Banking auf aktuellem Lineage OS oder eher Linux?

Hm… Nebenfrage… sollte man das Banking lieber auf aktuell gepatchtem Lineage mit RethinkDNS Firewall, wenigen handverlesenen Apps und uBlockOrigin mit sehr restriktiven Skripten, oder auf Linux-PC machen?

Hängt wie bei den mobilen Custom-ROMs von der Distribution ab, würde ich mal sagen. Qubes OS wäre wegen des Sandboxings, das man sonst eher von Android und iOS kennt, besonders sicher. Geht es um Haftungsfragen, wäre es (nicht technisch, aber ökonomisch) sicherer, ein Stock-ROM mit der offiziellen App der Bank zu verwenden.

Das würde ich immer über den Linux-PC und einem davon unabhängigen zweiten Faktor machen. Je nach Bank ein Hardware-Dongle, TAN-Generator oder App. Wenn letztere auf dem Custom-ROM läuft, warum nicht.

Komplettes Banking auf einem Mobiltelefon würde ich nicht machen, egal welcher Hersteller das ist und welches OS darauf werkelt.

6 „Gefällt mir“

Volle Zustimmung, @jdevlx ! Unbedingt 2 physisch getrennte Geräte für echte 2 Faktor Authentifizierung. Alles andere ist Augenwischerei und jedenfalls unsicherer als 2 physisch getrennte Geräte.

3 „Gefällt mir“

@jdevlx und @Seven.of.nine Genau so mache ich es auch, nur so macht das sicherheitstechnisch Sinn. Beim Girokonto KANN ich zwar allein über das Smartphone zugreifen – dann eben via Browser –, aber beim Tagesgeld und Depot, wo das Vermögen liegt, geht es gar nicht. Darauf muss ich, wenn ich unterwegs bin, ja gefälligst auch nicht zugreifen!

1 „Gefällt mir“

Ok, von der Sicherheitsphilosophie her sind zwei unabhängige Geräte besser.

Dennoch hieß es im Zitat im OP ja, dass Graphene als gut genug angesehen wird, darauf zu verzichten, Lineage nicht. Und jetzt frage ich mich, was bringt Graphene für das Szenario “Banking” mit, was Lineage nicht hat (ähnliche Einsatzprofile vorausgesetzt, also aktuelle Patches, keine blöden Apps, halbwegs verantwortungsvolles Browsen, Rethink,…), und ist der Unterschied so gravierend, dass Linux im Wert zwischen den beiden eingestuft wird?

Software Sicherheitsphilosophie ist schön und gut. Aber ich denk da mal praktisch: Was ist, wenn Handy auf den Steinboden fällt und Display hin ist, Handy fällt ist Wasser, wird verloren od. gestohlen…

Da ist besser, wenn nur eine 2FA App drauf ist und das ‘eigentliche’ Telebanking am heimischen PC stattfindet. Da ist es ja auch bequemer und man sieht besser auf einem großen Bildschirm.

Das ist auch Sicherheit, wenn man sieht was man schreibt und eine ordentliche Tastatur hat.

Rein von der Softwarearchitektur wirds schon stimmen, was über GOS alles Gutes geschrieben wird. Aber ich seh das jetzt einfach mal ganz praktisch.

1 „Gefällt mir“

Ich mach Banking eigentlich nur von meinem Linux-PC mit dem Tantool von der Postbank. Das Handy ist angemeldet, ich nutze das aber nur als Notbehelf. Es ist gut über zwei Wege Dinge frei geben zu können. Geht ein Weg kaputt, kann man mit dem vorhandenen einen neue Weg einrichten.

1 „Gefällt mir“

Ich finde das prima, dass Ihr alle schreibt, was Ihr macht und warum zwei Wege und zwei Geräte usw. total sinnvoll sind. Und ich stimme natürlich zu.

Das hilft aber bei der Antwort auf die (nun klarer formulierte) Frage nicht weiter :sweat_smile:

  • GrapheneOS (ebenso wie iodéOS, CalyxOS, AXP OS Slim, AXP OS Pro und /⁠e⁠⁠/⁠OS) hat einen geschlossenen Bootloader, LineageOS nicht
  • GrapheneOS (ebenso wie iodéOS, CalyxOS, AXP OS Slim und AXP OS Pro) hat einen geschlossenen Bootloader, bei dem die signing keys nicht öffentlich einsehbar sind, /⁠e⁠⁠/⁠OS nicht
  • GrapheneOS hat einen hard-backed geschlossenen Bootloader, iodéOS, CalyxOS, AXP OS Slim, AXP OS Pro und /⁠e⁠⁠/⁠OS nicht. Zudem gibt es zahlreiche weitere Sicherheitshärtungen, die ich hier nicht noch einmal notiere (dafür ist mir meine Zeit zu schade). Wenn man daran wirklich Interesse hat, soll man doch bitte die ausgezeichnete GrapheneOS-Doku lesen.
2 „Gefällt mir“

All das würde mich wenig beeindrucken, wenn es um mein Geld oder das der Firma geht und es eine sichere Alternative mit zwei Geräten wie hier oft beschrieben gibt.

Wenn man häufig unterwegs unbar zahlen möchte, kann man einfach eine Kredit- oder Debitkarte nehmen.

2 „Gefällt mir“

Verstehe ich nicht. Warum ist es okay, wenn man per Angriff (über den offenen Bootloader) die 2FA-Banking-App ersetzen kann (indem man das ganze System einmal gegen ein gleich aussehendes ersetzt, bei dem die 2FA-Banking-App korrumpiert ist)? Im Übrigen: Es gibt durchaus sehr sehr viele andere Sicherheitsfunktionen von Graphene, die durchaus eher wichtig sind als diese. Aber wie gesagt: Lese dir die Doku durch: Da gibt es eine Riesenliste, was alle nachgeschärft wurde.

1 „Gefällt mir“

Sorry, eventuell liegt hier ein Missverständnis vor.

Meine Beitrage beziehen sich zunächst ausschließlich auf die Fragestellung aus der Headline, ob man Banking besser mit LineageOS oder Linux-PC durchführen sollte.

Da im Verlauf aus dem Post vor der Verschiebung zitiert und ungeachtet der Abtrennung auch hier wieder GOS thematisiert wurde, habe ich offenbar ungewollt und indirekt auch noch zu der Fragestellung Stellung bezogen, was die Verwendung von GrapheneOS hieran ändern würde (m.E. nichts).

Insofern ist es zumindest für mich und damit meine Beiträge nicht relavant, ob noch weitere Argumente für GOS sprechen.

Für mich ist Banking auf dem Smartphone nicht existent. Die Existenz von GOS ändert hieran nichts.

1 „Gefällt mir“