[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Online-banking via Inet
Moins,
PILCH Hartmut schrieb am 11. April 1998:
> Bei PIN und TAN werden bisher auch keine Mittelmaenner eingeschaltet.
> Uebersendung der TANs in einem durchsichtigen Umschlag genuegt den
> Sicherheitsanforderungen, die Banken an sich selbst stellen.
Darf ich von _un_durchsichtigen Umschlägen ausgehen, ja? :-)
Danke.
> Beim DTAUS-Verfahren akzeptieren die Banken Disketten in Briefumschlaegen
> mit einfacher Unterschrift auf Begleitzettel, die sicher viel leichter
> zu faelschen ist als eine PGP-Signatur.
Korrekt. Wo ist da die Sicherheit? Da gehts ja sogar um
IMHO große Summen, nicht nur den »Kleinkram«, den Otto
Normalbürger macht.
> Wenn nun die Anforderungen auf einmal so erhoeht werden, dass PGP dadurch
> ausgeschlossen wird, ist Misstrauen angebracht. Bei alle Versuche, die
> verschrobenen Gedankengaenge der Banken zu erraten moege man
> dies nicht vergessen.
ACK.
> Das gleiche Prinzip wie bei den TANs, die er im Fensterumschlag erhalten
> hat. Warum nicht stattdessen gedruckte PGP-Verifizierdaten im Umschlag?
Für Ottonormalbürger? Dem würde ich das nicht zutrauen
ehrlich gesagt - er sieht da jede Menge wirrer Zeichen,
unleserlich, mit komischen Sonderzeichen (Was ist §
denn?). Das müsste zumindest anders aufgearbeitet werden...
> Diesen Fehlern koennte ein Mailserver sehr leicht vorbeugen, indem er
> nur korrekt verschluesselte Auftraege annimmt. Ausserdem waeren die
> Auftraege in einer Beschreibungssprache formuliert, deren Syntax
> vom Mailserver geprueft wuerde. Beim DTAUS-Format sind dafuer z.B.
> allerlei Sicherheitsmechanismen eingebaut, so dass Bedienungsfehler sich
> in ungueltiger Syntax auswirken (vgl http://www.a2e.de/phm/toad/).
Wunderbar - übernehmen :-)
> Wenn das noch nicht genuegt, muss die Bank nur eine Buntiklicki-Software
> fuer den GAU (Gefaehrlichsten Anzunehmenden User) hinzufuegen und darauf
> hinweisen, dass die Bank jede Verantwortung fuer Leute ablehnt, dass wer
> den Ausgang aus seiner selbstverschuldeten Unmuendigkeit wagt das Risiko
> selber traegt.
*aua* naja, okay, das müsste sein... aber mit guter
Aufklärung vorher bitteschön...
> Eine ordentliche Kontoverwaltung per Email wuerde einschliessen, dass
> die Bank bei jeder Veraenderung des Kontostandes eine Email sendet.
> Ausserdem koennte ein moderner Mailserver-Befehlsabarbeiter in der Lage
> sein, Konstrukte wie "if (kontostand > x) { auszahlung ... } " zu
> verstehen.
ACK. Vielleicht sowas gleich auch dem Mailreader einbauen
- hmm... ob man mutt sowas beibringen könnte? Thomas? :-)
> Email trudelt ueberdies meist im Hintergrund ein. Wo sie wirklich
> "Online-Gehen" erfordert, geht das mit einem Befehl oder Knopfdruck (UUCP
> oder POP3 aktivieren). Also keine mit SSL-Netscape vergleichbare
> Belastung durch nutzlose Dialoge. Wer unbedingt Dialoge braucht, kann
> die zu Hause mit der Buntiklicki-Software fuehren.
Pop über ssh? Da kann man auch ohne PW verschlüsseln...
naja, eher RSA-Keys die dann verglichen werden halt...
> D.h. nur mit HTML, Javascript und SSL? Jedes Programm, das diese drei
> spezifikationsgetreu anwendet koennte die Arbeit leisten?
Hmm. Wie schnell kriegen wir lynx dazu, mit Javascript zu
arbeiten? :-) Hätte was, mit lynx Bankgeschäfte zu tätigen
:-)))
> > sierten System muesste man das manuell machen, z.B. wenn man einen Tag
> > nach Erteilung eines Auftrages noch keine bestaetigende e-mail erhalten
> > hat.
>
> Warum einen Tag danach? Genuegt nicht eine Minute?
Sagen wir 10, sollte dann reichen.
> Das alles ist schon mit DTAUS/PGP sofort machbar.
> Eine moderne Mailserver-Befehlssprache koennte noch ganz andere
> Moeglichkeiten eroeffnen.
>
> Vielleicht sollten wir fuer dieses Anliegen eine extra Mailingliste
> gruenden und versuchen, die Oeffentlichkeit anzusprechen.
Gute Idee. Auf dem Fitug-Server? (Gert, evtl. Dein Job :-)
> Waere eine Webseite auf www.fitug.de denkbar?
Neko fragen - ich fänds gut.
Ciao, Hanno
--
| Hanno Wagner | Member of the HTML Writers Guild | Rince@IRC |
| pgp-fingerprint: 7D C1 01 72 75 22 01 4F 6F 08 06 49 1B 02 4A A6 |
| 74 a3 53 cc 0b 19 - we did it! | Generation @ |
"Und wenn ich das nächste Woche in einer Signature lese laufe ich
Amok. :-)" (Chris Blum <chris@phil.uni-sb.de> in de.admin.mail)