Alternative: Ich nehme ausschließlich! für das Online-Banking Firefox, und als anderen Browser Google-Chrome zum Surfen auf anderen Seiten. So habe ich unter Firefox z.B. noscript installiert.
Wie kann ich die Sicherheit meines Aufrufs der online Bank verbessern?
Anmeldungsdatum: Beiträge: 1384 |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 177 |
|
Anmeldungsdatum: Beiträge: 867 |
Unterschiedliche Browser-Profile sind eine Möglichkeit. Das Nutzen unterschiedlicher User-Accounts ist noch besser. Es bedingt allerdings einiges an Erfahrung in der Einrichtung. (Man muss dazu den Account übrigens nicht wechseln. Es genügt ein geschriebenes Script um ein Programm in einem anderen Nutzer-Kontext zu starten.) Wenn du von alldem keine Ahnung hast, ChipTan und PhotoTan sind in der Theorie 100-prozentig sicher. Solltest du Verlust erleiden, so ist die Bank zuerst in der Pflicht den Nachweis zu erbringen, dass ihr Verfahren sicher ist. Das wird sie aber niemals tun und so gewinnst du vor Gericht immer. (Das gilt prinzipiell auch für den Verlust von EC-Karten und der Beschuldigung die PIN aufgeschrieben zu haben. Die Bank muss zuerst den Nachweis erbringen, dass ihr System manipulationssicher ist.) |
Anmeldungsdatum: Beiträge: 144 Wohnort: Am Ende des Weges |
Ich habe mal gehört, dass E-Banking noch relativ oft gehackt wird, aber die Banken den Schaden zahlen. Nur ganz im Ernst: Will ich mich wirklich mit einer Bank und ihren 100 Anwälten vor Gericht treffen? Unabhängig ob man recht bekommt, es ist sehr nervenaufreibend... Ausser ein ganz Angreifer bringt es fertig, dass er einen Trojaner (u.U. mit Root-Zugriff) auf deinem PC installiert und dann siehst du glaube ich relativ alt aus, selbst mit PhotoTan... (Ich denke hier an installierte SSL-Zertifikate, die Hosts-Datei und einen "Proxy-Server" der die Daten verändert...) So gesehen ist die sicherste Möglichkeit einen PC der nur für E-Banking da ist zu kaufen. Die wahrscheinlich zweitsicherste Option ist ein extra verschlüsseltes Betriebssystem parallel zu installieren. Aber die Frage ist: Ist es der Aufwand wert? |
Ehemalige
Anmeldungsdatum: Beiträge: 2007 |
Ist das wirklich gängige Rechtspraxis? Ich kenne das eher andersherum. Ein Verfahren wird vom Gesetzgeber oder staatsnahen Institutionen als sicher definier, und gilt damit als sicher bis zum Beweis des Gegenteils. Und wie wir alle wissen, ist z. B. der TÜV die geeignete Intuition, um die Sicherheit von Software zu bestätigen.
Da basiert i. d. R. auf Phishing und / oder infizierten Endgeräten, insb. verseuchten Windows-PCs und mobilen Endgeräten.
Das umgeht allerdings immer noch nicht echte Zwei-Faktor-Authentifizierung, wie sie ein physischer, netzunabhängiger TAN-Generator darstellt. Chip-TAN ist damit kaum (auf wirtschaftlicher Basis) zu umgehen. Das ist der Bereich Zahlungen. Aber daneben gibt es auch noch den Bereich Zahlungshistorie (Umsatzverlauf der letzten Monate / Jahre), den man nicht vergessen sollte. Die Informationen sind ebenfalls Geld wert und i.d.R nicht TAN-geschützt.
Ein externer, verschlüsselter Datenträger wäre schonmal ein guter Schritt. Externe USB-Festplatten bekommt man ja inzwischen hinterhergeschmissen. |
Anmeldungsdatum: Beiträge: 435 Wohnort: Middlfranggn |
Servus, ich gelte, was online Banking anbelangt, als ziemlich paranoid im Bekanntenkreis. Ich mache OB in der VirtBox. Mit dem Firefox, ohne Addons. Nichts anderes. Meine Banken habe ich als Lesezeichen gespeichert, damit umgehe ich Tippfehler. ChipTan und ein sicheres Passwort. Die üblichen Regeln halte ich ein. Die neue EU-Regelung (PSD2)ab Mitte September, macht das Ganze noch etwas sicherer, denn da muss man schon beim Einloggen eine TAN eingeben. Man könnte sich ja mal überlegen, ob man in der VB nicht noch eine VB einrichtet und darin mit TOR arbeiten und das alles auf einem Rechner, der ausschliesslich für OB genutzt wird. Ich mache seit 15 Jahren Onlinebanking. Davon 10 Jahre mit Windows. Mir ist noch nie was passiert. Ich kenne auch keinen, dem sie schon mal das Konto leergeräumt haben. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 177 |
dau48 Bei meiner Sparkasse sind es alle 90 Tage beim einloggen. |
Anmeldungsdatum: Beiträge: 435 Wohnort: Middlfranggn |
Meine Bank setzt folgendes um. Für den Bankkunden bedeutet die Umsetzung der PSD2 vor allem in einem Punkt eine wesentliche Veränderung: Auch beim Log-in in das Onlinebanking oder beim Zugriff auf sensible persönliche Daten wird grundsätzlich eine Zwei-Faktor-Authentifizierung nötig sein. So kann für das Log-in neben der Eingabe von Benutzerkennung und Onlinebanking-PIN zukünftig eine TAN abgefragt werden |
(Themenstarter)
Anmeldungsdatum: Beiträge: 177 |
Und wie soll ich ab dem 14. September Phishing von Zwei-Faktor-Authentifizierung unterscheiden ? |
Anmeldungsdatum: Beiträge: 435 Wohnort: Middlfranggn |
Wenn du ausschliesslich OnlineBanking z. B. mit einem eigenen Firefoxprofil machst und dort deine vorher in Lesezeichen gespeicherten "echten" Bankseiten benutzt, kannst du ja keiner Fake Seite aufsitzen. Pishing passiert, wenn du auf irgendwelche Links in mails oder Webseiten klickst, und dann evtl auf einer gefakten Bankseite landest und damit Banking betreibst. Wenn du aber nur deine gespeicherte Bankseite nutzt, kann nicht gefischt werden. Ich mach online Banking z. B. In der VirtualBox, mit einem schlanken FF Profil, ohne Addons. Und nur das. Nix anderes. Kein surfen, keine Suchmaschine, keine mails. Ich habe damit ein gutes Gefühl. Ob das alles sinnvoll ist, oder überkanditelt, weiss ich nicht. Was soll da pishingmässig passieren? Die Authentifizierung hat damit nichts zu tun. |
Anmeldungsdatum: Beiträge: 594 |
Ich lese hier immer wieder was von einen extra Profil fürs Banking. Reicht denn nicht ein spezieller Container dafür (Stichwort Multi-Account Containers)? |
Ehemalige
Anmeldungsdatum: Beiträge: 2007 |
Das könnte gegen Session Hijacking oder Cross-Site-Tracing schützen. Aber auch aus einem Container kann man ausbrechen. Und es schützt nicht gegen Addons, die dich ausspionieren. |
Anmeldungsdatum: Beiträge: 594 |
An die Addon hatte ich jetzt nicht gedacht. 😲 |
Anmeldungsdatum: Beiträge: 603 |
Genau so mach ich das auch, eine isolierte und (vor allem) exklusiv reservierte VM nur für diesen Zweck. Die VM ist eine Openbox-Installation ohne Desktop-Environment, die wirklich nichts anderes kann, als mit dem Browser die Bank zu verbinden. Mit ublock-origin ist rigoros alles andere verboten, so dass Surfen im Web damit so gut wie unmöglich ist.... was ich aber sowieso auch nicht tue, aber verboten ist's trotzdem.
Das ist Quatsch und hat auch keinen Einfluss auf eine mögliche Verbesserung der Sicherheit. Tor ist allenfalls in einem marginalen Nebeneffekt Datenschutz, primär ist das Personenschutz, weil es die Person an der Tastatur anonymisiert. Allerdings hebst Du genau diesen Schutz mit der Anmeldung via Accountdaten bei der Bank wieder auf... also kann man sich das auch sparen. |