ALF-BanCo safe: Sicherheitsrisiko HBCI mit Sicherheitsdatei!

Fragen zu Bedienung, Funktionen u.ä.

ALF-BanCo safe: Sicherheitsrisiko HBCI mit Sicherheitsdatei!

Beitragvon dagobert#1 » Mi 31. Aug 2016, 19:22

Ich habe gerade den Hinweis auf die Android App gelesen.

Etwas stutzig wurde ich bei dem Hinweis "Überweisung: diese Funktion ist gesperrt, um die Extra-Sicherheit zu gewährleisten".

Ok, für HBCI mit PIN-TAN lass ich mir das ja noch gefallen, da ein Angreifer aus der App nur die PIN, nicht jedoch die TANs extrahieren kann. Aber dann wird auch noch das Verfahren "HBCI mit Sicherheitsdatei" unterstützt.
Da braucht man doch wenn ich mich richtig erinnere auch für Überweisungen nur die Sicherheitsdatei - und die kann man über irgend eine Android- or ALF-BanCo safe Sicherheitslücke garantiert extrahieren.

Ich habe die App noch nicht ausprobiert, aber wenn man "HBCI mit Sicherheitsdatei" nutzen will erwarte ich von der App mich in extrem großer roter Schrift zu warnen, dass das Risiko sehr hoch ist dass man damit einem Angreifer vollständigen Zugriff auf sein Konto ermöglicht (auch wenn dei App diese Funktion nicht bietet)!

Bedingt durch die nicht vorhandene Funktionalität "Überweisung" ist ALF-BanCo safe selbst bei Verlust des Smartphones oder Tablets sicher.


Diese Aussage stimmt also nicht wenn "HBCI mit Sicherheitsdatei" verwendet wird.
dagobert#1
 
Beiträge: 46
Registriert: Sa 3. Feb 2007, 20:17

Re: ALF-BanCo safe: Sicherheitsrisiko HBCI mit Sicherheitsda

Beitragvon ALF » Do 1. Sep 2016, 10:12

Hallo,

die Sicherheitsdatei liegt verschlüsselt auf dem Gerät. Ohne die PIN kann diese Datei nicht entschlüsselt werden.
Wenn Sie die PIN Ihrer Sicherheitsdatei in der App hinterlegen, wird diese auch verschlüsselt in der Datenbank eingetragen und kann von dritten Personen nicht ausgelesen werden. Zusätzlich ist die Datei in unserem speziellen Format, so dass Fremdsoftware oder Angreifer damit nichts anfangen können.

Gruß,
ALF
Benutzeravatar
ALF
Site Admin
 
Beiträge: 7627
Registriert: Do 9. Okt 2003, 14:21
Wohnort: Leingarten

Re: ALF-BanCo safe: Sicherheitsrisiko HBCI mit Sicherheitsda

Beitragvon dagobert#1 » Do 1. Sep 2016, 11:18

Hab mir gerade mal die Passwortverschlüsselung angesehen. Das sieht ja gar nicht so schlecht aus.
Verwendet wird PBKDF2 (Rfc2898DeriveBytes mit HMACSHA1) und 1680 Iterationen.

Nur die Verwendung des Salts bei Rfc2898DeriveBytes habt ihr irgendwie noch nicht richtig verstanden. Der ist nämlich im Moment fest einkompiliert, normalerweise sollte er für jede Installation einmalig sein um Angriffe über Rainbowtables zu verhindern...
dagobert#1
 
Beiträge: 46
Registriert: Sa 3. Feb 2007, 20:17

Re: ALF-BanCo safe: Sicherheitsrisiko HBCI mit Sicherheitsda

Beitragvon ALF » Fr 2. Sep 2016, 09:19

Hallo,

danke für den Hinweis.
Wir werden mit dem nächsten Update bereits in wenigen Tagen wie von Ihnen vorgeschlagen für jede Installation ein eigenes Salt generieren.

Gruß,
ALF
Benutzeravatar
ALF
Site Admin
 
Beiträge: 7627
Registriert: Do 9. Okt 2003, 14:21
Wohnort: Leingarten


Zurück zu Fragen zu ALF-BanCo mobile oder safe für Android

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste