Qualm
Member for 11 years 4 months

Interactive Brokers: Identity Token

Hallo allerseits,

heute hat mir IB einen sogenannten Identity Token angeboten. Damit werden wohl Nummern generiert mit denen Überweisungen und email-Änderungen sicherer werden. Kann mir jemand erklären wie das funktioniert und wieso das sicherer sein soll als das bisherige Verfahren? In dem email von IB wurden allerlei Meldungen über verstärkte Hackeraktivitäten bei Online Brokerage Firmen aufgeführt. Bei eTrade gabs wohl einen Schaden von 18 Mio $.

Qualm

Submitted by Qualm on
Anonymous

- bei Mails, welche nicht dem "üblichen" Schreibstil von IAB entsprächen, würde ich in CH anrufen und fragen, ob das denn auch von IAB ist
- also wo die Grenze bei IAB für "normale" Überweisungen ist, kann ich nicht sagen, aber ich habe auch noch keine 7/8 stelligen Vorkommabeträge transferiert ;)
- das es eine Mengengrenze gibt glaube ich auch nicht, zumindest bei wöchentlichen Transaktionen bieten die noch kein Identity Token an
- Mail & Gegenkonto ändern habe ich noch nicht machen müssen
- ich wähle mich für Transaktionen nur über 2 grosse deutsche INET-Provider ein, IAB kann nie auf die Idee kommen, das verschiedene Personen an verschiedenen Orten Transaktionen für meinen Account durchführen.
(wenn IAB die IP Ranges loggt und feststellt das da jedes mal von woanders auf der Welt im gleichen Account was transferiert wird, könnte mit einer nur einmal verfügbaren Hardware schon etwas "gegengesteuert" werden...)

Wenn die Mail von IAB ist und es nix kostet sowie nicht bedeutet, das bei jedem Trade eine Nummer einzugeben ist, würde ich es wohl mitmachen. Auf alle Fälle würde ich bei aber IAB nachfragen, warum gerade ich dazu angeschrieben worden wäre.

Qualm
Member for 11 years 4 months

Ohne Identity Token kann man wohl nur bis 100.000$ pro Tag transferieren. Außerdem bekommt man das Ding wohl erst ab einer bestimmten Depotgröße. Ich denke mal die email ist echt, ich muss mich zur Bestellung ja auch bei IB in meinen Account einwählen. Mich interessiert einfach nur mal wie das technisch funktioniert und ob das tatsächlich Sicherheitsvorteile bringt und worin die genau liegen.

Qualm

Schlumpf007
Member for 11 years 4 months

Qualm [#1]

Gratulation ! Diese E-Mail verschickt IB automatisch, sobald das Konto die Marke von US$ 100 000 überschreitet.

Schlumpf007
Member for 11 years 4 months

Qualm [#3]

Guckst du: http://www.safeword.com

Anonymous

@ Qualm [#3]

Zumindest in Einzelfällen klappen auch 6stellige Überweisungen mit normalen Mail Token, täglich mache ich sowas (noch) nicht :(

Rein technisch "spart" IAB den Versand der Mail mit der "Token"-Nummer. Eine kleine Kiste mit der gleichen Logik wie der IAB-Server kann diese auf Basis der letzten Nummer als "zufällige" Folgenummer berechnen.
Die Sicherheit wird also daduch erhöht, dass niemand mehr eine Token-Mail abfangen / manipulieren kann.

Wenn ich einen fremden Account leerräumen will und UID+PWD habe, muss ich aktuell nur noch den Mailserver/client hacken um eine neues Referenzkonto oder eine neue Referenzmail zu hinterlegen.

Es soll ja auch leute geben, die ihre UID+PWD freiwillig an einen Trader weitergeben, der dann deren Account (mit)handelt. Ohne Mailaccount ist es aber nicht möglich, dass dieser Trader unbefugt Geld vom Account auf ein Konto überweist, da ja jede Transaktion per Token in einer Mail gesichert ist.
Wenn aber nun dieser Trader auch noch ADMIN des Mailservers seines Kunden ist, dann könnte er die Mail abfangen. Mit einer Hardwarelösung in der Hand des realen Accountbesitzers gibt es diese eventuelle Unsicherheit nicht mehr ;)

Anonymous

@ Schlumpf007 [#4]

Kann nicht sein, 100K im Account (die aber fast immer überwiegend per Margin gebunden) sind "reichen" nicht für so eine "automatische" Mail.

Schlumpf007
Member for 11 years 4 months

TimeTrade [#7]

Ich sage dazu nichts mehr. Aber wie sicher bist du dir eigentlich mit deinen Erklärungen (z.B. in Beitrag #6) ?

Anonymous

@ Schlumpf007 [#8]

zu #6 mit dem Hardwareteil im Sinn von "das Teil ist nur einmal verfügbar und gibt eine Info, die man zum Bestätigen der Transaktion (mit)eingeben muss" bin ich mir sehr sicher.
Ein freundlicher IAB-Mitarbeiter hat mir das am Telefon so erklärt. Ob doch noch vorher eine Mail kommt und eine Info aus dieser Mail eventuell erst in das Hardwareteil einzugeben ist, das hatte ich nicht gefragt, weiss es also nicht.
Exakte Gründe für die Empfehlung seitens IAB so ein Teil einzusetzen, konnte mir der Hotlinemitarbeiter selbst nicht nennen, will ich aber erkundigen und mir per Mail antworten.

zu #6 mit dem gewollten Handeln fremder Account's durch bekannte UID/PWD ist real möglich, wenn auch rechtlich sehr problematisch. Aber zu Servicezwecken bei technischen Problemen von Kunden, ist es möglich deren Login am eigenen INET Zugang zu testen, um sicherzusellen, dass der IAB-Account noch arbeitet.

Qualm
Member for 11 years 4 months

Ich lass mir das Gerät jetzt zukommen. Ich denke mal, dass es durchaus eine zusätzliche Sicherheit bringt. Vielen Dank für die Kommentare.

Schöne Grüße
Qualm

Schlumpf007
Member for 11 years 4 months

TimeTrade [#7]

Qualm sagt doch selbst:

1.) Das Angebot kam ohne Anforderung seinerseits.

2.) Das angebotene Teil gibt es "ab einer bestimmten Depotgröße" (Zitat Ende).

Anonymous

@ Schlumpf007 [#11]

Aber wie gesagt, ich mache auch technischen Support für Kunden, und habe dabei auch manchmal zumindest temporären Zugriff UID/PWD & MAIL. Zu meiner eigenen Sicherheit, wäre es einfach gut, wenn ich meinen Kunden empfehlen könnte sich so ein Hardwareteil für seinen Accout zu besorgen. Dann könnte ich nie in die Gefahr kommen, das nach bei Serviveeinsatz eventuell ungeklärte Überweisungen stattgefunden haben.

Nur darum interessiert mich die genaue Vergabepolitik seitens IAB, bzw. die Möglichkeit von einzelnen Kunden, sowas zu "beantragen", denn ich habe so ein Teil nicht und bin auch nicht böse darum.

Ich kenne ausser meinen eigenem nur für intraday Futureshandel eingesetzen aktivem Accout mit hohen RT-Zahlen, aber noch einen weiteren der die erwähnte 100K Größe hatte oder hat. Zwecks eines vorübergehenden Tests eines anderen Brokers hab ich auch schon 2 Einzelüberweisungen in dieser Größenordung mitgemacht, ansonsten muss ich aber regelmäßig immernur 4-5stellige Summen transferieren.

..."Ab einer bestimmten Depotgröße"..., damit kann ich selbst leben, nur werde ich die Aussage in dieser Form nicht an Betreuungskunden weitergeben. Bevor ich da nix genaueres oder "beantragbares" weiss, brauche ich dies nicht im beabsichtigten Sinn zu erwähnen.

Ich warte einfach mal ab, welche Aussage vom IAB Accountmanagement auf meine direkte Anfrage für diesen bestimmten Zweck kommt.

Qualm
Member for 11 years 4 months

Es ist so, dass jeder Kunde von IAB einen Identity Token bekommen kann. Es kostet allerdings 150$ einmalig und das Gerät muss bei Kontoauflösung zurückgegeben werden. Ab einer Kontogröße von 100K$ entstehen keine Kosten. IAB legt allerdings jedem Kunden nahe, ein solches Teil zu benutzen. Kann man alles unter dem Menupunkt Fundmanagement finden und bestellen. Habe ich jetzt gemacht und hoffe mal, dass alles funktioniert.

Qualm

xforce
Member for 11 years 4 months

Ich kann nur bestätigen das der Vorschlag des Security Tokens seitens IAB unaufgefordert kommt, sobald eine gewisse Accountgröße überschritten wird. Ich habe selbst drei davon. Ist etwas lästig das es für jeden Account ein verschiedenes gibt, aber das geht technisch wohl nicht anders.

Auch kann ich jedem empfehlen sich so ein Teil zu holen, zumal es ja ab einer gewissen Accountgröße kostenfrei ist. Wenn im worst case einem das Passwort gehackt wird so kann es ja auch sein das das Passwort des eigenen Mailaccounts mit gehackt wurde. Eine zusätzliche Sicherheitsstufe kann meines Erachtens nicht schaden.

Anonymous

@ Qualm [#13]

ok, habe auch gerade eine Mail von IAB erhalten.

Das automatische Angebot ist auch abhängig vom Accounttyp. Ich habe zwecks Tests von API Funktionen immernoch einen "Advisor Friends & Family" Account. Da man bei IAB deshalb davon ausgegangen ist, dass mehrere Personen ortunabhängig Zugriff auf den Account haben können, wurde trotz Accountgröße keine einzelner dem Account separat zugeordneter Token angeboten. Ansonsten gilt auch die 100K Grenze für das kostenlose Angebot des Tokens, wenn ich es anfordern will.

Die Sache mit der möglichen Beantragung für 150$ werde ich zukünftig meinen Betreuungskunden zu Ihrer und meiner Sicherheit einfach mit empfehlen.

:)Problem gekärt, allen Beteiligten besten Dank:)

xforce
Member for 11 years 4 months

@ TimeTrade [#15]

Das automatische Angebot ist auch abhängig vom Accounttyp....

Komisch. Ich hatte das Angebot für das Token auch bei meinem Financial Advisor Account erhalten. Sowohl für den Master als auch Client Account.

Anonymous

@ xforce [#16]

Ich hatte beim Eröffnen des Account in der Angabe des MasterAccount zum ?Ziel/Zweck/Beruf? "Softwareentwickung und API-Test" angegeben.
Der Account wird als gewerblicher "Entwicklungsaccount" geführt und bei möglichen Anfragen von Behörden auch so mit diesem Zusatz angegeben.
Das gewerbliche Betreiben und nutzen eines FA Accounts im eigentlichen Sinn, wäre ja auch von IAB genehmigungspflichtig. Auch der andere mir bekannte Account war so einer. Das mit mehreren berechtigte Personen bedeutet ja hier das man als Accoutinhaber weiteren Personen offizell Zugriff auf alle Accoutbereiche geben kann. Nur so ist ja die Fernsteuerung der IAB Webmasken aus eigener Software mit echten Überweisungen zu testen.

Dieses bisher vollautomatisierbare Feature würde mit Token ja erstmal wegfallen, denn bisher muss die Software ja nur die "TokenMail" automatisiert empfangen und dann per Webinterface die Transaktion bestätigen.

Bequemlichkeit wird immer durch den Verlust an Sicherheit erkauft, aber gerade dieses Feature schätzen Nutzer der Software, denn sie wollen sich nicht duch das grossteils englische IAB-Accountmanagement wühlen. Umgedreht ist das auch der Grund, warum ich da nur ganz selten noch rein sehe, ohne die Sache mit der Beantragbarkeit eines solchen Tokens bisher selbst zu finden.

Ich werde eine Erweiterung der Software um die zusätzliche Eingabeunterstützung für die Verwendung mit Hardwaretoken mal "beantragen" :)

Rückrufservice
Please describe your request so that we can prepare for the callback.
Yes, I have read the Privacy Policy note and I consent that the data provided by me, including the contact data, for the processing of the inquiry and in case of questions are electronically collected and stored. My data will only be used strictly for my request and will not be passed without my consent. This consent can be revoked any time with effect for the future.'
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.
Help?

Do you have questions about ZMP Live? Our team will be happy to help you. Please feel free to send us a message:

Our privacy policy applies

CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.

Register now

Jetzt registrieren und ZMP Live+ 14 Tage kostenlos testen!
  • Dauerhaft kostenfrei
  • Keine Zahlungsinformationen erforderlich