PIN wird automatisch im Datentresor gelöscht (gescheiterte Umsatzabfrage)

  • Hallo,
    ich habe eine Kreditkarte von der Barcleybank und die entsprechende PIN im Datentresor gespeichert (MG Version 22.1.0.84).
    In der Regel mache ich morgens zwischen 6 und 6:30 eine Umsatzabfrage. Leider führt die Bank zu der Zeit häufig Wartungsarbeiten durch, so dass die Abfrage in MG scheitert.
    Was ich jedoch nicht optimal finde: Wegen der gescheiterten Umsatzabfrage löscht MG die PIN im Datentresor ohne Rückfrage und ich muss sie jedesmal neu speichern. Mit anderen Konten passiert das Gleiche, wenn deren Seite nicht verfügbar ist.
    Ich fände es sinnvoll, wenn vor dem Löschen zunächst eine Rückfrage erfolgt.

    • Offizieller Beitrag

    Hier handelt MG mir auch etwas zu eigenmächtig.

    MG geht hier auf Nummer sicher. Da von LetsTrade nicht rückmeldet, warum die Abfrage scheiterte, muß MG annehmen, daß es an der PIN liegt. Und wenn da noch zwei falsche Abfragen nachgeschoben werden würden, wäre das Konto gesperrt. Natürlich kann man da eine Rückfrage vorsetzen, aber viele Anwender würde die wegklicken und sich selbst aussperren. Und dann wäre das Geschrei groß von wegen warum hat MG das nicht verhindert. Also hat mich sich offensichtlich dazu entschlossen, hier lieber den worst case zu verhindern.
    Man kann natürlich sagen, daß da die Wegklicker selbst dran Schuld sind, aber das ist eine Gewissensfrage, welchen Interessen man mehr Gewicht gibt.

    • Offizieller Beitrag

    Dann könnte in den grundlegenden Programmeinstellungen doch eine Checkbox sein, ob man eine Rückfrage wünscht oder nicht.

    Klar kann man das machen. Aber das ändert nichts am Gesamtproblem. Ob ich nun eine Meldung wegklicke oder eine Checkbox aktiviere, um meine Ruhe zu haben, ist doch dasselbe. Will man verhindern, daß niemand ungewollt (ich sage nicht "nicht selbst verschuldet") seinen Zugang sperrt, dann ist das keine Alternative.

  • Wird im Fehlerfall im "Rückmeldungsprotokoll" ein Grund überliefert, warum die Abfrage gescheitert ist? Dann könnte man nur im Falle einer falschen Pin diese aus dem Datentresor löschen.

    • Offizieller Beitrag

    Wird im Fehlerfall im "Rückmeldungsprotokoll" ein Grund überliefert

    Nein, das sagte ich doch bereits. Die verwendeten DDBAC-Komponenten machen zumindest in dem Fall genau das nicht, andernfalls hatte die Entwickler von Buhl da bestimmt nicht die Brechstange angesetzt.
    Ich hatte das mal hinterfragt und mich erkundigt, weil ich das selbst nicht für so toll halte, wenn die PINs bei Verbindungsproblemen entfernt werden. Aber ich kann die Gründe dafür nachvollziehen und damit leben.

  • Na ja. Nicht alle Screenparser kommen ja von DDBAC. Für die eigenen könnte Buhl das schon vorsehen ...
    Ich denke, das mittel- bis langfristig die DDBAC-Parser sowieso vom Eigenprodukt abgelöst werden.


    Falk

    • Offizieller Beitrag

    Na ja. Nicht alle Screenparser kommen ja von DDBAC. Für die eigenen könnte Buhl das schon vorsehen ...

    Globale Funktionen, die nicht von der Bank selber abhängig (verursacht) sind, auf einzelne Konten beschränken? Das würde ich nicht machen.


    Ich denke, das mittel- bis langfristig die DDBAC-Parser sowieso vom Eigenprodukt abgelöst werden.

    Dann kann man sicher noch mal drüber reden.

  • Zitat

    Nein, das sagte ich doch bereits.

    Wir sind ja im Bereich für Verbesserungsvorschläge, deswegen möchte ich hier trotzdem nochmal nachfragen:
    In MG gibt es ja im unteren Bereich eine Protokollansicht und einen Verlauf. Hier steht zu meinen Konten eine Klartextfehlermeldung, die Aufschluss darüber gibt, weswegen der Auftrag nicht ausgeführt wurde. Woher kommen diese Informationen?


    Als Beispiel die Kreditkarte der Barcleycard (Abruf über Letstrade):


    Ist die Seite nicht erreichbar liefert Letstrade: "Die Antwort der Bank konnte nicht verarbeitet werden".
    Bei einer falschen PIN "Alert - Der angegebene Benutzername oder das angegebene Passwort ist nicht korrekt"
    Bei HBCI-Konten wenn eine Seite nicht erreichbar ist wird "FGW System zur Zeit nicht verfügbar (9800)" erzeugt.
    bzw bei falscher Pin: "Die Nachricht enthält Fehler. (9050); *Anmeldedaten sind ungültig. (9942); Dialog abgebrochen (9800); Auftrag abgelehnt. (9340)"


    Gründe werden also scheinbar zurückgeliefert, aber wohl von MG nicht verarbeitet/ausgewertet. Hier liegt m.E. also schon Verbesserungspotenzial, welches momentan nicht genutzt wird.

  • Kleiner Workaround für andere Leidgeplagte:
    Einfach unter Windows die entsprechende Tresordatei als "Schreibgeschützt" markieren. Dadurch wird keine PIN mehr gelöscht und steht nach einem Programmneustart wieder zur Verfügung. Ich konnte bisher noch keine anderweitigen negativen Auswirkungen feststellen.
    Aufpassen natürlich: Wenn ihr so versehentlich eine falsche Pin speichert und (dreimal) nach einem Programmneustart eine Umsatzabfrage macht könnte sich das Konto sperren.

    • Offizieller Beitrag

    Wenn ihr so versehentlich eine falsche Pin speichert und (dreimal) nach einem Programmneustart eine Umsatzabfrage macht könnte sich das Konto sperren.

    So wird das Konto gesperrt, wenn man das tatsächlich dreimal mit falscher PIN versucht (egal, wo die herkommt).

  • Hallo,

    da dieser Threat nun schon relativ lange existiert, die letzten Einträge schon einige Jahre alt sind und sich in dieser Beziehung bei Mein Geld noch kein(e) Änderung/Fortschritt eingestellt hat, stellt sich mir die Frage, ob dieses Forum durch Buhl mitgelesen wird oder ob man parallel eine Supportanfrage eröffnen sollte.


    Ich ärgere mich jedesmal bei der Abholung meiner Kontodaten über das, wie ich persönlich finde unsinnige System wie es in Mein Geld Verwendung findet. Die Gründe hierfür sind für mich: Ich habe um die 32 Transaktionen bei der Abholung. Es vergeht keine einzige Abholung in der nicht 3-5 Passworte manuell eingegeben werden müssen, da sie von Mein Geld entfernt wurden. Die Argumentation das dies ein Schutz gegen Kontosperrung ist finde ich nicht korrekt bzw. so als Funktion nicht zeitgemäß. Man unterstellt dem Benutzer, dass er es nicht kapiert wenn eine entsprechende Fehlermeldung erscheint. Ich kann mich ja auch nicht ins Auto setzen und die Augen zu machen beim fahren. Außerdem, nach meiner eigenen Erfahrung, steht die Funktion vom Aufwand her nicht im Verhältnis zum Sicherheitsgewinn. Wenn das Passwort/Pin einmal richtig eingegeben wurde, gibt es kein Problem mehr. Ich denke der Großteil der Benutzer ändert das PW/PIN nicht sehr häufig. Meist liegt es an Problemen mit der Bank, der Internetverbindung oder des Programms das die Kontodaten nicht korrekt abgeholt werden und dann das PW/PIN gelöscht wird. Dagegen spricht dann aber, dass in der Folge des automatischen Löschvorgangs das PW/PIN häufig neu eingegeben werden müssen da sie entfernt wurden und das gerade da Fehleingaben passieren können. Ich halte das aktuelle Verhalten sogar als sicherheitskritisch. Ich benutze -soweit es die Banken, Kartenausgeber, ... zulassen- im Bezug auf Länge und Komplexität möglichst starke Passwörter. Die Neueingabe (Suchen des PW, Eingabe, ...) ist natürlich dann ein relativ, insbesondere durch die Häufigkeit der Neueingabe, zeitaufwendiger Prozess. Somit verleitet es dazu, einfache Passwörter zu verwenden die sich auch für mehrere Konten wiederholen.


    Ich habe mittlerweile auch andere Finanzsoftwareprodukte getestet, da mich diese Funktion wirklich extrem nervt. Diese zeigen in meinen Augen wie es richtig geht, mit einer richtigen Passwortverwaltung in der Änderungen direkt im Safe vorgenommen werden können und die Daten, die vom Benutzer in das Programm eingegeben werden, nicht einfach ungefragt löschen was einer Bevormundung des Nutzers gleich kommt (es gibt halt auch Nutzer die mit Meldungen des Programms umgehen und entsprechend reagieren können).


    Aktuell kann/möchte ich nicht einfach zu einem anderen Produkt wechseln da bei mir ein Wiso-Ökosystem mit Steuer, Vermietung, Firma und eben Banking besteht und ich ansonsten eigentlich mit dem Programm, dass ich seit deutlich über einem Jahrzehnt nutze, sehr zufrieden bin.