Passwort von Onlinebroker per Email...
hmm
Passwort von Onlinebroker per Email...
hmm
Rolf b
Auge
JuliusHi Leute,
ich hatte ja wie hier im Forum schon geschrieben, eine Hausaufgabe in der ich mit Node.js und Express einen EMail Client geschrieben habe. Diesen EMail Client konnte html angefügt werden und wahrscheinlich auch javascript.
Ich studiere im Master Mathe mit Vertiefung in Finanzmathe, wenn ich die Sachen aus der Vorlesung real anwenden möchte muss ich bei einem Broker der Optionen anbietet ein Depot eröffnen, was 4k-20k Mindesteinzahlung voraussetzt. Ich weiß dass mir das Passwort bei mindestens einem dieser Brokern per EMail zugesant werden kann.
Als ich heut morgen unter der Dusche stand, fiel mir folgendes wie Schuppen von den Augen:
Kann es sein, dass irgend ein Hanswurst einen EMail Client programmiert, der mir eine EMail zuschickt, welche bei Öffnen ein JavaScript ausführt, welches mir meine meine Daten aus dem EMail Postfach saugt und an einen externen Server schickt? So dass mein EMail Postfach genau genommen eine Sicherheit von 0,0% hat? Dann kann ich mir Onlinebanking, Pin hin oder her, wahrscheinlich auch sonst wo hinstecken? WaleWaleWale.... und wenns Bargeld abgeschafft wird, ist granz große Scheiße... WaleWaleWaleWale....
-
Wie sicher ist Email? Wie schlank ist Reiner Calmund? Wie demokratisch ist <Despot deiner Wahl>? Fragen über Fragen...
Zuschicken von Passworten per Bote "Emil" ist kein guter Service. Normalerweise legt man beim Registrieren ein Passwort fest und kann sich eine Mail schicken lassen, um es zurückzusetzen.
Ein Mailräuberscript muss zum einen passend auf deinen Client programmiert sein. Und es muss in dem Moment aktiv werden, wo Du die Reset-Mail bekommst. Deswegen solltest Du solche Mails nicht lange im Postfach rumliegen lassen, sondern sofort nach Bestellung nutzen.
Es hilft aber auf jeden Fall, einen Mailclient zu verwenden, mit dem Du aktive Inhalte in Mails sperren kannst.
Im Falle von Webseiten, die Geld bewegen, ist aber eine höhere Sicherheit zu verlangen. Ich würde erwarten, dass dort jede wichtige Transaktion (Passwort ändern, Geld bewegen) durch ein Token gesichert ist. Das kann z.B. eine Kontroll-SMS auf dein Handy sein mit einer Transaktions-PIN - siehe Mobile TAN im Internet Banking. Oder ein RSA-Token, dass alle 30s eine neue kryptographische Zufallszahl erzeugt. Oder ein HBCI-Terminal. Aber nie nie nie nur ein Passwort beim Anmelden. Einen solchen Broker würde ich meiden.
Wenn Du Intraday-Trading machst, wo ggf. sekundengenaue Reaktionen nötig sind, mag das zu langsam sein. Wie man das dann so absichert, dass MiM Attacken erschwert werden, weiß ich nicht so genau. Vielleicht eine Remote-Desktop Session auf einen Terminalserver des Brokers? Das dürfte aber nicht der Standard-Anwendungfalls von Internet-Brokern sein.
Rolf
-
Wenn Du Intraday-Trading machst, wo ggf. sekundengenaue Reaktionen nötig sind, mag das zu langsam sein. Wie man das dann so absichert, dass MiM Attacken erschwert werden, weiß ich nicht so genau. Vielleicht eine Remote-Desktop Session auf einen Terminalserver des Brokers? Das dürfte aber nicht der Standard-Anwendungfalls von Internet-Brokern sein.
ich hab mir in meiner bachelorarbeit die traderworkstation von lynx angeschaut, die protfolios die ich handle bestehn nur aus großen etf's und werden von mir mindestens einen monat lang gehalten, i.d.r. aber länger (weil die transaktionskosten für etfs ordentlich hoch sind). daytrading deckt sich nicht mit meinen vorlesungen und wird daher von mir gemieden (ich glaub auch nicht dran). ich sprech die traderworkstation aktuell auf meinem server über die java api an, da muss das passwort bei jeder transaktion manuell eingegeben werden, was auch ok ist. man java code kümmert sich um die analysen und ums datensammeln.
mich stört, dass ich mir nicht sicher sein kann, dass mein online-broker-account nicht durch irgend einen trick geknackt werden kann. ich habe eigendlich vor mein erspartes über mehrere jahre und jahrzente bei einem broker anzulegen und dort in quasi sichere anlagen zu investieren (etf-portfolio plus sichere anlagen können so kombiniert werden, dass man nicht mehr als die erträge der sicheren anlagen verliert)
-
-
Hallo
Kann es sein, dass irgend ein Hanswurst einen EMail Client programmiert, der mir eine EMail zuschickt,
Dazu braucht man keinen Emailclient, ein Skript reicht aus.
welche bei Öffnen ein JavaScript ausführt,
Ob in deinem Emailclient JavaScript ausgeführt wird, liegt allein in deiner Hand. Im Allgemeinen möchte man das nicht.
welches mir meine meine Daten aus dem EMail Postfach saugt und an einen externen Server schickt?
JS läuft in einer Sandbox für das aktuelle Dokument (hier, wenn erlaubt, eine HTML-Email). Ein Skript sollte, ausnehmlich ausgenutzter Bugs des laufenden Programms, nicht aus diesem Kontext ausbrechen können.
So dass mein EMail Postfach genau genommen eine Sicherheit von 0,0% hat?
Email hatte per se nie eine höhere Sicherheit als 0. Um das Medium sicher(er) zu machen, bedarf es des Einsatzes weiterer Techniken wie Transportverschlüsselung und Inhaltsverschlüsselung. Wenn dann eine Email mit verschlüsseltem Inhalt ungeöffnet auf deinem Rechner liegt, könte es zwar sein, dass sie abgegriffen wird, solange aber die Verschlüsselungsmethode nicht gebrochen ist, ist der Inhalt der Email ohne die Kenntnis des Schlüssels unlesbar.
Tschö, Auge
--
Wenn man ausreichende Vorsichtsmaßnahmen trifft, muss man keine Vorsichtsmaßnahmen mehr treffen.
Toller Dampf voraus von Terry Pratchett-
Email hatte per se nie eine höhere Sicherheit als 0. Um das Medium sicher(er) zu machen, bedarf es des Einsatzes weiterer Techniken wie Transportverschlüsselung und Inhaltsverschlüsselung. Wenn dann eine Email mit verschlüsseltem Inhalt ungeöffnet auf deinem Rechner liegt, könte es zwar sein, dass sie abgegriffen wird, solange aber die Verschlüsselungsmethode nicht gebrochen ist, ist der Inhalt der Email ohne die Kenntnis des Schlüssels unlesbar.
also alles unsicher, auch wenn ichs sicherer machen würde, könnte es trotzdem sein, dass jemand das teil knackt. ich hab auch das gefühl, dass systeme die einen sms tan verschicken nicht unbedingt unknackbarer sind.
was wären den einfache verfahren um die email sicherheit etwas zu erhöhen? ich hab in meinem postfach eine ganze menge passworter in einem seperaten ordner angelegt, die kann ich jetzt wohl alles löschen...
-
Hallo
Email hatte per se nie eine höhere Sicherheit als 0.
also alles unsicher, auch wenn ichs sicherer machen würde, könnte es trotzdem sein, dass jemand das teil knackt.
Ja, davon muss man immer ausgehen.
ich hab auch das gefühl, dass systeme die einen sms tan verschicken nicht unbedingt unknackbarer sind.
Nichts ist auf Dauer unknackbar. Selbst dann, wenn etwas heute als unknackbar gilt, ist es unwahrscheinlich, dass es so bleibt.
was wären den einfache verfahren um die email sicherheit etwas zu erhöhen? ich hab in meinem postfach eine ganze menge passworter in einem seperaten ordner angelegt, die kann ich jetzt wohl alles löschen...
Wieso liegen die Zugangsdaten dauerhaft im Postfach? Vielleicht gar in einem per IMAP angesprochenen Postfach, in dem die Daten auf einem fremden Server verbleiben?
Nutze stattdessen einen Passwortmanager, der deine Zugangsdaten verschlüsselt im Dateisystem ablegt und lösche die Emails. KeePass gilt, soweit ich gelesen habe, als ein (aktuell) sicherer Passwortmanager für Windows. KeePass gibt es auch in an andere Betriebssysteme angepasste Versionen.
Tschö, Auge
--
Wenn man ausreichende Vorsichtsmaßnahmen trifft, muss man keine Vorsichtsmaßnahmen mehr treffen.
Toller Dampf voraus von Terry Pratchett -
Hallo hmm,
also alles unsicher, auch wenn ichs sicherer machen würde, könnte es trotzdem sein, dass jemand das teil knackt.
Das kann bei allen Systemen passieren. Du kannst nur mit geeigneten Maßnahmen die Wahrscheinlichkeit senken, mit der das eintritt.
ich hab auch das gefühl, dass systeme die einen sms tan verschicken nicht unbedingt unknackbarer sind.
Ja, mTAN-Systeme sind nicht sicher.
was wären den einfache verfahren um die email sicherheit etwas zu erhöhen?
Was willst du denn absichern? Die Zwei-Faktor-Authentifizierung oder deine E-Mails?
Im ersteren Fall sollte der Token (10 Minuten) nur begrenzt und nur einmal einsetzbar sein. Außerdem sollten Passwörter vom Nutzer bei Registrierung in ein verschlüsselt erreichbares Webinterface eingetragen werden und ihm nicht per Mail zugeschickt werden.
Im anderen Fall: E-Mails mit GPG oder S/MIME verschlüsseln. Viel Spaß wünsche ich dir dabei, deine Kommunikationspartner zu überzeugen, mit dir verschlüsselt zu kommunizieren...
ich hab in meinem postfach eine ganze menge passworter in einem seperaten ordner angelegt, die kann ich jetzt wohl alles löschen...
Schlechte Idee! – Neue Passwörter ausdenken oder (besser) generieren lassen, in einen Passwort-Manager (mit Master-Passwort!) deiner Wahl einpflegen und dann aus dem E-Mail-Account löschen.
Gruß
Julius
P.S.: Bei deiner Schreibweise kriege ich Kopfschmerzen.
-
-