Bank mit iTAN oder anderes ohne App

[VogonenSchreck]

Hallo Zusammen,

 

könnt ihr mir eine Bank ohne Kontogebühren empfehlen, welche nicht auf die dämliche Idee kommt, alles per App zu machen und meint, dass sei sicher?

 

Zur Sicherheit von Banking-Apps: z.B. https://www1.cs.fau....heit-AppTAN.pdf

 

Ich habe ein gut abgesicherten PC. Von meinem Android kann ich das nicht sagen, da ich da weniger Kontrolle habe...

 

Vielen Dank schon einmal

[basti84]

Die DKB hat doch noch die guten alten Papierlisten. Und von den Gebühren ist ja auch das meiste im grünen Bereich

[Cellardoor]

Aktuell ist bei der DIBA iTAN oder mobileTAN möglich. Wann auch diese Bank auf den StupidPhone-Zug aufspringt, kann ich dir natürlich nicht sagen.

[west263]

es gibt doch aktuell einen ganzen Sack von Online Banken, die keine Kontoführungsgebühren nehmen und welche Bank zwingt dich denn, ihre App zu benutzen?

Mache ich auch nicht. Bankgeschäfte nur am PC.

 

 

 

edit: hat etwas gedauert, bis ich es verstanden habe, was Du möchtest. Du meinst das mit mobile TAN.

ING wäre eine Alternative, iTan.

[VogonenSchreck]

Danke ich, ich schau mir mal die beiden an.

 

es gibt doch aktuell einen ganzen Sack von Online Banken, die keine Kontoführungsgebühren nehmen und welche Bank zwingt dich denn, ihre App zu benutzen?

Mache ich auch nicht. Bankgeschäfte nur am PC.

Die Netbank! Angeblich empfiehlt das die Finanzaufsicht. Ich hoffe das macht keine Schule. Edit: du hast recht, es bleiben noch chipTAN und mobilTAN. Es ist also nicht ganz so schlimm, aber die Liste bevorzuge ich immer noch.

 

" Um ganzheitlichen Schutz vor Cyber-Kriminalität zu gewährleisten, empfiehlt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Banken einen Umstieg auf neuere Methoden zur Autorisierung von Transaktionen. Die Augsburger Aktienbank AG wird nun für das netbank Onlinebanking die Empfehlung der Finanzaufsicht zeitnah umsetzen und das iTAN-Verfahren zu Gunsten der bereits bestehenden moderneren Verfahren einstellen. Beendet wird die Autorisierung über iTAN am 28. Februar 2017. Ab diesem Zeitpunkt werden auch keine neuen iTAN-Listen mehr versandt.", schreibt die Netbank

[west263]

ich habe für mein Zweitdepot bei der comdirect eine iTan Liste bekommen. Mein Hauptkonto hatte ich vor Monaten auf mobile TAN umgestellt, ich denke aber, das iTan bei der comdirect noch geht.

Nachfragen beim Kundenservice!

[Gast231208]

ich habe für mein Zweitdepot bei der comdirect eine iTan Liste bekommen. Mein Hauptkonto hatte ich vor Monaten auf mobile TAN umgestellt, ich denke aber, das iTan bei der comdirect noch geht.

 

 

Aus eigener Erfahrung, da von mir genutzt, iTAN geht bei comdirect.

 

 

[useno]

Aktuell ist bei der DIBA iTAN oder mobileTAN möglich. Wann auch diese Bank auf den StupidPhone-Zug aufspringt, kann ich dir natürlich nicht sagen.

 

Allerdings ist mit iTAN keine Auslandsüberweisung móglich: https://www.ing-diba...erheit/#!121315

[asdfgh]

Die DKB hat doch noch die guten alten Papierlisten.

 

Nicht für Neukunden, denen bleibt nur die Wahl zwischen ChipTan und PushTan (App).

[tyr]

ChipTAN manuell (NICHT mit Flackercode) ist meines Erachtens ziemlich sicher. Der TAN-Generator ist in dem Fall die Chipkarte und die Eingabe und Ausgabe läuft über die Person, die den TAN-Generator bedient und hoffentlich nachdenkt, was für Zahlen dort eingegeben werden. Man benötigt dann nur noch ein vertrauenswürdiges Endgerät mit Internetzugang, das hinreichend sicher gegen Manipulationen beim Onlinebanking ist.

[Staatenverbund]

ChipTAN manuell (NICHT mit Flackercode) ist meines Erachtens ziemlich sicher. Der TAN-Generator ist in dem Fall die Chipkarte und die Eingabe und Ausgabe läuft über die Person, die den TAN-Generator bedient und hoffentlich nachdenkt, was für Zahlen dort eingegeben werden.

 

Ob Flackercode oder nicht ist schnurz, das ersetzt nur das Abtippen in die eine Richtung (wenn man's nicht abtippt, sollte man aber natürlich die Anzeige des Geräts prüfen (was aber oft einfacher ist, da man sich gerade bei kleinen Beträgen sparen kann, mehr als den Betrag zu prüfen, wenn man damit leben könnte, im schlimmsten Fall mal ein paar Euro an einen Betrüger zu überweisen)).

 

Dass die Karte der TAN-Generator ist ist gleichzeitig auch die Schwäche des Systems: Jeder, der die Karte in die Finger kriegt, kann TANs generieren, also auch das Zahlungsterminal an der Kasse.

[tyr]

Ob Flackercode oder nicht ist schnurz,

Mit Flackercode ist ChipTAN genau so anfällig für Manipulation wie alle anderen TAN-Generatoren, da direkt in das Gerät eingebunden, über das das Onlinebanking läuft.

 

Ohne Flackercode kommt die Eingabe von Zielkonto und Betrag vom Menschen. Wenn der Mensch das nicht direkt von Papier aus sicherer Quelle übernimmt: selber schuld. Wenn beim Flackercode irgendwas manipuliert wird: nicht für Normalsterbliche nachvollziehbar.

 

Wenn die Karte weg ist lässt man diese sofort sperren, fertig. Zudem braucht es neben dem TAN-Generator ja noch die PIN für das Onlinebanking. Eher ein theoretischer Angriffsvektor: wer klaut schon eine Bankkarte physisch, hat noch zudem die Onlinebanking PIN, nur um ein paar Euro auf einemGirokonto zu erbeuten? Das lohnt den Aufwand nicht, wenn man mit weniger Aufwand leichter überwindbare Systeme ohne physischen Bankkartenzugriff aus der Ferne von irgendwo aus knacken kann.

 

Sicherheit ist in dem Bereich: die Überwindung der Sicherung kostet so viel Aufwand und Geld, dass es unattraktiv wird, es zu tun, im Vergleich zu anderen weniger gesicherten Opfern. Das leistet ChipTAN manuell.

[Staatenverbund]

Mit Flackercode ist ChipTAN genau so anfällig für Manipulation wie alle anderen TAN-Generatoren, da direkt in das Gerät eingebunden, über das das Onlinebanking läuft.

 

Ohne Flackercode kommt die Eingabe von Zielkonto und Betrag vom Menschen. Wenn der Mensch das nicht direkt von Papier aus sicherer Quelle übernimmt: selber schuld. Wenn beim Flackercode irgendwas manipuliert wird: nicht für Normalsterbliche nachvollziehbar.

 

Sorry, aber du hast einfach keine Ahnung, wovon du da schreibst.

 

Das Geflicker tippt einfach für dich die Daten in das Gerät ein. Das Gerät zeigt dir die Daten danach zur Überprüfung an, und bittet dich um Bestätigung. Nur, wenn du die angezeigten Angaben bestätigst, schickt das Gerät genau die angezeigten Daten an die Chipkarte, um eine TAN zu generieren, die für diese Auftragsdaten gültig ist, die die Chipkarte dann zurück an das Gerät schickt, und das Gerät zeigt sie an (und du tippst sie ab).

 

Der ganze Sinn der Anzeige am Gerät ist diese Überprüfung, eben damit Manipulationen am Flickercode kein Sicherheitsproblem sind.

 

Ob du die Daten aus verlässlicher Quelle in das Gerät eintippst oder die Daten aus verlässlicher Quelle mit der Anzeige abgleichst macht für die Sicherheit exakt null komma gar keinen Unterschied.

 

Wenn die Karte weg ist lässt man diese sofort sperren, fertig. Zudem braucht es neben dem TAN-Generator ja noch die PIN für das Onlinebanking. Eher ein theoretischer Angriffsvektor: wer klaut schon eine Bankkarte physisch, hat noch zudem die Onlinebanking PIN, nur um ein paar Euro auf einemGirokonto zu erbeuten? Das lohnt den Aufwand nicht, wenn man mit weniger Aufwand leichter überwindbare Systeme ohne physischen Bankkartenzugriff aus der Ferne von irgendwo aus knacken kann.

 

Lass mich ein alternatives Szenario entwerfen:

 

Ein Auftragsfertiger in China, der Zahlungsterminals für den Einsatz in Deutschland herstellt, wird kompromittiert, und ihm wird eine Firmware mit Hintertür untergeschoben. Oder es werden einfach entsprechend manipulierte Geräte über den Gebrauchtmarkt verteilt. Oder es werden Sicherheitslücken in der existierenden Firmware ausgenutzt. Da moderne Zahlungsterminals mit IP angebunden werden, kann die kriminelle Organisation, die diese Hintertür eingeschleust hat, nun ohne physischen Bankkartenzugriff aus der Ferne von irgendwo aus diese Zahlungsterminals anweisen, von bestimmten Karten, wenn diese erkannt werden, TANs für bestimmte Auftragsdaten zu generieren und an die Hintermänner zu schicken. Dann kommt die normale Malware für PCs und Smartphones zum Einsatz, oder vielleicht auch einfach Phishing, um Kontodaten und zugehörige PINs zu sammeln. Wo Konten mit ChipTAN geschützt sind, kann man dann auf die kompromittierten Zahlungsterminals zurückgreifen, um zu den PINs passende TANs zu beschaffen.

 

Aus deiner Sicht hättest du also einen Banking-Trojaner auf dem Rechner, der die PIN einsammelt, ohne, dass du etwas davon mitbekommst. Eine Weile später bezahlst du an einem kompromittierten Zahlungsterminal mit deiner ChipTAN-Karte. Neben der Durchführung der Zahlung erkennt das Terminal auch, dass die Karte zu einem Konto gehört, dessen PIN den Hintermännern bekannt ist, und so schickt das Terminal auch kurz die Bankdaten und Betrag für eine Überweisung an die Karte und sendet die so generierte TAN an die Hintermänner, die damit kurz danach, während du noch deinen Einkauf einpackst, eine Überweisung bei der Bank in Auftrag geben.

 

Sicherheit ist in dem Bereich: die Überwindung der Sicherung kostet so viel Aufwand und Geld, dass es unattraktiv wird, es zu tun, im Vergleich zu anderen weniger gesicherten Opfern. Das leistet ChipTAN manuell.

 

ChipTAN ist sicher im Moment eines der besseren Verfahren, egal ob manuell oder nicht, und man kann ja auch z.B. die EC-Karte nur für TANs benutzen und für Zahlungen eine Kreditkarte (oder Bargeld).

 

Aber Kriminelle, die Onlinebanking-Konten angreifen, sind nicht einzelne verwirrte Leute, die es auf dein persönliches Konto abgesehen haben, sondern das sind Gruppen, die nennenswert Aufwand in die Schaffung von Infrastruktur für diese Angriffe stecken, und viele Angriffe, die als gezielter Angriff auf ein bestimmtes Konto wenig erfolgversprechend scheinen, erreichen bei entsprechender Automatisierung ausreichend hohe Erfolgsquoten, dass es sich lohnt. Auch wenn ein Angriff wie oben beschrieben es vielleicht nur schafft, zu 10 % aller erbeuteten PINs TANs zu beschaffen, wäre das wahrscheinlich gut genug, da da ja niemand von Hand Computer hackt und nach PINs durchsucht, sondern halt Malware verteilt wird, die den Rest automatisiert erledigt.

[Maikel]

Die Netbank! Angeblich empfiehlt das die Finanzaufsicht. Ich hoffe das macht keine Schule. Edit: du hast recht, es bleiben noch chipTAN und mobilTAN. Es ist also nicht ganz so schlimm, aber die Liste bevorzuge ich immer noch.

 

" Um ganzheitlichen Schutz vor Cyber-Kriminalität zu gewährleisten, empfiehlt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Banken einen Umstieg auf neuere Methoden zur Autorisierung von Transaktionen. Die Augsburger Aktienbank AG wird nun für das netbank Onlinebanking die Empfehlung der Finanzaufsicht zeitnah umsetzen und das iTAN-Verfahren zu Gunsten der bereits bestehenden moderneren Verfahren einstellen. Beendet wird die Autorisierung über iTAN am 28. Februar 2017. Ab diesem Zeitpunkt werden auch keine neuen iTAN-Listen mehr versandt.", schreibt die Netbank

Ja, das hat mich als Handy-Muffel auch entsetzt.

Ich könnte mir zwar die SMS aufs Festnetz-Telefon schicken lassen (falls das geht), aber dann werd ich völlig unflexibel, was den Ort betrifft.

 

Ich habe den Verdacht, die netbank spart gerne den Druck und den Versand der iTAN-Listen ein.

 

(Wie) funktioniert chipTAN bei der netbank? Ich habe das dort nicht im Angebot gesehen.

[Belgien]

 

(Wie) funktioniert chipTAN bei der netbank? Ich habe das dort nicht im Angebot gesehen.

 

Die Beschäftigung mit dem chipTAN-System der Netbank lohnt sich nicht (mehr), da die Netbank zeitgleich mit der Abschaltung des iTAN-Verfahrens auch das chipTAN-Verfahren aufgibt (Begründung: geringe Nutzung der Kunden). Die Info wurde in derselben Mail, in der die Abschaltung des iTAN-Verfahrens angekündigt wurde, den Kunden mitgeteilt.

[tyr]

Sorry, aber du hast einfach keine Ahnung, wovon du da schreibst.

Wie kommst du zu der steilen Behauptung? Du weißt nichts über mein Verständnis von der Sache.

 

Ich glaube aber noch einmal an deine Lernfähigkeit. Probiere dich noch einmal darin, folgende Aussage zu verstehen:

Mit Flackercode ist ChipTAN genau so anfällig für Manipulation wie alle anderen TAN-Generatoren, da direkt in das Gerät eingebunden, über das das Onlinebanking läuft.

 

Ohne Flackercode kommt die Eingabe von Zielkonto und Betrag vom Menschen. Wenn der Mensch das nicht direkt von Papier aus sicherer Quelle übernimmt: selber schuld. Wenn beim Flackercode irgendwas manipuliert wird: nicht für Normalsterbliche nachvollziehbar.

 

Gerne noch ein kurzer Abriss dazu, da du mein Posting bisher offensichtlich nicht nachvollziehen konntest. Man hat eine Maschine irgendeiner Art und Weise, in die Eingaben getätigt werden, in der eine Verarbeitung stattfindet und aus der Ausgaben stattfinden. Der ChipTAN-Generator hat zwei Eingabeschnittstellen: die Tastatur und eine elektronische, den Flackercode.

 

Tastatur: ein Mensch gibt die Kontodaten, einen Startcode aus der Transaktion und den Überweisungsbetrag von Hand ein. Der Startcode kommt vom Onlinebanking und wird von der Bank vorgegeben. Die Zielkontonummer kann der Mensch selber von Papier übernehmen, absolut unzweifelhaft und nicht durch einen Angreifer einfach aus der Ferne manipulierbar, es sei denn, dieser steht beim Karteninhaber und bedroht diesen. Zudem kann der Mensch abgleichen, was auf dem Bankingformular steht und was er eingibt. Sicher. Nur mit höchstem Aufwand manipulierbar. Das ist meine Aussage. Verstehst du das?

 

Flackercode: der TAN-Generator ist in die potenziell manipulierte Onlinebanking-Anzeige eingebunden. Als Normalsterblicher kann man nicht überprüfen, welche Eingaben in den TAN-Generator hinein gehen, ob dieser manipuliert wurde oder nicht. Man vertraut nun der Konstruktion, dass die Darstellung der Eingabedaten am Generator nicht manipuliert wurde und verlässlich ist. Der Generator ist Teil der manipulationsanfälligen Online-Bankingwebsite und wird ferngesteuert.

 

Verstehst du den Unterschied?

 

Auf den Rest deines Postings gehe ich erst ein, wenn ich grundlegendes Verständnis für meine Aussage bei dir erkennen kann und du deine abstrusen Behauptungen einstellst, also zeigst, dass du in der Lage bist, sachlich über ein Thema zu diskutieren.

[DM85]

Zur Sicherheit von Banking-Apps: z.B. https://www1.cs.fau....heit-AppTAN.pdf

 

Hast du das Paper überhaupt gelesen? Im Zweifelsfall reicht auch das Resümee. Es geht eindeutig um die Nutzung von einem einzigen Gerät zum Online-Banking. Es wird halt aufgezeigt, dass die Manipulierung wie "damals" mit PIN beim Online-Banking genauso auf (vorwiegend Android-basierten, wegen der Offenheit) Smartphones funktioniert.

 

Das ganze bietet also einen Single-Point-of-Failure (SPOF).

 

Den Schluss den ich daraus ziehe, ist übrigens nicht, deswegen wieder iTANs zu verwenden, ein Verfahren, das im Großen und Ganzen auch einen SPOF (deinen PC) hinterlässt, sondern nicht gleichzeitig die Banking App für Überweisungen und die TAN-App zum Bestätigen besagter Überweisung zu benutzen (Was ziemlich einfach funktioniert: Einfach die Banking-App nicht installieren. Fertig.).

Der Sinn der Authentifizierung beim Online-Banking soll ja sein, zwei unabhängige Kommunikationskanäle zu verwenden. Ob das nun GSM (bei smsTAN), dein Smartphone (bei appTAN oder wie auch immer es bei verschiedenen Banken heißt) oder der chipGenerator (bei chipTAN) ist, ist erstmal egal, weil davon auszugehen ist, dass selbst wenn ein Kommunikationskanal (bspw. dein PC) kompromittiert ist, der zweite Kommunikationskanal (bspw. eine SMS) dir die Unstimmigkeit aufzeigt.

 

Was da die TAN-Liste helfen soll, verstehe ich nicht so ganz. Die ist essentiell nur ein zweites Passwort, das früher viele Leute bereitwillig eingetippt haben, während die Schadsoftware einem die Überweisung an Oma Hildegard vorgetäuscht hat, das Geld aber in Wahrheit zu Dimitri nach Weißrussland ging.

[Staatenverbund]

Tastatur: ein Mensch gibt die Kontodaten, einen Startcode aus der Transaktion und den Überweisungsbetrag von Hand ein. Der Startcode kommt vom Onlinebanking und wird von der Bank vorgegeben. Die Zielkontonummer kann der Mensch selber von Papier übernehmen, absolut unzweifelhaft und nicht durch einen Angreifer einfach aus der Ferne manipulierbar, es sei denn, dieser steht beim Karteninhaber und bedroht diesen. Zudem kann der Mensch abgleichen, was auf dem Bankingformular steht und was er eingibt. Sicher. Nur mit höchstem Aufwand manipulierbar. Das ist meine Aussage. Verstehst du das?

 

Du widersprichst dir schon selbst: Der Startcode kommt vom Computer, ist also genauso leicht manipulierbar wie beim Flickercode.

 

Flackercode: der TAN-Generator ist in die potenziell manipulierte Onlinebanking-Anzeige eingebunden. Als Normalsterblicher kann man nicht überprüfen, welche Eingaben in den TAN-Generator hinein gehen, ob dieser manipuliert wurde oder nicht. Man vertraut nun der Konstruktion, dass die Darstellung der Eingabedaten am Generator nicht manipuliert wurde und verlässlich ist. Der Generator ist Teil der manipulationsanfälligen Online-Bankingwebsite und wird ferngesteuert.

 

Verstehst du den Unterschied?

 

Dass ich den Unterschied verstehe, war schon aus meinem letzten Posting zu entnehmen. Ausserdem ist deine Beschreibung ziemlich unsinnig: Wenn der Generator "Teil der manipulationsanfälligen Online-Bankingwebsite" ist, dann sind deine Augen ebenfalls "Teil der manipulationsanfälligen Online-Bankingwebsite", bzw. wahrscheinlich dein Gehirn gleich mit.

 

Was du nicht erklärst, ist, warum das Adaptergerät (der Generator ist ja die Karte) für Manipulationen über die optische Schnittstelle anfällig sein sollte, die zu einer Abweichung zwischen Anzeige und an die Karte übertragenen Daten führen könnte. Was für eine Art von Angriff wäre da auch nur ansatzweise plausibel, der gleichzeitig auf manuelle Eingabe nicht anwendbar wäre?

[ppac]

Ich meine deine Anforderungen werden von der 1822direkt auch getroffen. Du kannst QR-Tan nutzen, aber auch iTan.

[Mr.X]

@tyr: Ich habe einen Tangenerator mit optischer Schnittstelle. Mir wird auf dem Gerät die Kontonummer + Betrag angezeigt. Diese Daten muss ich bestätigen bevor ich einen Tan bekomme. Einziger Unterschied zur manuellen Möglichkeit, ich muss diese Daten nicht nochmal eingeben. Die einzige Unsicherheit wäre, wenn ich die Daten nicht überprüfe und einfach auf weiter drücke. Sonst sehe ich keinen Unterschied.

[tyr]

Du widersprichst dir schon selbst: Der Startcode kommt vom Computer, ist also genauso leicht manipulierbar wie beim Flickercode.

Bitte lege doch einmal dar, worin der Widerspruch in meiner Aussage besteht, wenn ein Bestandteil einer kryptografischen Funktion zur Authentifizierung von der Bank vorgegeben wird und zwischendurch auf dem Weg zum TAN-Generator manipuliert wird. Was passiert dann genau? Denke noch einmal nach. Vielleicht hilft ein Blick in Grundlagenliteratur von Kryptografie und IT-Sicherheit.

 

Vielleicht solltest du mit deinen gewagten Aussagen ein paar kleinere Brötchen backen. Du hast schon wieder grobe Verständnisfehler, wie das ganze Verfahren grundsätzlich arbeitet, teilst aber erneut mit einer Falschaussage in meine Richtung aus.

 

Ausserdem ist deine Beschreibung ziemlich unsinnig: Wenn der Generator "Teil der manipulationsanfälligen Online-Bankingwebsite" ist, dann sind deine Augen ebenfalls "Teil der manipulationsanfälligen Online-Bankingwebsite", bzw. wahrscheinlich dein Gehirn gleich mit.

Nenne mir doch mal einen Grund, warum ich dich noch ernst nehmen soll, wenn du nicht in der Lage bist, Argumente auf zu nehmen und sachlich zu diskutieren. Ich sehe hier keinen Grund mehr. Du hast grobe Verständnisfehler über die Funktionsweise der hier zum Einsatz kommenden Technik, bist nicht in der Lage, sachlich zu diskutieren und willst stattdessen immer wieder auf die persönliche Ebene ab gleiten.

 

Ich wette: du wirst wenn du antwortest ein viertes Mal eine unsachliche Antwort abliefern und dich nicht über die Funktionsweise und die Schwächen des Systems informiert haben.

[Staatenverbund]

Du widersprichst dir schon selbst: Der Startcode kommt vom Computer, ist also genauso leicht manipulierbar wie beim Flickercode.

Bitte lege doch einmal dar, worin der Widerspruch in meiner Aussage besteht, wenn ein Bestandteil einer kryptografischen Funktion zur Authentifizierung von der Bank vorgegeben wird und zwischendurch auf dem Weg zum TAN-Generator manipuliert wird. Was passiert dann genau? Denke noch einmal nach. Vielleicht hilft ein Blick in Grundlagenliteratur von Kryptografie und IT-Sicherheit.

 

Also, mal der Reihe nach:

 

1. Wenn irgendein Teil des Inputs zu einer kryptographischen, mit einem geheimen Schlüssel parametrisierten, Einwegfunktion, die als Message Authentication Code ("symmetrische Signatur", also gleicher Zweck wie digitale Signatur, nur ohne Non-Repudiaton) verwendet wird, verändert wird, ändert sich die Semantik des damit autorisierten Auftrags.

 

2. Der Startcode bei ChipTAN ist kein Challenge (im Sinne eines Challenge-Response-Verfahrens/Zero-Knowledge-Proofs), sondern enthält lediglich die Parametrisierung, welche Art von Auftrag autorisiert werden soll und welche Datenfelder dazu in die Erzeugung der TAN einfliessen sollen (sofern der Startcode per Flickercode übertragen wird, verrät das dem Gerät also, was sonst so in der Flickersequenz an Daten kodiert ist, die zur Prüfung angezeigt werden sollen, sofern der Startcode von Hand eingegeben wird, verrät er dem Gerät, nach welchen Datenfeldern es den Benutzer fragen soll).

 

3. Der Widerspruch deiner Aussage besteht darin, dass du sagst, dass der Flickercode durch einen kompromittierten Computer manipuliert werden kann und das ein Sicherheitsproblem ist, es aber kein Sicherheitsproblem ist, den Startcode vom Bildschirm abzutippen, wo der als Text angezeigte Startcode durch den kompromittierten Computer genauso manipuliert werden kann.

 

Vielleicht solltest du mit deinen gewagten Aussagen ein paar kleinere Brötchen backen. Du hast schon wieder grobe Verständnisfehler, wie das ganze Verfahren grundsätzlich arbeitet, teilst aber erneut mit einer Falschaussage in meine Richtung aus.

 

Na, dann erklär doch mal, was ich da grundsätzlich falsch verstehe?!

 

Ausserdem ist deine Beschreibung ziemlich unsinnig: Wenn der Generator "Teil der manipulationsanfälligen Online-Bankingwebsite" ist, dann sind deine Augen ebenfalls "Teil der manipulationsanfälligen Online-Bankingwebsite", bzw. wahrscheinlich dein Gehirn gleich mit.

Nenne mir doch mal einen Grund, warum ich dich noch ernst nehmen soll, wenn du nicht in der Lage bist, Argumente auf zu nehmen und sachlich zu diskutieren. Ich sehe hier keinen Grund mehr. Du hast grobe Verständnisfehler über die Funktionsweise der hier zum Einsatz kommenden Technik, bist nicht in der Lage, sachlich zu diskutieren und willst stattdessen immer wieder auf die persönliche Ebene ab gleiten.

 

Hey, sorry, das war nicht persönlich gemeint, aber was soll es denn bitte heissen, dass der Generator "Teil der manipulationsanfälligen Online-Bankingwebsite" ist? Kopiert der Browser per Flickercode einen HTML-Parser und Javascript-Interpreter samt HTTP-/TLS-/TCP-/IP-Stack auf den Microcontroller des Kästchens? Das ist doch ein Satz ohne jede erkennbare Bedeutung, ausser, dass er ein hohes Manipulationsrisiko suggeriert.

 

Ich wette: du wirst wenn du antwortest ein viertes Mal eine unsachliche Antwort abliefern und dich nicht über die Funktionsweise und die Schwächen des Systems informiert haben.

 

Genau, ich habe ja nur einen Decoder für das Geflicker geschrieben, woher sollte ich da etwas über die Funktionsweise wissen? (Nein, nicht für irgendein Produkt auf dem Markt, nur zum Zweck des Verstehens ...)