Sicherheit bei umgesetzter Chip+PIN Implementierung

Bei Problemen / Fragen zu Chipkarten oder Kartenlesern sind Sie hier richtig

Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitragvon JamesJoker » So 25. Okt 2015, 14:42

Hi,
aus Sicherheitsgründen nutze ich HBCI mit Chipkarte (DKB).
Für die Fachleute: Für mich dient HBCI dazu, einem Man-In-Browser-Angriff vorzubeugen.
ich ärgere mich über die Implementierung.
Wenn es wirklich sicher seins sollte, müßte in meinem ReinerSCT Kartenleser die Transaktion (Empfänger und Transaktionssumme) angezeigt werden.

Statt dessen muss ich blind die Transaktion autorisieren, die Alf Banco übermittelt.
Ein gerissener Angreifer könnte statt einem Browser auch alf Banco trojanisieren.

In der Folge bin ich zwar praktisch sicherer, weil Kriminelle eher Browser angreifen werden als Alf Banco, aber immer noch angreifbar.
Ich weiß, dass Starmoney auch nicht besser ist.

Gibt es einen Grund für diese Sicherheitslücke?

Für mich ist damit der Sinn dieser Lösung doch sehr in Frage gestellt.
JamesJoker
 
Beiträge: 9
Registriert: So 25. Okt 2015, 13:22

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitragvon Christian211 » So 25. Okt 2015, 20:32

Ein gerissener Angreifer könnte statt einem Browser auch alf Banco trojanisieren.

Dann würde im Kartenleser was stehen?
Woher bezieht er die Daten, warum wären diese durch den " gerissener Angreifer " nicht kompromitiert?

Solche "sichere Anzeige" macht nur Sinn, wenn sie über ein unabhängiges, getrenntes Gerät erfolgen würde.
Was nach aktuellen Veröffentlichungen zur mTAN nun dann auch nicht immer sicher ist.
Christian211
 
Beiträge: 409
Registriert: Sa 6. Jan 2007, 08:39
Wohnort: Berlin

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitragvon JamesJoker » Mo 26. Okt 2015, 14:22

Hi Chrisitan,
wie beschrieben sollten die Transaktionsdaten drin stehen.
Es gibt in dem Setup mit HBCI mit Chipkartenleser und Chipkarte ja genau dieses unabhängige Gerät.
Nämlich den zertifizierten Chipkartenleser, der eine Ende-Zu-Ende verschlüsselte und authentisierte Kommunikation mit der Bank aufbauen kann.
Ich frage mich eben, warum genau dieses wichtige Feature nicht genutzt wird.
JamesJoker
 
Beiträge: 9
Registriert: So 25. Okt 2015, 13:22

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitragvon Christian211 » Mo 26. Okt 2015, 14:28

Was hindert ein Schadprogramm, welches Alf befallen hätten, falsche Daten an den Leser zu senden?
Christian211
 
Beiträge: 409
Registriert: Sa 6. Jan 2007, 08:39
Wohnort: Berlin

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitragvon JamesJoker » Mo 26. Okt 2015, 15:06

nichts.
Dann zeigt der Chipkartenleser die falschen Empfängerdaten und den falschen Betrag an, und ich autorisiere die Zahlung nicht.
Ich signiere ja mit dem Schlüssel auf dem Chip eben genau eine Zahlung gegenüber der Bank, und nicht gegenüber Alf Banko.



Sieht HBCI keine Ende-Zu-Ende-Sicherheit vor?
JamesJoker
 
Beiträge: 9
Registriert: So 25. Okt 2015, 13:22

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitragvon ALF » Do 29. Okt 2015, 11:13

Hallo,

vermutlich nutzen Sie einen Secoder, bei dem die Transaktionsdaten im Display angezeigt werden können.
Die Secoder-Untertstützung wurde bisher leider sehr selten nachgefragt.

Trotzdem werden wir dies als eine der nächsten größeren Änderungen umsetzen.
Da wir den Aufwand noch nicht abschätzen können, können wir leider auch noch nicht sagen, bis wann dies dann möglich sein wird.

Falls Sie möchten, können Sie sich über unser Kontakt-Formular bei uns melden, dann können wir Ihnen bei Interesse sobald verfügbar eine Vorab-Version zum Test zukommen lassen.

Gruß,
ALF
Benutzeravatar
ALF
Site Admin
 
Beiträge: 7622
Registriert: Do 9. Okt 2003, 14:21
Wohnort: Leingarten

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitragvon JamesJoker » Sa 31. Okt 2015, 11:48

Klasse!

Finde ich eine wichtige und sehr gute Verbesserung.
Nur so ist die Argumentation von HBCI mit Banking-Software als sicherer Lösung aufrecht erhaltbar.
Stelle mich gerne als Tester bereit.
JamesJoker
 
Beiträge: 9
Registriert: So 25. Okt 2015, 13:22

Re: Sicherheit bei umgesetzter Chip+PIN Implementierung

Beitragvon tobelbe. » Do 26. Nov 2015, 19:45

[quote="JamesJoker"]Klasse!

Finde ich eine wichtige und sehr gute Verbesserung.
Nur so ist die Argumentation von HBCI mit Banking-Software als sicherer Lösung aufrecht erhaltbar.
Stelle mich gerne als Tester bereit.[/quote]

Ich auch, wenn ich die PIN auf meiner HBCI-Chipkarte via meines cyberjack wave bis dahin geändert bekomme (s. mein Thema von heute)!

Viele Grüße
tobelbe.
tobelbe.
 
Beiträge: 2
Registriert: Do 26. Nov 2015, 15:40


Zurück zu Chipkarten und Lesegeräte

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste