AW: [gnucash-de] PIN/TAN möglich

Martin Preuss martin at libchipcard.de
Die Nov 23 05:03:44 EST 2004


Moin,

On Tuesday 23 November 2004 09:00, Dittmann Werner wrote:

hier geht es zum Teil um den Wizard und Interna von AqHBCI, daher antworte 
ich als dessen Autor mal drauf:

[...]
> - Der Wizard fragt nach einer Schluesseldatei, sowas ist im PIN/TAN
>   nicht vorgesehen, etwas verwirrend (ist aber wohl eher ein
>   Schoenheitsfehler der GUI etc.)
Das ist noch die alte Version, da war noch vorgesehen, dass TANs vom
Sicherheitsmedium in einer verschluesselten gespeichert werden. Und dazu
reicht eine vierstellige PIN nicht aus, die waere in ein paar Minuten
geknackt.

Inzwischen gibt es aber ein neues PIN/TAN-Medium, und hier braucht man nur
doch die einfache PIN (hier wird nun auch keine Datei mehr angelegt).

> - Einige Felder beim Benutzeranlegen (Kundenkennung?) werden bei
>   PIN/TAN abgefragt - es gibt hierfuer bei dem Verfahren keine
>   Info seitens der Bank (eines der Felder ist optional, es wird
>   aber gewarnt wenn es nicht ausgefuellt wird).
Muss es aber: Auch bei PIN/TAN braucht man eine Benutzerkennung, und eventuell
sogar auch eine Kundenkennung. Intern geht das sogar noch weiter, man braucht
sogar eine Systemkennung (wird aber von AqHBCI intern erledigt).

> - Es wird, ziemlich zu Anfang ein Passwort abgefragt (mindestens
>   4 stellig, nur numerisch). Es ist nicht klar wozu dies bei PIN/TAN
>   dient.
siehe oben.

> - Eine Passwortabfrage erscheint auch bevor eine Aktion zur Bank
>   initiiert wird (auch hier nur numerisch?). Nach Auswertung der
Ja, das war hier aktuell die PIN. Wie gesagt, in der aktuellen CVS-Version von
AqHBCI und seinem Wizard wird nur noch diese benoetigt.

[...]
> - Die Angabe des PIN/TAN Servers (Servername) muss _ohne_
>   vorangestelltes "https://" erfolgen.
Da soll der Wizard in Zukunft etwas schlauer werden und das bei Bedarf selber
rausschneiden.

> - Es erfolgt eine lAengliche ErklAerung bei "=DCberpruefung des
>   Serverzertifikates". Obwohl diese bei mir fehlschlaegt (im Log
>   steht irgendwas von "Fehler auf Transportebene" oder so Aehnlich)
>   kann eine HBCI PIN/TAN Abfrage zur Bank gestartet werden. Hier
>   wuerde ich mir gerne einen Hinweis wuenschen, ob es denn dann
>   trotzdem sicher ist - eine https Verbindung zum Server wird ja
>   aufgebaut, sonst wuerde der Server ueberhaput nicht reagieren, nehme
>   ich an. Mein Server (bin bei der Sparkasse) ist:
>   https://hbci.izb-hb.de/pintan/PinTanServlet/
>   Im Log wird auch etwas von "untrusted certificate" gemurmelt, welches
>   ignoriert wird ... da beschleicht mich doch ein ungutes Gefuehl :-).
Stimmt, ich konnte das bisher nur noch nicht testen, weil ich noch kein
ungueltiges Zertifikat bekommen hatte... aber ich werde mal die angegebene
Adresse probieren.


Gruss
Martin

-- 
"Things are only impossible until they're not"

LibChipcard - http://www.libchipcard.de/
AqBanking - http://www.aquamaniac.de/aqbanking/
OpenHBCI - http://www.openhbci.de/
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : http://lists.gnucash.org/pipermail/gnucash-de/attachments/20041123/56391ed4/attachment.bin