Sicherheit bei umgesetzter Chip+PIN Implementierung

Bei Problemen / Fragen zu Chipkarten oder Kartenlesern sind Sie hier richtig
Antworten
JamesJoker
Beiträge: 13
Registriert: So 25. Okt 2015, 12:22

Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitrag von JamesJoker »

Hi,
aus Sicherheitsgründen nutze ich HBCI mit Chipkarte (DKB).
Für die Fachleute: Für mich dient HBCI dazu, einem Man-In-Browser-Angriff vorzubeugen.
ich ärgere mich über die Implementierung.
Wenn es wirklich sicher seins sollte, müßte in meinem ReinerSCT Kartenleser die Transaktion (Empfänger und Transaktionssumme) angezeigt werden.

Statt dessen muss ich blind die Transaktion autorisieren, die Alf Banco übermittelt.
Ein gerissener Angreifer könnte statt einem Browser auch alf Banco trojanisieren.

In der Folge bin ich zwar praktisch sicherer, weil Kriminelle eher Browser angreifen werden als Alf Banco, aber immer noch angreifbar.
Ich weiß, dass Starmoney auch nicht besser ist.

Gibt es einen Grund für diese Sicherheitslücke?

Für mich ist damit der Sinn dieser Lösung doch sehr in Frage gestellt.
Christian211
Beiträge: 412
Registriert: Sa 6. Jan 2007, 07:39
Wohnort: Berlin

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitrag von Christian211 »

Ein gerissener Angreifer könnte statt einem Browser auch alf Banco trojanisieren.
Dann würde im Kartenleser was stehen?
Woher bezieht er die Daten, warum wären diese durch den " gerissener Angreifer " nicht kompromitiert?

Solche "sichere Anzeige" macht nur Sinn, wenn sie über ein unabhängiges, getrenntes Gerät erfolgen würde.
Was nach aktuellen Veröffentlichungen zur mTAN nun dann auch nicht immer sicher ist.
JamesJoker
Beiträge: 13
Registriert: So 25. Okt 2015, 12:22

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitrag von JamesJoker »

Hi Chrisitan,
wie beschrieben sollten die Transaktionsdaten drin stehen.
Es gibt in dem Setup mit HBCI mit Chipkartenleser und Chipkarte ja genau dieses unabhängige Gerät.
Nämlich den zertifizierten Chipkartenleser, der eine Ende-Zu-Ende verschlüsselte und authentisierte Kommunikation mit der Bank aufbauen kann.
Ich frage mich eben, warum genau dieses wichtige Feature nicht genutzt wird.
Christian211
Beiträge: 412
Registriert: Sa 6. Jan 2007, 07:39
Wohnort: Berlin

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitrag von Christian211 »

Was hindert ein Schadprogramm, welches Alf befallen hätten, falsche Daten an den Leser zu senden?
JamesJoker
Beiträge: 13
Registriert: So 25. Okt 2015, 12:22

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitrag von JamesJoker »

nichts.
Dann zeigt der Chipkartenleser die falschen Empfängerdaten und den falschen Betrag an, und ich autorisiere die Zahlung nicht.
Ich signiere ja mit dem Schlüssel auf dem Chip eben genau eine Zahlung gegenüber der Bank, und nicht gegenüber Alf Banko.



Sieht HBCI keine Ende-Zu-Ende-Sicherheit vor?
Benutzeravatar
ALF
Site Admin
Beiträge: 12437
Registriert: Do 9. Okt 2003, 14:21
Wohnort: Leingarten

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitrag von ALF »

Hallo,

vermutlich nutzen Sie einen Secoder, bei dem die Transaktionsdaten im Display angezeigt werden können.
Die Secoder-Untertstützung wurde bisher leider sehr selten nachgefragt.

Trotzdem werden wir dies als eine der nächsten größeren Änderungen umsetzen.
Da wir den Aufwand noch nicht abschätzen können, können wir leider auch noch nicht sagen, bis wann dies dann möglich sein wird.

Falls Sie möchten, können Sie sich über unser Kontakt-Formular bei uns melden, dann können wir Ihnen bei Interesse sobald verfügbar eine Vorab-Version zum Test zukommen lassen.

Gruß,
ALF
JamesJoker
Beiträge: 13
Registriert: So 25. Okt 2015, 12:22

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitrag von JamesJoker »

Klasse!

Finde ich eine wichtige und sehr gute Verbesserung.
Nur so ist die Argumentation von HBCI mit Banking-Software als sicherer Lösung aufrecht erhaltbar.
Stelle mich gerne als Tester bereit.
tobelbe.
Beiträge: 2
Registriert: Do 26. Nov 2015, 14:40

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitrag von tobelbe. »

[quote="JamesJoker"]Klasse!

Finde ich eine wichtige und sehr gute Verbesserung.
Nur so ist die Argumentation von HBCI mit Banking-Software als sicherer Lösung aufrecht erhaltbar.
Stelle mich gerne als Tester bereit.[/quote]

Ich auch, wenn ich die PIN auf meiner HBCI-Chipkarte via meines cyberjack wave bis dahin geändert bekomme (s. mein Thema von heute)!

Viele Grüße
tobelbe.
Antworten