So, habe jetzt doch noch ein altes Pföhnchen mit gleichem SIM-Format gefunden und tatsächlich, bei deaktivierter Pin läuft sie dort auch ohne Pin-Eingabe.
Verschlüsselung habe ich jetzt auch an: Hura! Jetzt darf ich drei Pins tippen, bis es mal losgeht! Nach nur noch ca. zwei Min. und einem Zwischenstop für Entschlüsselungspin nach ca 3/4 Min. Das nenne ich mal echt geile Technik!
da die alte Karte nach dem Kartenwechsel auch nicht mehr weiter läuft, ist die Karte eben Teil des Systems. Diese gibt es eben nur einmal und damit ist die Sicherheit hoch.
???
die Chip-Tan Geräte fungieren doch nur als Medium. Wir verwenden den gleichen "Chip-Tan Leser" für mehrere Konten bei der gleichen Bank. Beim Initialisieren musste der Leser aber pro Karte und Konto extra gepairt werden.
Schon klar. Aber wenn es mit Smartphone ohne Girocard geht, warum dann prinzipiell nicht auch mit einem anderen Stück dezidierter Hardware, nur für diesen Zweck?
So, das mit der SIM-Pin kann ich erst mal nicht testen, da meine verfügbaren älteren Geräte alle noch ein größeres Format benötigen. Also tippe ich halt zwei Pins.
Die DKB TAN2Go kommt nicht ohne Inet klar. Nach Start verlangt sie nach dem zwingenden Passwort und fordert dann explizit WLAN- oder mobilen Datenzugang. Ansonsten soll ich mich an meine Sparkasse wenden!? Comdirect photoTAN geht zunächst mal ohne.
Was ein sch...
Genau. Meine jedenfalls.
Die Geräte, die man statt dessen kaufen kann, brauchen ja auch kein Netz.
PhotoTAN klingt doch gut: einmal WLAN, um die App zu installieren (und dann ggf., wenn es mal ein Update gibt). Ansonsten sollte weder Internet- noch Telefonverbindung nötig sein, geht also komplett ohne SIM-Karte.
Und es scheint auch eigene Geräte dafür zu geben, dann erübrigt sich die Frage vollkommen...
Ne, aber in die extra Gerätschaften muss man meines Wissens immer die Girocard der jeweiligen Bank stecken (die ich jetzt teilweise erst mal nachordern und dann auch irgendwie sicher verwaren müsste). Gibt es auch welche, die ohne Girocard funktionieren? Gar noch für meine Banken?
Ich verstehe auch nicht, warum jede Bank ihre eigenen Verfahren anbietet...
Egal, ich teste heute Nachmittag noch das mit der SIM-Pin und ob die Foto-TAN-Apps auch ohne Inet rennen. Ggf. tippe ich dann halt zwei Pins und stelle ausser für nötige Updates/Installationen die Inet-Verbindung ab. Mit dem Restrisiko muss ich dann halt leben.
Wobei ich grad mal wieder Warnungen vor "feindlichen Übernahmen" von Handynummern (SIM-Swapping) gelesen hab.
Das bedeutet, daß jemand die Authentifizierung durch bösartige Apps, Social Engineering, MITM-Proxies etc. überlistet und mit den geklauten Credentials beim Provider eine Ersatz-SIM mit derselben Nummer beantragt.
Ein Unding, dass das überhaupt möglich ist. Ersatz-SIM nur gegen Vorlage des Perso oder max. Versand an registrierte Adresse und gut!
Wenn schon umsteigen dann hätte ich halt was genommen für das man aktuell noch Updates bekommt. Was von Wiko zum Beispiel.
Wie lange? Max. wieder zwei Jahre?
TAN-Generator-App: kenne ich nicht
In meinem Fall Foto-TAN...
https://www.heise.de/tipps-tri…rn-so-geht-s-3988965.html
"Ein Android-Gerät verfügt über zwei PINs: Die Geräte-interne PIN, mit der Sie Ihr Smartphone oder Tablet entsperren, und die PIN der SIM-Karte."
Ich benutze sogar ein Android 5 nur für die Foto-TAN. Ohne SIM, ohne WLAN.
Ohne Netz können auch keine Daten irgendwo hin gehen.
Ja, offenbar, aber die könnte man auch in einem Abwasch behandeln - oder?
Die Foto-TAN-Apps funktionieren (nach Installation) ohne SIM und Inet-Verbindung????
Auf meinem S3 liess sich die DKB gar nicht erst installieren...
Ich würde komplett vermeiden die TAN auf einem Smartphone zu erstellen. Unterstützt deine Bank Chip-TAN?
RVB, Comdirect, DKB, UBS...Wobei ich im Alltag bisher nur die Girocard der RVB bzw. die Visa der Comdirect benutze und alle anderen Karten sofort entsorge. D.h. ich müsste dann erst mal die Girocards nachordern. Ja und dann eben diese wieder irgendwie sicher verwalten, insbesondere, wenn ich unterwegs bin.
Dazu scheinen mir nicht alle Banken die gleiche Chip-TAN-Hadware bzw. Verfahren zu unterstützen. Uff....
Der PIN-Code selbst bleibt natürlich erhalten - der ist ja auch auf der Karte gespeichert.
Aber ob die Karte beim Verwenden (zB in einem anderen Handy) den PIN-Code abfragt, ist Einstellungssache
und müsste AUS bleiben, wenn du das auf (d)einem Handy ausschaltest.
Ich werde das scherzeshalber mal ausprobieren, aber ich fürchte, du hast recht.
Damit gibt es dann tatsächlich keine Möglichkeit sein Gerät mit nur einer Pin zu entriegeln? Mir fehlen echt die Worte...
Mensch, das Teil benutze ich nur selten zum telefonieren (Auto), zum syncen des Harmony Hub und nun noch als TAN-Generator. Nix surfen, Mail, WhatsApp, Google-Konto etc. Wenn das Ding geknackt wird dann in physischem Besitz. Daher die Frage, ob man einfach so am Sperrbildschirm vorbeikommt, wenn da ein ordendliches Passwort drauf ist.
Wenn ich die SIM-Pin wieder aktivieren will brauche ich dazu (genau) die (deaktivierte) Pin. Daraus schließe ich jetzt mal, dass die Pin beim deaktivieren drauf bleibt.
Übrigens bin ich gerade erst vom S3 umgestiegen, nur wegen der TAN-Geschichten. Das fällt komplett flach, dass ich mir alle zwei Jahre so ein Teil neu zulege. Habe ich neulich mal so ein paar FfF-Aktivisten reingedrückt, die munter ihre nagelneu gefönten Eier zur schau stellten. Da gehört endlich mal eine gesetzliche Gewährleistung von 10 Jahren auf solche Teile (incl. Updates und pipapo), dann lege für sowas auch zwei Mille + auf den Tisch.
Ich bin immer noch weitgehender Smartphone-Muffel, aber doch immer mehr dazu genötigt, jetzt u.a. durch Foto-TAN. Konkret geht es um mein Samsung S5 mini (Android 6). Reicht da der Sperrbildschirm mit solider PIN, damit da kein Normalo an die internen Daten kommt? Für Verschlüsselung hat dieses betagte Gerät wohl etwas zu wenig Power.
Daneben interessiert mich noch, ob die SIM-Pin, die ich deaktiviert habe, noch auf der SIM-Karte ist, oder nicht. Das geht aus dem Menüpunkt nicht hervor. Also wenn die SIM entnommen und in ein anderes Phone gesteckt wird, sollte die Pin schon noch wirken...
Alles anzeigenHauptunterschied mit den Schlüsseln auf dem USB-Stick:
Wenn die Platte mal den Geist aufgibt, ist sie verschlüsselt und die Schlüssel dazu sind extern, also nicht auf der Platte. D.h. wenn jemand die aus dem Müll holt, kann er nichts damit anfangen. Man kann sie also gefahrlos entsorgen.
Das ist auch der Hauptanwendungszweck für ein TPM. Es geht nicht darum, dass die Platten geschützt sind, wenn jemand den ganzen Rechner klaut, sondern dass man die Platten bei einem Wechsel ohne große Mühe entsorgen kann.
Der USB-Stick ist in diesem Fall eine Art günstiger TPM-Ersatz.
Naja, da hilft im Zweifelsfall auch absolut zuverlässig die Hammermethode. Ich rede hier von Otto-Normalverbraucher, für den ein NAS wie meines ja wohl primär gedacht ist. Da sollte die Sicherheit soweit als möglich ootb vorhanden sein, ohne kniefizlige Zusatzorgien. Nebenbei verringert Komplexität neben der Zuverlässigkeit auch die Sicherheit.
Wie es ohne Zusatzbrimborium prinzipiell ginge habe ich ja schon geschrieben: Schlüssel über Hashes (+ Salt (+ Pepper)) der Passworte verschlüsselt ablegen. Dann noch über (Default) Passwortregeln sichere Passworte erzwingen. Fertig!
Aber ist halt nicht so. Ich packe mein NAS jetzt entweder mit hinter die Kaminklappe in den Kaminschacht, den ich ohnehin für die Steigleitungen nutze, oder hänge einen Stick via USB im Nachbarraum daran. Da liegt noch eine USB-Verlängerung aus Zeiten, wo ich meine Heizungsanlage via USB-Karte und i386-Desktop aus dem Nachbarraum gesteuert habe...
Ich hätte übrigens auch noch ne FritzBox oder nen Raspbery (primär für FHEM bzw. Heizungssteuerung und Hausautomatisierung) als Schlüsselplatform zu bieten...
Wenn Du einen USB Stick als Speicher für den Schlüsselmanager definierst ist zumindest eine Anforderung erfüllt. Die Keys liegen nicht mehr intern auf der Synology.
Folgendes grobes Vorgehen:
...
Ehlich gesagt: Ich versteh kein Wort. Wo ist der Unterschied, ob die Schlüssel nun auf dem USB-Stick liegen oder der Platte, wenn ich bzw. der Dieb beides haben?
Mein NAS dient nur zur Bereitstellung von Shares, u.a. um unsere Bilder auf mehrere Laptops zu synchronisieren. Terminalzugriffe, aus dem Internet u.ä. sollte nicht möglich sein. Aber bei meiner Blickung….
...also back to the roots...
Daher als Rechnerschlüssel anlegen, diese funktionieren nur auf Deiner spezifischen Synology, dann auf einem USB Stick ablegen. Selbst wenn Du den Stick nun immer drin und vom Schlüsselmanager automatisch un-mounten lässt, muss jemand erstmal noch über Deine sicheren Zugangspasswörter zur Synology reinkommen.
Das wäre jetzt eine Variante, wo das NAS ohne weiteres Zutun nach einem reboot (autoupdate, Stromausfall) wieder mit entschlüsselten Ordnern hochkommt und ein Dritter dennoch nur über reguläre Accounts (Passwörter) an die Daten kommt?
Der Support von Synology sagt tatsächlich, dass die Verschlüsselung ohne weiter Maßnahmen nichts bringt. Mit fehlen die Worte...
Wenn ich den Schlüssel nehme und z.B. per xor mit einem Passwort falte und dann speichere, kann ich den Schlüssel dann daraus ohne das Passwort wiederherstellen (mit nochmal xor)? Und kann ich das prinzipiell für alle Schlüssel / Passworte (Accounts) des NAS tun? Ich sage ja nicht, dass es so gemacht wird. Nur das es möglich ist auf diese oder ähnliche Weise die Schlüssel so sicher direkt auf der Platte abzulegen, wie die Passworte sind. Vielleich haben die Dinger aber auch ein Stück spezielle Hardware dafür, dass Account bzw. Passwort - Schlüsselpaare annimmt und die Schlüssel nur gegen Passwort wieder herausgibt. Oder wer weiß was sonst.
Mal sehen, ob sich der Support von Synology zu dem Thema bei mir noch rührt.
