Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IT-Sicherheit: Banken nutzen…

Warum nicht TAN-Verfahren wiederverwenden?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum nicht TAN-Verfahren wiederverwenden?

    Autor: me4096 12.12.18 - 11:40

    Die Antwort ist ein Link auf die Seite der Bank, diese fordert eine TAN die auf dem selben Weg zugestellt wird wie für onlineBanking. Nach erfolgreicher Eingabe der TAN wird die Nachricht angezeigt.

    Im Prinzip könnte man auch die TAN als Passwort für ein PDF verwenden, aber die ist in ihrer jetzigen Form ja wahnwitzig kurz und einfach zu bruteforcen (Nachdem man bei dem PDF ja nicht die Anzahl der Versuche begrenzen oder die Pararellisierbarkeit des Angriffs unterbinden kann), müsste also deutlich länger sein und mehr mögliche Zeichen haben.

  2. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Kleba 12.12.18 - 12:03

    Meine Versicherung macht das teilweise so. Also nicht per klassischen TAN-Brief, sondern per Mobil-TAN (also eine SMS mit TAN). Wenn ich mich ins Portal einlogge, sehe ich zwar den Betreff des Schreibens, aber das PDF herunterladen/ansehen, geht erst nach Bestätigung per TAN.

    Ist zumindest schon mal 2-Faktor abgesichert, auch wenn es keine klassische verschlüsselte Kommunikation ist (das PDF selbst ist ja nicht verschlüsselt/besonders geschützt, sondern lediglich der Zugriff darauf).

  3. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: whitbread 12.12.18 - 22:37

    Also wer mTAN als 2FA lobt hat wohl ein wenig gepennt. Das ist nur unnötiger Aufwand ohne Sicherheitsgewinn!

  4. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: decaflon 12.12.18 - 23:47

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > Also wer mTAN als 2FA lobt hat wohl ein wenig gepennt. Das ist nur
    > unnötiger Aufwand ohne Sicherheitsgewinn!

    Wieso das?

  5. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: user6845 13.12.18 - 00:19

    Nun mTan ist dann nutzlos, wenn man eh alles über das Smartphone macht, da es dann keinen zweiten Faktor gibt.

    > müsste also deutlich länger sein und mehr mögliche Zeichen haben.

    Tan nicht zum Entschlüsseln der Daten nutzen, sondern zum Download beim Anbieter.

    Z.B. Link in der E-Mail zur PDF, aufgerufene Seite verlangt TAN
    Andererseits gefährlich, weil anfällig für Angriffe:
    URL auf Fakeseite die TANs abgreifen.


    Kurze Zugangsdaten wie TAN oder TOTP sind nur für geschlossene Systeme,
    die vom Angreifer nicht manipulierbar sind (Bruteforce per Limit einschränken).

  6. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Kleba 13.12.18 - 07:52

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > Also wer mTAN als 2FA lobt hat wohl ein wenig gepennt. Das ist nur
    > unnötiger Aufwand ohne Sicherheitsgewinn!

    Das trifft höchstens zu, wenn beide Aufrufe (der Zugriff über das Portal und das Empfangen/die Eingabe der TAN) von dem gleichen Gerät aus erfolgen. Ansonsten ist der Aufwand um an die mTAN zu kommen, mindestens so groß, wie um an das Passwort zu kommen und es gehört zumindest schon etwas kriminelle Energie dazu. Die mir bekannten Möglichkeiten sind:
    - es muss ein Zugang zum SS7-Netz bestehen oder
    - es muss eine Ersatz-SIM-Karte beschafft werden oder
    - es muss eine Schadsoftware auf dem Gerät vorhanden sein

    Es ist insofern ein Sicherheitsgewinn, dass eine zusätzliche Hürde vom Angreifer überwunden werden muss. Das verhindert zumindest schon mal, dass jemand der nur das Passwort hat damit irgendetwas anstellen kann.

    LG
    Kleba

  7. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: AllDayPiano 13.12.18 - 09:48

    Ich nutze SMS TAN bei der Sparkasse und bei der Raiffeisenbank. Beide verbieten Transaktionen von diesem Handy aus. Es kommt nur die Meldung, dass das Onlinebanking von diesem Gerät aus nicht möglich sei und man dafür eine andere TAN-Variante nutzen soll.

    Ich möchte aber keine zweite Banking-App, die dann auch noch auf gerooteten Geräten nicht funktioniert, nur um eine TAN zu bekommen. Ich bleibe bei SMS Tan.

    Die TAN-Liste war eigentlich schon sehr sinnvoll (mit randomisierter TAN-Auswahl) aber leider waren die Menschen zu blöd dafür, das zu nutzen. Auch SMS Tan ist eigentlich relativ sicher, wenn die Menschen auch das lesen würden, was in der SMS steht.

  8. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Truster 13.12.18 - 12:01

    funktioniert vermutlich nur, wenn du die App nutzt. Wie will er übern Browser feststellen, von welchem Gerät du kommst?

  9. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: max.pecu 13.12.18 - 14:00

    Dürfte Account gebunden sein.
    d.h. wenn du mit einem Mobilgerät dich einloggst kannst du keine Überweisungen etc. tätigen.

    So ist es zumindest bei meiner Sparkasse. Kontostand etc. kann ich Mobil sehen, aber keine Änderungen / Überweisungen etc. durchführen.

  10. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: topas08 14.12.18 - 08:03

    Same here ... Auch bei meiner Sparkasse geht es beim Onlinebanking bei der Überweisung nicht weiter. Übersicht, Kontoverlauf ... sind einsehbar, aber alles was per mTAN ablaufen würde wird blockiert. Dann muss halt ein zweites Gerät gezückt werden, um wahlweise das Banking selbst zu machen (per Tablet, Laptop...) oder die mTAN zu empfangen (man kann im Banking auch 2 Handynummern hinterlegen & bei jedem Vorgang festlegen, an welche die mTAN gehen soll (z. B. Handy des Partners)).
    Würde in dem im Beitrag beschriebenen Szenario aber nur Sinn machen, wenn die Dokumente nur über das Portal erreichbar wären (und dann der Abruf per mTAN freigeschaltet wird), da einerseits das Passwort der PDF (wahrscheinlich) so kurz ist ("Der User kann doch keine langen Passwörter abtippen, total user-unfreundlich") dass ein BruteForce interessant sein könnte. Und andererseits nur "one way" ist - beide Informationen werden über denselben Weg übertragen, so dass der Zugriff auf ein Anwendung/Gerät (Mailpostfach) genügt um die Sicherheitssperre zu überwinden.

  11. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Truster 14.12.18 - 10:17

    Und was passiert, wenn man mit Crome "Desktop-Webseite" aktiviert?

  12. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: ibsi 14.12.18 - 14:10

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > Beide verbieten Transaktionen von diesem Handy aus.

    Schalte in dem Browser deiner Wahl den Desktopmodus an, komm frisch auf die Seite und mach beides auf dem selben Gerät ;) Hat bisher immer funktioniert

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Transdev GmbH, Berlin
  2. Dallmeier electronic, Raum Stuttgart
  3. Netze BW GmbH, Karlsruhe
  4. Sedus Stoll AG, Dogern

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 0,49€
  3. 2,99€
  4. (-69%) 12,50€


Haben wir etwas übersehen?

E-Mail an news@golem.de


5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. Sindelfingen Mercedes und Telefónica Deutschland errichten 5G-Netz
  2. iPhone-Modem Apple will Intels deutsches 5G-Team übernehmen
  3. Bundesnetzagentur Mobilfunkbetreiber vermissen Chefplaner bei 5G-Auktion

Vernetztes Fahren: Wer hat uns verraten? Autodaten
Vernetztes Fahren
Wer hat uns verraten? Autodaten

An den Daten vernetzter Autos sind viele Branchen und Firmen interessiert. Die Vorschläge zu Speicherung und Zugriff auf die Daten sind jedoch noch nebulös. Und könnten den Fahrzeughaltern große Probleme bereiten.
Eine Analyse von Friedhelm Greis

  1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
  2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
  3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

  1. Bamboo Ink Plus: Wacoms neuer Dual-Digitizer-Stift ist per USB-C aufladbar
    Bamboo Ink Plus
    Wacoms neuer Dual-Digitizer-Stift ist per USB-C aufladbar

    Wacoms Bamboo Ink Plus braucht keine Primärzelle mehr, wie das beim Vorgänger noch der Fall war. Dafür ist die Akkulaufzeit aber für Zeichner ziemlich kurz. Wie der Vorgänger werden zudem sowohl Wacoms als auch Microsofts aktives Protokoll unterstützt.

  2. iPhones und Co.: Apple will offenbar Produktion aus China verlagern
    iPhones und Co.
    Apple will offenbar Produktion aus China verlagern

    Der Wirtschaftsstreit zwischen den USA und China scheint sich nicht so bald zu beruhigen - und Apple wird offenbar langsam nervös. Das Unternehmen soll sich nach alternativen Produktionsstandorten umschauen und bis zu 30 Prozent der Produktion umsiedeln wollen.

  3. Mozilla: Firefox bekommt Passwort-Generator
    Mozilla
    Firefox bekommt Passwort-Generator

    Als Teil der neuen Passwortverwaltung soll der Firefox-Browser künftig auch zufällige Passwörter erzeugen können. Die Funktion kann in aktuellen Nightly-Builds des Browsers getestet werden.


  1. 15:00

  2. 14:46

  3. 14:26

  4. 14:12

  5. 13:09

  6. 12:11

  7. 12:05

  8. 11:35