Online Banking immer unsicherer?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
bank
bube
geld
generator
internet
jemand
karte
kasse
konto
kreditkarte
kunde
nutz
nutzen
sicherheit
sparkasse
tastatur
turmfalke
url
webseite
zeichen
-
@ invalidenturm
Die Funkmodule welche in den Tastaturen verbaut werden können so eingestellt werden dass sie mit einer niedrigeren Leistung senden und damit die Empfangsreichweite verringert wird.
Beispiel aus einem Datenblatt des "nRF24L01+" welches auf 2.4GHz arbeitet:
- Programmable output power: 0, -6, -12 or -18dBm
Ich habe das mal getestet.
Mit 0dBm kommt man bei freier Sicht zwischen Sender und Empfänger auf 100 Meter mit einer einfachen/billigen Leiterpatten-Antenne. Mit einem ordentlichen Dipol am Empfänger kommt man 230 Meter weit.
Wenn man eine Richtantenne nutzt (in der Form einer Pringles-Dose kommt man noch viel weiter ... mit Sicherheit über 1km)
Wenn man die Sendeleistung um 6dB senkt halbiert sich jedes mal die mögliche Entfernung.
(mit der billigen Leiterbahn-Antenne gilt)
0dBm = 100m
-6dBm = 50m
-12dBm = 25m
-18dBm = 12,5m (mit einer Richtfunkantenne könnte trotzdem jemand der auf der anderen Straßenseite wohnt deine Tastatur abhören indem er die Richtfunk-Antenne auf dein Fenster hält)
0dBm entsprechen einer Sendeleistung von 1mW.
-6dBm ist nur 1/4 der Energie von 1mW.
-12dBm ist wieder nur 1/4 von -6dBm.
Wenn ich davon ausgehe dass der Nutzer eh nur bis zur Couch geht (3 bis 6m) geht, dann kann ich das Modul auf den geringsten Wert einstellen. Man kann die Sendeleistung aber auch automatisch anpassbar machen, so dass man immer auf dem niedrigsten Wert sendet der möglich ist, aber der Empfang eben auch nicht abreißt.
(oft ist die Sendeleistung aber einfach auf einem festen Wert eingestellt)
Bessere Tastaturen übertragen die Daten verschlüsselt, AES128 oder DES so dass man unbesorgt sein kann.
Ich weiß aber nicht ob dieses Produktmerkmal auf der Tastatur irgendwo steht oder ob man es auf der Händlerseite finden könnte.
Bluetooth ist komplizierter, verbraucht auch etwas mehr Energie als ein einfaches Funkmodul (schlecht wenn der Akku Monate halten soll) und es fallen Lizenzkosten an die man oft nicht zahlen möchte da sie das Produkt teurer machen.
Hier muss man aber das Gerät mit dem PC/Handy koppeln und dabei wird dann auch ein Pin übertragen durch den die Datenübertragung verschlüsselt wird. Liest irgend jemand in der Zeit der Kopplung den Pin mit kann er die Daten ebenso mithören. (Telefongespräche über das Headset, Bilder die du über Bluetooth zum PC schiebst, Eingaben der Tastatur)
Besser ist es wenn der Schlüssel entweder direkt übertragen wird (über USB) oder einfach fest im Gerät (Sender und Empfänger) hinterlegt worden ist. Bei einer Tastatur aus der Fabrik ist das ja möglich, es liegt immer ein Empfangsmodul in Form eines kleinen USB-Adapters dabei. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
@micropower Ich glaube die Details von Bluetooth oder Funk sollten wir hier in diesem Thread nicht weiter vertiefen, schliesslich geht es um Online Banking immer unsicherer, ausser dem habe ich noch keine Funk- oder Bluetoothtastatur mit Sendeleistungsregler gesehen, so dass eine Leistungsanpassung wohl nur den Experten möglich ist. Mein Fazit lautet also: Für grösstmögliche Sicherheit beim Onlinebanking sollte am besten eine Kabeltastatur verwendet werden, falls kabellos dann ist Bluetooth mit AES128 oder DES vorzuziehen.
-
micropower schrieb:
seltsam https://de.wikipedia.org/wiki/Bluetooth#Klassen_und_Reichweite, sagt etwas anderes:
0dBm entsprechen einer Sendeleistung von 1mW.
-6dBm ist nur 1/4 der Energie von 1mW.
-12dBm ist wieder nur 1/4 von -6dBm.Klassen und Reichweite
Ein Klasse 3 Gerät mit 1mW wäre also ideal. Du scheinst (wie viele hier) verlinkte Artikel nicht zu lesen, sonst wäre dir diese Peinlichkeit erspart geblieben. Auch mit deiner Einschätzung das eine Funktastur mit USB-Dongle grundsätzlich sicherer ist, kann ich nicht konform gehen. Denn gerade davon handelt ein weiterer von mir bereits verlinkter Artikel, hier ein Zitat daraus:
Klasse Max. Leistung Max. Leistung Reichweite allgemein[2] Reichweite im Freien[2]
Klasse 1 100 mW 20 dBm ca. 100 m ca. 100 m
Klasse 2 2,5 mW 4 dBm ca. 10 m ca. 50 m
Klasse 3 1 mW 0 dBm ca. 1 m ca. 10 mEine große Zahl von Herstellern kabelloser Eingabegeräte ohne Bluetooth verwenden Transceiver des Typs nRF24L von Nordic Semiconductor. Viele der Geräte mit dem Chip verschlüsseln zwar Tasteneingaben einer Tastatur zwischen dieser und dem dazugehörigen USB-Dongle, aber nicht die Bewegungen und Klicks der Mäuse. Da viele Geräte nicht prüfen, ob Eingaben, die angeblich von einer Maus kommen, nicht in Wirklichkeit Tastatureingaben sind, kann ein Angreifer sie dazu verleiten, unverschlüsselte Tastaturbefehle zu verarbeiten.
Im Gegensatz dazu kann ein nicht ganz unbedarfter Benutzer Angriffe erkennen und sich davor schützen. Zitat aus dem wikipedia Artikel:
Betroffen von MouseJack: Dell, HP, Lenovo, Logitech, Microsoft
Die Sicherheitsforscher von Bastille, die MouseJack entdeckt haben, stellen eine Liste mit betroffenen Geräten bereit. Darauf finden sich Eingabegeräte von allen bekannten Herstellern von Mäusen und Tastaturen. Laut den Forschern können nur Geräte von Logitech mit Firmware-Updates versehen werden, welche die Lücke schließen. Bei anderen Produkten hilft nur, diese ab sofort nicht mehr zu nutzen.Für Geräte, die die Schlüssel permanent speichern, besteht demnach keine Gefahr, da nach Verbindungsstörungen oder manuellem erneuten Verbindungsaufbau keine erneute PIN-Authentifizierung ausgelöst wird, sondern auf den auf beiden Geräten gespeicherten Schlüssel zurückgegriffen wird. Als Schutz vor solchen Angriffen empfehlen die Autoren daher, Gegenstellen möglichst selten mit PIN-Eingabe anzumelden. Sicherer sei es, einmal erkannte Gegenstellen dauerhaft in den jeweiligen Authentifizierungslisten zu speichern und eine Reauthentifizierung per PIN zu deaktivieren. Außerdem sollten Benutzer PINs mit deutlich mehr als acht Zeichen Länge verwenden, falls die verwendete Software dies gestattet. Das Bluetooth-Protokoll sieht bis zu 16 beliebige Zeichen (128 Bit) vor. Darüber hinaus sollte eine unerwartete Aufforderung zur erneuten Authentifizierung hellhörig machen und zur Vorsicht mahnen.
Beitrag zuletzt geändert: 21.9.2016 15:02:10 von autobert -
@ autobert
Das System vieler Tastaturen arbeitet zwar auf 2.4GHz, aber es ist kein "Bluetooth" da es ein ganz anderes (oft nicht ein mal genormtes) Protokoll nutzt und es muss sich deshalb eben nicht an die beim Bluetooth-Protokoll definierten regeln halten.
Von dem Problem mit der Maus und dem unverschlüsselten Datenverkehr habe ich auch noch nichts gewusst.
@ invalidenturm
Fazit für mich:
Ich werde einfach etwa 30 Euro mehr ausgeben und mir ein neues Terminal kaufen welches gleich ein Nummern-pad integriert hat, dann muss man sich nicht auf die mögliche Sicherheit einer PC-Tastatur verlassen. -
micropower schrieb:
Und wie kommuniziert diese Tastatur dann mit einem standardkonformem Bluetoothchip, wie sie in jedem PC verbaut sind?
@ autobert
Das System vieler Tastaturen arbeitet zwar auf 2.4GHz, aber es ist kein "Bluetooth" da es ein ganz anderes (oft nicht ein mal genormtes) Protokoll nutzt und es muss sich deshalb eben nicht an die beim Bluetooth-Protokoll definierten regeln halten.
Stimmt gar nicht, also die sicherste Lösung überhaupt
Beitrag zuletzt geändert: 21.9.2016 21:39:56 von autobert -
waytogermany schrieb:
Die Überschrift lautet "Online Banking immer unsicherer" Und das anstatt von Ja oder Nein hier auch Beiträge stehen welche die Schwachstellen zumindest anzusprechen finde ich gut, also ich habe nichts dagegen diese aus zu diskutieren, aber bitte auch Links zu den Hintergründen einbringen.
Wir kommen hier viel zu weit vom Thema ab. Es geht nicht darum, wie man Kontos hacken kann, sondern ob die neuen Verfahren eine Mehrwehrt (höhere Sicherheit) bieten oder nur "fancy" sind.
turmfalken-nikolai schrieb:
What the fuck is "Kreditkarten mit WLAN Zeichen"? Meine Unwissenheit rührt wohl daher das ich keine Kredikarte habe/benutze,
Vorhin in den Nachrichten: Die neuen Kreditkarten mit WLAN Zeichen können auch ganz einfach ausgespäht werden.
Beitrag zuletzt geändert: 22.9.2016 22:25:49 von autobert -
autobert schrieb:
turmfalken-nikolai schrieb:
What the fuck is "Kreditkarten mit WLAN Zeichen"? Meine Unwissenheit rührt wohl daher das ich keine Kredikarte habe/benutze,
Vorhin in den Nachrichten: Die neuen Kreditkarten mit WLAN Zeichen können auch ganz einfach ausgespäht werden.
Das sind die neuen Kreditkarten mit dem aufgedruckten WLAN Symbol. Die ermöglichen kontaktloses Bezahlen. Mit nem passenden Lesegerät kann ich die - auch wenn sie in ner Brieftasche / Handtasche etc sind auslesen
Werden wohl grad von den Banken verschickt wenn die alten Karten abgelaufen sind
Beitrag zuletzt geändert: 22.9.2016 22:25:19 von turmfalken-nikolai -
autobert schrieb:
turmfalken-nikolai schrieb:
What the fuck is "Kreditkarten mit WLAN Zeichen"? Meine Unwissenheit rührt wohl daher das ich keine Kredikarte habe/benutze,
Vorhin in den Nachrichten: Die neuen Kreditkarten mit WLAN Zeichen können auch ganz einfach ausgespäht werden.
Gemeint ist wohl NFC. Und das gibt es mittlerweile auch bei normalen EC-Karten.
Das Thema hatten wir aber schon mal hier. Da meinte jemand auch "NFC ist unhackbar.".
Gab leider nach ein paar Links die dagegen sprechen keine Info mehr. ;) -
ja meinte ich, kam nicht mehr drauf da ich das auch nur nebenher gehört hatte
-
Geldautomaten und Kreditkarten, die im Laden zur Bezahlung eingesetzt werden sind schon etwas anderes als Verfahren zur Authentifizierung im Onlinebanking. Jedes ist ein rießiges Thema für sich. Alles zusammen zu schmeißen, wird meines Erachtens hier zu weit führen.
Möglichkeiten des Betruges und der Abzocke gibt es genausoviele, wie die Fantasie Grenzen hat. Deshalb würde das hier unendlich werden. -
@ waytogermany
"Geldautomaten und Kreditkarten, die im Laden zur Bezahlung eingesetzt werden sind schon etwas anderes als Verfahren zur Authentifizierung im Onlinebanking"
Als ich mir deinen Kommentar durchgelesen habe dachte ich erst "ja, ist ja klar", aber nach ein paar Sekunden dämmerte es mir dass es ja gar nicht so ist.
Alles bei dem du nicht persönlich bei deiner Bank machst ist Onlinebanking ... was auch sonst.
Wenn du im Kaufland/Aldi/Netto/Rewe/Plus usw. einkaufst und an der Kasse mit deiner Karte bezahlst, dann läuft im Hintergrund doch genau das selbe ab. Du musst dich irgendwie authentifizieren und über das Internet (da sind die Kassen-Terminals ja angeschlossen) wird dann die Geld-Transaktion vorgenommen.
Der einzige Unterschied ist dass der Terminal nicht an deinem Computer hängt, sondern an dem Computer der Kasse.
Vor nicht alt zu langer Zeit gab es einen großen Skandal, denn die Kassen waren von einem Mitarbeiter der Wartungsfirma manipuliert worden. Das war auch nur eine Kasse, sondern eine riesige Anzahl und die Manipulationen lagen schon recht lange zurück ... also das lief schon eine ganze Weile ohne dass jemand dahinter gekommen wäre.
Jedes mal wenn dort jemand an der Kasse per Kreditkarten-Terminal bezahlt hat konnte der Manipulator gleichzeitig eine zusätzliche Summe abbuchen, also während des Bezahlvorganges.
Ich glaube er fügte einfach noch einen zusätzlichen Beitrag der nicht zu hoch war an die Rechnung und überwies die Differenz später.
Ich habe hier einen sauberen Laptop mit Linux und keinen anderen komischen Programmen darauf und wenn ich den zum Onlinebanking nutze habe ich ja auch Kontrolle über die Hardware.
Bei der Kasse hat man keine Kontrolle über die Hardware, man muss sich darauf verlassen dass die ihr Online-Banking-System sicher aufgebaut haben und dass es nicht von irgend welchen dritten manipuliert worden ist.
zu NFC:
Manche Handys haben das eingebaut, dann kann man mit dem Handy bezahlen.
Wenn das Handy geklaut wird ... ist das dann allerdings schlecht.
Man wird dann wohl auch ein Passwort eingeben müssen, aber das kann ja vielleicht jemand hinter oder über dir irgendwie mit einer Kamera heimlich aufnehmen.
Man kann die Kommunikation auf alle Fälle abhören, aber wenn der ganze Datenverkehr, von Anfang bis zum Ende verschlüsselt ist dann braucht man eigentlich keine Angst zu haben. -
Eigentlich sind wir ja ziemlich mit dem Thema durch, weil man sagen muss das einzige halbwegs sichere Verfahren ist ein Verfahren wo 2 verschiedene Geräte eingesetzt werden. Wenn eines der eingesetzten Geräte ein Handy ist, sollte das Betriebssystem nicht Android oder Microsoft heissen. Und auch das Bezahlen an Supermarktkassen ist unsicher. Also solten wir das Thema wohl etwas abwandeln Vielleicht macht der TE mal einen konreten Vorschlag?
-
Wenn man ein bisschen überlegt, kann man Onlinebanking sicher halten:
Keine unseriösen Seiten öffnen,
keine komischen Dateien öffnen, die über die Mailadresse kommen (auch dann, wenn man den Absender kennt),
keine Mails bearbeiten, bei denen Man Bankdaten oder Zugangsdaten für die Bank eintragen soll,
ein billig Handy für Tans, Smartphones sind angreiffbarer als diese 15€ billig Handys,
Überprüfung der Adresszeile, ob diese mit der jeweiligen Bank übereinstimmt und ob https aktiv ist -
Mich stören mittlerweile auch diese Kreditkarten mit dem NFC Chip drinnen. Durch diese Technik kann man schnell und einfach bezahlen, in dem man die Karte einfach vor die Kasse hält. Mit einem normalen Smartphone und einer passenden App kann man die Daten unbemerkt auslesen, da die im Klartext auf dem NFC liegen und dann mißbrauchen.
Immer wenn es um Bequemlichkeit geht, dann stehen Sicherheitslücken weiter offen als Scheunentire. -
hallo zusammen.
habe viel interessantes hier gelesen -manches vielleicht zu technisch ...- wie auch immer.
hier meine erfahrungen mit onl.banking
ich betreibe seit gut 15 jahren onl.banking - bis jetzt (toi toi toi) nie probleme gehabt.
für mich kommt persönlich nur die folgende kombi in frage:
eine gute banking software in verbindung mit dem tan generator verfahren und natürlich einer aktuellen antivirensoftware - ideal wäre es natürlich, wenn dieser rechner nicht auch von anderen usern mitbenutzt wird (z.b. den kindern !!!! .....
da hilft alles reden nichts 
....).
was für mich nicht in frage kommt:
onl.banking via browser - hier ist das banking meiner meinung nach für die zeit der bearbeitung offen , wie ein scheunentor.
onl.banking via smartphone - unter sicherheitsaspekten eine absolute katastrophe !!!. am besten noch whatsapp und andere "schleudern" auf dem smartphone und der ausverkauf des eigenen kontos hat schon begonnen, und oft bekommt man es noch nicht einmal gleich mit ...
wie gesagt - dies sind meine persönlichen erfahrungen.
ansonsten ... viel erfolg ... und alles wird gut.
-
Bis jetzt habe ich mit Online Banking noch keine negativen Erfahrungen gemacht. Allerdings bezahle ich in Onlineshops lieber mit PayPal, weil das für mich noch bequemer ist. Ich denke mal, dass PayPal auch sicher ist.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
