PostFinance: Der Kartenleser hat ausgedient

Zitat : "Ein Login ist nun überall möglich, sofern man sein Smartphone dabei hat. Ein separates Gerät wird nicht mehr benötigt. Auch ein weiteres Problem hat sich erledigt: Das Gebastel, wenn die «Kästli»-Batterie den Dienst versagt. Seitens PostFinance ist man zufrieden mit der neuen Lösung und berichtet auch von positivem Feedback seitens der Kundschaft., Ein Login ist nun überall möglich, sofern man sein Smartphone dabei hat. Ein separates Gerät wird nicht mehr benötigt. Auch ein weiteres Problem hat sich erledigt: Das Gebastel, wenn die «Kästli»-Batterie den Dienst versagt. Seitens PostFinance ist man zufrieden mit der neuen Lösung und berichtet auch von positivem Feedback seitens der Kundschaft."

Liebe Postfinance, ich wurde nicht gefragt ob ich mit der "Handy" Lösung zurechtkomme. Warum eine Gesichtserkennung? Fingerprint? Mit der Gesichtserkennung habe ich meine Bedenken. Es wäre doch möglich mit einem guten Foto die Erkennung zu überlisten? Fingerprint ist auch so eine Sache, wer hat das auf seinem Handy ? auch hier ist eine Sichere Erkenung nicht immer gegeben. Aber es ist ja heutzutage "IN" vom Handy abhängig zu sein. Ist es das Ziel die Kundschaft vom PC Login auszuschliessen?? Was machen Kunden ohne Handy?? Sicher die 16-35 Jährigen Kunden Jubeln jetzt. Was ist mit den 60-xx Jährigen die Probleme haben eine sichere Handhabung des Handy nicht möglich ist ???? Gibt es einen Fingerprint lesder als Zubehör zum PC ?? Wer ist der Lobyist der die Postfinance beraten hat ?? Hier wird wieder einmal das Gleichstellungsgesetz für Behinderte missachtet. Was mache ich nach dem November? (es steht ja nicht in welchem Jahr!)

Und ich werde bestimmt kein neues Handy kaufen wegen "Fingerprint" und "Gesichtserkennung"!

hat paymaker damit auch ausgedient?

die ebanking software paymaker basiert auf dem Kartenleser - Login. Wie soll Gesichtserkennung und/oder Fingerprint am PC zukünftig funktionieren?

Neues Verfahren

Ich finde das System voll in Ordnung. Alles schon Installiert. Klappt bestens.

Keine Angst und den Artikel ganz lesen.
Das gelbe Kästchen bleibt. Das war ja bisher recht sicher und für PC Anwender am einfachsten.

Wer Zahlungen ausschliesslich auf dem Smartphone macht wird es einfacher, sofern es sich um das allerneuste Handy handelt.

Leben wir in China?

PcTipp scheint noch nie was von der Problematik bezügl. Gesichtserkennung und Fingerprints gehört zu haben. Mich wundert, mit welcher unkritischen Unbedarftheit sich das Blatt immer wieder für fragwürdig Neues einsetzt. DAS SMARTPHONE, der Weihrauchkessel der Digireligiösen, dort das arme gelbe Kästchen, über das man sich lustig macht. Wenn das ausgebootet wird, werde ich meine Konten bei der Post abziehen - auch nächstens das Abo bei der PCTipp kündigen. Es gibt Gescheiteres und Reflektierteres auf dem Markt...

Jurgius schrieb:

PcTipp scheint noch nie was von der Problematik bezügl. Gesichtserkennung und Fingerprints gehört zu haben. Mich wundert, mit welcher unkritischen Unbedarftheit sich das Blatt immer wieder für fragwürdig Neues einsetzt. DAS SMARTPHONE, der Weihrauchkessel der Digireligiösen, dort das arme gelbe Kästchen, über das man sich lustig macht. Wenn das ausgebootet wird, werde ich meine Konten bei der Post abziehen - auch nächstens das Abo bei der PCTipp kündigen. Es gibt Gescheiteres und Reflektierteres auf dem Markt...

Zum Vergrößern anklicken....

Hallo Jurgius

Die Problematik ist uns durchaus bekannt (siehe auch unsere Meldung: https://www.pctipp.ch/news/hardware/artikel/so-unsicher-sind-fingerabdruck-scanner-85915). Hier haben wir aber nur die News von PostFinance vermeldet. Wir sind aber dran, die Sicherheitsproblematik genauer zu prüfen. Bei der PostFinance-App lässt sich übrigens zusätzlich zum Fingerabdruck oder Gesichtsscan (der funktioniert übrigens nur beim iPhone) ein Passwort verwenden. Und die "alten" Methoden funktionieren weiterhin. Uns als unkritisch zu bezeichnen, finde ich ungerecht. Wir versuchen stets alle neuen Technologien auch kritisch zu hinterfragen.

starfish schrieb:

die ebanking software paymaker basiert auf dem Kartenleser - Login. Wie soll Gesichtserkennung und/oder Fingerprint am PC zukünftig funktionieren?

Zum Vergrößern anklicken....

...geht ja weiterhin mit dem dämlichen Kästchen und auch mit Mobile-ID. Ich vermute, dass allenfalls auch noch das Login-Verfahren mit der Postfinance-App gehen wird...

Biometrie hat nichts mit Sicherheit zu tun, nur mit Bequemlichkeit!

Wer also einen bequemen und weniger sicheren Zugang möchte, der Wechselt; die anderen bleiben bei der sicheren chipTAN (Kästli) Version.

weblog schrieb:

Biometrie hat nichts mit Sicherheit zu tun, nur mit Bequemlichkeit!

Wer also einen bequemen und weniger sicheren Zugang möchte, der Wechselt; die anderen bleiben bei der sicheren chipTAN (Kästli) Version.

Zum Vergrößern anklicken....

Wo siehts Du mehr oder wenig Sicherheit? Wenn einer das Kästchen mit Passwort hat, ist es genauso unsicher, wie wenn einer Dein Handy mit Passwort oder Biometrie hat.

Biometrie kann man nicht ändern (ok, eine massive Gesichts-OP).
Passwort, TAN Liste, Bankkarte lässt sich ändern....

Ist der Token deiner Biometrie erst einmal abgefangen, kannst du den wohl neu generieren aber es wird wieder derselbe sein, da sich deine Biometrie ja nicht ändert.

Sorry, aber jetzt wird es abenteuerlich.... Beispiel? Beweise?

Sowieso brauchst Du fürs die Gesichtserkennung auch noch das Handy mit einer gültigen SIM. Wenn mir das geklaut wird, dann kann ich diese SIM sperren lassen und dann hilft Dir Deine SciFi Theorie nicht... Sorry, da gibt es für mich gegenüber den anderen Verfahren keinen Nachteil oder keine grössere Unsicherheit.

https://www.sueddeutsche.de/digital...it-sicherheit-eu-personalausweise-1.4354820-2

Zitat: "..In gewisser Weise seien Passwörter sogar eher zu empfehlen, sagt Johann Heyszl vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC): Sie könnten einfach geändert werden, wenn Hacker sie stehlen und sie durch ein Datenbank-Leck im Netz landen. Biometrische Daten sind dagegen unveränderbar. Sollten sie in die Hände Unbefugter gelangen, ist ihr Missbrauch prinzipiell ein Leben lang möglich. "

Darum meine Aussage:
Biometrie hat nichts mit Sicherheit zu tun, nur mit Bequemlichkeit!

Ich habe geschlossen.

weblog schrieb:

Biometrische Daten sind dagegen unveränderbar.

Zum Vergrößern anklicken....

Das stimmt zwar. Aber es werden keine biometrischen Daten gespeichert – zumindest nicht bei den Apple-Geräten.

Wenn der Finger oder das Gesicht bei der Einrichtung gescannt wird, speichert das Gerät nicht die «richtigen» biometrischen Daten, sondern nur eine mathematische Entsprechung (Hash) – und die kann nicht in die Originaldaten zurück gerechnet werden.

Beim Entsperren mit Face ID oder Touch ID werden einfach das Gesicht oder der Finger erneut gescannt und die Hashwerte verglichen. Völlig ausgeschlossen ist, dass die PostFinance oder ein anderer Dienst den Zugriff auf den Fingerabdruck oder die Gesichtskonturen erhält, denn diese Daten werden in ihrer ursprünglichen Form gar nie gespeichert.

Da die eigentlichen biometrischen Daten also weder im Gerät noch bei Apple gespeichert sind, betrachte ich meine Finger und mein Gesicht als «biometrisch völlig unverbraucht». :D

Vialli schrieb:

Wo siehts Du mehr oder wenig Sicherheit? Wenn einer das Kästchen mit Passwort hat, ist es genauso unsicher, wie wenn einer Dein Handy mit Passwort oder Biometrie hat.

Zum Vergrößern anklicken....

Bei Biometrie ist der Sachverhalt leider deutlich anders. Deinen Fingerabdrücke verteilst Du laufend in der gegend. Und damit lassen sich die meisten Finger-Abdruck Reader mit begrenztem Aufwand überlisten.
Bei der Gesichtserkennung ist es meistens noch viel einfacher. Wobei das IPhone System noch zu den besseren gehört. Aber beides ist im Vergleich zum gelben Kästchen unsicherer.

Gruss Daniel

Klaus Zellweger schrieb:

Das stimmt zwar. Aber es werden keine biometrischen Daten gespeichert – zumindest nicht bei den Apple-Geräten.

Wenn der Finger oder das Gesicht bei der Einrichtung gescannt wird, speichert das Gerät nicht die «richtigen» biometrischen Daten, sondern nur eine mathematische Entsprechung (Hash) – und die kann nicht in die Originaldaten zurück gerechnet werden.

Zum Vergrößern anklicken....

Das ist zwar in der Theorie korrekt, leider hat die Realität da bei Hash-Werten gezeigt, das auch diese sich knacken lassen. Bei Face ID aufgrund der komplexeren Daten mag dies derzeit noch schwierig sein, aber es ist eine Frage der Rechenleistung (Brute Force, usw.).Mangels genauer Infos bei iOS ist das aber ehh nicht einschätzbar.
Bei Face ID kommen aber wohl eher noch einfachere Ansätze zum tragen. Mit dem Fotot alleien wird es nicht gerade klappen, aber schon ein Zwilling scheint da zu gehen. Was nun nicht gerade kritisch ist, da eher selten, aber es zeigt die grundsätzlichen Schwachstellen dieser Variante. Bei Fingerabdrücken ist es hingegen deutlich einfacher. Was wiederum auch öfters mal in Versuchen bewiesen wurde.
Da beides aber nicht änderbar ist.....

Gruss Daniel

Lustige Diskussion...

Letztendlich kannst Du alles knacken mit entsprechendem Aufwand. Du kannst auch mit der Knarre neben mir stehen und alles rausholen, was Du willst...

Im Artikel sind zwei Ungenauigkeiten enthalten:

- "... Das Zubehör darf entsorgt werden (Hinweis: Elektrofachgeschäfte nehmen Geräte zum Teil kostenlos zur Entsorgung entgegen). ...."
Die Post nimmt seit einigen Jahren in ihren Filialen Elektroschrott engegen (https://www.post.ch/de/ueber-uns/un...ltige-angebote?query=Entsorgung+Elektrogeräte). Das gelbe Kästli kann also ohne weiteres zur Entsorgung dort abgegeben werden.

- "... Auch ein weiteres Problem hat sich erledigt: Das Gebastel, wenn die 'Kästli'-Batterie den Dienst versagt. ...."
Das Gebastel ist nicht nötig, Post-Filialen haben normalerweise Ersatzkästli an Lager und tauschen diese aus, wenn man am Schalter ein neues Kästli verlangt.

Nach dem Artikel ist die Abwicklung alleine über das Smartphone alles andere als sicher und das gelbe Kästchen hat nach wie vor seine Daseinsberechtigung
https://www.computerworld.ch/securi...rgaunern-hunderttausende-franken-1733233.html