Aber wozu so viel Aufwand dafür? Wenn man jetzt mal annimmt, man nutzt einen herkömmlichen Browser/App mit üblichen OS und hat einen Hardwaregenerator: was hat man denn zu befürchten?
Dass man die TAN dann auf gefälschten Seiten eingibt und sie zweckentfremdet wird? Oder was ist die Gefahr?
Ich dachte die TAN wird doch unter anderem auch aus den jeweiligen Überweisungsdaten kreiert, oder liege ich da falsch?
Darüber hinaus kann man darauf verzichten Geräte als vertrauenswürdige einzustufen. Dann braucht man beim Browser auch schon eine TAN zum Einloggen.
hast Du dazu einen Link für mich? Ich finde bei der VB Hannover nichts dazu.
@ All
Vielen Dank für Eure weiteren Meldungen, auch zu den Erwähnungen zu Moneyplex, KMyMoney, Hibiscus und dergleichen.
Brauche ich solche Software überhaupt? Nach meinen Überlegungen werde ich nur sehr wenige Überweisungen pro Jahr tätigen und es betrifft nur ein oder zwei Onlineshops, bei denen ich dann und wann mal eine Bestellung tätige. Das müsste ich doch auch im Browser schaffen (IMHO).
Was ist denn der Unterschied zwischen den Optionen HBCI und FinTS? Welche dieser Optionen sollte ich bevorzugen?
Halte das für ziemlich übertrieben. Auf das Linux-Live-System würde ich verzichten. Sollte sich doch mal Malware einschleichen, retten einem moderne TAN-Generatoren den Hintern, da dort im TAN-Generator die Daten überprüft werden können und die TAN dann nur für diese Daten gültig ist. PushTAN würde es auch tun. Aber auf Smartphone willst du ja verzichten, obwohl Smartphones sicherer als Desktop-OSe wären.
Um Missverständnisse vorzubeugen, ich meine einen Chipkartenleser für HBCI/FinTS, wie die z.B cyberJacks von Reinersct. Die werden im allgemeinen über USB an den Rechner angeschlossen und Transaktionen muss man mit einer PIN bestätigen, die man von der Bank bekommt (meisten zusammen mit einer extra Chipkarte für Online-Banking). Ein weiterer Name wäre dafür chipTAN USB.
Das benutze ich im Zusammenhang mit einer Banking Software, über Banking mit dem Browser würde es bei meiner Bank nicht funktionieren.
Daher findest du das Verfahren bei der Hanoverschen VB im Zusammenhang mir der von ihr empfohlenen Banking Software VR-NetWorld. Im obigen Link findest du die Info dazu im Absatz „Ihre Daten kommen sicher an“ und in der Funktionsauflistung bei VR-Networld findest du ein Häkchen bei FinTS PIN/TAN und FinTS/HBCI.
Willst du Banking über so ein Gerät machen, erklärst du am besten deinem Kundenberater, dass du am PC eine Banking Software mit einem solchem Gerät benutzen willst und dementsprechend eine entsprechende Chipkarte und die Zugangsdaten brauchst.
Ich hab die Daten i.d.R. online, aber eben nicht auf dem Livelinux. Ich müsste mir sonst die Daten rausschreiben oder ausdrucken, um sie dort manuell einzutippen. Ich weiß nicht, ob das einfacher ist (ich hab auch meist so 2-3 Überweisungen,aber allein die lange IBAN…), denke mal drüber nach.
Ich kann mir kriminelle Energie nicht so ausmalen. Hier könnte es vielleicht Malware sein, die die Abfrage bei der Bank abfängt und den Empfänger abändert. Kann schon sein, dass es so wie Du schreibst, reicht. Ich denke mir halt, nichts ist 100% sicher, bei Banking will ich nur ein möglichst geringes Risiko eingehen und es wird nicht umsonst so auf dem Blog empfohlen.
Eine Banking-App unter GrapheneOS, die selber aus sich heraus Aufträge freigibt (in diesem Fall die von der ING-DiBa) oder ein Login über die Homepage per Vanadium und Autorisierung mit einem Photo-Tan-Generator (ist bei der ING ein eigenes Gerät und benötigt nicht die Karte o.ä.)?
Für die Lösung Vanadium+Photo-Tan sprechen mMn:
die hohe Sicherheit von Vanadium
Auftrag + Autorisierung auf zwei getrennten Geräten
kein Tracking über die App (laut Exodus 2 Tracker in der App)
PhotoTan mit Generator ohne Karte gibt es auch bei der norisbank. Grundsätzlich halte ich bei der Variante jedes gewartete System (Handy + Browser) für ausreichend sicher für durchschnittliche Privatanwender.
Mittlerweile habe ich Post von meiner VB bekommen. In drei verschiedenen Briefen waren der VR-NetKey, eine PIN und der Sm@rtTAN photo Leser. Jetzt kann ich loslegen.
Vorab habe ich noch eine Frage. Was ist sinnvoller, ein nackter aktueller Firefox oder ein aktueller Firefox mit Plugins (µBlock Origin, NoScript und dergleichen)?
Seit ein paar Wochen hat sich das geändert, das installieren des Librewolfs geht jetzt (debian) in ca. 2 Minuten, da kann man mal kurz was zu trinken holen und wenn man zurückkommt, ist es fertig.
Und das Skript hab ich, anders als oben beschrieben, auch nicht selbst geschrieben, sondern von der Librewolfseite kopiert und in Textdatei gespeichert. Ich muss es dann nur per copy&paste ins Terminal kopieren.
@LG-G4 : Bei Librewolf ist uBlockOrigin schon dabei. Mehr brauchst Du nicht. Als Fork von Firefox ist die Bedienung von Librewolf gleich.
Sowas nutze ich auch, Banking mache ich nur am Rechner (kein Handy), bei den Sparkassen nennt sich das chipTAN-QR, es funktioniert problemlos im Browser (der darf nicht zu eingeschränkt sein). Der Generator kostet 20 - 25 € mit Versand.
Mit mehreren Konten wurde mir das Gefrickel im Browser zu umständlich… wenn man sich für jedes Konto extra mit QR Code „einscannen“ muss, weil der Browser trotz Bank-Cookie Ausnahme, beim nächsten Login, den Browser nicht wieder erkennt…
Eine Frage zum Secure Plus-TAN-Verfahren: die Consorsbank bietet das ja bspw. an, und das Gerät wrd dann ohne Karte (und zwangsweise Internetverbindung) verwendet. Ist das besser/schlechter/genauso sicher wie die TAN-Verfahren mit Kartenlesegerät?
