1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Eurograbber: Botnetz stiehlt 36…

chipTAN

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. chipTAN

    Autor: Falkentavio 06.12.12 - 16:57

    Ich verstehe nicht wieso jemand mTAN dem chipTAN Verfahren vorziehen kann. Ich verstehe sowieso nicht wieso es mTAN gibt, wo es doch chipTAN gibt.
    Bei chipTAN habe ich nicht nur 2 unterschiedliche Geräte sondern benötige zur Authorisierung auch noch meine EC-Karte, ein Element, dass bei der mTAN vollkommen weg fällt. Und weder für miene EC-Karte noch für den chipTAN Generator habe ich bisher von Trojanern gehört, noch habe ich davon gelesen oder gehört, dass dieses Verfahren erfolgreich in der Masse kompromitiert wurde.

    Wer Bequemlichkeit der Sicherheit vorzieht soll das meinetwegen tun, aber dann soll man auch nicht meckern wenn das Geld weg ist weil man zu faul ist seine EC-Karte in den Generator zu stecken.

  2. Re: chipTAN

    Autor: Anyone 06.12.12 - 17:02

    chipTAN ist in einem Punkt unsicherer, nämlich nämlich in diesem Falle hier: http://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html

  3. Re: chipTAN

    Autor: kinderschreck 06.12.12 - 17:14

    Ich z.B. habe keine EC-Karte und ich habe auch Konten mit mTan für die es gar keine EC-Karte gibt. Bspw. so ziemlich sämtliche Tagesgeldbanken.

  4. Re: chipTAN

    Autor: Falkentavio 06.12.12 - 17:15

    Unsicherer würde ich das nicht nennen. Es ist und bleibt ein Trojaner, der die Anzeige manipuliert. Nur, dass der noch mehr Logik haben muss als nur meinen Eingaben zu loggen und die Ausgabe zu verfälschen, da muss die ganze Überweisung zur Sammelüberweisung umgebogen werden. Und dann liegt es immer noch am User die Eingaben auf dem Generator zu überprüfen.
    Natürlich ist chipTAN nicht 100% sicher, aber doch deutlich sicherer als die Alternativen.

    Sammelüberweisungen habe ich übrigens noch nie gemacht. Und die liesen sich laut dem Bericht durch eine Anzeige aller Zielkonten auch sicherer machen.

    Das mTAN Verfahren sehe ich durch fehlende Authentifikation durch die EC-Karte, das grundätzlich kompromitierbare System Handy und das unsichere Übertragungsmedium SMS als ziemlich löchrig an und man kann es nur hier und da ein wenig flicken.
    chipTAN dagegen hat ein paar ausnutzbare Mängel die sich ausmerzen lassen.

  5. Re: chipTAN

    Autor: Dragnet 06.12.12 - 21:06

    Falkentavio schrieb:

    > Das mTAN Verfahren sehe ich durch fehlende Authentifikation durch die
    > EC-Karte, das grundätzlich kompromitierbare System Handy und das unsichere
    > Übertragungsmedium SMS als ziemlich löchrig an und man kann es nur hier und
    > da ein wenig flicken.
    > chipTAN dagegen hat ein paar ausnutzbare Mängel die sich ausmerzen lassen.

    chipTAN ist letzen Endes genauso sicher/unsicher wie mTAN. Wer ohne es selber angefordert zu haben in einer Trojanermaske seine Rufnummer eingibt und dann auch noch auf seinen Handy die dafür passende Malware freiwillig installiert, den hilft ein Wechsel auf chipTAN auch nicht weiter. Denn derjenige würde genauso eine "Testüberweisung" die in Wirklichkeit an den Betrüger geht per chipTAN bestätigen. Ganz hinterhältig sind die Trojaner, die den kompletten Kontostand fälschen und dann so tun als hätte man eine Fehlbuchung die man korrigieren muss. Dagegen hilft kein Verfahren, auch chipTAN nicht. Das Sicherheitsproblem sitzt dann auch in diesem Fall vor dem Rechner.

    Hinzu kommt, dass in erster Linie Android auch die Sicherheitslücke ist. Das mögen viele nicht gerne hören, aber der Segen einer Systemoffenheit ist gleichzeitig auch eine Goldgrube für jeden Malware Entwickler. Das ist schon wie zu ISDN Zeiten weil man auch dort per Malware einfach kostenpflichtige Rufnummern anrufen bzw. SMS verschicken kann. Das Problem hatte sich auf den PCs durch DSL erledigt, auf den Handys geht das Spielchen gerade erst wieder von vorne los.



    1 mal bearbeitet, zuletzt am 06.12.12 21:07 durch Dragnet.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. DevOps Engineer (w/m/d) CMS Platform
    ING Deutschland, Nürnberg
  2. SAP PP Berater (m/w/x)
    über duerenhoff GmbH, Raum Göttingen
  3. Entwickler Full Stack (m/w/d)
    STEMMER IMAGING AG, Puchheim
  4. Webdeveloper/in (w/m/d)
    Stadt NÜRNBERG, Nürnberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Return to Monkey Island angespielt: Schön, mal wieder hier zu sein
Return to Monkey Island angespielt
Schön, mal wieder hier zu sein

Guybrush Threepwood ist zurück - und mit ihm sein Erfinder Ron Gilbert. Aber ist das neue Monkey Island auch so gut wie seine Vorgänger?
Eine Rezension von Daniel Ziegener

  1. Boox Mira im Test Ein Display wie aus Papier

Cloud-Services to go: Was können Azure, AWS & Co?
Cloud-Services to go
Was können Azure, AWS & Co?

"There is no cloud, it's just someone else's computer" - ein Satz, oft zu lesen und nicht so falsch - aber warum sollten wir überhaupt Software oder Daten auf einem anderen Computer speichern?
Eine Analyse von Rene Koch

  1. Hyperscaler Die Hyperskalierung der Angst vor den eigenen Schwächen
  2. Microsoft Neues Lizenzmodell schließt Google und AWS weiter aus
  3. Cloud Einmal Einsparen, bitte?

LoRa-Messaging mit Meshtastic: Notfallkommunikation für Nerds
LoRa-Messaging mit Meshtastic
Notfallkommunikation für Nerds

Ins Funkloch gefallen und den Knöchel verstaucht? Mit Meshtastic lässt Hilfe rufen - ganz ohne Mobilfunk, LAN oder WLAN.
Eine Anleitung von Dirk Koller