Online Banking Programm für Linux in Norwegen

[pannekakelansk]

Hei Leute,
ich hätte dann da auch mal ein paar Fragen - auch wenn wir hier das Norwegen- und nicht das Linux-Forum sind...
1) Hat zufällig jemand von Euch eine Idee, welche Online-Banking-Programme unter Linux auch in Norwegen funktionieren?
(Ich nutze zur Zeit Moneyplex in Dt., meine aber gelesen zu haben, dass ich eben dieses nicht in Norwegen verwenden kann...)
2) Was für ein Zugangsverfahren wird in Norwegen von den Banken standardmäßig angeboten? HBCI?

Wäre auch schon glücklich, falls zufällig jemand ein norwegisches Linux-Forum kennt, dann kann ich da weiter forschen.

Herzlichen Dank!

Pannekakelansk

[Johannes74]

normalerweise pin und tan, wie hier...ist doch die einfachste variante, da musst du nicht nach ekstraprogrammen suchen, was für linux noch aufwendiger wird...und keine kartenlesegerät und keine extrakarte, die man verbummeln kann!

[pannekakelansk]

Hei Johannes74,
nett gemeint, aber PINTAN ist mir dann doch nicht sicher genug. Statt der Karte verbummelt man wohl möglich die Liste mit den TANs und 'ne PIN auszuspionieren ist bei dem Verfahren auch nicht ganz schwierig. HBCI hat schon seine guten Gründe.
Wenn schon Online-Banking dann auch das sicherste Verfahren und das ist soweit ich weiß noch immer HBCI (verschlüsselte Übertragung inbegriffen) - an der Stelle kommt dann doch der Informatiker in mir durch.
Und Extraprogramme - die meisten Linux Online Banking Programme beherrschen HBCI (noch nicht alle aber es werden immer mehr). Nur da ich mich erinnere, dass meins nur in Dt. funktionieren soll muß ich halt ein anderes suchen.
Nur falls man in Norwegen tatsächlich "nur" PINTAN verwendet mach ich eine Menge aber das wird nicht in Anspruch genommen -- da könnte ich ja sonst auch den Zettel mit der Geheimzahl ins Portemonaie stecken.

Hilser

Pannekakelansk

[jo1]

Also wenn Du PIN und TAN verbummelst, dann bist Du ja selber schuld, dass jemand sich aus Deinem Konto bedient.

Die Postbank hat PIN und generiert TANs mit einem kleinen Geraet. Inwieweit soetwas Deine Sicherheitsanforderungen erfuellt, weiss ich nicht.

Skandiabanken hat Zertifikat und PIN. Da stellen sich auch ein paar Fragen hinsichtlich Sicherheit.

Alternativ kannst Du bei den meisten Banken auch zum Schalter gehen, da solltest Du vorher aber mal einen Blick in die Gebuehrenliste werfen.

Wo siehst Du eigentlich die Schwachstellen im PIN/TAN Verfahren (ausgenommen Als-Telefonnummer-Aufschreiben, Verbummeln und Dummheit)? Kennst Du Leute, bei denen das Konto gehackt wurde?
Warum hast Du Angst?

[pannekakelansk]

Hi Jo,
ich kenn zwar niemanden persönlich der gehackt worden wäre und wer den Zettel mit den TANs verbaselt ist letztendlich genauso dumm wie jemand der die Chipcarte verbaselt.
Aber: PIN/TAN-Verfahren (zumindest in Dt.) verwendet keine sichere Verbindung, will sagen die Daten werden nicht verschlüsselt.
Und das wäre das Minimum das ich haben möchte ehe ich mich zum Online-Banking anmelde. Die Viren/Trojaner/Würmer usw. Gefahr ist zwar bei Linux geringer als bei Windows-Systemen aber Verschlüsselung muß sein.
PINs auszuspionieren ist wohl nicht so schwer. Und ggf. einen Weg zu finden um die entsprechende Verbindung "umlenken" auslesen und bei Überweisung die entsprechenden Daten ändern ist nicht so unmöglich. Und solange ich dann diejenige bin die haftet sowieso nicht.

Hilsen

Pannekakelansk

[Johannes74]

also bei online-banking hast du doch immer ne gesicherte seite, das müsstest du doch als informatiker wissen, zu sehen an dem kleinen vorhängeschloss-unten rechts!
100% sicher ist heutzutage gar nichts, da müsstest du ja auch angst haben mit kreditkarte zu bezahlen, aber sollte bei uns ottonormalverbaraucher wirklich mal einer sich bedienen, dann ist da 1. nicht so viel zu holen und 2. bekommst du die kohle doch wieder, weil du hast sie ja nicht ausgegeben und soweit ich weiss müssen die banken dir grobe fahrlässigkeit nachweisen, aber wir wollen mal das dorf auf dem land lassen....
also wenn du ein kleines angshäschen bist, was geldtransfers übers netz angeht, dann ist das dein gutes recht und du kannst immer noch persönlich an den schalter gehen, aber das lassen sich die geldinstitute heutzutage gut bezahlen!

[pannekakelansk]

was ich gegen pin/tan habe: ganz einfach ich brauche immernoch eine Internetseite, auf der ich die Daten eingebe. Nun kann aber (wie übrigens erst vor ein paar Tagen in Deutschland geschehen - habe zumindest gerade erst in dieser Woche wieder davon gelesen) jemand genau an dieser Stelle hacken. Dann suggeriert mir mein System das die Verbindung sicher ist (ich sehe ja das Schloß...) und meine Daten werden trotzdem nicht verschlüsselt.

Versus HBCI: Die Daten werden bereits auf meinem Rechner verschlüsselt, und verschlüsselt übertragen. Es gibt defakto keine Website der Bank dazwischen, die irgendwer drehen kann.
Es hat schon seine Gründe warum HBCI noch immer als das sicherere Verfahen gilt.

Ich habe mit HBCI und Chipkartenleser nur noch ein Paßwort das ich mir merken muß und keine TAN-Liste die ich am günstigsten im Tresor aufbeware, damit nieman reingucken kann, der sich mal in meine Wohnung begibt, wenn ich gerade nicht da bin...
Schließlich muß ich die Liste ja so aufbewahren, dass ich sie hinterher auch noch wieder finde -> Ordner mit entsprechendem Verweis, na toll, da kann ich's dann fast schon wieder gleich auf den Schreibtisch legen.
HBCI eine kleine Karte mehr im Geldbeutel und ein Paßwort mehr im Kopf. Gut ist der Geldbeutel weg ist auch die Karte weg, nur da muß ich eh mein Konto sperren, da kann ich dann die Karte auch gleich mit sperren lassen. Abgesehen davon dass erstmal noch jemand wieder ein Paßwort knacken muß.
Bei HBCI wird ein besseres Verschlüsselungsverfahren (höhere Verschlüsselung) genutzt als bei PIN/TAN.

Zitat [http://www.banktip.de/rubrik/9895/2/Verschluesselung.htm]:
"Zweifler halten einen Angriff auf den PC eines HBCI-Kunden für möglich. Tatsächlich ist ein solcher Angriff theoretisch machbar, allerdings sehr unwahrscheinlich. Er funktioniert nur, wenn mehrere Voraussetzungen gleichzeitig erfüllt sind: Erstens muss sich die Chipkarte im Lesegerät befinden, der Kunde selbst darf keinen HBCI-Dialog aktiv haben, der PC muss selbstverständlich online sein und der Kunde darf die Aktivität des Chipkartenlesers nicht bemerken."

Gegenfrage: Was hast Du dagegen, wenn ich nach dem m.E. sichersten Verfahren suche und so ich das nicht finde auf den Bankschalter ausweiche? Bankschalter = meine Kosten, nicht Deine. Oder bist Du vielleicht derjenige der da öfter mal hackt ?

Wiebke

[Digital Punk]

Hei, nur kurz, will auch keinem Anleitung für Hackerangriffe und ähnliches geben: der kritische Punkt ist heute nicht mehr so sehr der Schlüssel, sondern Fiesereien wie DOS und Spoofing. Diese werden durch einen Hard- oder häufiger Softwarefehler getriggert, und das ist genau das, wovor ICH Angst habe und deswegen kein Internetbanking habe.

[Linda]

Also ich habe kein pin, sondern passwort und als username mein geburtsdatum samt peronnummer und eine Liste von Tans.
Verwende schon seit Jahren online banking ohne Probleme, ich bin da eher skeptischer gegenueber Kreditkartend aten im internet mehr oder weniger ueberall anzugeben.
Mein Mann der dipl.ing tech. informatik ist verwendet auch online banking (aber bei eienr deutschen bank ) und bislang habe ich von ihm darueber keine groessere bedenken gehoert.
Und wir haben windoofs.

[Digital Punk]

Und wir haben windoofs.

Nur um Missverständnissen vorzubeugen: mit DOS war nicht das gleichlautende Betriebssystem gemeint...

[mcjobo]

Also es steht ausser Frage das HBCI das bessere Verfahren ist da der schlüssel das lesegeræt nicht verlæst und somit ein wesentlich robusteres verfahren ergibt.

Aber es ist schon ziemlich schwer einen erfolgreichen Angriff auf eine SSl verschlüsselte Verbindung durchzuführen. Da bleibt einem eigentlich nur eine Man in the middle Attacke. und dazu muss man schon viel umleiten. Und unaufmerksam sein weil einfach so læst man sich doch kein anderes Zertifikat unterjubeln.

Hier bei der DNB wo ich bin brauch ich für jedesmal einloggen eine andere TAN und dann wird es schon nochmal schwieriger.

Es ist immer die eigene Entscheidung zu sagen ist mir das sicher genug oder net. Ich kann nur sagen ich studier Softwaretechnik und ich benutzt Online Banking. Und auch in Norge. Aber HBCI ist definitiv das sicherere Verfahren.

hilsen
mcjobo

[Digital Punk]

Und unaufmerksam sein weil einfach so læst man sich doch kein anderes Zertifikat unterjubeln.

Nicht ganz. Wenn kein Host Matching ausgeführt wird, dann wird das Zertifikat geschluckt. Und Host Matching selbst ist kein Bestandteil von ssl.Da Host Matching nicht vom Remotehost abhängig ist, scheitert der Man in the Middle daran. Leider sind es nur wenige Maschinen, deren Admin das eingerichtet hat...

[the-sun]

zu 1) kann ich nicht mit weiterhelfen, weil noch nie eines benutzt.

zu 2)
skandiabanken nutzt zertifikate, sowohl einjährige wie einmal gültige, die man z.b. im internetcafe/bib nutzen kann. Das wird geladen, dann bekommtman aufs mobiltel einen einmal-code, um das zertifikat freizuschalten. dazu loggt man sich dann mit personnummer und persönlicher pin ein. transaktionen benötigen dann keine extra tan o.so. Kein HBCI möglich

sparebanken + nutzt personnummer, passwort, dann abfrage einer zahlenkombi einer sikkerhetskort, die man dazu halt bei sich haben muss. Soweit ich das mitbekommen habe, kein HBCI möglich.

postbanken nutzt personnummer, sowie als passwort eine zufallszahlenkombi, die man aus einem kleinen 'taschnrechner' erhält, den man wiederum nur mit einer persönlichen pin bedienen kann. Dazu erscheint dann eine zahlenkombi als gegenkontrolle. Kein HBCI möglich.

Bei DNB und Nordea kenn ich mich nicht aus, beide sind mir von der Kontoführung einfach viel zu teuer.

Postbanken und Sparebanken+ eröffnen auch Konten mit D-Nummer, Skandiabanken nur mit Personnummer. Bei der Skandia erhält man nicht sofort eine Visakarte (die hier genutzt wird, wie in DtlD EC), bei der Postbank auch erst nach enigen Monaten. So ist jedenfalls die offiezielle Regel an die sich vermutlich nicht alle Postmedarbeider halten.

Nette Grüße,

Britta

[pannekakelansk]

Hallo zusammen.
Herzlichen Dank für die Antworten.
Ich werd' mir dann ganz allein in meinem (dann hoffentlich wieder - im Moment flexen oder schleifen die gerade die Straßenbahngleise vor dem Haus, was sich anhört wie Wald fällen mit Motorsäge ohne Hörschutz ) stillen Kämmerlein entscheiden ob mir die Verfahren, die Britta beschrieben hat sicher genug sind oder ob ich dann doch wieder auf Online Banking verzichten werde.
Wer weiß vielleicht setzt sich ja bis ich mit der Entscheidung fertig sein muß auch schon der HBCI-Nachfolger mindestens in Skandinavien durch. Aber das ist Zukunftsmusik die kann ich hier gerade nicht spielen/hören.
Mal abwarten.
Immerhin scheinen die jetzt nach einer Stunde draußen endlich den ganzen Wald abgeholzt zu haben so dass ich doch noch in mein Bett kann