Noch ein Nachtrag zum Thema HBCI:
HBCI ist, nach meiner Erfahrung, unhandlicher als PIN/TAN und auch nicht zwangsläufig sicherer.
1) PIN/TAN kann ich (notfalls mit ner Knoppix-CD für IBM-Kompatible Kisten, siehe obigen Beitrag) überallhin mitnehmen, wo ich einen Internet-Anschluß habe, ob der Rechner unter Windows, Unix, OS/2, oder MacOS läuft, ist dabei egal. Bei HBCI (Chipkarte) brauche ich immer ein Lesegerät, und die Treiberunterstützung für das Betriebssystem. Von HBCI (Schlüsseldiskette) will ich hier gar nicht erst anfangen...
2) HBCI ist nur dann wirklich "trojanersicher", wenn ich die PIN am Kartenlesegerät eingebe, und nicht über die PC-Tastatur, deren Tasten ein Trojaner ja 1:1 mitlesen kann. Das heißt, die 40-EUR(oder warens noch DM?)-Leser, die es z.B. öfters im Bundle mit StarMoney gibt, kann ich dafür schonmal vergessen - mensch braucht einen Klasse-3-Leser mit eigenem, verschlüsselndem Pinpad. Die sind nicht billig.
3) Ein Klasse-3-Leser ist auch erst die halbe Miete, ich muß auch dem Benutzer klarmachen, was er zu tun und zu lassen hat. Es ist nämlich rein per Software möglich, den Klasse-3-Leser zum Klasse-2-Leser herunterzustufen (das letzte Mal, als ich das gesehen habe, war das ein Byte in einer ASCII-Datei, das man ändern mußte). Dann fragt die Software die PIN wieder am Bildschirm und von der normalen Tastatur ab. Ich muß also allen meinen Usern einschärfen, die PIN grundsätzlich nur am Pinpad des Lesers einzugeben, und sofort Alarm zu schlagen, wenn die Software sie auffordert, die PIN am PC einzugeben.
Und was das angeht, habe ich stärkste Bedenken, daß Fritz Dau und Lieschen Müller sich das merken. Und bei HBCI braucht $EVIL_HAX0R ja keine TANs mehr, sondern kann mit der PIN alles anstellen - beim PIN/TAN-Verfahren hat er im Idealfall (keine TANS lokal gespeichert) genau eine TAN, mit der er bis zum vorgegebenen Verfügungslimit etwas anstellen kann.
-Stefan