Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IT-Sicherheit: Banken nutzen…

Warum nicht TAN-Verfahren wiederverwenden?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum nicht TAN-Verfahren wiederverwenden?

    Autor: me4096 12.12.18 - 11:40

    Die Antwort ist ein Link auf die Seite der Bank, diese fordert eine TAN die auf dem selben Weg zugestellt wird wie für onlineBanking. Nach erfolgreicher Eingabe der TAN wird die Nachricht angezeigt.

    Im Prinzip könnte man auch die TAN als Passwort für ein PDF verwenden, aber die ist in ihrer jetzigen Form ja wahnwitzig kurz und einfach zu bruteforcen (Nachdem man bei dem PDF ja nicht die Anzahl der Versuche begrenzen oder die Pararellisierbarkeit des Angriffs unterbinden kann), müsste also deutlich länger sein und mehr mögliche Zeichen haben.

  2. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Kleba 12.12.18 - 12:03

    Meine Versicherung macht das teilweise so. Also nicht per klassischen TAN-Brief, sondern per Mobil-TAN (also eine SMS mit TAN). Wenn ich mich ins Portal einlogge, sehe ich zwar den Betreff des Schreibens, aber das PDF herunterladen/ansehen, geht erst nach Bestätigung per TAN.

    Ist zumindest schon mal 2-Faktor abgesichert, auch wenn es keine klassische verschlüsselte Kommunikation ist (das PDF selbst ist ja nicht verschlüsselt/besonders geschützt, sondern lediglich der Zugriff darauf).

  3. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: whitbread 12.12.18 - 22:37

    Also wer mTAN als 2FA lobt hat wohl ein wenig gepennt. Das ist nur unnötiger Aufwand ohne Sicherheitsgewinn!

  4. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: decaflon 12.12.18 - 23:47

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > Also wer mTAN als 2FA lobt hat wohl ein wenig gepennt. Das ist nur
    > unnötiger Aufwand ohne Sicherheitsgewinn!

    Wieso das?

  5. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: user6845 13.12.18 - 00:19

    Nun mTan ist dann nutzlos, wenn man eh alles über das Smartphone macht, da es dann keinen zweiten Faktor gibt.

    > müsste also deutlich länger sein und mehr mögliche Zeichen haben.

    Tan nicht zum Entschlüsseln der Daten nutzen, sondern zum Download beim Anbieter.

    Z.B. Link in der E-Mail zur PDF, aufgerufene Seite verlangt TAN
    Andererseits gefährlich, weil anfällig für Angriffe:
    URL auf Fakeseite die TANs abgreifen.


    Kurze Zugangsdaten wie TAN oder TOTP sind nur für geschlossene Systeme,
    die vom Angreifer nicht manipulierbar sind (Bruteforce per Limit einschränken).

  6. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Kleba 13.12.18 - 07:52

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > Also wer mTAN als 2FA lobt hat wohl ein wenig gepennt. Das ist nur
    > unnötiger Aufwand ohne Sicherheitsgewinn!

    Das trifft höchstens zu, wenn beide Aufrufe (der Zugriff über das Portal und das Empfangen/die Eingabe der TAN) von dem gleichen Gerät aus erfolgen. Ansonsten ist der Aufwand um an die mTAN zu kommen, mindestens so groß, wie um an das Passwort zu kommen und es gehört zumindest schon etwas kriminelle Energie dazu. Die mir bekannten Möglichkeiten sind:
    - es muss ein Zugang zum SS7-Netz bestehen oder
    - es muss eine Ersatz-SIM-Karte beschafft werden oder
    - es muss eine Schadsoftware auf dem Gerät vorhanden sein

    Es ist insofern ein Sicherheitsgewinn, dass eine zusätzliche Hürde vom Angreifer überwunden werden muss. Das verhindert zumindest schon mal, dass jemand der nur das Passwort hat damit irgendetwas anstellen kann.

    LG
    Kleba

  7. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: AllDayPiano 13.12.18 - 09:48

    Ich nutze SMS TAN bei der Sparkasse und bei der Raiffeisenbank. Beide verbieten Transaktionen von diesem Handy aus. Es kommt nur die Meldung, dass das Onlinebanking von diesem Gerät aus nicht möglich sei und man dafür eine andere TAN-Variante nutzen soll.

    Ich möchte aber keine zweite Banking-App, die dann auch noch auf gerooteten Geräten nicht funktioniert, nur um eine TAN zu bekommen. Ich bleibe bei SMS Tan.

    Die TAN-Liste war eigentlich schon sehr sinnvoll (mit randomisierter TAN-Auswahl) aber leider waren die Menschen zu blöd dafür, das zu nutzen. Auch SMS Tan ist eigentlich relativ sicher, wenn die Menschen auch das lesen würden, was in der SMS steht.

  8. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Truster 13.12.18 - 12:01

    funktioniert vermutlich nur, wenn du die App nutzt. Wie will er übern Browser feststellen, von welchem Gerät du kommst?

  9. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: max.pecu 13.12.18 - 14:00

    Dürfte Account gebunden sein.
    d.h. wenn du mit einem Mobilgerät dich einloggst kannst du keine Überweisungen etc. tätigen.

    So ist es zumindest bei meiner Sparkasse. Kontostand etc. kann ich Mobil sehen, aber keine Änderungen / Überweisungen etc. durchführen.

  10. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: topas08 14.12.18 - 08:03

    Same here ... Auch bei meiner Sparkasse geht es beim Onlinebanking bei der Überweisung nicht weiter. Übersicht, Kontoverlauf ... sind einsehbar, aber alles was per mTAN ablaufen würde wird blockiert. Dann muss halt ein zweites Gerät gezückt werden, um wahlweise das Banking selbst zu machen (per Tablet, Laptop...) oder die mTAN zu empfangen (man kann im Banking auch 2 Handynummern hinterlegen & bei jedem Vorgang festlegen, an welche die mTAN gehen soll (z. B. Handy des Partners)).
    Würde in dem im Beitrag beschriebenen Szenario aber nur Sinn machen, wenn die Dokumente nur über das Portal erreichbar wären (und dann der Abruf per mTAN freigeschaltet wird), da einerseits das Passwort der PDF (wahrscheinlich) so kurz ist ("Der User kann doch keine langen Passwörter abtippen, total user-unfreundlich") dass ein BruteForce interessant sein könnte. Und andererseits nur "one way" ist - beide Informationen werden über denselben Weg übertragen, so dass der Zugriff auf ein Anwendung/Gerät (Mailpostfach) genügt um die Sicherheitssperre zu überwinden.

  11. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Truster 14.12.18 - 10:17

    Und was passiert, wenn man mit Crome "Desktop-Webseite" aktiviert?

  12. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: ibsi 14.12.18 - 14:10

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > Beide verbieten Transaktionen von diesem Handy aus.

    Schalte in dem Browser deiner Wahl den Desktopmodus an, komm frisch auf die Seite und mach beides auf dem selben Gerät ;) Hat bisher immer funktioniert

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main
  3. Bosch Gruppe, Grasbrunn
  4. SV Informatik GmbH, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (nur für Prime-Mitglieder)
  2. 19€ für Prime-Mitglieder
  3. (u. a. HP 27xq WQHD-Monitor mit 144 Hz für 285€ + Versand - Bestpreis!)
  4. 288€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Padrone angesehen: Eine Mausalternative, die funktioniert
Padrone angesehen
Eine Mausalternative, die funktioniert

CES 2019 Ein Ring soll die Computermaus ersetzen: Am Zeigefinger getragen macht Padrone jede Oberfläche zum Touchpad. Der Prototyp fühlt sich bei der Bedienung überraschend gut an.
Von Tobias Költzsch

  1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
  2. People Mover Rollende Kisten ohne Fahrer
  3. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
IT-Sicherheit
12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Eine Analyse von Friedhelm Greis

  1. Datenleak Ermittler nehmen Verdächtigen fest
  2. Datenleak Politiker fordern Pflicht für Zwei-Faktor-Authentifizierung
  3. Politiker-Hack Wohnung in Heilbronn durchsucht

IT-Jobs: Ein Jahr als Freelancer
IT-Jobs
Ein Jahr als Freelancer

Sicher träumen nicht wenige festangestellte Entwickler, Programmierer und andere ITler davon, sich selbstständig zu machen. Unser Autor hat vor einem Jahr den Schritt ins Vollzeit-Freelancertum gewagt und bilanziert: Vieles an der Selbstständigkeit ist gut, aber nicht alles. Und: Die Freiheit des Freelancers ist relativ.
Ein Erfahrungsbericht von Marvin Engel

  1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
  2. IT Frauen, die programmieren und Bier trinken
  3. Software-Entwickler CDU will Online-Weiterbildung à la Netflix

  1. iPhones: Apple-Zulieferer korrigieren Umsatz- und Gewinnerwartungen
    iPhones
    Apple-Zulieferer korrigieren Umsatz- und Gewinnerwartungen

    Wegen schwächelnder Absatzzahlen von iPhones in China korrigieren erste Zulieferer Apples ihre wirtschaftlichen Prognosen. Grund ist ein Rückgang der Nachfrage nach Oberklasse-Smartphones und Unsicherheiten aufgrund des Handelskriegs zwischen den USA und China.

  2. 7 Prozent müssen gehen: Massenentlassungen bei Tesla wegen zu hoher Kosten
    7 Prozent müssen gehen
    Massenentlassungen bei Tesla wegen zu hoher Kosten

    Tesla muss seine Kosten reduzieren, um seine Elektrofahrzeuge günstiger anbieten zu können und entlässt deshalb 7 Prozent seiner Belegschaft. Im vergangenen Jahr hatte das Unternehmen noch zahlreiche neue Mitarbeiter eingestellt.

  3. Multicopter-Hersteller: DJI erleidet Millionenverluste durch interne Korruption
    Multicopter-Hersteller
    DJI erleidet Millionenverluste durch interne Korruption

    Mehrere Fälle von schwerer Korruption innerhalb des Unternehmens führen beim Drohnen-Hersteller DJI zu deutlichen Verlusten: Im Jahr 2018 verliert das chinesische Unternehmen dadurch insgesamt umgerechnet mehr als 130 Millionen Euro.


  1. 15:39

  2. 15:13

  3. 14:16

  4. 13:17

  5. 09:02

  6. 18:04

  7. 15:51

  8. 15:08