Fingerscanner, gibt es da schon etwas Effektives, Bezahlbares auf dem Markt für Otto Normalverbraucher

    • Fingerscanner, gibt es da schon etwas Effektives, Bezahlbares auf dem Markt für Otto Normalverbraucher

      Mal eine Frage in einem groben Bezug zu deiner Warnung. Hab
      mich, nachdem die NOSPA nun auch offiziell warnt, auf die Suche nach den
      neuesten Infos im Bereich Fingerscanner gemacht. Leider aber nicht viel bei
      Google gefunden. Gibt es da schon etwas Effektives, Bezahlbares auf dem Markt
      für Otto Normalverbraucher?


      Redaktion: Beitrag aus Thread:POL-AA: Warnung vor Manipulation beim Online-Banking durch Schadsoftware zu einem eigenen Thema separiert
      Ich nehme vieles mit Humor, auch das Schlimmste.
      Also stört euch nicht daran, mich stört es auch nicht!- :tongue:
    • Aber dann genügt es ja nicht, dass du dir so ein Teil leisten kannst - deine Bank muss das System auch anbieten...

      ================================================


      Wenn etwas einmal passiert, passiert es vielleicht nie wieder. Wenn etwas zweimal passiert, passiert es sicher auch ein drittes Mal
    • Sowas habe ich mir schon gedacht.......

      Der "Fingerprint" ist was ganz anderes als ein Scan Deiner leibhaftigen Finger.

      Ich finde eine einzige Bank, die ein echtes "Fingerabdruckverfahren" eingeführt hat. Das war schon vor einigen Jahren und wurde bisher von keiner anderen Bank übernommen.
      Das ist die Berner Kantonalbank, die im Moment das Verfahren nicht sehr stark bewirbt. Außerdem muss man dazu eine ganz bestimmte Scannerkarte beziehen.....

      Der "Fingerprint" auf den Du verlinkt hast, ist ein elektronischer Code, ein "Fingerabdruck" von Sicherheitszertifikaten. Immer mehr Banken veröffentlichen offensiv diese "Fingerprints", damit die Kunden sie in ihrem Browser vergleichen können. Die ersten Banken verpflichten ihre Kunden zu diesem Vergleich, oder wollen es: Wenn Fingerprint nicht stimmt: Dann "selber Schuld".

      Und wenn man sich die Fingerprint-Zeichenfolgen so anschaut....Die Zeichenmonster sind nicht ganz einfach für den Normalmenschen :(

      Aber, wie gesagt, das hat erst mal mit dem Abdruck Deines Fingers nicht zu tun. Selbst, wenn Du einen Scanner hättest, müssten die Banken erst mal den Service dafür anbieten. Daran "arbeiten" sie seit bestimmt 10 Jahren (2007 war mal Hype in den Ankündigungen) . "An etwas arbeiten" heißt bei Banken noch nicht viel. Wenn Du Dir heute irgendeinen Scanner kaufen würdest.....Ob Du den dann irgendwann für das Banking brauchen könntest? Eher nicht.
    • Wechsele zu einer Bank mit anständigem TAN-Verfahren.

      Es bedarf eines externen und nicht mit dem Netz verbundenen Gerätes, das aufgrund von übermittelten Informationen eine TAN generiert, die nur für die eine Transaktion gültig ist, und das zur Bestätigung auch diese Transaktion (=Betrag, Empfängerkonto) auf einem eigenen Display anzeigen kann. Beispiel.

      Alle anderen Verfahren sind unsicher, insbesondere alle, die etwas mit "SMS" oder "Smartphone" zu tun haben.
    • Hier mal aus dem Link zum Fingerprint der Sparkassen:

      "Bei jeder Anmeldung zum Internet-Banking mit PIN und TAN sind Sie verpflichtet, das Ihnen übermittelte Sicherheitszertifikat der Anmeldeseite anhand des Fingerprints zu prüfen. Nur bei Übereinstimmung des Fingerprints ist eine gesicherte, direkte Verbindung zu unserem Bankrechner gewährleistet. Stimmt der Fingerprint nicht überein, trennen Sie bitte sofort die Verbindung und nehmen Kontakt mit uns unter der Telefonnummer 05121 580-2424 auf."

      (geschwärzt von mir)

      Und so sieht so ein Fingerprint dann aus:
      "Fingerprint für banking.sparkasse-hildesheim.de
      Sicheres Internet-Banking-Angebot
      SHA1-Wert 5C:46:48:8D:18:A2:0C:70:AF:4F:A0:DF:FC:2E:95:9D:8C:53:48:BB


      Wenn man dann überweisen will, dann gilt ein anderes Zertifikat und ein anderer Fingerprint, der natürlich wieder durch den Kunden zu überprüfen ist. ...

      Zum Glück machen das im Normalfall die Browser, aber, wenn man "sicher" gehen möchte: Verpflichtet ist der Kunde
    • schabbesgoi schrieb:

      Zum Glück machen das im Normalfall die Browser


      Ach, du meinst diese Programme, die Zertifikaten, die von

      TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş.


      ausgestellt wurden, standardmäßig vertrauen?

      ;)

      (Es ist das erste Rootzertifikat in der Liste, falls einer sich fragt, warum ausgerechnet Türktrust herhalten muß. Natürlich kenne und vertraue ich auch die/den ganzen anderen Root-CAs nicht, von denen ich noch nie was gehört habe.)

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von pandarul ()

    • Das derzeit sicherste Verfahren ist Chip-Tan mit einem externen Reiner-Scanner. reiner-sct.com/produkte/produktuebersicht/tan-generatoren
      Diese Dinger bieten die Banken auch selbst an und die werden auch akzeptiert.
      Ich benutze den schon seit der ersten Generation: reiner-sct.com/produkte/tan-ge…nJack_optic_sr.html?pEl=0
      Was einem auch keine Bank sagt:
      Setze die Limits für Ausland auf 0! (Wenn du in den Urlaub fährst, kannst du es solange wieder hochsetzen)
      Setze die Limits für Internetsoftware (damit sind Lexware, Money etc gemeint) auf den niedrigsten Wert!
      Wenn du also mit Starmoney deine Miete überweist, stellt du das Limit so ein, das dieser Betrag noch durchgeht.
      Ebenso das Limit für Aufträge runtersetzen.
      Da kannst das jederzeit verändern.

      Wenn deine Karte gescimmt wird, schauen die Trottel in die Röhre. Auslandsüberweisung ist nicht.
      Ebenso, wenn deine Karte geklaut wird. Konto abräumen ist nicht. Geht nur Minimal-Betrag. Bis dahin ist die Karte dann auch gesperrt.
    • Sry, aber die tollsten Schutzmaßnahmen helfen auch nichts, solange immer noch die Deppen vor den Monitoren sitzen die trotz gefühlter 1000 Hinweißen das die Bank niemals irgendwelche Verifikationen vornimmt, munter alle Daten inkl TAN eingeben.

      BTW: Ich weis ja nicht ob das irgendwo anders ist, aber bei all meinen Banken nutze ich SMS-TAN und ich bekomme in der SMS mit der TAN auch immer den genauen Verwendungszweck mitgeteilt, Überweisung von X Uhr, von KTO auf KTO mit Name und Betrag. Und die FreischaltSMS fürs SMS-TAN haben auch einen entsprechenden Text.
      Klar, wenn jetzt jemand mit einem GSM Spoofer vor meiner Tür steht oder auch auf meinem Handy ein Virus (ein ziemlich guter, weil zumindest bei Android die SMS-App recht gut geschützt ist) ist, dann könnte mein Geld zwar trotzdem nach Uganda wandern, aber das Risiko ist doch erstmal deutlich geringer.
      Und überhaupt, wer ist denn bitte im Streitfall noch so blöd und sagt das er keinen Virenscanner etc auf dem PC hatte :wallbash
    • Pandora schrieb:

      BTW: Ich weis ja nicht ob das irgendwo anders ist, aber bei all meinen Banken nutze ich SMS-TAN und ich bekomme in der SMS mit der TAN auch immer den genauen Verwendungszweck mitgeteilt, Überweisung von X Uhr, von KTO auf KTO mit Name und Betrag. Und die FreischaltSMS fürs SMS-TAN haben auch einen entsprechenden Text.
      Klar, wenn jetzt jemand mit einem GSM Spoofer vor meiner Tür steht oder auch auf meinem Handy ein Virus (ein ziemlich guter, weil zumindest bei Android die SMS-App recht gut geschützt ist) ist, dann könnte mein Geld zwar trotzdem nach Uganda wandern, aber das Risiko ist doch erstmal deutlich geringer.


      *hust*

      Wer dein Konto abräumen will, zieht einfach deine Rufnummer um. Hat schon 2006 geklappt.

      TANs per SMS sind mit das unsicherste, was es gibt, da ist der gute alte TAN-Block ja besser. Und solche SMS auf einem Smartphone zu empfangen ist schlicht unglaublich dumm. "Die SMS-App" ist "gut gechützt"? "Zumindest bei Android"? Boah, die Wüste Gobi konkurriert in Punkto Ausmaß mit deiner Ahnungslosigkeit!

      [Blockierte Grafik: http://geek-news.mtv.com//wp-content/uploads/geek/2012/11/picard-facepalm2.jpg]

      pandarul schrieb:

      Wechsele zu einer Bank mit anständigem TAN-Verfahren.

      Es bedarf eines externen und nicht mit dem Netz verbundenen Gerätes, das aufgrund von übermittelten Informationen eine TAN generiert, die nur für die eine Transaktion gültig ist, und das zur Bestätigung auch diese Transaktion (=Betrag, Empfängerkonto) auf einem eigenen Display anzeigen kann. Beispiel.

      Alle anderen Verfahren sind unsicher, insbesondere alle, die etwas mit "SMS" oder "Smartphone" zu tun haben.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von pandarul ()

    • Pandora schrieb:

      Sry, aber die tollsten Schutzmaßnahmen helfen auch nichts, solange immer noch die Deppen vor den Monitoren sitzen die trotz gefühlter 1000 Hinweißen das die Bank niemals irgendwelche Verifikationen vornimmt, munter alle Daten inkl TAN eingeben.
      Diese Zeitgenossen glauben auch, das Zitronenfalter Zitronen falten und Bauleiter den Bau leiten.
      Die meisten sind auch Beratungsresistent....

      Pandora schrieb:

      BTW: Ich weis ja nicht ob das irgendwo anders ist, aber bei all meinen Banken nutze ich SMS-TAN und ich bekomme in der SMS mit der TAN auch immer den genauen Verwendungszweck mitgeteilt, Überweisung von X Uhr, von KTO auf KTO mit Name und Betrag. Und die FreischaltSMS fürs SMS-TAN haben auch einen entsprechenden Text.
      focus.de/finanzen/banken/tid-3…chuetzen_aid_1144458.html

      Wie willst du das beweisen, das du NICHT Schuld hast?
      Das ist ja noch schwieriger als bei Chip-Tan.

      Pandora schrieb:

      weil zumindest bei Android die SMS-App recht gut geschützt ist) ist,
      dann könnte mein Geld zwar trotzdem nach Uganda wandern, aber das Risiko
      ist doch erstmal deutlich geringer.
      Geschützt ist ein Gerät nur, wenn es aus ist.
      Und wenn du Ausland auf 0 gesetzt hast, kriegen die Vollpfosten trotzdem nichts...
      Das hat auch die Star-Tankstelle begreifen müssen, weil sie ihren Kunden nicht verrät, das sie ihr Konto in Polen haben.
      Meine Bank hat mich gefragt, ob sie das durchgehen lassen sollen.
      Da musste ich extra das Telefonbanking benutzen, sonst hätten die das gnadenlos abgewiesen.

      Setz das auf 0 und mach nen Screenshot davon.
      Lässt die Bank trotzdem Geld raus, zahlt sie alles.
      Die Richter halten sich da nicht mehr lange auf. Die DB-Bank hatte da wohl den Präzedenzfall....

      Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von lwngwen ()

    • ich habe nicht gesagt das es unmöglich ist, aber ein Betrug bei SMS-TAN ist schwerer/aufwändiger als bei der TAN-Liste. Aber wenn ich das hier, oder auch in dem Ausweisthread so lese, müsste ich ja beinahe jeden Tag betrogen werden. Man sollte da mal differenzieren und abwägen, wie viel Komfort man für das letzte Quäntchen Sicherheit noch einbüßen will.
    • Du verhältst dich vielleicht so, daß nichtmal dein Banking-PW abfließt. Dann kannst du freilich schlecht betrogen werden. Die Realität sieht so aus:

      heise.de/security/meldung/Mill…-mTAN-Betrug-1763105.html

      heise.de/tp/news/Immer-mehr-mTan-Betrugsfaelle-2049308.html

      heise.de/security/meldung/Angr…etzte-Konten-1928312.html

      (Exemplarisch)

      Ein TAN-Generator, der einen Flicker- oder Barcode automatisch vom Bildschirm abliest, ist kein Stück komfortlos. Das geht sogar schneller als der Empfang einer SMS. Der Trick ist einfach, daß SMS nichts kosten. Die Bank zahlt ja dafür nicht die Endkundenphantasiepreise des Mobilfunkkartells. Deshalb erklären Banken mTAN für sicher, anstatt 20 Euro pro Kunde für ein wirklich sicheres Verfahren auszugeben.

      Und genau deshalb sollte man sich von so einer Bank sofort verabschieden. Wer dem Kunden bei der Sicherheit des Kontos ins Gesicht lügt, dem sollte man keinen Cent anvertrauen.