Frage zu Authentifizierungsverfahren

[Herr H.]

Werte Herren!

 

Zu den "Seal One"-Geräten, zu deren Kauf auf eigene Kosten die Postbank handtelefonfreie Kunden zwingen möchte:

- Wenn ich es richtig verstehe, handelt es sich hierbei um Geräte, die im wesentlichen nur eine Anzeige, eine Bestätigungstaste, ein Programm und Daten enthalten, also nur Dinge, die ein Komputer auch ohne Zusatzgerät bietet bzw. aufnehmen kann. Es scheint kein Eingabeschlitz für eine Bankkarte vorhanden zu sein, keine Kamera, man muß nicht hineinspucken usw., keinerlei Sonderfunktionen. Ist das so? Wozu ist das Gerät dann überhaupt da? Warum wird stattdessen nicht einfach ein Programm zum Herunterladen angeboten?

- Funktioniert so ein Gerät unter einem kommandozeilenbasierten Linux? Dieses "Seal One" täuscht anscheinend vor, ein CD-Laufwerk zu sein. Bei manchen anderen Geräten, die dies tun, lautet die Antwort: Man muß nur das Paket "usb-modeswitch" installieren, dann läuft es. Wissen Sie, wie das hier ist?

- Und das wichtigste: Bisher nutzte die Postbank u. a. "Chip-Tan". Kann man bei anderen Depotbanken, die Chip-Tan (oder Tan-Listen oder dergleichen) nutzen, erwarten, vor dem Kram noch länger Ruhe zu haben, oder steht "Chip-Tan" generell auf einer Abschußliste?

 

Vielen Dank!

H.

[oktavian]

 

Lässt sich unter Linux denn kein Android Simulator mit bestsign app zum Laufen bringen? Dann muss eben so ein Gerät her oder eine andere Bank.

 

Theoretisch wäre sicher auch eine Linuxsoftware möglich (am besten air-gapped), aber wegen der geringen Nachfrage hat das meines Wissens keine Bank. Kenne keine.

[Gast240408]

50 minutes ago, Herr H. said:

Werte Herren!

 

Zu den "Seal One"-Geräten, zu deren Kauf auf eigene Kosten die Postbank handtelefonfreie Kunden zwingen möchte:

- Wenn ich es richtig verstehe, handelt es sich hierbei um Geräte, die im wesentlichen nur eine Anzeige, eine Bestätigungstaste, ein Programm und Daten enthalten, also nur Dinge, die ein Komputer auch ohne Zusatzgerät bietet bzw. aufnehmen kann. Es scheint kein Eingabeschlitz für eine Bankkarte vorhanden zu sein, keine Kamera, man muß nicht hineinspucken usw., keinerlei Sonderfunktionen. Ist das so? Wozu ist das Gerät dann überhaupt da? Warum wird stattdessen nicht einfach ein Programm zum Herunterladen angeboten?

- Funktioniert so ein Gerät unter einem kommandozeilenbasierten Linux? Dieses "Seal One" täuscht anscheinend vor, ein CD-Laufwerk zu sein. Bei manchen anderen Geräten, die dies tun, lautet die Antwort: Man muß nur das Paket "usb-modeswitch" installieren, dann läuft es. Wissen Sie, wie das hier ist?

- Und das wichtigste: Bisher nutzte die Postbank u. a. "Chip-Tan". Kann man bei anderen Depotbanken, die Chip-Tan (oder Tan-Listen oder dergleichen) nutzen, erwarten, vor dem Kram noch länger Ruhe zu haben, oder steht "Chip-Tan" generell auf einer Abschußliste?

 

Vielen Dank!

H.

1) Soweit ich das Prinzip verstehe, ist es halt ein zweiter Faktor, der Zertifikate als solcher exklusiv in seiner Hardware bereithaelt, mit denen eine Transaktion mit dem genannten Knopfdruck signiert wird.

2) Was heisst das explizite "kommandozeilenbasiert"? Irgendeinen Fenstermanager etc. wirst du wohl haben, weil du wahrsch. einen Browser oeffnen willst. Das gesagt - unter Mint laeuft es. edit: Wenn nicht, auf GTK-lose Terminalnutzung wird in der Installationsanleitung (PDF) eingegangen.

3) Glaskugel hat niemand. Ich habe Chip-TAN bei meiner Hauptbank und ziehe es dem ganzen Rest vor. Zwar eher als Einaeugiges unter Blinden, aber immerhin.

 

 

[Herr H.]

Grüß Gott,

 

die "App" ist keine gleichwertige Alternative, weil sie im Gegensatz zum Gerät zusätzlich Fingerabdrücke oder Gesichtsaufnahmen fordert.

 

"Kommandozeilenbasiert": Ich nutze einen "Browser" direkt über "Xorg" ohne Fensterverwalter.

Wenn das Gerät etwas in einem Fenster anzeigen muß, wird es wohl auf demselben Weg funktionieren. Die Frage ist eher, ob irgendwelche anderen Eigenschaften "hochgezüchteter" Betriebssysteme benötigt werden. Muß man das "Laufwerk" nur ins Dateisystem einhängen, ein dann zugängliches Programm starten, und wenn man dem Betriebssystem dann noch über "usb-modeswitch" mitteilt, daß das Gerät gar kein Laufwerk ist, dann kann es auch mit einem Druck auf die Bestätigungstaste umgehen? Oder ist es viel komplizierter?

 

Vielen Dank!

H.

[Gast240408]

Vielleicht versuchst du einfach mal das, was ich nun auch noch auf dem Silbertablett verlinkt habe. Man kann dafuer auch einmal eine virtuelle Maschine mit der Linuxvariante deiner Wahl aufsetzen. Uebrigens keine schlechte Idee fuer eine ganz eng zusammengezurrte Umgebung ohne ueberfluessigen Angriffsvektor fuer ausschliessliches Banking.

Dann kannst du all deine Detailfragen selbst ausprobieren. Um Seal One selbst wirst du bei der PB nicht herumkommen.

 

edit: Ich wuerde damit auch bald beginnen, nach meiner Erinnerung laufen alle anderen Verfahren diesen Monat aus oder werden auf den Status "Nur noch neues (BestSign) Verfahren genehmigen" zurueckgesetzt. Und das geht gern mal schief, so wie ChipTAN meiner alten Mutter dazu nicht mehr in der Lage war. Da der Support kaum erreichbar/hilfreich ist, muss dann ein neuer Freischaltcode der per Post kommt beantragt werden. Dann sitzt user auch gern ein paar Tage auf seinem unzugaenglichen Konto.

[oktavian]

vor 2 Stunden von Herr H.:

die "App" ist keine gleichwertige Alternative, weil sie im Gegensatz zum Gerät zusätzlich Fingerabdrücke oder Gesichtsaufnahmen fordert.

hast du einen Beleg dafür? Kann man stattdessen nicht auch Passwort nehmen??? Der Fingerabdruck/Gesicht rufen auch nur ein im sicheren Bereich vom Smartphone gespeichertes Passwort auf. Kenne keine Bank welche Fingerabdruck zwangsweise vorschreibt.

[chirlu]

Ich benutze die Postbank-App selbst, und zwar ohne Biometrie. Die Freigabe erfolgt durch ein Paßwort.

[gruber]

ebaseSecure ist eine SealOne App und diese lässt sich auf Android ohne Biometrie nutzen. Es wird dann ein Freigabe-Passwort stattdessen abgefragt. Ob diese auch in einem Emulator läuft, habe ich bisher nicht ausprobiert.

[Herr H.]

Guten Abend,

 

in der von Ihnen, Herr Myrtle, verknüpften Anleitung zum "Seal One"-Gerät stand nur, eine auf dem Gerät gespeicherte Datei enthalte weitere Hinweise, und das nützte mir nichts, weil ich die Nutzbarkeit ohne vorherigen Kauf abschätzen wollte. Aber:

Dank dem Hinweis der Herren Oktavian, Chirlu und Gruber, daß die "App" auch Paßwörter statt Fingerabdrücke und Bilder akzeptiert, werde ich erstmal bei Gelegenheit ausprobieren, ob auf dem fraglichen Klapprechner Android mitsamt dieser "App" läuft. Dann hätte sich das teure Gerät erledigt, und wenn ich den für Bankgeschäfte nötigen Kram auf einem Extrabauteil haben möchte, könnte ich ihn einfach auf einem preiswerten USB-Stock installieren.

 

Vielen Dank!

H.

[Gast240408]

Quote

werde ich erstmal bei Gelegenheit ausprobieren, ob auf dem fraglichen Klapprechner Android mitsamt dieser "App" läuft. Dann hätte sich das teure Gerät erledigt

 

Wenn ich recht verstehe ist der Plan durchzuspielen, ob ein Android in Emulator oder VM auf einem Linuxnotebook mit der app umgehen kann. Dann verstehe ich, fuer wie gering man Mannes aufgewendete Zeit tatsaechlich haelt wenn man bedenkt, dass es hier um etwa 35 Euro geht. Aber jedem das Seine. Meine Zeit ist mir entschieden mehr wert.

[Herr H.]

Werter Herr Myrtle,

 

lieber eine reguläre Installation neben Linux oder auf einem USB-Stock.

Der Aufwand rechnet sich spätestens, wenn andere Banken mal mit ähnlichen Forderungen daherkommen und ich dann bescheidweiß und ohne weiteren Aufwand reagieren kann. Ein Ende dieser Modewelle, Dinge über „Apps“ zu regeln, ist ja noch nicht abzusehen.

 

Mit freundlichem Gruß

H.

[Gast240408]

50 minutes ago, Herr H. said:

Der Aufwand rechnet sich spätestens, wenn andere Banken mal mit ähnlichen Forderungen daherkommen

Da ist was dran, aber aufwandlos wird das auch dann nicht, da der Wiederverwendbarkeitsfaktor wohl relativ gering bleiben wird. Ich weiss auch nicht, was mit "regulaerer Installation" gemeint ist. Ein Android, ein Linux? Es kann fast nur ein Android irgendeiner Art sein, damit waere man bei den beiden Varianten, die ich nannte. Dieser Kollege ist das in verschiedener Form auch schon ein- oder zweimal angegangen.

 

> USB-Stock

 

Zelebrierte Idiosynkrasien sollte man m.E. konsequent durchziehen. Als Vorschlag: AfSs (Allgemein fortlaufende Sammelschienenstange)

[Herr H.]

Guten Abend,

 

nachdem ich zur Kenntnis genommen hatte, daß dieses "Android" anscheinend ein Betriebssystem auch für normale Komputer ist, hatte ich eine reguläre Installation auf einen Wechseldatenträger (oder, wenn es damit spezielle Probleme gäbe, auf eine Festplattenpartition) vor. Nun habe ich "Android-x86" zunächst als Echtzeitsystem vom Wechseldatenträger ausprobiert. Ergebnis: Auf dem gewünschten Rechner startet es zwar, die Drahtlosnetzwerkkarte wird erkannt usw., zu den ersten auftretenden Problemen sind über Suchmaschinen funktionierende Lösungen zu finden, aber das Hochfahren dauert mehrere Minuten und auch alles weitere geht so extrem langsam, daß ich schon nach dem Umstellen auf deutsche Tastaturbelegung aufgehört habe und an eine Nutzung nicht zu denken ist. In den Zeiten, in denen nichts weitergeht, scheint keine hohe Prozessorauslastung vorzuliegen.

Kennen Sie sich da aus? Woran kann das liegen? Es verwirrt mich auch, daß im Internetz mehrheitlich von der Nutzung über Emulatoren und virtuelle Maschinen und nur sehr wenig von einer direkten Installation die Rede zu sein scheint.

 

Mit freundlichem Gruß

H.

 

 

P. S.: Bei allem Bestreben, sich seriös und gesittet in der Sprache unseres Landes und dieses Forums auszudrücken, erscheint es mir ratsam, sich für Leser, die zwar anglizismenverfallen, aber einigermaßen gutwillig sind, möglichst ohne Umschweife verständlich auszudrücken. Es mag dieser Spagat nicht immer gelingen.

[Undercover]

vor 4 Minuten von Herr H.:

nachdem ich zur Kenntnis genommen hatte, daß dieses "Android" anscheinend ein Betriebssystem auch für normale Komputer ist, hatte ich eine reguläre Installation auf einen Wechseldatenträger (oder, wenn es damit spezielle Probleme gäbe, auf eine Festplattenpartition) vor. Nun habe ich "Android-x86" zunächst als Echtzeitsystem vom Wechseldatenträger ausprobiert. Ergebnis: Auf dem gewünschten Rechner startet es zwar, die Drahtlosnetzwerkkarte wird erkannt usw., zu den ersten auftretenden Problemen sind über Suchmaschinen funktionierende Lösungen zu finden, aber das Hochfahren dauert mehrere Minuten und auch alles weitere geht so extrem langsam, daß ich schon nach dem Umstellen auf deutsche Tastaturbelegung aufgehört habe und an eine Nutzung nicht zu denken ist. In den Zeiten, in denen nichts weitergeht, scheint keine hohe Prozessorauslastung vorzuliegen.

 

Keine Ahnung warum man so etwas machen sollte.

Auf dem PC benutzt man ein getrennt installiertes und minimales Windows oder Linux.

Entweder in einer eigenen Partition oder einer VM.

Auf einer SSD ist das Windows in < 30 s arbeitsfähig. 

[Herr H.]

Eine direkte Installation von Android - neben einem anderen Betriebssystem, das man für normale Zwecke verwendet - sollte doch viel einfacher, naheliegender, rechenleistungsparender, ... sein, als wenn man über ein anderes Betriebssystem einen Android-Emulator ausführt oder eine virtuelle Maschine nutzt? Bei dem Rechner, um den es geht, wäre letzteres auch gar nicht möglich.

[Gast240408]

Quote

Eine direkte Installation von Android - neben einem anderen Betriebssystem, das man für normale Zwecke verwendet - sollte doch viel einfacher, naheliegender, [...] sein

Und warum sollte es das sein?

 

Wenn man sich schon auf diese Ebene buecken will, dann muss man sich dort auch informiert bewegen wollen. Ein Android hat gewisse Hardwareanforderungen, die Standardhardware wie fuer Win/Linux/etc. nicht aus der Tasche erfuellt. Android-x86 ist ein Versuch(!!!) das durch Portierung zu umgehen. Wie jede Portierung hat das dann seine Teufel (bei weitem nicht nur) im Detail. Wer mit maingestreamter und heissgestrickter Software wie Authentifizierungsanwendungen fuer Banken, die schon so oft genug nur mit Glueck auch auf einem nativen System welches formal alle Anforderungen erfuellt laufen, herumspielen will, der hat natuerlich exquisit hohe Chancen sich in tiefergelegten Treiberproblemen, Konfigurationsdateiorgien oder gar beim Selbstschreiben von Code wiederzufinden. Diese Dinge jetzt hier und das auch noch vorausschauend von anderen Teilnehmern auf Glaskugelebene loesen lassen zu wollen ueberfordert den Sinn dieses Forums doch sehr stark.

[Der Horst]

On 5/3/2022 at 3:29 PM, Herr H. said:

- Wenn ich es richtig verstehe, handelt es sich hierbei um Geräte, die im wesentlichen nur eine Anzeige, eine Bestätigungstaste, ein Programm und Daten enthalten, also nur Dinge, die ein Komputer auch ohne Zusatzgerät bietet bzw. aufnehmen kann. Es scheint kein Eingabeschlitz für eine Bankkarte vorhanden zu sein, keine Kamera, man muß nicht hineinspucken usw., keinerlei Sonderfunktionen. Ist das so? Wozu ist das Gerät dann überhaupt da? Warum wird stattdessen nicht einfach ein Programm zum Herunterladen angeboten?

Ein echter Sicherheitsgewinn ist hierbei schon denkbar, sofern gut umgesetzt. Ich würde es in etwa so designen:

 

Das Gerät (hier: SealOne) braucht einen eigenen Chip mit einem kryptographischem Schlüssel, an dessen privaten Teil man keinesfalls über USB dran kommt. Der öffentliche Schlüssel des Geräts muss bei der Bank hinterlegt werden, damit Signaturen (digitale Unterschriften) des Geräts von der Bank überprüft werden können.

Es werden dann die einzelnen Transaktionsdetails von der Bank übermittelt an das Gerät und dort angezeigt. Sofern der Nutzer die Details der Transaktion bestätigt, signiert das Gerät die Transaktion manipulationssicher mit all ihren Details und übermittelt die Signatur zurück an die Bank.

 

All das ist mit gängigen kryptographischen Primitiven problemlos machbar und wenn technisch gut umgesetzt auch wirklich sicher.

 

Auf der Website von SealOne konnte ich leider gar keine Informationen zur genaueren Umsetzung finden - das ist erstmal ein recht schlechtes Zeichen (Kerckhoffs'sche Prinzip). Anderseits vertrauen mehrere Banken bereits darauf und denken sich hoffentlich etwas dabei, haben sicher mehr Informationen.

[Herr H.]

Werter Herr Myrtle,

 

Sie sagen das so, als ob zu erwarten wäre, daß man es weiß. Ist es das denn?

Jedenfalls danke für die Einordnung. Ich habe festgestellt, daß eine ältere Version von Android-x86 problemlos zu laufen scheint, aber es hat dann ja gar keinen Zweck, es weiter auszuprobieren, wenn jederzeit mit nicht leicht behebbaren Problemen zu rechnen wäre.

Dann frage ich einfach bei der Postbank nach, ob man mir lieber ein kostenloses Gerät zukommen läßt oder ob ich lieber das Depot nicht mehr bzw. nur noch parasitär nutzen soll.

 

 

Werter Herr Horst,

 

vielen Dank für die Einschätzung.

Solche Weiterentwicklungsmöglichkeiten interessieren mich nicht, denn mir wäre ein einfaches Paßwort ohne sogenannten zweiten Faktor sicher genug. Gesetzgeber und Banken scheinen im Grunde genauso zu denken und selbst die Frage, wie sicher ein Paßwort zu sein hat, locker zu nehmen, wie man daran sieht, daß es nach wie vor ein "Telefonbanking"-System gibt, bei dem jeder, der meine Kontonummer kennt, sich durch drei PIN-Rateversuche mit Wahrscheinlichkeit 1:33333 Zugriff auf mein Konto verschaffen kann. Was der ganze andere Kram wirklich soll, erschließt sich mir nicht recht.

 

 

Mit freundlichem Gruß

H.

[Undercover]

Was ist das Problem dabei sich ein billiges Handy für 2FA zu kaufen?

Dann hat man mit der App die Funktionalität die die Banken anbieten.

Und wenn etwas nicht geht kann man deren Support nerven. 

 

 

[Herr H.]

Die Nebenwirkungen, die so ein Gerät hat. Und: Gestern „nur einen billigen TAN-Generator“, heute ein „Seal One“-Gerät oder ein Telefon, was ja beides auch nur ein paarmal so teuer ist, morgen „nur ein billiges neues Telefon“, weil die „App“ eine Betriebssystemversion verlangt, die hörere Hartwareanforderungen stellt, und das alles nur aus einer Laune der Bank heraus.

[bondholder]

vor 2 Stunden von Herr H.:

Gestern „nur einen billigen TAN-Generator“, heute ein „Seal One“-Gerät oder ein Telefon, was ja beides auch nur ein paarmal so teuer ist,

Sind 33,80 Euro ein paarmal so teuer wie ein TAN-Generator?

[PKW]

vor 3 Stunden von bondholder:

Sind 33,80 Euro ein paarmal so teuer wie ein TAN-Generator?

Ja.
Mein TAN-Generator von der VR-Bank hat 10€ gekostet. Mein SealOne haste verlinkt, das paarmal ist hier genau 3,38

[dev]

Ich nutze noch immer Chip-TAN, hab denen geschrieben das ich Geräte direkt am PC oder mit Internetverbindung ablehne, weil ich diese als Softwareentwickler nicht als sicher ansehe.

Falls sie mein Chip-Tan sperren sollten, war ich Kunde.

[Herr H.]

Werte Herren,

 

sollte es für jemand von Interesse sein, kann ich, nachdem ich jüngst die Gelegenheit wahrnahm, dieses Quatschkästchen "Seal One 7300 pro" einigermaßen wohlfeil für 12 Europa zu erwerben, nunmehr sein Funktionieren an einem linuxbetriebenen 32-Biß-Eee-Heimrechner bestätigen. Man muß es als Laufwerk einhängen (Satan ist der Vater der Lüge...) und sodann das auf ihm gespeicherte Programm "SealOne" starten, dann ist es nutzbar.

Nun bleibt abzuwarten, wann die Postbank auch dieses vermeintliche Authentifizierungsverfahren einstellt.

 

Mit freundlichem Gruß

H.

[Datentechnik]

Dieser Faden rund um das SiegelEins ist sehr amüsant.