[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Online-banking via Inet



Moins,

PILCH Hartmut schrieb am 11. April 1998:

> Bei PIN und TAN werden bisher auch keine Mittelmaenner eingeschaltet.
> Uebersendung der TANs in einem durchsichtigen Umschlag genuegt den
> Sicherheitsanforderungen, die Banken an sich selbst stellen. 

Darf ich von _un_durchsichtigen Umschlägen ausgehen, ja? :-)
Danke.

> Beim DTAUS-Verfahren akzeptieren die Banken Disketten in Briefumschlaegen
> mit einfacher Unterschrift auf Begleitzettel, die sicher viel leichter
> zu faelschen ist als eine PGP-Signatur.

Korrekt. Wo ist da die Sicherheit? Da gehts ja sogar um
IMHO große Summen, nicht nur den »Kleinkram«, den Otto
Normalbürger macht.

> Wenn nun die Anforderungen auf einmal so erhoeht werden, dass PGP dadurch
> ausgeschlossen wird, ist Misstrauen angebracht.  Bei alle Versuche, die
> verschrobenen Gedankengaenge der Banken zu erraten moege man
> dies nicht vergessen.

ACK.

> Das gleiche Prinzip wie bei den TANs, die er im Fensterumschlag erhalten
> hat.  Warum nicht stattdessen gedruckte PGP-Verifizierdaten im Umschlag?

Für Ottonormalbürger? Dem würde ich das nicht zutrauen
ehrlich gesagt - er sieht da jede Menge wirrer Zeichen,
unleserlich, mit komischen Sonderzeichen (Was ist §
denn?). Das müsste zumindest anders aufgearbeitet werden...

> Diesen Fehlern koennte ein Mailserver sehr leicht vorbeugen, indem er
> nur korrekt verschluesselte Auftraege annimmt.  Ausserdem waeren die
> Auftraege in einer Beschreibungssprache formuliert, deren Syntax
> vom Mailserver geprueft wuerde.  Beim DTAUS-Format sind dafuer z.B.
> allerlei Sicherheitsmechanismen eingebaut, so dass Bedienungsfehler sich
> in ungueltiger Syntax auswirken (vgl http://www.a2e.de/phm/toad/).

Wunderbar - übernehmen :-)

> Wenn das noch nicht genuegt, muss die Bank nur eine Buntiklicki-Software
> fuer den GAU (Gefaehrlichsten Anzunehmenden User) hinzufuegen und darauf
> hinweisen, dass die Bank jede Verantwortung fuer Leute ablehnt, dass wer
> den Ausgang aus seiner selbstverschuldeten Unmuendigkeit wagt das Risiko
> selber traegt.

*aua* naja, okay, das müsste sein... aber mit guter
Aufklärung vorher bitteschön...

> Eine ordentliche Kontoverwaltung per Email wuerde einschliessen, dass
> die Bank bei jeder Veraenderung des Kontostandes eine Email sendet.
> Ausserdem koennte ein moderner Mailserver-Befehlsabarbeiter in der Lage
> sein, Konstrukte wie "if (kontostand > x) { auszahlung ... } " zu 
> verstehen.

ACK. Vielleicht sowas gleich auch dem Mailreader einbauen
- hmm... ob man mutt sowas beibringen könnte? Thomas? :-)

> Email trudelt ueberdies meist im Hintergrund ein.  Wo sie wirklich
> "Online-Gehen" erfordert, geht das mit einem Befehl oder Knopfdruck (UUCP
> oder POP3 aktivieren).  Also keine mit SSL-Netscape vergleichbare 
> Belastung durch nutzlose Dialoge.  Wer unbedingt Dialoge braucht, kann
> die zu Hause mit der Buntiklicki-Software fuehren. 

Pop über ssh? Da kann man auch ohne PW verschlüsseln...
naja, eher RSA-Keys die dann verglichen werden halt...

> D.h. nur mit HTML, Javascript und SSL?  Jedes Programm, das diese drei
> spezifikationsgetreu anwendet koennte die Arbeit leisten? 

Hmm. Wie schnell kriegen wir lynx dazu, mit Javascript zu
arbeiten? :-) Hätte was, mit lynx Bankgeschäfte zu tätigen
:-)))

> > sierten System muesste man das manuell machen, z.B. wenn man einen Tag
> > nach Erteilung eines Auftrages noch keine bestaetigende e-mail erhalten
> > hat.
>  
> Warum einen Tag danach?  Genuegt nicht eine Minute?  

Sagen wir 10, sollte dann reichen.

> Das alles ist schon mit DTAUS/PGP sofort machbar.
> Eine moderne Mailserver-Befehlssprache koennte noch ganz andere
> Moeglichkeiten eroeffnen. 
> 
> Vielleicht sollten wir fuer dieses Anliegen eine extra Mailingliste
> gruenden und versuchen, die Oeffentlichkeit anzusprechen.

Gute Idee. Auf dem Fitug-Server? (Gert, evtl. Dein Job :-)

> Waere eine Webseite auf www.fitug.de denkbar?

Neko fragen - ich fänds gut.

Ciao, Hanno
-- 
|  Hanno Wagner  | Member of the HTML Writers Guild  | Rince@IRC      |
| pgp-fingerprint: 7D C1 01 72 75 22 01 4F  6F 08 06 49 1B 02 4A A6   |
| 74 a3 53 cc 0b 19 - we did it!          |    Generation @           |
"Und wenn ich das nächste Woche in einer Signature lese laufe ich
Amok. :-)"   (Chris Blum <chris@phil.uni-sb.de> in de.admin.mail)