Tag Archives: sicherheit

Bank X, Commerzbank und HBCI mit Chipkarte

Share

Meine Bank (Commerzbank) löst das iTAN Verfahren für Banking-Software ab – deshalb habe ich mir über die Bank (d.h. mit Rabatt) einen Reiner SCT Secoder 1 mit eigenem Key-Pad bestellt. Die Zusammenarbei mit meinem Bank X (ich nutze ja Mac OS X) war allerdings etwas holperig.

  • Starten des Assistenten HBCI Zugang einrichten in Bank X
  • Auswahl HBCI mit Chipkarte
  • bei der PIN-Eingabe kam allerdings ein unbekannter Fehler.
    Da der Assistent zwei Möglichkeiten anbietet 1) PIN Eingabe am Rechner und 2) PIN Eingabe am Kartenleser habe ich einfach mal die erste Variante probiert: siehe da, es geht
  • man wird aufgefordert die PIN zu ändern (die Karte kommt mit einer initialen TransportPIN, die dann erstmal in eine richtige PIN geändert werden muss)
    Goodie: natürlich wird im Schreiben der Bank darauf hingewiesen, dass man auf KEINEN Fall die PIN am Rechner eingeben soll, sondern immer am KeyPad des Kartenlesers
  • dann weiter im Assistenten: Fehlermeldung: Schreiben der Bankverbindung schlug fehl
    Lösung: einfach den Assistenten nochmal starten
  • jetzt geht übrigens auch die Eingabe am KeyPad – der Fehler scheint also nur bei der TransportPIN aufzutreten
  • beim Einrichten wird dann Schlüssel der Bank angezeigt
    mit dem schönen Hinweis, dass wenn die nicht übereinstimmen, man den Vorgang lieber abbrechen sollte (aus Sicherheitsgründen)
    Leider hat es die Commerzbank nicht für nötig gehalten, mir Ihren Schlüssel mitzuteilen…
Share

Security – Passwörter

Share

Aus gegebenem Anlaß (Hotmail-Konten ausgespäht, 20,000+ Gmail, Yahoo, AOL Accounts Compromised) ein paar Notizen zum Thema Passwörter:

  • Niemals ein Passwort für mehrere (Web)Applikationen verwenden
  • Für Passwörter von (Web)Applikationen die ich selten benötige, lasse ich mir von meinem Passwortmanager komplexe Passwörter erzeugen.
  • Für Passwörter die ich oft benötige: Geheimes Wort + Kürzel für die WebSite
    Fiktives Beispiel:
    Geheimes Wort = Apfelkuchen
    1) ersetzen von Buchstaben mit Sonderzeichen => Apf3!kuch3n
    2) Kürzel für WebSite: Yahoo! => Yao!
    3) Passwort für WebSite: Apf3!Yao!kuch3n
  • Empfehlenswerte Passwortmanager:
    1Password – kostenpflichtig, Mac + IPhone
    KeePassX – frei, Mac + Windows + Linux
    KeePass – frei, Windows + Mono
Share

Google Wave und das BSI

Share

Crosspost: ursprünglich gepostet auf dem WaveTank: Google Wave und das BSI

Vielen Dank für die vielen Hinweise unserer Leser an die aktuellen Headlines zum BSI-Sicherheitsbericht.

Viele Medien haben sich aus dem Sicherheitsbericht Google Wave herausgepickt, was natürlich für die Aufmerksamkeit spricht, die Wave hat.
Schade nur, dass es dadurch etwas arg plakativ rüberkommt.
Headlines wie

  • “Bundesamt warnt vor Google Wave und Mail” (Welt.de)
  • “BSI rät von Google Wave ab” (heise.de)
  • “BSI: Finger weg von Google Wave” (Golem.de)

sind schon etwas übertrieben dargestellt.

Vom Prinzip her ist die Kritik des BSI und der Datenschützer auf die Datenhaltung gezielt: die Daten liegen auf US-Servern.
Das BSI rät generell davon ab, irgendwelche Web-Dienste zu nutzen, deren Daten auf US-Servern gespeichert werden. Google wird immer gerne als Beispiel genommen, da es nun mal sehr bekannt ist (so mancher weist auch gerne darauf hin, dass zwischen dem BSI und Microsoft gewisse Verbindungen bestehen sollen -> dazu will ich aber nichts sagen, da kenne ich mich nicht aus)

Schade für Wave im besonderen, da die OpenSource-Bestrebungen von Google ja gerade darauf abzielen sollen, dass man sich eigene Wave-Server aufsetzen kann.
Das BSI weist auch extra darauf hin: “Sollte zukünftig eine verteilte, gesicherte und kontrollierbare Datenhaltung mit Google Wave möglich sein, muss diese Bewertung neu vorgenommen werden.”

Freue mich über weitere Kommentare Eurerseits zu dem Thema.

Update: Stellungnahme von Google zur Kritik von BSI auf heise.de

Share