Ist halt das gleiche wie bei CDs und bei DVDs: Die braven Käufer werden
mit Kopierschutz gegängelt und in Zwangswerbespots als potentielle
Verbrecher behandelt, während die bösen "Raubkopierer" eine Version
haben, die sie problemlos auf alle Geräte bekommen und müssen sich keine
Zwangswerbespots antun.


Gruß

Andreas
--
If you want to mail me directly:
- Use Rot13 on my address
- Enter "abfcnz" after the "@"
- Use Rot13 again and delete the "nospam"
Gregor Frowein
2006-07-25 14:54:37 UTC
Permalink
Post by Andreas Mauerer
Post by Wolfgang Krietsch
https://www.netbank-money.de/netbank-barrierefrei-banking/view/index.jsp?blz=20090500&graphics=false
Und ich als Sparda-HH-Kunde kann das auch nutzen, muss in der URL nur
die BLZ ändern. :-)
das ist ja mal ein cooler Tip.
Geht tatsächlich auch für "meine" Sparda-Bank

Gruß
Gregor
Wolfgang Krietsch
2006-07-25 17:32:52 UTC
Permalink
Post by Gregor Frowein
Post by Wolfgang Krietsch
Wie schlank und einfach, auch ohhne JavaSCript und solchen Quatsch, sowas
aussehen kann, zeigt die NetBank IMHO vorbildlich, wenn man dort auf das
https://www.netbank-money.de/netbank-barrierefrei-banking/view/index.jsp?blz=20090500&graphics=false
entbehrt nicht einer gewissen Komik, daß man damit den erwünschten
Sicherheitsgewinn durch den grafischen Zugriffscode aufhebt. Man baut
vielleicht darauf, daß die Pisher sportlich fair nur das normale
Portal benutzen.
Man baut darauf, dass der Kunde nicht völlig unmündig ist uns selbst
entscheidet, welchem Portal er vertraut.

Bye

woffi
--
Arithmetic is being able to count up to twenty
without taking off your shoes.
Andreas Mauerer
2006-07-25 19:03:56 UTC
Permalink
Post by Wolfgang Krietsch
Post by Wolfgang Krietsch
https://www.netbank-money.de/netbank-barrierefrei-banking/view/index.jsp?blz=20090500&graphics=false
Man baut darauf, dass der Kunde nicht völlig unmündig ist uns selbst
entscheidet, welchem Portal er vertraut.
Es gibt einen Zugang mit "Sicherheitcode", einen ohne, der ohne ist vom
Kunden nicht deaktivierbar. Rate mal, welchen ein autmatisierter Phisher
nutzen würde. Wozu wird dann der Kunde beim Normalzugang gegängelt?

Gruß

Andreas
--
If you want to mail me directly:
- Use Rot13 on my address
- Enter "abfcnz" after the "@"
- Use Rot13 again and delete the "nospam"
Peter Wenz
2006-07-25 06:26:30 UTC
Permalink
Post by Wolfgang Krietsch
Post by Peter Wenz
Das stark vereinfachte Login bei der DiBa kannst du jedenfalls nicht
meinen, auch wenn sich der Spruch am Stammtisch supergut macht.
Nur dass das "stark vereinfachte Login" der DiBa immer noch im Vergleich zu
anderen Banken nervig ist.
Für dich. Wenn das so ein Kardinalspunkt ist, würde ich wirklich zu einer
anderen Bank wechseln.. Für mich ist das zum Beispiel nachrangig wichtig,
von daher stört es mich auch nicht wirklich.

Aber ich habe bekanntlich mehr Zeit als viele (oder nehme sie mir *g*), da
ist das nicht so das Thema, ob ich jetzt beim Login nochmal 10 Sekunden
verballere.
Post by Wolfgang Krietsch
Kontonummer + Pin, beides über die Tastatur in
ein Formular einzugeben - reicht. Mir. Völlig.
Und mir reicht eine dreistellige Kontonummer auch. Habe ich leider
nirgendwo.

Cheers
Peter
Wolfgang Krietsch
2006-07-25 17:36:43 UTC
Permalink
Post by Peter Wenz
Für dich. Wenn das so ein Kardinalspunkt ist, würde ich wirklich zu einer
anderen Bank wechseln..
Wenn es wirklich so nervig wäre, wie ich's in meinem ersten - unüberlegt
geschriebenen - Posting dargestellt habe, würde ich das wohl.

ABer als Antwort von der DiBa habe ich einen beruhigenden Textbaustein
bekommen, dass das alles der Sicherheit dient. Dann geht's ja ;)
Post by Peter Wenz
Aber ich habe bekanntlich mehr Zeit als viele (oder nehme sie mir *g*), da
ist das nicht so das Thema, ob ich jetzt beim Login nochmal 10 Sekunden
verballere.
Naja - ich habe verschiedene Konten bei verschiedenen Banken. Bei allen
anderen drücke ich eine Tastenkombination und bin eingeloggt, nur bei der
DiBa muss ich immer manuell noch irgendwas machen. Nein, das ist kein Drama
- aber doch lästig.
Post by Peter Wenz
Post by Wolfgang Krietsch
Kontonummer + Pin, beides über die Tastatur in
ein Formular einzugeben - reicht. Mir. Völlig.
Und mir reicht eine dreistellige Kontonummer auch. Habe ich leider
nirgendwo.
Ich auch nicht. Aber ein komfortable, schlankes, automatisierbares Login
habe ich sonst überall.

Bye

woffi
--
"Bother!" said Pooh, "It all comes of trying
to be kind to Heffalumps."
Bastian Schlüter
2006-07-25 20:01:53 UTC
Permalink
Moin,
Post by Wolfgang Krietsch
Nur dass das "stark vereinfachte Login" der DiBa immer noch im Vergleich zu
anderen Banken nervig ist. Kontonummer + Pin, beides über die Tastatur in
ein Formular einzugeben - reicht. Mir. Völlig.
Das Problem dabei ist meiner Meinung nach, das jeder (auch
unabsichtlich) deinen Onlinezugang sperren kann. Einfach dreimal
Kontonummer und irgendeine PIN eingeben und das Konto ist gesperrt. Sehr
nett im Urlaub oder auf sonstigen Reisen.

ciao
Bastian
Wolfgang Krietsch
2006-07-25 21:20:52 UTC
Permalink
Post by Bastian Schlüter
Das Problem dabei ist meiner Meinung nach, das jeder (auch
unabsichtlich) deinen Onlinezugang sperren kann. Einfach dreimal
Kontonummer und irgendeine PIN eingeben und das Konto ist gesperrt. Sehr
nett im Urlaub oder auf sonstigen Reisen.
Das wäre ein Argument. Aber geht das bei der DiBa (etc.) nicht? Ich weiß
nicht, was dort passiert wenn man dreimal mit meiner Kontonummer und einem
falschen Login versucht, auf die zweite Seite zu kommen.

Bye

woffi
--
I am not as think as you drunk I am!
Kathinka Wenz
2006-07-26 07:11:47 UTC
Permalink
Post by Wolfgang Krietsch
Das wäre ein Argument. Aber geht das bei der DiBa (etc.) nicht? Ich weiß
nicht, was dort passiert wenn man dreimal mit meiner Kontonummer und einem
falschen Login versucht, auf die zweite Seite zu kommen.
Ich werde es jetzt auch nicht probieren, ich nehme aber an, dass dann
der Zugang gesperrt wird.

Gruß, Kathinka
Lothar Cezanne
2006-07-26 20:01:13 UTC
Permalink
Post by Kathinka Wenz
Post by Wolfgang Krietsch
Das wäre ein Argument. Aber geht das bei der DiBa (etc.) nicht? Ich weiß
nicht, was dort passiert wenn man dreimal mit meiner Kontonummer und einem
falschen Login versucht, auf die zweite Seite zu kommen.
Ich werde es jetzt auch nicht probieren, ich nehme aber an, dass dann
der Zugang gesperrt wird.
Da liegst Du richtig.

BTDT, lc#
Martin Gerdes
2006-07-26 14:00:12 UTC
Permalink
Post by Bastian Schlüter
Post by Wolfgang Krietsch
Nur dass das "stark vereinfachte Login" der DiBa immer noch im Vergleich zu
anderen Banken nervig ist. Kontonummer + Pin, beides über die Tastatur in
ein Formular einzugeben - reicht. Mir. Völlig.
Das Problem dabei ist meiner Meinung nach, das jeder (auch
unabsichtlich) deinen Onlinezugang sperren kann.
Auch absichtlich.
Klares Argument für ein Zweitkonto :-)
Post by Bastian Schlüter
Einfach dreimal Kontonummer und irgendeine PIN eingeben und das Konto ist gesperrt.
Sehr nett im Urlaub oder auf sonstigen Reisen.
Die EC- oder Kreditkarte dürfte noch funktionieren.

Ich habe vor Jahren mal das Thema aufgebracht, es ist aber nichts daraus
geworden; ein Massenphänomen scheint das also nicht zu sein.

Man kann auf diese Weise das Opfer auch lediglich ärgern, Geld wegnehmen
kann man ihm so nicht. Ein Fremdangriff auf diese Weise ist somit eher
unwahrscheinlich -- und ein familieninterner Stalker (Rosenkrieg) dürfte von
der Tendenz her eher alle Konten kennen, so daß ein Ausweichen auf ein
Alternativkonto möglicherweise nichts bringt.
--
Martin Gerdes
Kathinka Wenz
2006-07-27 06:48:12 UTC
Permalink
Post by Martin Gerdes
Post by Bastian Schlüter
Das Problem dabei ist meiner Meinung nach, das jeder (auch
unabsichtlich) deinen Onlinezugang sperren kann.
Auch absichtlich.
Klares Argument für ein Zweitkonto :-)
Ja? Wenn mir jemand meinen Online-Zugang sperrt, dann rufe ich bei der
Bank an, lasse ihn entsperren und tätige dabei gleich die dringenden
Überweisungen. Warum brauche ich ein zweites Konto?

Gruß, Kathinka
Martin Gerdes
2006-07-27 10:00:05 UTC
Permalink
Post by Kathinka Wenz
Post by Martin Gerdes
Post by Bastian Schlüter
Das Problem dabei ist meiner Meinung nach, das jeder (auch
unabsichtlich) deinen Onlinezugang sperren kann.
Auch absichtlich.
Klares Argument für ein Zweitkonto :-)
Ja? Wenn mir jemand meinen Online-Zugang sperrt, dann rufe ich bei der
Bank an, lasse ihn entsperren und tätige dabei gleich die dringenden
Überweisungen.
Verschiedene Leute finden verschiedene Lösungen.

Anrufen mag vom Urlaubsort aus nicht ganz einfach sein, Anrufen mag bei
verschiedenen Banken nachts um zwei nicht ganz einfach sein.
Post by Kathinka Wenz
Warum brauche ich ein zweites Konto?
Keine Ahnung. Jeder Mensch spricht für sich selbst, und ich würde in so
einem Fall wohl erstmal ein anderes Konto probieren, wobei mir bei einer
gezielten Bösartigkeit (Rosenkrieg ...) die Wahrscheinlichkeit nicht gering
scheint, daß das aus dem gleichen Grund auch dicht ist.
--
Martin Gerdes
Kathinka Wenz
2006-07-27 12:24:10 UTC
Permalink
Post by Martin Gerdes
Anrufen mag vom Urlaubsort aus nicht ganz einfach sein, Anrufen mag bei
verschiedenen Banken nachts um zwei nicht ganz einfach sein.
Da nachts um zwei Uhr eh keine Überweisung ausgeführt wird (Ausnahmen
bestätigen die Regel), sehe ich kein Problem, bis zum nächsten Morgen zu
warten (mal davon abgesehen, dass bei der im Subjekt erwähnte Bank
dieser Anruf auch nachts funktioniert). Und ich muss zugeben, dass ich
noch nie eine eilige Überweisung im Urlaub tätigen musste und mir auch
kein Szenario vorstellen kann, dass sowas mal nötig machen könnte. Ich
bin in der Lage, auch meinen drei oder vierwöchigen Urlaub entsprechend
zu planen und nehme daher nicht mal TANs mit.
Post by Martin Gerdes
Keine Ahnung. Jeder Mensch spricht für sich selbst, und ich würde in so
einem Fall wohl erstmal ein anderes Konto probieren, wobei mir bei einer
gezielten Bösartigkeit (Rosenkrieg ...) die Wahrscheinlichkeit nicht gering
scheint, daß das aus dem gleichen Grund auch dicht ist.
Ich meine, ich habe ja in der Zwischenzeit sogar drei Girokonten, den
Hang zum Zweitkonto kann ich also durchaus nachvollziehen, aber eben
nicht aus diesem Grund. ;-)

Gruß, Kathinka
Martin Gerdes
2006-07-27 22:00:16 UTC
Permalink
Post by Kathinka Wenz
Post by Martin Gerdes
Anrufen mag vom Urlaubsort aus nicht ganz einfach sein, Anrufen mag bei
verschiedenen Banken nachts um zwei nicht ganz einfach sein.
Da nachts um zwei Uhr eh keine Überweisung ausgeführt wird (Ausnahmen
bestätigen die Regel), sehe ich kein Problem, bis zum nächsten Morgen zu
warten
Mit Verlaub: Ich glaube, ich darf das selber wissen, ob ich nachts um zwei
Überweisungen eingeben will, vielleicht deswegen, weil morgens die Zeit
immer knapp ist?
Post by Kathinka Wenz
(mal davon abgesehen, dass bei der im Subjekt erwähnte Bank dieser Anruf
auch nachts funktioniert).
Das sowieso -- und doch nutzt Du für bestimmte Zwecke gern Dein
Postgirokonto, wenn ich mich recht entsinne.
Post by Kathinka Wenz
Und ich muss zugeben, dass ich noch nie eine eilige Überweisung im Urlaub
tätigen musste und mir auch kein Szenario vorstellen kann, das sowas mal
nötig machen könnte.
Das kenne ich. Erst, wenn irgendwas passiert, führt man sich vor Augen, was
alles dranhängt.

"Soll ich Ihnen einen neuen Bogen TANs zuschicken lassen."
"An sich nein, ich habe noch genug."
"Nunja, dann haben Sie Reserve."
"Meinetwegen."

"Warum nimmt der Rechner meine TANs nicht an?"
"Sie haben einen neuen Bogen bestellt, hier im System stehen aber noch 30
alte TANs. Wenn noch mehr als 20 TANs ausstehen, sperren wir routinemäßig
den alten Bogen."

Tage später trudelte dann der neue Bogen ein. Wie ihn aktivieren?

"Geben Sie einfach eine TAN des alten Bogens ein."
"Die sind aber doch alle gesperrt."
"Dann geht das nur schriftlich ..."

Das nächste Mal weiß ich das.
Vorher hätte ich mir nicht träumen lassen, daß da eine Fußangel lauert.

Manchmal gehts dumm, wenns aber dumm geht, dann gehts richtig dumm.
Post by Kathinka Wenz
Ich bin in der Lage, auch meinen drei oder vierwöchigen Urlaub entsprechend
zu planen und nehme daher nicht mal TANs mit.
Jeder nach seiner Façon.
--
Martin Gerdes
Kathinka Wenz
2006-07-28 06:43:49 UTC
Permalink
Post by Martin Gerdes
Das sowieso -- und doch nutzt Du für bestimmte Zwecke gern Dein
Postgirokonto, wenn ich mich recht entsinne.
Ja, um Bargeld einzuzahlen. Kommt aber nicht besonders häufig vor,
leider. ;-)
Post by Martin Gerdes
"Geben Sie einfach eine TAN des alten Bogens ein."
"Die sind aber doch alle gesperrt."
"Dann geht das nur schriftlich ..."
*lol*
Post by Martin Gerdes
Manchmal gehts dumm, wenns aber dumm geht, dann gehts richtig dumm.
Wie gesagt, ich hätte jederzeit per Telefon oder sogar schriftlich meine
Überweisungen machen können, während ich auf neue TANs warte. So ein
Backup sollte eine Bank halt bieten.

Gruß, Kathinka
Frank Kozuschnik
2006-07-27 20:43:43 UTC
Permalink
Post by Kathinka Wenz
Wenn mir jemand meinen Online-Zugang sperrt, dann rufe ich bei der
Bank an, lasse ihn entsperren und tätige dabei gleich die dringenden
Überweisungen.
Nicht jeder hat einen Telefon-Banking-Zugang und in dieser Situation
den Telefon-Banking-Zugangscode zur Hand.
Und nicht jede Bank entsperrt den Online-Zugang sofort am Telefon.
Kathinka Wenz
2006-07-28 06:50:05 UTC
Permalink
Post by Frank Kozuschnik
Post by Kathinka Wenz
Wenn mir jemand meinen Online-Zugang sperrt, dann rufe ich bei der
Bank an, lasse ihn entsperren und tätige dabei gleich die dringenden
Überweisungen.
Nicht jeder hat einen Telefon-Banking-Zugang und in dieser Situation
den Telefon-Banking-Zugangscode zur Hand.
Ich habe die Online-Banking-PIN und die Telefon-PIN gleich gewählt, ich
kann nur beides oder nichts vergessen.
Post by Frank Kozuschnik
Und nicht jede Bank entsperrt den Online-Zugang sofort am Telefon.
Das ist ja auch nicht nötig, wenn man seine Überweisungen am Telefon
machen kann.

Ich gebe zu, dass mein Mitleid mit Kunden, die freiwillig auf das
Telefonbanking verzichten, in dem Fall recht gering ausfällt.

Gruß, Kathinka
Gregor Frowein
2006-07-28 11:18:31 UTC
Permalink
Post by Kathinka Wenz
Post by Frank Kozuschnik
Und nicht jede Bank entsperrt den Online-Zugang sofort am Telefon.
Das ist ja auch nicht nötig, wenn man seine Überweisungen am Telefon
machen kann.
Ich gebe zu, dass mein Mitleid mit Kunden, die freiwillig auf das
Telefonbanking verzichten, in dem Fall recht gering ausfällt.
und bei der Netbank braucht man nicht mal "Telefonbanking" zu machen.
Man redet mit einem Menschen und sagt dem einfach was man will.

Gruß
Gregor
Kathinka Wenz
2006-07-28 12:23:25 UTC
Permalink
Post by Gregor Frowein
und bei der Netbank braucht man nicht mal "Telefonbanking" zu machen.
Man redet mit einem Menschen und sagt dem einfach was man will.
Und das geht ohne Telefonbanking-PIN?

Ich kenne es bei der DiBa so, dass man entweder mit der Maschine oder
mit einem Mitarbeiter telefoniert und seine Überweisungen durchgibt,
aber man muss sich vorher auf jeden Fall mit der TBS-PIN legitimieren,
sonst geht nichts.

Alternativ kann man auch ganz altmodisch Überweisungsvordrucke ausfüllen
und hinschicken.

Gruß, Kathinka
Gregor Frowein
2006-07-28 13:05:39 UTC
Permalink
Post by Kathinka Wenz
Post by Gregor Frowein
und bei der Netbank braucht man nicht mal "Telefonbanking" zu machen.
Man redet mit einem Menschen und sagt dem einfach was man will.
Und das geht ohne Telefonbanking-PIN?
Man muß nur warten, bis der Sprachcomputer aufgibt und weiterverbindet
:-)
Post by Kathinka Wenz
Ich kenne es bei der DiBa so, dass man entweder mit der Maschine oder
mit einem Mitarbeiter telefoniert und seine Überweisungen durchgibt,
aber man muss sich vorher auf jeden Fall mit der TBS-PIN legitimieren,
sonst geht nichts.
Der Mitarbeiter stellte mir ein paar Fragen zum Konto und dann durfte
ich mir ein Kennwort ausdenken fürs nächste Mal.

Gruß
Gregor
Konrad Wilhelm
2006-07-28 13:58:56 UTC
Permalink
Post by Kathinka Wenz
Post by Gregor Frowein
und bei der Netbank braucht man nicht mal "Telefonbanking" zu machen.
Man redet mit einem Menschen und sagt dem einfach was man will.
Und das geht ohne Telefonbanking-PIN?
Ich kenne es bei der DiBa so, dass man entweder mit der Maschine oder
mit einem Mitarbeiter telefoniert und seine Überweisungen durchgibt,
aber man muss sich vorher auf jeden Fall mit der TBS-PIN legitimieren,
... die natürlich völlig unverschlüsselt über die Leitung geht, so
dass jeder sie mit einem Stückchen Kupferdraht abgreifen kann.

Da fand ich die Lösung, die vor Zeiten die Santander praktizierte,
doch besser. Man musste bei der Kontoeröffnung ein Passwort auswählen,
und davon wurden dann jeweils 2 Zeichen abgefragt. Wäre natürlich
heute viel zu teuer. Geiz ist ja geil, der Kunde ist nicht mehr
bereit, was für die Dienstleistung zu bezahlen!
Wart mal: das war doch damals auch schon kostenlos? Komisch
eigentlich, deutlich aufwendiger aber damals offenbar noch leistbar.
Post by Kathinka Wenz
Alternativ kann man
du, und ich, und ersieeswirihrsie
Post by Kathinka Wenz
auch ganz altmodisch Überweisungsvordrucke ausfüllen
mit "Müller" oder "Meyer" unterschreiben
Post by Kathinka Wenz
und hinschicken.
k.
--
Konrad Wilhelm <***@web.de>
Südstr. 3, D48329 Havixbeck
Wolfgang Krietsch
2006-07-28 15:49:18 UTC
Permalink
Post by Konrad Wilhelm
... die natürlich völlig unverschlüsselt über die Leitung geht, so
dass jeder sie mit einem Stückchen Kupferdraht abgreifen kann.
Du könntest gut bei der DiBa arbeiten - die haben gern Paranoiker in der
Sicherheitsabteilung ;)

Bye

woffi
--
Top Ten Times in history when saying F**K was appropriate:
2) "I need this parade like I need a f**king hole in my head!"
- J.F.K.
Peter Wenz
2006-07-28 16:53:34 UTC
Permalink
Post by Wolfgang Krietsch
Post by Konrad Wilhelm
... die natürlich völlig unverschlüsselt über die Leitung geht, so
dass jeder sie mit einem Stückchen Kupferdraht abgreifen kann.
Du könntest gut bei der DiBa arbeiten - die haben gern Paranoiker in der
Sicherheitsabteilung ;)
An wen erinnert mich das jetzt gleich? Richtig, der Schimmel-Ferdi hatte
auch solche Obesessionen... *eg*

Cheers
Peter
Peter Wenz
2006-07-28 16:55:03 UTC
Permalink
Post by Wolfgang Krietsch
Post by Konrad Wilhelm
... die natürlich völlig unverschlüsselt über die Leitung geht, so
dass jeder sie mit einem Stückchen Kupferdraht abgreifen kann.
Du könntest gut bei der DiBa arbeiten - die haben gern Paranoiker in der
Sicherheitsabteilung ;)
An wen erinnert mich das jetzt gleich? Richtig, der Schimmel-Ferdi hatte
auch solche Obsessionen... *eg*

Cheers
Peter
Wolfgang Krietsch
2006-07-28 19:47:53 UTC
Permalink
Post by Peter Wenz
An wen erinnert mich das jetzt gleich? Richtig, der Schimmel-Ferdi hatte
auch solche Obsessionen... *eg*
Also, auch wenn Konrad manchmal wunderlich ist - der Vergleich ist
unfair!!elf

Bye

woffi
--
Die Schwerkraft ist überbewertet
man braucht sie gar nicht
wie man ja wohl am Weltall sieht
- Peter Licht, "Lied gegen die Schwerkraft"
Konrad Wilhelm
2006-07-29 13:35:48 UTC
Permalink
On Fri, 28 Jul 2006 21:47:53 +0200, Wolfgang Krietsch
Post by Wolfgang Krietsch
Post by Peter Wenz
An wen erinnert mich das jetzt gleich? Richtig, der Schimmel-Ferdi hatte
auch solche Obsessionen... *eg*
Also, auch wenn Konrad manchmal wunderlich ist
Du solltest wirklich mal besser Rechtschreibung üben.
Der Duden buchstabiert diese Wort w-u-n-d-e-r-b-a-r

k.
--
Konrad Wilhelm <***@web.de>
Südstr. 3, D48329 Havixbeck
Martin Gerdes
2006-07-29 16:00:08 UTC
Permalink
Post by Konrad Wilhelm
Also, auch wenn Konrad manchmal wunderlich ist ....
Du solltest wirklich mal besser Rechtschreibung üben.
Der Duden buchstabiert diese Wort w-u-n-d-e-r-b-a-r
Will hier der Bock "wohlmöglich" zum Gärtner werden?
Das braucht aber noch "ettliche" Zeit.


























(Das Wort "dieses" hätte ich in obigen Zusammenhang übrigens hinten mit "s"
geschrieben.)
--
Martin Gerdes
Konrad Wilhelm
2006-07-28 19:36:35 UTC
Permalink
On Fri, 28 Jul 2006 17:49:18 +0200, Wolfgang Krietsch
Post by Wolfgang Krietsch
Post by Konrad Wilhelm
... die natürlich völlig unverschlüsselt über die Leitung geht, so
dass jeder sie mit einem Stückchen Kupferdraht abgreifen kann.
Du könntest gut bei der DiBa arbeiten - die haben gern Paranoiker in der
Sicherheitsabteilung ;)
Vermutlich hast du recht. Es ist eigentlich kein Zufall, dass ich
banking nur über HBCI mache. Vielleicht könnte ich die DiBa in meinem
neuen Job überreden, das auch anzubieten?

k.
--
Konrad Wilhelm <***@web.de>
Südstr. 3, D48329 Havixbeck
Wolfgang Krietsch
2006-07-28 21:38:52 UTC
Permalink
Post by Konrad Wilhelm
Vermutlich hast du recht. Es ist eigentlich kein Zufall, dass ich
banking nur über HBCI mache. Vielleicht könnte ich die DiBa in meinem
neuen Job überreden, das auch anzubieten?
Bestimmt. Aber die würden vermutlich trotz HBCI noch eine Sicherheitsfrage
einbauen, die man mit einer grafischen Bildschirmtastatur, auf der aus
Sicherheitsgründen keine Symbole abgebildet sind, eingeben muss.

Bye

woffi
--
Someday, we'll look back on this, laugh nervously
and change the subject.
Matthias Hanft
2006-07-29 07:38:03 UTC
Permalink
Post by Wolfgang Krietsch
Bestimmt. Aber die würden vermutlich trotz HBCI noch eine Sicherheitsfrage
einbauen, die man mit einer grafischen Bildschirmtastatur, auf der aus
Sicherheitsgründen keine Symbole abgebildet sind, eingeben muss.
Wenn Ihr mal einen richtig toll gesicherten Banken-Login anschauen wollt,
probiert mal http://sec.generalibank.at/SecLookOn_Generali/ aus :-)

Gruß Matthias.
Wolfgang Krietsch
2006-07-29 08:21:52 UTC
Permalink
Post by Matthias Hanft
Wenn Ihr mal einen richtig toll gesicherten Banken-Login anschauen wollt,
probiert mal http://sec.generalibank.at/SecLookOn_Generali/ aus :-)
Das ist ein Hoax, oder? Das *können* die nicht ernst meinen - ich will ganz
fest daran glauben, dass das nur ein Spaß ist.

Hmmm.... .at? Hat der Mösl etwa ein Login für eine Bank.... nee, das will
ich auch nicht glauben.

Bye

woffi
--
What if your mother really IS right..... about everything?
Matthias Hanft
2006-07-29 09:44:52 UTC
Permalink
Post by Wolfgang Krietsch
Das ist ein Hoax, oder? Das *können* die nicht ernst meinen - ich will ganz
fest daran glauben, dass das nur ein Spaß ist.
Leider verloren - das haben die im Bankenforum in OpenBC absolut
ernsthaft zur Diskussion gestellt:
https://www.openbc.com/cgi-bin/forum.fpl?op=showarticles&id=1557191

Vielleicht schafft man's ja nach intensivem 40stündigen Training
wirklich in ein paar Sekunden :-)

Gruß Matthias.
Martin Gerdes
2006-07-29 10:00:09 UTC
Permalink
Post by Matthias Hanft
Post by Wolfgang Krietsch
Das ist ein Hoax, oder? Das *können* die nicht ernst meinen - ich will ganz
fest daran glauben, dass das nur ein Spaß ist.
Leider verloren - das haben die im Bankenforum in OpenBC absolut
https://www.openbc.com/cgi-bin/forum.fpl?op=showarticles&id=1557191
Vielleicht schafft man's ja nach intensivem 40stündigen Training
wirklich in ein paar Sekunden :-)
Das Verfahren krankt am gleichen Übel wie das PIN-Verfahren: Es gibt zuviele
dieser Schlösser. EINE Kontonummer und EINE PIN zu merken, schaffen die
meisten Leute, meine Paßwortdatei in meinem Browser weist vielleicht 40
Einträge auf. Das kriege ich ohne Maschinenhilfe gedanklich nicht mehr
gebacken.

Ich halte das für überkandidelt.
--
Martin Gerdes
Kathinka Wenz
2006-07-28 16:27:25 UTC
Permalink
Post by Konrad Wilhelm
Da fand ich die Lösung, die vor Zeiten die Santander praktizierte,
doch besser. Man musste bei der Kontoeröffnung ein Passwort auswählen,
und davon wurden dann jeweils 2 Zeichen abgefragt.
Also, zumindest bei der Überweiung über die Mitarbeiter ist es bei der
DiBa genauso.

"Bitte geben sie die 2. und 5. Stelle ihre Telefonbanking-PIN an."[1]
Post by Konrad Wilhelm
Wäre natürlich heute viel zu teuer.
Was ist daran teurer? Ob du alle Zahlen oder Ziffern eingibst oder nur
zwei, macht irgendwie nicht so den Unterschied.

Ich kann mich auch noch an Zeiten erinnern, in denen es bei der DiBa ein
Wort gab, keine Ziffern. Aber ich fand es eigentlich ganz praktisch,
eine Zahl über das Telefon eingeben zu können.

Der Grund, warum ich damals bei der DiBa gelandet war, war übrignes die
Telefonnummer. Die war für mich ein Ortsgespräch und damit billiger als
alle anderen Online-Banken. Und auch heute rufe ich gerne bei der DiBa
für 6Ct insgesamt an, während ich bei der Citi- oder bei der Postbank
9Ct pro Minute bezahle. Auch das empfinde ich als Service.

Gruß, Kathinka
[1] Nur, wenn man sich vorher nicht über das Telefonbanking-System
eingeloggt hat.
Guido Ostkamp
2006-07-28 20:07:26 UTC
Permalink
Post by Kathinka Wenz
Was ist daran teurer? Ob du alle Zahlen oder Ziffern eingibst oder
nur zwei, macht irgendwie nicht so den Unterschied.
Ein zufälliger Lauscher bekommt so nicht die notwendige Information,
weil beim nächsten Mal vermutlich andere Kombinationen abgefragt
werden.

Gruß,

Guido
Kathinka Wenz
2006-07-29 07:20:59 UTC
Permalink
Post by Guido Ostkamp
Post by Kathinka Wenz
Was ist daran teurer? Ob du alle Zahlen oder Ziffern eingibst oder
nur zwei, macht irgendwie nicht so den Unterschied.
Ein zufälliger Lauscher bekommt so nicht die notwendige Information,
weil beim nächsten Mal vermutlich andere Kombinationen abgefragt
werden.
Ich weiß, aber was hat das mit meiner Frage zu tun, was daran teurer
sein soll?

Gruß, Kathinka
Guido Ostkamp
2006-07-28 20:06:38 UTC
Permalink
Post by Kathinka Wenz
Ich habe die Online-Banking-PIN und die Telefon-PIN gleich gewählt,
ich kann nur beides oder nichts vergessen.
Ist das nicht ziemlich leichtsinnig? Bei Online-Banking braucht man
doch in der Regel nicht mehr als Kontonummer + PIN, also keine TAN.
Mal angenommen, die PIN würde durch einen Trojaner ausgespäht, dann
kann sich sofort jemand bedienen.
Post by Kathinka Wenz
Ich gebe zu, dass mein Mitleid mit Kunden, die freiwillig auf das
Telefonbanking verzichten, in dem Fall recht gering ausfällt.
Es interessiert mich schon immer mal zu hören, wie das eigentlich bei
länglichen Zahlenkolonnen-Verwendungszwecken bei Überweisungen im
Telefonbanking funktioniert. Tippt man das Zeugs auf einer
Telefontastatur im SMS Morseverfahren ein? Oder buchstabiert man das
einem Menschen durch?

Ein Fehler bei so einer Nummer und bspw. die Versicherung etc. gilt
als nicht bezahlt und die Mahnung flattert ins Haus.

Gruß,

Guido
Kathinka Wenz
2006-07-29 07:35:34 UTC
Permalink
Post by Guido Ostkamp
Ist das nicht ziemlich leichtsinnig? Bei Online-Banking braucht man
Du meinst Telefonbanking.
Post by Guido Ostkamp
doch in der Regel nicht mehr als Kontonummer + PIN, also keine TAN.
Mal angenommen, die PIN würde durch einen Trojaner ausgespäht, dann
kann sich sofort jemand bedienen.
Stimmt. Allerdings habe ich noch nie davon gehört, dass das gemacht
worden wäre. Aber du hast natürlich recht, jetzt, wo ich das sogar
öffentlich erklärt habe, sollte ich gerade mal meine Bank anrufen und
die Nummer ändern lassen. Auch kein Problem.
Post by Guido Ostkamp
Es interessiert mich schon immer mal zu hören, wie das eigentlich bei
länglichen Zahlenkolonnen-Verwendungszwecken bei Überweisungen im
Telefonbanking funktioniert. Tippt man das Zeugs auf einer
Telefontastatur im SMS Morseverfahren ein? Oder buchstabiert man das
einem Menschen durch?
Nein, im TBS spricht man es auf ein Band. Habe ich aber schon lange
nicht mehr gemacht.

Ich weiß aber nicht, wie die Bänder abgearbeitet werden, ob das
automatisch oder manuell passiert.
Post by Guido Ostkamp
Ein Fehler bei so einer Nummer und bspw. die Versicherung etc. gilt
als nicht bezahlt und die Mahnung flattert ins Haus.
Jein. Ich habe selber mal in einem Reiseveranstalter Fehlbuchungen
bearbeitet und ich nehme an, dass jede größere Firma so jemanden hat,
der sich darum kümmert. Wegen nur einer falschen Ziffer landet die
Buchung noch lange nicht falsch, meist ist die Zuordnung recht einfach,
dauert halt nur etwas länger. Und wenn sie nicht gelingt und die Mahnung
erfolgt, reicht ein Anruf, um das zu klären.

Schwierig wird es erst, wenn 10.444 DM ohne Verwendungszweck überwiesen
werden und der Name der Überweisenden dem System nicht bekannt ist. *g*
Das habe ich dann über die Summe rausbekommen, Reisen in der
Größenordnung kamen doch nicht so häufig vor und ich fand nur eine mit
entsprechendem Reisetermin. Also dort angerufen. Ich hatte dann einen
sehr alten Herren dran, der extrem panisch reagierte, als ich mich mit
dem Namen des Reiseveranstalters meldete. Ich beruhigte ihn erst mal so
gut ich konnte und fragte dann, ob er die Reise schon bezahlt hätte. Das
wußte er nicht, das würde alles sein Schwiegersohn machen. Ich horchte
auf und bat um Namen und Telefonnummer des Schwiergsohnes. Als der Name
identisch mit dem vom Überweisungsträger war, war ich mir schon sicher,
habe aber trotzdem dort nochmal angerufen und nach Überweisungshöhe und
Termin gefragt. Passte. Der Schwiegersohn erklärte mir auch die panische
Reaktion, die war schon der zweite Reiseversuch, die erste war irgendwie
von Veranstalterseite gescheitert.

Aber ich habe mich schon gefragt, wie man ohne ein Sterbenswörtchen zu
vermerken einfach über 5000 Euro an eine Firma üebrweisen kann, mit der
man keine Geschäftsbeziehung hat. Einige denken wirklich überhaupt nicht
nach, wie es scheint.

Gruß, Kathinka
Guido Ostkamp
2006-07-28 20:03:02 UTC
Permalink
Post by Kathinka Wenz
Ja? Wenn mir jemand meinen Online-Zugang sperrt, dann rufe ich bei
der Bank an, lasse ihn entsperren und tätige dabei gleich die
dringenden Überweisungen. Warum brauche ich ein zweites Konto?
Zweites Konto vielleicht nicht unbedingt. Aber wenn man sich statt mit
er Kontonummer ausschließlich über Identifier + Pin einwählen würde,
hätte das was für sich, die kennt jemand, zu dem man mal eine
Überweisung machen mußte oder der einem eine geschickt hat, nämlich
nicht. Ergo wäre die Chance für eine absichtliche Sperrung des Kontos
relativ gering.

Gruß,

Guido
Kathinka Wenz
2006-07-29 07:38:03 UTC
Permalink
Post by Guido Ostkamp
Zweites Konto vielleicht nicht unbedingt. Aber wenn man sich statt mit
er Kontonummer ausschließlich über Identifier + Pin einwählen würde,
hätte das was für sich, die kennt jemand, zu dem man mal eine
Überweisung machen mußte oder der einem eine geschickt hat, nämlich
nicht. Ergo wäre die Chance für eine absichtliche Sperrung des Kontos
relativ gering.
Wenn man statt der Kontonummer die Kundennummer nehmen würde, (die ja
wohl alle Banken haben, oder?) wäre es technisch auch kaum ein Aufwand.
Aber ich nehme an, dass die Kunden dann Sturm laufen, weil sie sich noch
eine Nummer mehr merken müssen.

Denn wer weiß schon seine Kundennummer bei seiner Bank...?

Gruß, Kathinka
Jens Müller
2006-07-29 07:41:32 UTC
Permalink
Post by Kathinka Wenz
Wenn man statt der Kontonummer die Kundennummer nehmen würde, (die ja
wohl alle Banken haben, oder?) wäre es technisch auch kaum ein Aufwand.
Aber ich nehme an, dass die Kunden dann Sturm laufen, weil sie sich noch
eine Nummer mehr merken müssen.
Denn wer weiß schon seine Kundennummer bei seiner Bank...?
Wieso? Girokontonummer ohne 00 am Ende - bei Commerzbank und vielen
anderen ...

Bei der 1822direkt IST die Kundennummer der Login-Benutzername.
Kathinka Wenz
2006-07-29 07:57:08 UTC
Permalink
Post by Jens Müller
Wieso? Girokontonummer ohne 00 am Ende - bei Commerzbank und vielen
anderen ...
Und was, wenn ein Kunde zwei Giro-Konten hat? Bekommt er dann zwei
Kundennummern?

Gruß, Kathinka
Jens Müller
2006-07-29 09:39:00 UTC
Permalink
Post by Kathinka Wenz
Post by Jens Müller
Wieso? Girokontonummer ohne 00 am Ende - bei Commerzbank und vielen
anderen ...
Und was, wenn ein Kunde zwei Giro-Konten hat? Bekommt er dann zwei
Kundennummern?
-01, -02, ...
Guido Ostkamp
2006-07-29 14:02:47 UTC
Permalink
Post by Jens Müller
Wieso? Girokontonummer ohne 00 am Ende - bei Commerzbank und vielen
anderen ...
Diese Nummer ist damit bei Kenntnis der Bank und Kontonummer
berechenbar und damit sicherheitstechnisch genauso ungeeignet, wie die
eigentliche Kontonummer.

Gruß,

Guido
Detlef Friedrich
2006-07-29 10:54:17 UTC
Permalink
Hallo,
Post by Kathinka Wenz
Denn wer weiß schon seine Kundennummer bei seiner Bank...?
ich zum Bleistift!

Aber auch nur deshalb, weil man sich beim Web-Login, das ich nur
äußerst selten benutze, mit Kundennümmerchen und Online-PIN
legetimieren muß können soll.

Und das Ganze kann man bei der 1822direkt live erleben ;-)

Ciao, Detlef
Martin Gerdes
2006-07-29 10:00:10 UTC
Permalink
Post by Kathinka Wenz
Post by Guido Ostkamp
Zweites Konto vielleicht nicht unbedingt. Aber wenn man sich statt mit
er Kontonummer ausschließlich über Identifier + Pin einwählen würde,
hätte das was für sich, die kennt jemand, zu dem man mal eine
Überweisung machen mußte oder der einem eine geschickt hat, nämlich
nicht. Ergo wäre die Chance für eine absichtliche Sperrung des Kontos
relativ gering.
Wenn man statt der Kontonummer die Kundennummer nehmen würde, (die ja
wohl alle Banken haben, oder?) wäre es technisch auch kaum ein Aufwand.
Aber ich nehme an, dass die Kunden dann Sturm laufen, weil sie sich noch
eine Nummer mehr merken müssen.
Denn wer weiß schon seine Kundennummer bei seiner Bank...?
Man könnte sie sich immerhin notieren; zuhause hat man sie auf dem
Kontoauszug in gedruckter Form. Dazu eine Klarschriftfrage für den zweiten
Zugang, das fände ich gut.

Sicherheit gibts nicht. Wenn einer einem mit geheimdienstlichen Aufwand
nachspürt, kriegt er alles geknackt. Gegen einen Versehen oder einen
böswilligen Sperrer (z.B. ein enttäuschter Ebay-Handelspartner) wäre eine
zweite Zugangsmöglichkeit schon hilfreich.
--
Martin Gerdes
Frank Kozuschnik
2006-07-29 11:14:08 UTC
Permalink
Post by Kathinka Wenz
[...] wenn man sich statt mit
er Kontonummer ausschließlich über Identifier + Pin einwählen würde,
hätte das was für sich, die kennt jemand, zu dem man mal eine
Überweisung machen mußte oder der einem eine geschickt hat, nämlich
nicht. Ergo wäre die Chance für eine absichtliche Sperrung des Kontos
relativ gering.
Wenn man statt der Kontonummer die Kundennummer nehmen würde, (die ja
wohl alle Banken haben, oder?) wäre es technisch auch kaum ein Aufwand.
Aber ich nehme an, dass die Kunden dann Sturm laufen, weil sie sich noch
eine Nummer mehr merken müssen.
Denn wer weiß schon seine Kundennummer bei seiner Bank...?
Bei der Hypovereinsbank meldet man sich mit einer eigenen "Direct
Banking Nummer" und der PIN an. Diese Nummer besteht aus vier Ziffern
plus Geburtsdatum - das finde ich einen ganz guten Kompromiss.
Kathinka Wenz
2006-07-29 11:21:26 UTC
Permalink
Post by Frank Kozuschnik
Bei der Hypovereinsbank meldet man sich mit einer eigenen "Direct
Banking Nummer" und der PIN an. Diese Nummer besteht aus vier Ziffern
plus Geburtsdatum - das finde ich einen ganz guten Kompromiss.
Das ist lustig, bei der citibank wird so die Kontonummer gebildet.

Als Kontonummer finde ich es aber eigentlich dämlich, denn so kann
jeder, der die EC-Karte sieht und Bescheid weiß, das Geburtsdatum
auslesen.

Gruß, Kathinka
Florian Weimer
2006-07-26 20:34:32 UTC
Permalink
Post by Bastian Schlüter
Das Problem dabei ist meiner Meinung nach, das jeder (auch
unabsichtlich) deinen Onlinezugang sperren kann. Einfach dreimal
Kontonummer und irgendeine PIN eingeben und das Konto ist
gesperrt. Sehr nett im Urlaub oder auf sonstigen Reisen.
Üblich ist es, die Sperre durch korrekte PIN plus eine TAN aufheben zu
lassen. Ein Anbieter empfahl trotzdem seinen Kunden, bei
Phishing-Verdacht das Konto durch dreimalige PIN-Falscheingabe zu
sperren. *hust*

(Auch das Konzept an sich ist nicht so wahnsinnig toll, weil es die
Trennung von PIN und TAN aus Kundensicht verwässert.)
Torsten Jacobs
2006-07-29 08:00:18 UTC
Permalink
Post by Florian Weimer
Üblich ist es, die Sperre durch korrekte PIN plus eine TAN aufheben zu
lassen.
und nachwieviel dieser Versuche wird das Banking typischerweise
vollständig gesperrt? Hilft glaub ich in diesem Fall nicht viel weiter...

Torsten.
Wolfgang Krietsch
2006-07-24 17:01:08 UTC
Permalink
Post by Jürgen Malberg
Post by Wolfgang Krietsch
Irgendwie sitzden in der Sicherheitsabteilung der DiBa anscheinend nur
schwerkranke Paranoiker.
Hi!
und das ist auch gut so! Täglich kommen noch dümmliche Phishing-Mails und
zuviele Trottel fallen noch darauf rein.
Das sollte dann das Problem der Trottel sein, nicht meins. Oder die DiBa
solls konfigurierbar machen.

Bye

woffi
--
... die Sonne schien nie, es regnete den ganzen Tag, und wenn du nach 27
Stunden Arbeit den Berg wieder heraufkamst, gab dir deine Mutter ein Stück
grünes Gift und dein Vater schlug dich tot. Am nächsten Morgen hieß es dann
wieder um halb drei aufstehen und den Berg rauf in die Fabrik. (mawa, drmm)
Jens Müller
2006-07-24 12:19:26 UTC
Permalink
Post by Wolfgang Krietsch
Hi!
Irgendwie sitzden in der Sicherheitsabteilung der DiBa anscheinend nur
schwerkranke Paranoiker.
Schon immer 3 Parameter: Kontonummer, ID, Key, dann zusäctzlich
"Sicherheitsfrage", danach Einführung iTAN,
Wo?
Post by Wolfgang Krietsch
danach Aufteilung des Logins in
zwei Bildschirme,
Ja.
Post by Wolfgang Krietsch
und jetzt muss man sich noch einen DiBa Key vergeben, der
dann nur noch über eine grafische Bildschirmtastatur eingegeben werden kann
Wo?
Hans Glück
2006-07-24 12:50:23 UTC
Permalink
--- Original-Nachricht ---
Absender: Wolfgang Krietsch
Datum: 24.07.2006 12:45

Hallo Wolfgang,
Post by Wolfgang Krietsch
Irgendwie sitzden in der Sicherheitsabteilung der DiBa anscheinend nur
schwerkranke Paranoiker.
Nein, die DiBa hat nur als eine der bisher wenigen Banken erkannt, dass
ein nicht geringer Teil ihrer Bankkunden mit Onlinebanking schlicht
überfordert sind. Solange es Kunden gibt, die Links in ominösen E-Mails
anklicken, auf fremden Seiten ihre TANs verschenken und dann über die
böse Bank schimpfen, weil sie die Dummköpfe nicht vor der eigenen
Naivität geschützt hat, solange ist es notwendig, dass Banken immer
wieder einen Schritt nach vorne machen.
Post by Wolfgang Krietsch
Schon immer 3 Parameter: Kontonummer, ID, Key, dann zusäctzlich
"Sicherheitsfrage", danach Einführung iTAN, danach Aufteilung des Logins in
zwei Bildschirme, und jetzt muss man sich noch einen DiBa Key vergeben, der
dann nur noch über eine grafische Bildschirmtastatur eingegeben werden kann
- was zügoges Login verhindert und automatische Login Prozeduren über
Passowrd-Datenbanken etc. nun völlig unmöglich macht.
Also das ist so zunächst einmal nicht ganz richtig. Abgefragt wird die
Kontonummer und PIN (logisch, wie willst du dich auch sonst
legitimieren). Anschließend wird auf dem Folgebildschirm für die ganz
dummen Kunden unter uns der Name angezeigt. Wenn sich der Kunde jetzt
sicher ist, wirklich auf der richtigen Seite zu sein, dann darf er sich
noch mit der Identifier (ebenfalls im Onlinebanking üblich) legitimieren
und gleichzeitig eine Sicherheitsabfrage beantworten.

Der ganze Vorgang dauert 7 Sekunden (habs gerade ausprobiert). Und
automatische Login-Prozeduren und Passwort-Datenbanken für das
Onlinebanking zu verwenden, halte ich für mindestens genauso fahrlässig
wie auch im schlechten Deutsch geschriebene Pishing-E-Mails hin
Unbekannten seine TANs zu schenken.

Die schrittweise Einführung der iTAN ist da nur ein logischer Schritt,
auch auch diese vier Sicherheitsbarrieren ganz dumme Kunden nicht davon
abhalten, sich beklauen zu lassen. Die iTAN wird Pishing vorerst eine
Grenze setzen, aber auch dann wird es dumme Kunden geben, die ihre
iTAN-Listen samt PIN und Co. als Hardcopy ins Internet laden.
Post by Wolfgang Krietsch
Auf freundliche formulierte Kritik per Mail bekommt man dümmliche
Textbausteine - da kann ich mein KOnto auch bei ebay führen.
Wenn du Passwort-Datenbanken für das Onlinebanking verwendest, kannst du
dein Konto in der Tat auch bei Ebay führen - oder eine Zugangsdaten als
Download über Torrent anbieten. Das bleibt sich dann auch gleich.
Post by Wolfgang Krietsch
So zufrieden ich mit der DiBa - trotz nicht kostenlosem KOnto - bisher
immer war, und so nervig ein Kontowechsel auch sein mag, aber so langsam
reicht's wirklich.
Das Problem ist nicht DiBa, das Problem ist ein gewisser Prozentsatz Kunde.
Reinhard Fenrich
2006-07-24 13:14:15 UTC
Permalink
Post by Hans Glück
Nein, die DiBa hat nur als eine der bisher wenigen Banken erkannt,
dass ein nicht geringer Teil ihrer Bankkunden mit Onlinebanking
schlicht überfordert sind.
Wenn sie das wirklich erkannt hätten, würden sie ein wirklich sicheres
Verfahren wie z.B. FinTS(HBCI) mit Chipkarte anbieten. Das lehnen sie
aber mit der Begründung "Wir haben uns aus geschäftspolitischen Gründen
dafür entschieden keine Unterstützung für eine Finanzsoftware
anzubieten, was bedeutet, dass für Konten die Schnittstelle HBCI nicht
zur Verfügung gestellt wird" ab.
--
Gruß Reinhard
Kathinka Wenz
2006-07-24 13:36:04 UTC
Permalink
Post by Reinhard Fenrich
Wenn sie das wirklich erkannt hätten, würden sie ein wirklich sicheres
Verfahren wie z.B. FinTS(HBCI) mit Chipkarte anbieten.
Das ist eine reine Kostenfrage. HBCI kostet, der Kunde ist nicht bereit,
das zu bezahlen und die Bank will es auch nicht. Ergo wird es nicht
angeboten.

Gruß, Kathinka
Reinhard Fenrich
2006-07-24 15:54:29 UTC
Permalink
HBCI kostet, der Kunde ist nicht bereit, das zu bezahlen
Dann brauchen sich die Kunden, die nicht bereit sind, für ihre
Sicherheit etwas zu zahlen, doch nicht aufzuregen.
Merkwürdig ist nur, dass es Banken mit gleich guten Konditionen gibt,
die trotzdem HBCI anbieten.
--
Gruß Reinhard
Hans Glück
2006-07-24 13:37:59 UTC
Permalink
--- Original-Nachricht ---
Absender: Reinhard Fenrich
Datum: 24.07.2006 15:14
Post by Reinhard Fenrich
Post by Hans Glück
Nein, die DiBa hat nur als eine der bisher wenigen Banken erkannt,
dass ein nicht geringer Teil ihrer Bankkunden mit Onlinebanking
schlicht überfordert sind.
Wenn sie das wirklich erkannt hätten, würden sie ein wirklich sicheres
Verfahren wie z.B. FinTS(HBCI) mit Chipkarte anbieten. Das lehnen sie
aber mit der Begründung "Wir haben uns aus geschäftspolitischen Gründen
dafür entschieden keine Unterstützung für eine Finanzsoftware
anzubieten, was bedeutet, dass für Konten die Schnittstelle HBCI nicht
zur Verfügung gestellt wird" ab.
Das kostet der Bank einen Haufen Geld.
Uwe Buschhorn
2006-07-24 15:53:19 UTC
Permalink
Post by Hans Glück
Das kostet der Bank einen Haufen Geld.
Na und? Wofür hat sie mein Geld :)


Grüße,
--
Uwe Buschhorn
Otfried Brützel
2006-07-24 16:38:52 UTC
Permalink
Post by Uwe Buschhorn
Post by Hans Glück
Das kostet der Bank einen Haufen Geld.
Na und? Wofür hat sie mein Geld :)
Du meinst also

Saldenbestätigung per 30.12.2007

Saldovortrag per 30.12.2006 10.000
Sicherheitskosten - 2.000
Saldo per 30.12.2007 8.000

Hinweis:
zum 30.12.2011 wird ihre Einlage mit Sicherheit verbraucht sein

Vielen Dank
Ihre Bank

SCNR

Otfried
--
Der Unterschied zwischen Theorie und Praxis ist in der Praxis größer
als in der Theorie
Willy Krämer
2006-07-24 16:51:28 UTC
Permalink
Post by Reinhard Fenrich
Post by Hans Glück
Nein, die DiBa hat nur als eine der bisher wenigen Banken erkannt,
dass ein nicht geringer Teil ihrer Bankkunden mit Onlinebanking
schlicht überfordert sind.
Wenn sie das wirklich erkannt hätten, würden sie ein wirklich sicheres
Verfahren wie z.B. FinTS(HBCI) mit Chipkarte anbieten. Das lehnen sie
aber mit der Begründung "Wir haben uns aus geschäftspolitischen Gründen
dafür entschieden keine Unterstützung für eine Finanzsoftware
anzubieten, was bedeutet, dass für Konten die Schnittstelle HBCI nicht
zur Verfügung gestellt wird" ab.
Aber was soll denn auch diese Hysterie? Man kann es auch übertreiben.
Wer mit dem Medium nicht zurecht kommt, soll wieder zur Sparkasse gehen
oder extra dafür bezahlen. Mir reicht HTTPS mit dem üblichen Maßnahmen
(user/pw) völlig aus.
Ich will keine weitere Karte mit mir rumschleppen. Mein AG drückt mir
schon eine Chipkarte mit vierstelliger PIN auf um per VPN in sein Netz
zu kommen. Wenn die Karte mal verloren geht, hat der Dieb die PIN in
wenigen Stunden durch Ausprobieren geknackt und ist im Firmennetz.
Wer leichtsinnig mit solchen Daten umgeht, dem ist sowieso nicht zu helfen.

Willy
Frank Wiemer
2006-07-24 20:59:05 UTC
Permalink
Post by Willy Krämer
Ich will keine weitere Karte mit mir rumschleppen. Mein AG drückt
mir schon eine Chipkarte mit vierstelliger PIN auf um per VPN in
sein Netz zu kommen. Wenn die Karte mal verloren geht, hat der Dieb
die PIN in wenigen Stunden durch Ausprobieren geknackt und ist im
Firmennetz.
Nein. Der Chip ist ja nicht so doof wie der Magnetstreifen Deiner ec-Karte.
Und die Zugangsdaten müssen auch bekannt sein. Eine verlorengegangene Karte
ist deshalb überhaupt kein Problem. Du meldest das am nächsten Morgen und
kriegst eine neue, fertig. Kostet auch fast nix.
Selbst wenn es sich um eine gezielte Entwendung (Du schreibst im selben Satz
einmal "verloren" und dann "Dieb", das passt nicht recht) handeln sollte,
ist das ein sehr sicheres Verfahren, das ich mir für mein Online-Banking
auch wünschen würde. Es wäre nicht nur sicherer, sondern auch viel einfacher
als diese hochgezüchteten PIN/TAN-Geschichten.
Allerdings wundere ich mich, dass Dein Chip-PIN nur vierstellig ist... Ich
trage auch so einen Chip für den VPN-Zugang mit mir herum, allerdings in
Form eines ganz kleinen USB-Steckers (was noch praktischer ist), und ich
kann dafür ein "richtiges" Kennwort wählen.

Frank
Willy Krämer
2006-07-26 11:39:03 UTC
Permalink
Post by Frank Wiemer
Nein. Der Chip ist ja nicht so doof wie der Magnetstreifen Deiner ec-Karte.
Und die Zugangsdaten müssen auch bekannt sein. Eine verlorengegangene Karte
ist deshalb überhaupt kein Problem. Du meldest das am nächsten Morgen und
kriegst eine neue, fertig. Kostet auch fast nix.
Selbst wenn es sich um eine gezielte Entwendung (Du schreibst im selben Satz
einmal "verloren" und dann "Dieb", das passt nicht recht) handeln sollte,
ist das ein sehr sicheres Verfahren, das ich mir für mein Online-Banking
auch wünschen würde. Es wäre nicht nur sicherer, sondern auch viel einfacher
als diese hochgezüchteten PIN/TAN-Geschichten.
Na wenn es fast nix kosten würde, dann würde es doch jede Bank sofort
machen...
Für mich würde es allerdings das Anschaffen von Kartenlesern bedeuten
und wir müßten auch mindestens zwei Karten haben. Ich fürchte der
Aufwand ist einfach zu hoch im Vergleich zum Nutzen.
Ich habe eine gute Firewall auf unserem Gateway-Rechner und diese
unsägliche Sicherheitslückensammlung von Microsoft benutze ich privat
auch nicht.
Post by Frank Wiemer
Allerdings wundere ich mich, dass Dein Chip-PIN nur vierstellig ist... Ich
trage auch so einen Chip für den VPN-Zugang mit mir herum, allerdings in
Form eines ganz kleinen USB-Steckers (was noch praktischer ist), und ich
kann dafür ein "richtiges" Kennwort wählen.
Die Karte generiert einen passcode den ich in den VPN-client eingebe.
Dieser passcode hat nur eine begrenzte Lebensdauer und wird ständig neu
errechnet.

Mein AG vertraut offenbar darauf, daß die zweite Hürde das NT-login ist,
aber TCP-IP mäßig bin ich bereits im Netz, wenn die VPN-Verbindung
steht. Mir fehlt dann lediglich der Zugiff auf Windoofs-Dienste - nicht
weiter tragisch, denn die meisten sind so nützlich wie ein Kropf.

Willy
Florian Weimer
2006-07-26 21:06:21 UTC
Permalink
Post by Reinhard Fenrich
Wenn sie das wirklich erkannt hätten, würden sie ein wirklich sicheres
Verfahren wie z.B. FinTS(HBCI) mit Chipkarte anbieten.
HBCI gilt nur als sicher, ist es aber nicht. Wenn der Kunde Opfer
wird, hat er u.U. weitaus größere Probleme, die betrügerische
Transaktion abzustreiten. Aus Kundensicht ist deswegen das
PIN/TAN-Verfahren sicher, zumindest solange es gelingt, die
Transaktionen abzustreiten (was natürlich äußerst anbieterabhängig
ist).

HBCI mit Chipkarte erlaubt Angreifern, prinzipiell beliebig viele
Transaktionen anzustoßen. Bei PIN/TAN ist die Zahl durch die
verfügbaren TANs begrenzt, zumindest wenn dem Anbieter keine
handwerklichen Fehler ("Session-TAN", Wechsel des TAN-Verfahrens)
unterlaufen.

HBCI ist, wie inzwischen mehrfach demonstriert wurde, grundsätzlich
durch Schadsoftware auf dem Host angreifbar, unabhängig vom Typ des
eingesetzten Kartenleser. FINREAD ist mit geeigneter
Chipkarten-Anwendung auch dagegen sicher, konnte aber aus mir nicht
bekannten Gründen überhaupt keine Verbreitung erlangen.
Reinhard Fenrich
2006-07-27 07:27:32 UTC
Permalink
Post by Florian Weimer
HBCI mit Chipkarte erlaubt Angreifern, prinzipiell beliebig viele
Transaktionen anzustoßen.
Du meinst, wenn jemand in meine Wohnung einbricht, mir die Chipkarte
klaut und ich möglichst die PIN auf der Karte notiert habe?
Kannst Du irgendwie belegen (Quelle?), dass es schon gelungen ist,
HBCI/Chipkarte zu knacken?
--
Gruß Reinhard
Frank Kozuschnik
2006-07-27 20:52:28 UTC
Permalink
Post by Florian Weimer
HBCI ist, wie inzwischen mehrfach demonstriert wurde, grundsätzlich
durch Schadsoftware auf dem Host angreifbar, unabhängig vom Typ des
eingesetzten Kartenleser.
Wo wurde das bitte demonstriert? Wie soll die Schadsoftware an den
Schlüssel kommen?
Christoph Gartmann
2006-07-24 14:15:04 UTC
Permalink
Post by Hans Glück
Das Problem ist nicht DiBa, das Problem ist ein gewisser Prozentsatz Kunde.
Das Problem sind auch die Banken: wieso koennen die mir nicht die Sicherheit
anbieten, die ich will und brauche? Bei meiner Haustuer habe ich doch auch die
Moeglichkeit verschiedenste Schloesser, Schliessmechanismen und Tuerfuellungen
zu kaufen. Bei meiner Safetuer habe ich einen anderen Bedarf als bei der Tuer
des Gartenhaeuschens. Ebenso ist es mit den Online-Banking-Zugaengen. Es stinkt
mir, dass ich die Safetuer aufgedrueckt kriege, wo mir doch die
Gartenhaeuschentuer reichen wuerde. Wer HCBI will, soll es auch kaufen koennen,
wer es nicht will, eben nicht. Wer Angst vor Phising-Mails hat, soll auf iTAN
umstellen koennen, wer keine Angst hat, soll bei normalen TANs bleiben koennen.
Das waere doch nicht so schwer und sehr kundenfreundlich.

Viele Gruesse
Christoph Gartmann
--
Max-Planck-Institut fuer Phone : +49-761-5108-464 Fax: -452
Immunbiologie
Postfach 1169 Internet: ***@immunbio dot mpg dot de
D-79011 Freiburg, Germany
http://www.immunbio.mpg.de/home/menue.html
Kathinka Wenz
2006-07-24 14:29:19 UTC
Permalink
Post by Christoph Gartmann
Das Problem sind auch die Banken: wieso koennen die mir nicht die Sicherheit
anbieten, die ich will und brauche? Bei meiner Haustuer habe ich doch auch die
Moeglichkeit verschiedenste Schloesser, Schliessmechanismen und Tuerfuellungen
zu kaufen.
Aber wenn du statt einer Haustür nur einen Vorhang hinhängst, weil es
bequemer ist, dann bist du auch alleine für das verantwortlich, was
passiert. Beim Onlinebanking hat es sich ja eingebürgert, dass die Bank
für den Schaden geradestehen muss, der unachtsamen Kunden durch die
Phishingattacken entsteht. Wenn du für den Einbruchschaden deines
Nachbarn aufkommen muss, wirst du auch dafür sorgen, dass er eine solide
Haustür hat.

Gruß, Kathinka
Christoph Gartmann
2006-07-25 07:03:44 UTC
Permalink
Post by Kathinka Wenz
Post by Christoph Gartmann
Das Problem sind auch die Banken: wieso koennen die mir nicht die Sicherheit
anbieten, die ich will und brauche? Bei meiner Haustuer habe ich doch auch die
Moeglichkeit verschiedenste Schloesser, Schliessmechanismen und Tuerfuellungen
zu kaufen.
Aber wenn du statt einer Haustür nur einen Vorhang hinhängst, weil es
bequemer ist, dann bist du auch alleine für das verantwortlich, was
passiert.
Klar, das sehe ich auch so.
Post by Kathinka Wenz
Beim Onlinebanking hat es sich ja eingebürgert, dass die Bank
für den Schaden geradestehen muss, der unachtsamen Kunden durch die
Phishingattacken entsteht. Wenn du für den Einbruchschaden deines
Nachbarn aufkommen muss, wirst du auch dafür sorgen, dass er eine solide
Haustür hat.
Nun, ich haette kein Problem damit etwas in der Art zu unterschreiben, dass ich
fuer Schaeden, die aus Missbrauch entstehen, geradestehe. Das ist loesbar, man
muesste es nur anbieten und nicht alle Kunden ueber einen Kamm scheren. Das
macht ja nicht mal der Friseur.

Andersrum gefragt: bei Wertpapiergeschaeften muss man ja auch so beschauliche
Erklaerungen ausfuellen, je nachdem, ob man Zertifikate, Optionsscheine und
dgl. handeln will. Da geht es doch auch. Mit der Logik des Online-Bankings
duerfte da jeder nur noch Sparbuecher haben, weil ein paar Doedel ihr Geld beim
Spekulieren verkloppt haben.

Viele Gruesse
Christoph Gartmann
--
Max-Planck-Institut fuer Phone : +49-761-5108-464 Fax: -452
Immunbiologie
Postfach 1169 Internet: ***@immunbio dot mpg dot de
D-79011 Freiburg, Germany
http://www.immunbio.mpg.de/home/menue.html
Kathinka Wenz
2006-07-25 10:45:29 UTC
Permalink
Post by Christoph Gartmann
Nun, ich haette kein Problem damit etwas in der Art zu unterschreiben, dass ich
fuer Schaeden, die aus Missbrauch entstehen, geradestehe. Das ist loesbar, man
muesste es nur anbieten und nicht alle Kunden ueber einen Kamm scheren. Das
macht ja nicht mal der Friseur.
Nur ist das Geschäftsprinzip der DiBa "einfach, schnell, günstig" und
damit sind Sonderlocken explizit ausgeschlossen. Das verträgt sich
nämlich nicht mir "einfach".

Ich habe mal ein Interview mit den Vorstandsvorsitzenden der DiBa und
Comdirect gesehen. Der Comdirect-Chef war stolz auf die vielen
Sonderkonditionen, die man den besonderen Kunden bieten konnte. Der Chef
der DiBa erklärte ruhig, dass bei ihnen alle Kunden gleich behandelt
werden, ob es der kleine Familienvater mit seinen gesparten 2000 Euro
ist oder der Yuppie, der 100.000 Euro in Aktien anlegen will.

Wenn du Sonderlocken willst, wirst du dir eine andere Bank suchen
müssen.

Gruß, Kathinka
Christoph Gartmann
2006-07-25 11:46:45 UTC
Permalink
Post by Kathinka Wenz
Post by Christoph Gartmann
Nun, ich haette kein Problem damit etwas in der Art zu unterschreiben, dass ich
fuer Schaeden, die aus Missbrauch entstehen, geradestehe. Das ist loesbar, man
muesste es nur anbieten und nicht alle Kunden ueber einen Kamm scheren. Das
macht ja nicht mal der Friseur.
Nur ist das Geschäftsprinzip der DiBa "einfach, schnell, günstig" und
damit sind Sonderlocken explizit ausgeschlossen. Das verträgt sich
nämlich nicht mir "einfach".
Deren Web-Auftritt ist weit entfernt davon, "einfach" zu sein.
Post by Kathinka Wenz
Ich habe mal ein Interview mit den Vorstandsvorsitzenden der DiBa und
Comdirect gesehen. Der Comdirect-Chef war stolz auf die vielen
Sonderkonditionen, die man den besonderen Kunden bieten konnte. Der Chef
der DiBa erklärte ruhig, dass bei ihnen alle Kunden gleich behandelt
werden, ob es der kleine Familienvater mit seinen gesparten 2000 Euro
ist oder der Yuppie, der 100.000 Euro in Aktien anlegen will.
Wenn du Sonderlocken willst, wirst du dir eine andere Bank suchen
müssen.
Das macht ja nicht nur die DiBa so, das machen alle anderen, die ich kenne,
auch. Das ist so, wie wenn es auf einmal nur noch Safetueren gibt, weil
irgendwo mal einer vergessen hat, seine Tuer abzuschliessen.

Viele Gruesse
Christoph Gartmann
--
Max-Planck-Institut fuer Phone : +49-761-5108-464 Fax: -452
Immunbiologie
Postfach 1169 Internet: ***@immunbio dot mpg dot de
D-79011 Freiburg, Germany
http://www.immunbio.mpg.de/home/menue.html
Kathinka Wenz
2006-07-25 13:53:10 UTC
Permalink
Post by Christoph Gartmann
Post by Kathinka Wenz
Nur ist das Geschäftsprinzip der DiBa "einfach, schnell, günstig" und
damit sind Sonderlocken explizit ausgeschlossen. Das verträgt sich
nämlich nicht mir "einfach".
Deren Web-Auftritt ist weit entfernt davon, "einfach" zu sein.
Ich kenne nur das DiBa-Onlinebanking und das von der Postbank und finde
beide nicht weiter kompliziert, daher kann ich deinen Einwand nicht
nachvollziehen.
Post by Christoph Gartmann
Das macht ja nicht nur die DiBa so, das machen alle anderen, die ich kenne,
auch. Das ist so, wie wenn es auf einmal nur noch Safetueren gibt, weil
irgendwo mal einer vergessen hat, seine Tuer abzuschliessen.
Was aber daran liegt, dass deine Türen alle mitten im Kriesengebiet
stehen.

Banken hatten schon immer sehr hohe Sicherheitsstandards, viele davon
nicht gerade zur Bequemlichkeit der Kunden. Das liegt bei Banken eben
schon in der Natur der Sache (kein Supermarkt wird je so gut gesichtert
sein). Und nun gibt es in diesem eh schon gefährlichen Gebiet
(Geldgeschäfte) eine neue Region (Internetbanking), die noch viel
unsicherer ist. Und nun jammern plötzlich alle, dass das Leben so
kompliziert ist.

Dass Kassenschalter mit Panzerglas umgeben sind, weil öfter mal Banken
überfallen wurden, das ist ok, dass es beim Onlinebankung zwei
Passwörter gibt, weil es Phishisch-Opfer gibt, ist aber zu viel
Aufwand...? Himmel, eure Probleme möchte ich echt haben.

Es steht jedem offen, wieder zu einer Filialbank zu gehen und sich nicht
mit Sicherheitsmechanismen aus dem Internet oder Telefon-Banking
rumzuschlagen. *shrug*

Gruß, Kathinka
Christoph Gartmann
2006-07-25 19:51:17 UTC
Permalink
Post by Kathinka Wenz
Post by Christoph Gartmann
Post by Kathinka Wenz
Nur ist das Geschäftsprinzip der DiBa "einfach, schnell, günstig" und
damit sind Sonderlocken explizit ausgeschlossen. Das verträgt sich
nämlich nicht mir "einfach".
Deren Web-Auftritt ist weit entfernt davon, "einfach" zu sein.
Ich kenne nur das DiBa-Onlinebanking und das von der Postbank und finde
beide nicht weiter kompliziert, daher kann ich deinen Einwand nicht
nachvollziehen.
Das ist ein technischer Einwand. Bei DiBa braucht man den modernsten Browser
und Javascript. Das koennte man einfach und ebenso sicher loesen.
Post by Kathinka Wenz
Post by Christoph Gartmann
Das macht ja nicht nur die DiBa so, das machen alle anderen, die ich kenne,
auch. Das ist so, wie wenn es auf einmal nur noch Safetueren gibt, weil
irgendwo mal einer vergessen hat, seine Tuer abzuschliessen.
Was aber daran liegt, dass deine Türen alle mitten im Kriesengebiet
stehen.
Selbst wenn, moechte ich die Freiheit, selbst zu entscheiden, wieviel
Sicherheitsbrimborium ich will oder nicht will.
Post by Kathinka Wenz
Banken hatten schon immer sehr hohe Sicherheitsstandards, viele davon
nicht gerade zur Bequemlichkeit der Kunden. Das liegt bei Banken eben
schon in der Natur der Sache (kein Supermarkt wird je so gut gesichtert
sein). Und nun gibt es in diesem eh schon gefährlichen Gebiet
(Geldgeschäfte) eine neue Region (Internetbanking), die noch viel
unsicherer ist. Und nun jammern plötzlich alle, dass das Leben so
kompliziert ist.
Nicht kompliziert, laestig. Mich foppt es z.B. ziemlich, dass jetzt statt
PIN/TAN alle auf PIN/iTAN wechseln.
Post by Kathinka Wenz
Dass Kassenschalter mit Panzerglas umgeben sind, weil öfter mal Banken
überfallen wurden, das ist ok, dass es beim Onlinebankung zwei
Passwörter gibt, weil es Phishisch-Opfer gibt, ist aber zu viel
Aufwand...? Himmel, eure Probleme möchte ich echt haben.
Zwei Kennwoerter sind laestig, Anderes auch. Panzerglas stoert und behindert
mich nicht. Ich will auch nicht speziell die DiBa kritisieren, es geht mir
um die generelle Tendenz.
Post by Kathinka Wenz
Es steht jedem offen, wieder zu einer Filialbank zu gehen und sich nicht
mit Sicherheitsmechanismen aus dem Internet oder Telefon-Banking
rumzuschlagen. *shrug*
Ich finde das Online-Banking so, wie es jetzt noch ist, fuer mich
sicher genug. Ich brauche weder zusaetzliche Kennwoerter noch variable
TAN noch Chipkarten. Ich fuehle mich gegaengelt.

Viele Gruesse
Christoph Gartmann
--
Max-Planck-Institut fuer Phone : +49-761-5108-464 Fax: -452
Immunbiologie
Postfach 1169 Internet: ***@immunbio dot mpg dot de
D-79011 Freiburg, Germany
http://www.immunbio.mpg.de/home/menue.html
Kathinka Wenz
2006-07-25 20:04:36 UTC
Permalink
Post by Christoph Gartmann
Post by Kathinka Wenz
Was aber daran liegt, dass deine Türen alle mitten im Kriesengebiet
stehen.
Selbst wenn, moechte ich die Freiheit, selbst zu entscheiden, wieviel
Sicherheitsbrimborium ich will oder nicht will.
Du entscheidest aber nicht. Du entscheidest auch nicht, wie gut der
Schalter gesichert ist.
Post by Christoph Gartmann
Zwei Kennwoerter sind laestig, Anderes auch. Panzerglas stoert und behindert
mich nicht. Ich will auch nicht speziell die DiBa kritisieren, es geht mir
um die generelle Tendenz.
Beim Internetbanking sind Sicherheitsgeschichten nun mal für manche
nervig, aber es wird auch niemand gezwungen, es zu machen. Du kannst
wieder zu dem Schalter mit dem dich nicht störenden Sicherheitsglas
gehen. Aber du wirst Internetbanking nie ohne die Menge an Sicherheit
finden, die die Bank für richtig hält. Sie schützt dein Geld, das ist
ihre Aufgabe.
Post by Christoph Gartmann
Ich finde das Online-Banking so, wie es jetzt noch ist, fuer mich
sicher genug.
Mir war der Schalter ohne Panzerglas auch sicher genug. Das ist aber
irrelevant.

Gruß, Kathinka
Wolfgang Krietsch
2006-07-25 17:39:04 UTC
Permalink
Post by Kathinka Wenz
Post by Christoph Gartmann
Nun, ich haette kein Problem damit etwas in der Art zu unterschreiben, dass ich
fuer Schaeden, die aus Missbrauch entstehen, geradestehe. Das ist loesbar, man
muesste es nur anbieten und nicht alle Kunden ueber einen Kamm scheren. Das
macht ja nicht mal der Friseur.
Nur ist das Geschäftsprinzip der DiBa "einfach, schnell, günstig" und
damit sind Sonderlocken explizit ausgeschlossen. Das verträgt sich
nämlich nicht mir "einfach".
"Einfach, schnell und günstig" wäre ein textbasiertes Login mit Kontonummer
und PIN, ohne Javascript. Ich weiß gar nicht mal, ob das jetzige Login der
DiBa den (kommenden? schon existierenden?) gesetzlichen Vorschriften zur
Barrierefreiheit entspricht.

Bye

woffi
--
I'm really easy to get along with once you people
learn to worship me.
Kathinka Wenz
2006-07-26 07:09:29 UTC
Permalink
Post by Wolfgang Krietsch
Ich weiß gar nicht mal, ob das jetzige Login der
DiBa den (kommenden? schon existierenden?) gesetzlichen Vorschriften zur
Barrierefreiheit entspricht.
Es ist (leider[1]) nicht barrierefrei und es gibt solche Vorschriften
noch nicht. Ich habe noch nicht mal davon gehört, dass es sie geben
soll. Das würde mich interessieren, hast du Quellen?

Gruß, Kathinka
[1] Mit "leider nicht barrierefrei" meine ich weder JavaScript noch den
Zwang, neuere Browser zu verwenden, denn das sind Dinge, die jeder kann,
wenn er nur will, ich meine damit, barrierefrei in dem Sinne, dass auch
Behinderte die Seiten uneingeschränkt nutzen können.
Matthias Hanft
2006-07-26 09:53:22 UTC
Permalink
Post by Kathinka Wenz
Es ist (leider[1]) nicht barrierefrei und es gibt solche Vorschriften
noch nicht. Ich habe noch nicht mal davon gehört, dass es sie geben
soll. Das würde mich interessieren, hast du Quellen?
Mal bei http://de.wikipedia.org/wiki/Barrierefreies_Internet anfangen:

"Zum 1. Mai 2002 ist das „Gesetz zur Gleichstellung behinderter Menschen
und zur Änderung anderer Gesetze“ [...] in Kraft getreten. [...] Damit
ist die Bundesverwaltung verpflichtet, ihre öffentlich zugänglichen
Internet- und Intranet-Angebote grundsätzlich barrierefrei zu gestalten."

Für "privatwirtschaftliche" Websites habe ich auf die Schnelle allerdings
auch keine Gesetze gefunden, nur "Initiativen" o.ä.

Gruß Matthias.
Wolfgang Krietsch
2006-07-26 08:04:23 UTC
Permalink
Post by Kathinka Wenz
Es ist (leider[1]) nicht barrierefrei und es gibt solche Vorschriften
noch nicht. Ich habe noch nicht mal davon gehört, dass es sie geben
soll. Das würde mich interessieren, hast du Quellen?
Bis jetzt wohl nur für Behörden etc., wie kurzes Googeln zeigt:

http://barrierefreies-webdesign.mediatac.com/Barrierefrei-Ist_das_Pflicht.html

Ich meine gelesen zu haben, dass das mittelfristig auch für
Privatunternehmen Pflicht werden soll, aber dazu habe ich spontan nix
gefunden - möglicherweise FUD.
Post by Kathinka Wenz
[1] Mit "leider nicht barrierefrei" meine ich weder JavaScript noch den
Zwang, neuere Browser zu verwenden, denn das sind Dinge, die jeder kann,
wenn er nur will,
Nein, das kann nicht jeder - aber ...
Post by Kathinka Wenz
ich meine damit, barrierefrei in dem Sinne, dass auch
Behinderte die Seiten uneingeschränkt nutzen können.
... so habe ich das auch gemeint ;)

Bye

woffi
--
Every man is a damn fool for at least five
minutes every day; wisdom consists in not
exceeding the limit.
- Elbert Hubbard (1856-1915)
Florian Weimer
2006-07-26 21:18:29 UTC
Permalink
Post by Wolfgang Krietsch
"Einfach, schnell und günstig" wäre ein textbasiertes Login mit Kontonummer
und PIN, ohne Javascript. Ich weiß gar nicht mal, ob das jetzige Login der
DiBa den (kommenden? schon existierenden?) gesetzlichen Vorschriften zur
Barrierefreiheit entspricht.
Javascript ist entgegen der landläufigen Meinung kein prinzipielles
Hindernis für die Barrierefreiheit. Ob es problematisch ist, kommt auf
den Einzelfall an. Eine Dialogbox mit einer Fehlermeldung, die das
nicht ausgefüllt Feld nennt, ist sicherlich besser als eine reine
CGI-Anwendung, die einen roten Stern als Bild vor die nicht
ausgefüllten nicht optionalen Felder legt.
Kathinka Wenz
2006-07-27 06:52:06 UTC
Permalink
Post by Florian Weimer
Post by Wolfgang Krietsch
"Einfach, schnell und günstig" wäre ein textbasiertes Login mit Kontonummer
und PIN, ohne Javascript.
Javascript ist entgegen der landläufigen Meinung kein prinzipielles
Hindernis für die Barrierefreiheit.
Seit ich mich ein bißchen JavaScript beschäftigt habe, weiß ich auch
nicht, warum man es abschalten sollte. Klar, mit JavaScript kann man
entsetzlich nerven, aber das kann man mit jeder schlechten oder
bösartigen Programmierung. Aber echten Unsinn kann man damit nicht
anstellen, was ich sehr sympatisch finde.

Da finde ich so manche Flash-Animation schlimmer. *grusel*

Gruß, Kathinka
Wolfgang Krietsch
2006-07-27 17:27:41 UTC
Permalink
Post by Kathinka Wenz
Seit ich mich ein bißchen JavaScript beschäftigt habe, weiß ich auch
nicht, warum man es abschalten sollte. Klar, mit JavaScript kann man
entsetzlich nerven, aber das kann man mit jeder schlechten oder
bösartigen Programmierung. Aber echten Unsinn kann man damit nicht
anstellen, was ich sehr sympatisch finde.
http://www.bsi.bund.de/fachthem/sinet/gefahr/aktiveinhalte/definitionen/javascriptgefahren.htm

Bye

woffi
--
If at first you don't succeed, try, try, again.
Then quit. There's no use being a damn fool
about it.
- W. C. Fields (1880-1946)
Kathinka Wenz
2006-07-27 17:49:12 UTC
Permalink
Post by Wolfgang Krietsch
http://www.bsi.bund.de/fachthem/sinet/gefahr/aktiveinhalte/definitionen/javascriptgefahren.htm
"Doch es gibt auch kritische Schwachstellen. Ein solches
Sicherheitsrisiko kann vom JScript/JavaScript-Interpreter selbst
ausgehen. Ist dieser fehlerhaft programmiert, entstehen
Sicherheitslücken, die Angreifer ausnutzen können. Im schlimmsten Fall
erhält ein Außenstehender vollständigen Zugriff auf den Rechner."

Das lese ich dort das erste mal. Bitte, welchen Browser muss man denn
verwenden, damit ein Zugriff auf den Rechner geht?

Dass JScript zusammen mit ActivX nicht ungefährlich ist, das weiß ich,
denn ActivX kann auf alle Systemressourcen zugreifen. Daher empfehle ich
ja auch immer, Firefox zu verwenden. Und dafür kann JavaScript ja
nichts.

Gruß, Kathinka
Wolfgang Krietsch
2006-07-28 05:06:09 UTC
Permalink
Post by Kathinka Wenz
Dass JScript zusammen mit ActivX nicht ungefährlich ist, das weiß ich,
denn ActivX kann auf alle Systemressourcen zugreifen. Daher empfehle ich
ja auch immer, Firefox zu verwenden. Und dafür kann JavaScript ja
nichts.
http://www.heise.de/security/dienste/browsercheck/tests/js.shtml

Zitat: Die meisten der bekannt gewordenen Sicherheitslücken in
Web-Browsern sind eng mit JavaScript verknüpft. Wo es nicht Hauptgegenstand
des Bugs ist, benötigt man es häufig, um die Sicherheitslücke ausnutzen zu
können.

Du siehst also, dass es durchaus Gründe gibt, JS abzuschalten.


Bye

woffi
Martin Gerdes
2006-07-28 22:00:07 UTC
Permalink
Post by Wolfgang Krietsch
http://www.heise.de/security/dienste/browsercheck/tests/js.shtml
Zitat: Die meisten der bekannt gewordenen Sicherheitslücken in
Web-Browsern sind eng mit JavaScript verknüpft. Wo es nicht Hauptgegenstand
des Bugs ist, benötigt man es häufig, um die Sicherheitslücke ausnutzen zu
können.
Du siehst also, dass es durchaus Gründe gibt, JS abzuschalten.
Mag sein. Mich würde brennend interessieren, was genau denn da so gefährlich
sein soll. Die immer wieder als Referenz genannte Heise-Seite gibt
diesbezügglich leider wieder mal keinen Aufschluß :-(
--
Martin Gerdes
Martin Gerdes
2006-07-27 22:00:16 UTC
Permalink
Post by Wolfgang Krietsch
Post by Kathinka Wenz
Seit ich mich ein bißchen JavaScript beschäftigt habe, weiß ich auch
nicht, warum man es abschalten sollte. Klar, mit JavaScript kann man
entsetzlich nerven, aber das kann man mit jeder schlechten oder
bösartigen Programmierung. Aber echten Unsinn kann man damit nicht
anstellen, was ich sehr sympatisch finde.
http://www.bsi.bund.de/fachthem/sinet/gefahr/aktiveinhalte/definitionen/javascriptgefahren.htm
Hachja!
Und das Beispiel, das die Gefahr demonstrieren soll, sagt: "404 not found".
--
Martin Gerdes
Wolfgang Krietsch
2006-07-27 08:31:59 UTC
Permalink
Post by Florian Weimer
Post by Wolfgang Krietsch
"Einfach, schnell und günstig" wäre ein textbasiertes Login mit Kontonummer
und PIN, ohne Javascript. Ich weiß gar nicht mal, ob das jetzige Login der
DiBa den (kommenden? schon existierenden?) gesetzlichen Vorschriften zur
Barrierefreiheit entspricht.
Javascript ist entgegen der landläufigen Meinung kein prinzipielles
Hindernis für die Barrierefreiheit.
Das habe ich auch nicht behauptet. Ich habe nur gesagt, dass ich mir ein
einfaches, schlankes textbasiertes Login wünschen würde. Das DiBa Login ist
schon wegen der schwachsinnigen grafischen Bildschirmtastatur, über die man
2 Ziffern seines Keys eingeben muss, nicht barrierefrei.


Bye

woffi
Dieter Schulz
2006-07-27 10:45:35 UTC
Permalink
Hi!

Jetzt muss ich (auch DiBa-Kunde) mich doch mal mit einer Frage
einmischen...
[...] Ich habe nur gesagt, dass ich mir ein
einfaches, schlankes textbasiertes Login wünschen würde. Das DiBa Login ist
schon wegen der schwachsinnigen grafischen Bildschirmtastatur, über die man
2 Ziffern seines Keys eingeben muss, nicht barrierefrei.
Grafische Tastatur? 2 Ziffern eingeben?
Wo (welche URL) loggt ihr euch denn ein?
Ich verwende https://banking.ing-diba.de/ und da werden derartige
Scherze nicht verlangt. Ok, vor einiger Zeit wurde die _eine_
Login-Seite auf zwei Seiten aufgeteilt, aber das war's auch schon.

MfG
Dieter
(hoffend, dass obiger Link auch weiterhin so funktioniert)
Kathinka Wenz
2006-07-27 12:28:37 UTC
Permalink
Post by Dieter Schulz
Grafische Tastatur? 2 Ziffern eingeben?
https://www.ing-diba.de/main/ks/banking/dibakey/

Die Umstellung erfolgt wohl nach und nach.

Gruß, Kathinka
Florian Weimer
2006-07-26 21:11:37 UTC
Permalink
Post by Christoph Gartmann
Das Problem sind auch die Banken: wieso koennen die mir nicht die
Sicherheit anbieten, die ich will und brauche?
Weil sie das nicht zu Deiner Sicherheit machen, sondern zu ihrer?
Nur mal so als Idee.
Post by Christoph Gartmann
Bei meiner Haustuer habe ich doch auch die Moeglichkeit
verschiedenste Schloesser, Schliessmechanismen und Tuerfuellungen zu
kaufen.
Am Markt erhältliche Haustürschlösser haben i.d.R. kein nennenswertes
Sicherheitsniveau. Frag' mal die Sportsfreunde der Sperrtechnik.
Post by Christoph Gartmann
Ebenso ist es mit den Online-Banking-Zugaengen. Es stinkt mir, dass
ich die Safetuer aufgedrueckt kriege, wo mir doch die
Gartenhaeuschentuer reichen wuerde.
Wieso? Erwartest Du nicht, daß Deine Bank für Verluste durch
betrügerische Transaktionen aufkommt?
Wolfgang Krietsch
2006-07-27 08:34:06 UTC
Permalink
Post by Florian Weimer
Am Markt erhältliche Haustürschlösser haben i.d.R. kein nennenswertes
Sicherheitsniveau. Frag' mal die Sportsfreunde der Sperrtechnik.
Und deswegen kann mein Vermieter mich verpflichten, ein teures Schloß mit
Fingerabdruckscanner zu installieren? Oder ist das vielleicht trotzdm meine
Sache?
Post by Florian Weimer
Wieso? Erwartest Du nicht, daß Deine Bank für Verluste durch
betrügerische Transaktionen aufkommt?
Ich erwarte, dass derjenige dafür aufkommt, der sie verschuldet.


Bye

woffi
Wolfgang Krietsch
2006-07-24 17:02:17 UTC
Permalink
Post by Hans Glück
Wenn du Passwort-Datenbanken für das Onlinebanking verwendest, kannst du
dein Konto in der Tat auch bei Ebay führen
Das begründe doch bitte mal.

Bye

woffi
--
"'Hochstrasse zur Hölle' kann ich mir auf nem Dudelsack kaum
vorstellen."
"In diesem Fall ist das Instrument nicht der Weg, sondern das Ziel."
- Thomas Wiedermeier und Volker Gringmuth in de.rec.musik.machen
Kathinka Wenz
2006-07-24 13:39:14 UTC
Permalink
Post by Wolfgang Krietsch
Schon immer 3 Parameter: Kontonummer, ID, Key, dann zusäctzlich
"Sicherheitsfrage", danach Einführung iTAN, danach Aufteilung des Logins in
zwei Bildschirme, und jetzt muss man sich noch einen DiBa Key vergeben,
Das ist nicht wahr. Der neue Code ersetzt den Identifiere und die
Sicherheitsabfrage, das Login ist als einfacher geworden. Wo ist dein
Problem?

Gruß, Kathinka
Wolfgang Krietsch
2006-07-24 17:07:26 UTC
Permalink
Post by Kathinka Wenz
Das ist nicht wahr. Der neue Code ersetzt den Identifiere und die
Sicherheitsabfrage,
Du hast recht. Ich wollte mich heute morgen einloggen, bin aufgefordert
worden, mir einen Key zu suchen und habe dann - weil ich von dem
Sicherheitsfanatismus der DiBa eh schon genervt war - hier gepostet, ohne
mir das nochmal in Ruhe anzusehen. Mea culpa.
Post by Kathinka Wenz
das Login ist als einfacher geworden. Wo ist dein
Problem?
Ich kann mich nicht automatisch per Password-Datenbank einloggen. Bei all
meinen anderen Konten kann ich das - und das nervt mich immer noch etwas.

... aber jetzt schon nicht mehr so doll.

Bye

woffi
--
Notebooks machen frei!
(Roland Mösl in dafa)
Uwe Buschhorn
2006-07-24 16:04:08 UTC
Permalink
Post by Wolfgang Krietsch
Irgendwie sitzden in der Sicherheitsabteilung der DiBa anscheinend nur
schwerkranke Paranoiker.
Nicht nur die.
Die PSD-Banken haben ja kürzlich diesen grafischen PIN zusätzlich
eingeführt (diese Hieroglyphen, die man immer ablesen muß)

Das Ding ist vom Anspruch her jedesmal wie ein Führerschein-Sehtest, da
frage ich mich schon auch, welche Clientel die Bank eigentlich haben
will. Bankkunden mit Brille/Sehschwäche gehören jedenfalls nicht (mehr)
dazu.


Grüße,
--
Uwe Buschhorn
Loading...