Zum Inhalt springen

Sicherheitsupdates - Dummheit am Rechner

Abd al Rahman

Von Abd al Rahman
in Die Differenzmaschine

Empfohlene Beiträge

Solwac

Solwac

Geschrieben
Geschrieben
Steht auch auf der ersten Seite des Berichts unten:

...doch der Inhalt hätte von einem gekaperten Server unter Kontrolle der Gauner stammen können (zumindest bevor die SEB-Bank den Fehler behoben hat)

Beängstigend isses trotzdem, dass eine Bank mit derselben Blauäugigkeit ins Internet stolpert wie ein interessierter Laie wie z.B. ich.

 

Ursprünglich hatte die SEB auch ein anderes Online-Bankingsystem. Dabei musste man ein Extra-Gerät an seinem Computer zuhause installieren. Das war m.W. sicherer als das normale TAN-System, aber halt auch komplizierter und vor allem unbequemer (man konnte dann ja nur von diesem einen Rechner aus Onlinebanking machen).

 

Anscheinend wurde das wohl nicht ausreichend in Anspruch genommen.

 

Tschuess,

Kurna

Das SEB-Problem hat aber nichts mit TAN oder i-TAN zu tun. Es gehht um die nicht getestete (Un-)Sicherheit der Seite. :notify:
  • Antworten 355
  • Erstellt
  • Letzte Antwort

Top-Benutzer in diesem Thema

Aktive Tage

Top-Benutzer in diesem Thema

Aktive Tage

Beliebte Beiträge

Nixonian
Nixonian

Kennt ihr noch den Witz, wo angeblich ein "voll krasser Hekka" einem anderen androht, diesen vom Netz zu hacken und nach der IP fragt und nach der Antwort "127.0.0.1" angeblich nur mehr im Chat steht

Nixonian
Nixonian

Wegen dem dezeitigen Hack von Roll20 Fehler werden nicht zugegeben (kann man nichts machen, hackers gonna hack, oder was jetzt noch beliebter ist "staatliche Agenten mit hoher krimineller Energie

Abd al Rahman
Abd al Rahman

Boah ey. Sitze in der Kneipe bein Mittagessen. Am Nachbartisch geht es um Hacken, Hacker und Firmen die gehackt werden.  „Aber als Privatperson interessieren sich Hacker nicht für mich“

Kurna

Kurna

Geschrieben
Geschrieben
Steht auch auf der ersten Seite des Berichts unten:

...doch der Inhalt hätte von einem gekaperten Server unter Kontrolle der Gauner stammen können (zumindest bevor die SEB-Bank den Fehler behoben hat)

Beängstigend isses trotzdem, dass eine Bank mit derselben Blauäugigkeit ins Internet stolpert wie ein interessierter Laie wie z.B. ich.

 

Ursprünglich hatte die SEB auch ein anderes Online-Bankingsystem. Dabei musste man ein Extra-Gerät an seinem Computer zuhause installieren. Das war m.W. sicherer als das normale TAN-System, aber halt auch komplizierter und vor allem unbequemer (man konnte dann ja nur von diesem einen Rechner aus Onlinebanking machen).

 

Anscheinend wurde das wohl nicht ausreichend in Anspruch genommen.

 

Tschuess,

Kurna

Das SEB-Problem hat aber nichts mit TAN oder i-TAN zu tun. Es gehht um die nicht getestete (Un-)Sicherheit der Seite. :notify:

 

Schon klar.

Nur hätte es die Seite unter dem alten System ja gar nicht gegeben. (Was natürlich trotzdem keine Entschuldigung ist.)

 

Tschuess,

Kurna

Einskaldir

Einskaldir

Geschrieben
Geschrieben
Steht auch auf der ersten Seite des Berichts unten:

...doch der Inhalt hätte von einem gekaperten Server unter Kontrolle der Gauner stammen können (zumindest bevor die SEB-Bank den Fehler behoben hat)

Beängstigend isses trotzdem, dass eine Bank mit derselben Blauäugigkeit ins Internet stolpert wie ein interessierter Laie wie z.B. ich.

 

Ursprünglich hatte die SEB auch ein anderes Online-Bankingsystem. Dabei musste man ein Extra-Gerät an seinem Computer zuhause installieren. Das war m.W. sicherer als das normale TAN-System, aber halt auch komplizierter und vor allem unbequemer (man konnte dann ja nur von diesem einen Rechner aus Onlinebanking machen).

 

Anscheinend wurde das wohl nicht ausreichend in Anspruch genommen.

 

Tschuess,

Kurna

Das SEB-Problem hat aber nichts mit TAN oder i-TAN zu tun. Es gehht um die nicht getestete (Un-)Sicherheit der Seite. :notify:

 

Schon klar.

Nur hätte es die Seite unter dem alten System ja gar nicht gegeben. (Was natürlich trotzdem keine Entschuldigung ist.)

 

Tschuess,

Kurna

 

 

Kennst du dieses Gerät oder das Verfahren?

Kurna

Kurna

Geschrieben
Geschrieben
Steht auch auf der ersten Seite des Berichts unten:

...doch der Inhalt hätte von einem gekaperten Server unter Kontrolle der Gauner stammen können (zumindest bevor die SEB-Bank den Fehler behoben hat)

Beängstigend isses trotzdem, dass eine Bank mit derselben Blauäugigkeit ins Internet stolpert wie ein interessierter Laie wie z.B. ich.

 

Ursprünglich hatte die SEB auch ein anderes Online-Bankingsystem. Dabei musste man ein Extra-Gerät an seinem Computer zuhause installieren. Das war m.W. sicherer als das normale TAN-System, aber halt auch komplizierter und vor allem unbequemer (man konnte dann ja nur von diesem einen Rechner aus Onlinebanking machen).

 

Anscheinend wurde das wohl nicht ausreichend in Anspruch genommen.

 

Tschuess,

Kurna

Das SEB-Problem hat aber nichts mit TAN oder i-TAN zu tun. Es gehht um die nicht getestete (Un-)Sicherheit der Seite. :notify:

 

Schon klar.

Nur hätte es die Seite unter dem alten System ja gar nicht gegeben. (Was natürlich trotzdem keine Entschuldigung ist.)

 

Tschuess,

Kurna

 

 

Kennst du dieses Gerät oder das Verfahren?

 

Ich habe es sogar im Schrank liegen. :)

 

Allerdings bin ich wahrlich kein Experte und kenne mich nicht mit Details aus. Und da ich kein Onlinebanking mache (weder nach altem noch nach neuem System), habe ich mich bisher auch nicht so sehr damit beschäftigt.

 

Tschuess,

Kurna

Einskaldir

Einskaldir

Geschrieben
Geschrieben

Ist auch nicht so wild.

 

Die Sache mit dem Zusatzgerät hört sich für mich nur so an, wie das System, was wir auch anbieten.

 

Im Grunde trennt man damit den Ziffernblock von der Tastatur und gibt die TAN darüber ein. Dann hat kein Trojaner die Möglichkeit, sie auszuspähen.

 

Ich war nur überrascht, dass du schriebst, dass man damit dann nicht mehr dieses Seite hätte ansteuern müssen, denn bei dem von mir geschilderten System müsste es die normale Onlinebanking Seite sein, die man benutzt. Man gibt nur die TAN über das neue Tastaturfeld ein.

 

Aber vielleicht hast du auch was anderes.

 

Bei uns wird das mit dem Zusatzgerät aber auch kaum genutzt, soviel ich weiß.

 

Wahrscheinlich liegt es auch daran, dass der Kunde das Gerät bezahlen muss. ;)

Akeem al Harun

Akeem al Harun

Geschrieben
Geschrieben
Die Sache mit dem Zusatzgerät hört sich für mich nur so an, wie das System, was wir auch anbieten.

 

Im Grunde trennt man damit den Ziffernblock von der Tastatur und gibt die TAN darüber ein. Dann hat kein Trojaner die Möglichkeit, sie auszuspähen.

Ist das HBCI (bzw. FinTS) wovon du redest? Wenn das mit einer entsprechenden Schlüsselkarte gekoppelt ist, dann ist das schon mehr, als die reine Eingabe der PIN über ein Zusatzgerät.

 

Viele Grüße

Harry

Einskaldir

Einskaldir

Geschrieben
Geschrieben

Ich habe keine Ahnung, wie sich HBCI bemerkbar macht. Ich weiß aber, dass ich "HBCI" Verträge abschließe, wenn ich für einen Kunden das ganz normale Onlinebanking mache und zwar ohne dieses Zusatzgerät. Kann es also sein, dass das eine Verschlüsselungsart ist und die eben ganz allgemein bei uns der Standard ist?

Akeem al Harun

Akeem al Harun

Geschrieben
Geschrieben
Ich habe keine Ahnung, wie sich HBCI bemerkbar macht. Ich weiß aber, dass ich "HBCI" Verträge abschließe, wenn ich für einen Kunden das ganz normale Onlinebanking mache und zwar ohne dieses Zusatzgerät. Kann es also sein, dass das eine Verschlüsselungsart ist und die eben ganz allgemein bei uns der Standard ist?

Nö, das "normale" Online Banking ohne Zusatzgeräte ist das PIN/TAN Verfahren. Die Kommunikation läuft zwar auch Verschlüsselt ab, allerdings wird nur der Datenverkehr zwischen dem Browser und dem Server verschlüsselt. Der Rechner des Kunden ist damit noch lange nicht sicher. ...und das ist auch nicht sicher gegen Phishing & Co.

 

Mehr über HBCI/FinTS (FinTS ist der "Nachfolger" von HBCI) kannst du hier lesen.

 

Viele Grüße

Harry

Meeresdruide

Meeresdruide

Geschrieben
Geschrieben
Nö, das "normale" Online Banking ohne Zusatzgeräte ist das PIN/TAN Verfahren. Die Kommunikation läuft zwar auch Verschlüsselt ab, allerdings wird nur der Datenverkehr zwischen dem Browser und dem Server verschlüsselt. Der Rechner des Kunden ist damit noch lange nicht sicher. ...und das ist auch nicht sicher gegen Phishing & Co.
Es gibt (gab) auch HBCI mit PIN/TAN. Ursprünglich war nur ein Public-Key-Verfahren vorgesehen, PIN/TAN kam später zu HBCI dazu.
Mehr über HBCI/FinTS (FinTS ist der "Nachfolger" von HBCI) kannst du hier lesen.
Offenbar hat man da Namenskarussel gespielt:
  • Aus "HBCI" wurde "FinTS".
  • Aus dem Public-Key-Verfahren wurde "HBCI".

Mit HBCI kann also sowohl der Vorgänger von FinTS gemeint sein (dann gibt es auch HBCI mit PIN/TAN; alte Nomelklatur) als auch ein Verfahren innerhalb von FinTS (neue Nomenklatur).

 

Claus

  • 4 Monate später...
Nixonian

Nixonian

Geschrieben
Geschrieben

Deswegen habe ich als erstes, als ich hier erweiterte Rechte bekam, das Paßwort auf etwas geändert, was ich sonst nirgends verwende.

Aber es ist schon wahr: Sonst habe ich auch ein Paßwort, daß ich für verschiedene "Kleinigkeiten" verwende. Auch eine Unsitte, aber ich habe mir einmal aufgeschrieben, daß ich mir ca 25 Paßwörter merken muß, davon alleine 15 für die Firma, 10 privat und da sind solche Sachen wie PINs etc. noch nicht dabei.

Abd al Rahman

Abd al Rahman

Geschrieben
  • Autor
Geschrieben

Unsere Renten Passwörter sind sicher :prados:

 

Aber ernsthaft: Sowas wie die Windows Live-ID ist nichtmal eine schlechte Idee um das Netz zum Singlelogin-Platz zu machen und die Passwörter weg von den unsicheren Webservern zu halten.

 

Viele Grüße

hj

Akeem al Harun

Akeem al Harun

Geschrieben
Geschrieben

Dafür gibt es doch eine Kennwortverwaltung unter Firefox oder auch unter dem IE. Ich vertraue Microsoft nicht alle meine Kennwörter an. Wenn es dann mal eine Datenpanne gibt...

 

Ich habe bis zu der e-Bay Geschichte auch an vielen Stellen dasselbe Kennwort verwendet. Das geistert zwar noch bei irgendwelchen unwichtigen Seiten herum, aber im großen und ganzen habe ich jetzt fast überall unterschiedliche Kennwörter.

 

Die Kennwortverwaltung mache ich selbst manuell.

 

Viele Grüße

Harry

Abd al Rahman

Abd al Rahman

Geschrieben
  • Autor
Geschrieben

Du hast glaube ich die Meldung nicht verstanden, Harry. Es geht nicht darum wie DU Passwörter verwaltest, es geht darum wie die Server Passwörter verwalten auf die Du zugeifst. Und ja, da vertraue ich z.B. Microsoft mehr wie diesem Server hier.

 

Viele Grüße

hj

Nixonian

Nixonian

Geschrieben
Geschrieben
Unsere Renten Passwörter sind sicher :prados:

 

Aber ernsthaft: Sowas wie die Windows Live-ID ist nichtmal eine schlechte Idee um das Netz zum Singlelogin-Platz zu machen und die Passwörter weg von den unsicheren Webservern zu halten.

 

Viele Grüße

hj

Da empfehle ich eher einen USB-Stick mit encrypted FS. Wenn man es kann, macht man das selber, wenn nicht, besorgt man sich eines von den Posswort-Safe-Programmen.

Wie man weiß, baut Microsoft wohl auch (auf Anweisung der NSA) backdoors in die Verschlüsselungsalgorithmen- alles im Sinne der homeland security.

Abgesehen von dieser Tatsache finde ich es nicht so schlau, Passwörter irgendwo einem Webdienst anzuvertrauen. Obwohl Single-Sign-on weltweit natürlich was für sich hätte ;)

Akeem al Harun

Akeem al Harun

Geschrieben
Geschrieben
Du hast glaube ich die Meldung nicht verstanden, Harry. Es geht nicht darum wie DU Passwörter verwaltest, es geht darum wie die Server Passwörter verwalten auf die Du zugeifst. Und ja, da vertraue ich z.B. Microsoft mehr wie diesem Server hier.

 

Viele Grüße

hj

Teils, teils. Es geht auch darum, dass es unklug ist, auf mehreren verschiedenen Seiten dasselbe Kennwort zu benutzen.

 

...und Nix spricht aus, warum ich Microsoft nicht vertraue.

 

Viele Grüße

Harry

  • 1 Monat später...
Airlag

Airlag

Geschrieben
Geschrieben

...

Wie man weiß, baut Microsoft wohl auch (auf Anweisung der NSA) backdoors in die Verschlüsselungsalgorithmen- alles im Sinne der homeland security.

...

Weiss man woher? Dieses Gerücht geisterte schon vor 20 Jahren durch die Landschaft und konnte nie bestätigt werden.
Airlag

Airlag

Geschrieben
Geschrieben (bearbeitet)
Also ich kenne dieses Gerücht nicht seit 20 Jahren, sondern seit Dezember:

http://www.gulli.com/news/nsa-2007-12-18/

 

aber du hast recht, das war wohl schon früher eingebaut:

http://www.ccc.de/press/releases/1999/CCC19990903.html

Programme wie PGP bringen ihre eigenen Zufallsgeneratoren mit, weil die Standard-Zufallsgeneratoren ganz allgemein nicht zufällig genug sind und weil z.B. PGP ganz besondere Zufallszahlen benötigt, nämlich unter Anderem riesige Primzahlen.

Wenn die Verschlüsselungen, die das Betriebssystem selbst erledigt, auf die standard Generatoren zurück greift hast du natürlich recht mit deiner Vorsicht. Aber wenn M$ und N$A zusammen arbeiten gibt es ganz andere Ansätze, die Sicherheit deiner Daten zu kompromittieren.

Bearbeitet von Airlag
  • 9 Monate später...
Sulvahir

Sulvahir

Geschrieben
Geschrieben

Vermutlich passt die Meldung hier am Besten.

 

Da ist man richtig beruhigt, wenn man mal wieder ins Krankenhaus muss. Auch wenn es aktuell nur Kärnten betrifft, so kann es jederzeit überall genauso passieren.

 

bis dann,

Sulvahir

Nixonian

Nixonian

Geschrieben
Geschrieben

Hier ist es goldrichtig. Es geht auch wieder nur wie die Gebetsmühle "Aber wir haben Virenscanner und wir haben den Virenscanner schon getauscht und der Virenscanner hat ein tägliches Update und der Virenscanner blablabla".

Und was sagt das nette Fernsehen: "die Kärntner...hatten einen aktuellen Virenscanner....um solche Attacken zu verhindern, raten Experten zu aktuellen Virenscannern..." :dozingoff:

Vom Patchstand keine Rede.

 

Dabei wäre der Fehler vermutlich mit einem Betriebssystem auf dem letzten Patchstand verhinderbar gewesen.

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
Zur Themenübersicht
×
×
  • Neu erstellen...