Moment ... da war doch was ...
Hat man bei HBCI/FinTS nicht schon vor Jahren alle
Verfahren auĂźer Betrieb genommen, wo die HBCI-Transaktion
die PIN von der Tastatur liest und der Einsatz eines
Kartenlesers mit eigener (Zahlen-)Tastatur war zwingend
vorgeschrieben?
FIDO2 ist also so schlecht wie das alte HBCI?
Das ist ja der gleiche Dreck wie bei meiner Bank, die meint,
mein HBCI-Gerät ist ab September nicht mehr sicher genug
und bietet mir im Austausch nur unsicherere Verfahren an,
weil sie es nicht auf die Kette bekommen, HBCI/FinTS schnell
genug umzustellen.
Ist ja schon schlimm genug, dass selbst besser aufgestellte Banken
verlangen, dass man eine andere Chipkarte einsetzt und das
HBCI-Gerät per Firmware-Update (kostenpflichtig, 10 Euro) fit macht
für ChipTAN, wobei das meiner Meinung ein unnötiger Schritt ist,
den das alte HBCI erfĂĽllt schon alle Sicherheitsanforderungen.
Aber offenbar ist das zu alt und unsexy und alle wollen im Urlaub
mit dem Smartphone unsicheres Online-Banking machen.
ZurĂĽck zu FIDO2:
So wie ich das verstehe, kann schon einfache Schadsoftware auf dem
PC über die Geräteschnittstelle mein Sicherheitsmerkmal mitlesen und
dann lustig im Hintergrund per Replay unzählige versteckte Transaktionen
ausführen und damit Schaden anrichten. Tatsächlich stellt nur der
Bestätigungsknopf auf dem Token selber eine genügend große
Sicherheitsschwelle da - besser wäre natürlich eine PIN, wie eben
beim aktuellen HBCI-Verfahren (s.o) und die Anzeige des "Vertragspartners"
auf einem Display. Aber das ist in Zeiten von Unicode ja auch so eine
Sache ...