-->Hallo Tassie,

gemeint ist das Passwort bei LGE, angewendet auf E-Gold Kontonummer.

Das Login-Fenster von E-Gold ist SSL, das Fenster von LGE ist es nicht.

Was ich bei E-Gold eingebe, sieht er also nicht.

Das im LGE-Browser auf der Festplatte gespeicherte Passwort versucht er auf mein E-Gold Konto anzuwenden, klar. Aber wie stellt er die Verbindung her?

Manchmal ist das Passwort im LGE-Browser gespeichert, manchmal nicht. Die Meldung vom PC, dass das neue Passwort für LGE sei zu lang für den Speicher sei, erscheint auch nicht mehr.

Kann es jetzt sein, dass der Hacker ( wahrscheinlich intern bei E-Gold) einfach nur sieht, dass zu einem bestimmten Zeitpunkt sich gerade überhaupt jemand bei ihnen einloggen will, oder es laut Liste getan hat, wenn der Hacker Archive verwaltet? Er sieht zwar nicht in mein Login-Fenster in meinem PC, schaut aber einfach bei sich im Rechner in eine Liste, zu der er Zugang hat, mit wem man gerade in Kontakt ist, oder war. So kommt er an die Kontonummer, meine E-Mail-Adresse sieht wohl auch. Das Passwort kennt er noch nicht.

Dann konsultiert er seine Trojaner, wo immer er sie loziert hat, auch in meinem PC und prüft, ob dort ein abgelegtes Passwort ist, mit dem er etwas anfangen könnte, welches sich aber auf LGE bezieht und versucht die Anwendung auf E-Gold. Und siehe da, es klappt, weil die Passwörter identisch sind.

Nebenbei bemerkt wurden im Browser von LGE (http und kein https) immer nur Passwörter gespeichert, aber keine Benutzernamen. Das Passwort erschien stets nach dem Tippen des Benutzernamens.

Ich habe übrigens auch gerade bei E-Gold angefragt, wie oft ich seit dem 20.9.2003 im Konto meiner Schwiegermutter war und wann genau.

Ich denke mal, die Liste der Logins ist vom Kontoauszug getrennt. Jemand kann vielleicht in den Excel-Dateien der Auszüge herumschreiben, ohne die Listen der Logins darauf abzustimmen, oder es sogar vergisst. Vielleicht ergibt sich hier schon ein Widerspruch?

Was meinst Du?

Schönes Wochenende,

Theo

-->>Hallo Tassie,
>gemeint ist das Passwort bei LGE, angewendet auf E-Gold Kontonummer.
>Das Login-Fenster von E-Gold ist SSL, das Fenster von LGE ist es nicht.
>Was ich bei E-Gold eingebe, sieht er also nicht.
>Das im LGE-Browser auf der Festplatte gespeicherte Passwort versucht er auf mein E-Gold Konto anzuwenden, klar. Aber wie stellt er die Verbindung her?
>Manchmal ist das Passwort im LGE-Browser gespeichert, manchmal nicht. Die Meldung vom PC, dass das neue Passwort für LGE sei zu lang für den Speicher sei, erscheint auch nicht mehr.
>Kann es jetzt sein, dass der Hacker ( wahrscheinlich intern bei E-Gold) einfach nur sieht, dass zu einem bestimmten Zeitpunkt sich gerade überhaupt jemand bei ihnen einloggen will, oder es laut Liste getan hat, wenn der Hacker Archive verwaltet? Er sieht zwar nicht in mein Login-Fenster in meinem PC, schaut aber einfach bei sich im Rechner in eine Liste, zu der er Zugang hat, mit wem man gerade in Kontakt ist, oder war. So kommt er an die Kontonummer, meine E-Mail-Adresse sieht wohl auch. Das Passwort kennt er noch nicht.
>Dann konsultiert er seine Trojaner, wo immer er sie loziert hat, auch in meinem PC und prüft, ob dort ein abgelegtes Passwort ist, mit dem er etwas anfangen könnte, welches sich aber auf LGE bezieht und versucht die Anwendung auf E-Gold. Und siehe da, es klappt, weil die Passwörter identisch sind....

Nee, also wenn er einen Trojaner auf deiner Maschine hat braucht er gar nix mehr, er loggt einfach deine Keyboardeingaben mit und hat das Passwort im Klartext und wo du so rumsurfst, sieht er ebenso. Wenn du in deinen Eigenen Dateien Briefwechsel mit deiner Bank oder PDFs oder eine Exelliste mit deinen Depotdaten o.ä. hast, braucht er die nur in Ruhe durchzulesen.

Etwas schwieriger ist es, wenn du keinen Trojaner drauf hast. Dann muss er Zugang zu einem Internetrouter haben, über den deine IP-Pakete laufen, bzw. zu einem Rechner, der physikalisch im Netz hängt so dass er mit einem Sniffer DEINEN Traffic mitlesen kann. Wenn diese Voraussetzung gegeben ist, sieht er, dass du über https bei e-gold und über http bei LGE reingegangen bist (vermutlich innerhalb recht kurzer Zeit), denn die Startseiten dürften unverschlüsselt aufgebaut werden. Ab dann sollte es aber nur gehen, wenn a) Benutzername und Passwort unverschlüsselt übertragen werden (bei LGE) die stehen dann im Klartext in den IP-Datenpaketen UND b) du hättest bei e-gold auch BENUTZERNAME und PASSWORT identisch zu LGE haben müssen! Ist das so? Wenn NICHT war es auch nicht dieser Weg! Denn er müsste noch deinen Benutzernamen für e-Gold herausbekommen und da die Loginseite bereits https sein dürfte steht der nämlich auch schon nicht mehr im Klartext da.

Bin immer noch der Auffassung, dass du im Internetcafé verloren hattest. Hat irgendein Scanner denn einen Trojaner gefunden?

MfG
igelei

>Nebenbei bemerkt wurden im Browser von LGE (http und kein https) immer nur Passwörter gespeichert, aber keine Benutzernamen. Das Passwort erschien stets nach dem Tippen des Benutzernamens.
>Ich habe übrigens auch gerade bei E-Gold angefragt, wie oft ich seit dem 20.9.2003 im Konto meiner Schwiegermutter war und wann genau.
>Ich denke mal, die Liste der Logins ist vom Kontoauszug getrennt. Jemand kann vielleicht in den Excel-Dateien der Auszüge herumschreiben, ohne die Listen der Logins darauf abzustimmen, oder es sogar vergisst. Vielleicht ergibt sich hier schon ein Widerspruch?
>Was meinst Du?
>Schönes Wochenende,
>Theo

-->>Hallo Tassie,

Hi Theo,

>gemeint ist das Passwort bei LGE, angewendet auf E-Gold Kontonummer.
>Das Login-Fenster von E-Gold ist SSL, das Fenster von LGE ist es nicht.
>Was ich bei E-Gold eingebe, sieht er also nicht.

Davon gehe ich aus, weil Dein aktueller NAV keine Viren irgendeiner Art findet.
Wenn Du Deine Eingaben ueber das Browserwindow machst, das mit e-Gold verbunden ist, dann ist das normaler Weise nicht fuer das andere mit LGE verbundene Browserwindow sichtbar, es sei denn, dass in dieser Ecke eine MS WIN IE Security Exposure bei Dir noch offen waere, wogegen MS schon lange einen bugfix/patch anbietet, dann waere das"Mitlesen" allerdings nicht auszuschliessen.

Ich gehe aber davon aus, dass keine IE Security Exposure vorliegt.

>Das im LGE-Browser auf der Festplatte gespeicherte Passwort versucht er auf mein E-Gold Konto anzuwenden, klar. Aber wie stellt er die Verbindung her?
>Manchmal ist das Passwort im LGE-Browser gespeichert, manchmal nicht. Die Meldung vom PC, dass das neue Passwort für LGE sei zu lang für den Speicher sei, erscheint auch nicht mehr.

Theo, wenn der Hacker irgendwo ab Ausgang Deines PC auf der LGE-Seite sitzt, was ich im Moment fuer ziemlich unwahrscheinlich halte, dann braucht er fuer den Einbruch auf Dein eGold-Konto nicht nur Dein Passwort, sondern auch Deine account number und ggf. auch diese turing number.

>Kann es jetzt sein, dass der Hacker ( wahrscheinlich intern bei E-Gold) einfach nur sieht, dass zu einem bestimmten Zeitpunkt sich gerade überhaupt jemand bei ihnen einloggen will, oder es laut Liste getan hat, wenn der Hacker Archive verwaltet?

Haaalt, ein Hacker oder Cracker oder Pirat oder irgendeiner von dieser Truppe
muss immer voellig ausserhalb des angegriffenen Objekts angesiedelt sein, weil es sich rechtlich um einen Einbruch in ein System einer Organisation handelt, ein Hacker"intern" bei e-gold gibt es nicht, das ist dann ein"normaler" Betrueger oder Veruntreuer.

>Er sieht zwar nicht in mein Login-Fenster in meinem PC, schaut aber einfach bei sich im Rechner in eine Liste, zu der er Zugang hat, mit wem man gerade in Kontakt ist, oder war. So kommt er an die Kontonummer, meine E-Mail-Adresse sieht wohl auch. Das Passwort kennt er noch nicht.
>Dann konsultiert er seine Trojaner, wo immer er sie loziert hat, auch in meinem PC und prüft, ob dort ein abgelegtes Passwort ist, mit dem er etwas anfangen könnte, welches sich aber auf LGE bezieht und versucht die Anwendung auf E-Gold. Und siehe da, es klappt, weil die Passwörter identisch sind.
>Nebenbei bemerkt wurden im Browser von LGE (http und kein https) immer nur Passwörter gespeichert, aber keine Benutzernamen. Das Passwort erschien stets nach dem Tippen des Benutzernamens.

Theo, wenn, so wie ich immer noch lt. meines letzten Beitrages an Dich vermute,
der Manipulierer innerhalb e-gold sitzt und zuschlaegt, dann braucht er u.U. Dein Passwort ueberhaupt nicht, ihm langt Deine account number, und die steht sowieso in jedem Buchungssatz.

Es gibt sooooo viele Moeglichkeiten, wo bei e-gold intern Scheunentore offen stehen koennten, damit das nicht so ist, davon leben nicht nur System- und Security-Administratoren, davon lebt auch die gesamte Revisions- und Auditing-Industrie. Das alles kostet nicht zu wenig Geld, und die Versuchung dort Geld einzusparen ist manchmal einfach uebermaechtig.

>Ich habe übrigens auch gerade bei E-Gold angefragt, wie oft ich seit dem 20.9.2003 im Konto meiner Schwiegermutter war und wann genau.

Ja, das ist gut, bitte sie doch auch bzgl. Deiner Konten um das Login/Logout-Protokoll seit dem 20.9. inclusive.

>Ich denke mal, die Liste der Logins ist vom Kontoauszug getrennt. Jemand kann vielleicht in den Excel-Dateien der Auszüge herumschreiben, ohne die Listen der Logins darauf abzustimmen, oder es sogar vergisst. Vielleicht ergibt sich hier schon ein Widerspruch?
>Was meinst Du?

Theo, es kann sooooo viele Security Exposures und Leaks innerhalb von e-Gold geben, s.o.

Der Beitrag von igelei zu Deinen Darstellungen und Fragen oben ist plausibel und stichhaltig, lediglich vertrete ich im Gegensatz zu ihm inzwischen und weiterhin die Ansicht, so spektakulaer es auch erscheinen mag, dass innerhalb
der Organisation e-gold bei den Themen IT und CT anscheinend manches nicht zum besten steht.

Mit dieser Meinung werfe ich auch meine mehr als 35 Jahre Erfahrung auf vielen Feldern der IT und CT mit in die Waage, gewonnen in mehreren Branchen/Industrien, darunter gerade auch die Bankenindustrie.

Ich begruende meine obige Meinung zu e-gold lediglich mit 2 Argumenten, es gaebe weitere, wie folgt:

1. Die Absicherung des Zugriffes ueber ein weltweites Verbundnetz namens Internet auf das Kundenkonto mit den vom Kunden einzugebenden Daten Kontonummer (account number) und Passwort (passphrase) ist fuer eine Enterprise im Bankenumfeld voellig ungenuegend, und zwar selbst fuer den Fall, dass der Zugreifende nur eine limitierte Anzahl von Login-Versuchen mit der richtigen Dateneingabe hat, ansonsten der Zugang temporaer oder permanent gesperrt wird.

2. Du, lieber Theo, als Ingenieur, siehst die Welt mit anderen Augen wie Deine z.Zt. schwangere Ehefrau, aber wenn ihr beide gemeinsam und zusammen am 27.9. ueber den Monitor Deines PCs das e-gold-Konto Deiner Schwiegermutter kontrolliert habt, und zwar unmittelbar danach, nachdem Du oder ihr beide zusammen entsetzt den Einbruchsdiebstahl auf zweien Eurer Konten festgestellt hast/habt, und der Kontostand der Frau Schwiegermama war zu diesem Zeitpunkt noch korrekt, jedoch wenige Tage spaeter stellt sich anhand eines aktuellen Kontoauszuges heraus, dass ihr beide am 27.9. bzgl. dem Kontostand der Schwiegermama getraeumt haben muesst, weil dieses Konto ausweisslich des Auszuges bereits am 20.9., also 7 Tage zuvor, abgeraeumt wurde, dann ist bei e-Gold intern etwas oberfaul.

Gerade was letzteres Argument betrifft, ich kenne und beherrsche auch dieses business aus dem eff-eff, ich weiss aus vielen eigenen Erfahrungen, wann ich anderen oder ggf. mir selbst nicht ueber den Weg trauen kann, und wann doch!

>Schönes Wochenende,

Danke, ebenfalls.

>Theo

Gruss
TD

-->warum denn nicht dasselbe für eine Überweisung?

Bei Kitco gibt es für beides eine E-Mail.

-->>warum denn nicht dasselbe für eine Überweisung?

Das war halt eine Entscheidung des Managements bei e-gold, das so und nicht anders zu handhaben, vorausgesetzt, dass alle Deine Figures and Numbers richtig eingegeben wurden und auch auf diese Weise einen Fehler auszuschliessen.

>Bei Kitco gibt es für beides eine E-Mail.

Und das war eine Entscheidung vom Management dieses Ladens, das so und nicht anders zu handhaben.

Sag mal, wenn Du von e-gold die Bestaetigung fuer die Passwortaenderung erhaelst, in welcher Form kommt die dann bei Dir an, e-mail?
Steht in der Bestaetigung vielleicht gleich auch noch Dein neues Passwort mit drinne?

Gruss
TD

-->

-->...in meinen mehr als 35 IT/CT-Jahren habe ich schon ganz andere Haemmer gesehen, erleben und manchmal ausbaden duerfen, wie das von Dir erwaehnte e-mailchen mit Passwort, das sind peanuts.

Der weltweit groesste Hammerproduzent war die Firma SIEMENS, aber auch die IBM hat sich vor allem in frueheren Zeiten in dieser Beziehung des oefteren nicht lumpen lassen, von manchen anderen will ich schon garnicht anfangen, es gibt nur wenige Ausnahmen, CDC und AMDAHL z.B. wuerde ich zu den Ausnahmen zaehlen.

Gruss
TD

-->Deiner Meinung nach?

Habe 2 mit, 2 ohne. Gefühlsmässig meinte ich nun, nach Theo's Erlebnissen, dass ja. Praktisch scheue ich noch den Aufwand, und seit Jahren ist nicht das Geringste passiert (nur E-Broker-Pleiten/Übernahmen in der Mehrzahl).

Wähle von PC ein, der nur von mir benützt wird, Viren/Würmer/Trojaner-update wöchentlich, sygate personal firewall, W98 2nd ed., aber bald W2000, wo ich wohl ein dual boot mit Suse-Linux einrichten werde (einmal muss man da vielleicht einfach ran, auch wenns hart scheint. Das Paket von Suse steht auf jeden Fall seit vorgestern im Büchergestell...)

Wir müssen wahrscheinlich Theo dankbar sein, dass er seine unglücklichen Erfahrungen uns mitgeteilt hat. Spende ihm gerne deshalb 1/10 oz (via Elli)

Danke im voraus,
BillyGoatGruff.


>...in meinen mehr als 35 IT/CT-Jahren habe ich schon ganz andere Haemmer gesehen, erleben und manchmal ausbaden duerfen, wie das von Dir erwaehnte e-mailchen mit Passwort, das sind peanuts.
>Der weltweit groesste Hammerproduzent war die Firma SIEMENS, aber auch die IBM hat sich vor allem in frueheren Zeiten in dieser Beziehung des oefteren nicht lumpen lassen, von manchen anderen will ich schon garnicht anfangen, es gibt nur wenige Ausnahmen, CDC und AMDAHL z.B. wuerde ich zu den Ausnahmen zaehlen.
>Gruss
>TD

-->Was ist eine"3. Sicherheitsebene"? Consors, Citibank, Postbank - ist da was Schlimmes dran?

>Wir müssen wahrscheinlich Theo dankbar sein, dass er seine unglücklichen Erfahrungen uns mitgeteilt hat. Spende ihm gerne deshalb 1/10 oz (via Elli)
>Danke im voraus,
>BillyGoatGruff.

Ich hab´s nur am Rande verfolgt, jedenfalls werde ich alles weiter leiten.

-->Die Legitimation zum Zugriff auf ein Konte hat nur zwei Ebenen:

1.Ebene: Benutzername (meist nicht Klarname)
2.Ebene: Passwort

Diese Lösung ist noch verbreitet, vor allem in USA. Mehrere europäische Banken haben sich darauf gar nie eingelassen, sondern von anfang an die 3. Ebene gehabt. Einzelne liessen jedoch die Wahl offen, ob man die dritte Ebene haben wollte oder nicht.

Die
3.Ebene: Dies ist ein zweites Passwort, das jedesmal ändert und auf verschiedene Weise ermittelt wird (z.B. nur einmal gültige Transaktionsnumern oder 'TAN'; oder ein Code, der aus einer Tabelle nach Abfrage von Spalte/Zeile herausgelesen und eingegeben wird; oder ein Code, der nach einem bestimmten Algorithmus aus einer vorgegebenen Zahl mittels eines unabhängigen Rechners, z.B. proprietärer Taschenrechner, ermittelt wird; oder auch weitere, vom Rechner, der zum Bankgeschäft benützt wird, unabhängige Methoden, die nur der Bank und dem Kunden bekannt sind)

Wird auch neu-englisch '3rd tier' genannt. Ohne diesen '3rd tier' (=2.Passwort) gelten online-banking-Lösungen als unsicher.

Die USA-online-Broker, mit denen ich verkehre, haben nur ein Passwort und keine TAN oder etwas vergleichbares, sodass ich da nun ernsthaft im Zweifel bin.

Hoffe, so ist es klar. Das dürfte doch für eingie Forumsmitglieder Bedeutung haben.
Billy


>Was ist eine"3. Sicherheitsebene"? Consors, Citibank, Postbank - ist da was Schlimmes dran?
>>Wir müssen wahrscheinlich Theo dankbar sein, dass er seine unglücklichen Erfahrungen uns mitgeteilt hat. Spende ihm gerne deshalb 1/10 oz (via Elli)
>>Danke im voraus,
>>BillyGoatGruff.
>Ich hab´s nur am Rande verfolgt, jedenfalls werde ich alles weiter leiten.

-->

-->>Lieber Tassie, soll man I-net-Banking-Konten ohne 3. Sicherheitsebene schliessen Deiner Meinung nach?

Hallo BillyGoat,

um Deine Frage klar und deutlich ohne wenn und aber zu beantworten: JA.

Ich moechte jetzt nicht wieder in Details und Argumente gehen, die ich in verschiedenen Beitraegen zuvor ohnehin gebracht habe, dabei sollten Dir und allen Lesern klar sein, dass ich keinesfalls alle Aspekte in professioneller Tiefenschaerfe der gesamten komplexen Datenschutz-/Datensicherheitsthematik ausgeleuchtet habe, dazu ware dieses Forum auch nicht der geeignete Ort.

>Habe 2 mit, 2 ohne. Gefühlsmässig meinte ich nun, nach Theo's Erlebnissen, dass ja.

Wenn Du ueber das Internet Daten uebertraegst, auch nur als Teilstrecke, dann kann ich Dir nur empfehlen, die beiden accounts ohne 3rd tier zu canceln.

>Praktisch scheue ich noch den Aufwand, und seit Jahren ist nicht das Geringste passiert (nur E-Broker-Pleiten/Ãœbernahmen in der Mehrzahl).

Tja, so ist das oefters auch beim Thema IT und CT: jahrelang passiert nichts, alles laeuft wunderbar, everyone is happy, und dann schlaegt das Schicksal grausam zu.

Hier mal zwei Extreme, dazwischen dreht sich die Erde:

Das Schicksal kann als einfachster Programmfehler auftreten, der in nullkommanichts behoben ist, der wirtschaftliche Schaden daraus ist voellig vernachlaessigbar.

Das Schicksal kann aber auch infolge z.B. technischer Weiterentwicklung als eine schlagartige Erkenntnis auftreten, dass bis dato als zuverlaessig gehaltene Verfahren ploetzlich als voellig unzureichend beurteilt werden muessen, weil u.U. gewisse zuvor nicht zutreffende oder auch nicht fuer moeglich gehaltene Einfluesse ploetzlich doch voll praesent sind, i.e."man" hat gewisse Dinge"verschlafen", im schlimmsten Falle bewusst/gewollt"verschlafen".

Letzteres kann uebelste und teuerste Folgen nach sich ziehen, weil ganz offensichtlich gewisse ggf. die gesamten Strukturen/Architektur dieses zuvor als zuverlaessig bekannten Verfahrens in Frage gestellt werden muessen/muss.

Ist ein solches eingesetztes Verfahren ueber Jahre bereits produktiv im Einsatz,
dann kann dies zu ungeheurem (Sach-)Druck fuehren, weil einerseits produktiv eingesetzte Systeme weiterhin betrieben werden muessen, ansonsten deren Ausfall mit allen Konsequenzen in Kauf zu nehmen ist, andererseits bei Weiterbetrieb des unsicheren Verfahrens dessen faellige Anpassung oder schlimmstenfalls Neuentwickling aus Gruenden des Zeitdrucks zum Alptraum werden kann.

Fuer Dich koennen sich meine obigen Erlaeuterungen dergestalt auswirken, dass die beiden 2-tier accounts ploetzlich fuer Dich zum nicht mehr tragbaren Risiko anwachsen, und Du Dich ggf. sehr schnell nach alternativen Moeglichkeiten umsehen, Entscheidungen treffen und diese Deine Entscheidungen auch zum Laufen bringen musst.

>Wähle von PC ein, der nur von mir benützt wird, Viren/Würmer/Trojaner-update wöchentlich, sygate personal firewall, W98 2nd ed., aber bald W2000, wo ich wohl ein dual boot mit Suse-Linux einrichten werde (einmal muss man da vielleicht einfach ran, auch wenns hart scheint. Das Paket von Suse steht auf jeden Fall seit vorgestern im Büchergestell...)

Ja, meinerseits grasgruenes Licht, aber: wie ich neulich bereits schrieb, auch Linux kann keine Security Exposures oder Leaks ausserhalb seines Einflussbereiches loesen, d.h. das obige 2-tier Problem loest Dir kein Operatingsystem auf Deinem PC.

>Wir müssen wahrscheinlich Theo dankbar sein, dass er seine unglücklichen Erfahrungen uns mitgeteilt hat. Spende ihm gerne deshalb 1/10 oz (via Elli)

Oh ja, eine sehr gute Idee! [img][/img]

>Danke im voraus,

Bitteschoen.

>BillyGoatGruff.

Gruss
TD

P.S. Ich habe bereits in einem Vorbeitrag begruendet, warum ich auch das TAN-Verfahren ablehne und nur mit SmartCard-Verfahren Internetbanking betreibe.

-->

-->