Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IT-Sicherheit: Banken nutzen…

Warum nicht TAN-Verfahren wiederverwenden?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum nicht TAN-Verfahren wiederverwenden?

    Autor: me4096 12.12.18 - 11:40

    Die Antwort ist ein Link auf die Seite der Bank, diese fordert eine TAN die auf dem selben Weg zugestellt wird wie für onlineBanking. Nach erfolgreicher Eingabe der TAN wird die Nachricht angezeigt.

    Im Prinzip könnte man auch die TAN als Passwort für ein PDF verwenden, aber die ist in ihrer jetzigen Form ja wahnwitzig kurz und einfach zu bruteforcen (Nachdem man bei dem PDF ja nicht die Anzahl der Versuche begrenzen oder die Pararellisierbarkeit des Angriffs unterbinden kann), müsste also deutlich länger sein und mehr mögliche Zeichen haben.

  2. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Kleba 12.12.18 - 12:03

    Meine Versicherung macht das teilweise so. Also nicht per klassischen TAN-Brief, sondern per Mobil-TAN (also eine SMS mit TAN). Wenn ich mich ins Portal einlogge, sehe ich zwar den Betreff des Schreibens, aber das PDF herunterladen/ansehen, geht erst nach Bestätigung per TAN.

    Ist zumindest schon mal 2-Faktor abgesichert, auch wenn es keine klassische verschlüsselte Kommunikation ist (das PDF selbst ist ja nicht verschlüsselt/besonders geschützt, sondern lediglich der Zugriff darauf).

  3. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: whitbread 12.12.18 - 22:37

    Also wer mTAN als 2FA lobt hat wohl ein wenig gepennt. Das ist nur unnötiger Aufwand ohne Sicherheitsgewinn!

  4. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: decaflon 12.12.18 - 23:47

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > Also wer mTAN als 2FA lobt hat wohl ein wenig gepennt. Das ist nur
    > unnötiger Aufwand ohne Sicherheitsgewinn!

    Wieso das?

  5. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: user6845 13.12.18 - 00:19

    Nun mTan ist dann nutzlos, wenn man eh alles über das Smartphone macht, da es dann keinen zweiten Faktor gibt.

    > müsste also deutlich länger sein und mehr mögliche Zeichen haben.

    Tan nicht zum Entschlüsseln der Daten nutzen, sondern zum Download beim Anbieter.

    Z.B. Link in der E-Mail zur PDF, aufgerufene Seite verlangt TAN
    Andererseits gefährlich, weil anfällig für Angriffe:
    URL auf Fakeseite die TANs abgreifen.


    Kurze Zugangsdaten wie TAN oder TOTP sind nur für geschlossene Systeme,
    die vom Angreifer nicht manipulierbar sind (Bruteforce per Limit einschränken).

  6. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Kleba 13.12.18 - 07:52

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > Also wer mTAN als 2FA lobt hat wohl ein wenig gepennt. Das ist nur
    > unnötiger Aufwand ohne Sicherheitsgewinn!

    Das trifft höchstens zu, wenn beide Aufrufe (der Zugriff über das Portal und das Empfangen/die Eingabe der TAN) von dem gleichen Gerät aus erfolgen. Ansonsten ist der Aufwand um an die mTAN zu kommen, mindestens so groß, wie um an das Passwort zu kommen und es gehört zumindest schon etwas kriminelle Energie dazu. Die mir bekannten Möglichkeiten sind:
    - es muss ein Zugang zum SS7-Netz bestehen oder
    - es muss eine Ersatz-SIM-Karte beschafft werden oder
    - es muss eine Schadsoftware auf dem Gerät vorhanden sein

    Es ist insofern ein Sicherheitsgewinn, dass eine zusätzliche Hürde vom Angreifer überwunden werden muss. Das verhindert zumindest schon mal, dass jemand der nur das Passwort hat damit irgendetwas anstellen kann.

    LG
    Kleba

  7. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: AllDayPiano 13.12.18 - 09:48

    Ich nutze SMS TAN bei der Sparkasse und bei der Raiffeisenbank. Beide verbieten Transaktionen von diesem Handy aus. Es kommt nur die Meldung, dass das Onlinebanking von diesem Gerät aus nicht möglich sei und man dafür eine andere TAN-Variante nutzen soll.

    Ich möchte aber keine zweite Banking-App, die dann auch noch auf gerooteten Geräten nicht funktioniert, nur um eine TAN zu bekommen. Ich bleibe bei SMS Tan.

    Die TAN-Liste war eigentlich schon sehr sinnvoll (mit randomisierter TAN-Auswahl) aber leider waren die Menschen zu blöd dafür, das zu nutzen. Auch SMS Tan ist eigentlich relativ sicher, wenn die Menschen auch das lesen würden, was in der SMS steht.

  8. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Truster 13.12.18 - 12:01

    funktioniert vermutlich nur, wenn du die App nutzt. Wie will er übern Browser feststellen, von welchem Gerät du kommst?

  9. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: max.pecu 13.12.18 - 14:00

    Dürfte Account gebunden sein.
    d.h. wenn du mit einem Mobilgerät dich einloggst kannst du keine Überweisungen etc. tätigen.

    So ist es zumindest bei meiner Sparkasse. Kontostand etc. kann ich Mobil sehen, aber keine Änderungen / Überweisungen etc. durchführen.

  10. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: topas08 14.12.18 - 08:03

    Same here ... Auch bei meiner Sparkasse geht es beim Onlinebanking bei der Überweisung nicht weiter. Übersicht, Kontoverlauf ... sind einsehbar, aber alles was per mTAN ablaufen würde wird blockiert. Dann muss halt ein zweites Gerät gezückt werden, um wahlweise das Banking selbst zu machen (per Tablet, Laptop...) oder die mTAN zu empfangen (man kann im Banking auch 2 Handynummern hinterlegen & bei jedem Vorgang festlegen, an welche die mTAN gehen soll (z. B. Handy des Partners)).
    Würde in dem im Beitrag beschriebenen Szenario aber nur Sinn machen, wenn die Dokumente nur über das Portal erreichbar wären (und dann der Abruf per mTAN freigeschaltet wird), da einerseits das Passwort der PDF (wahrscheinlich) so kurz ist ("Der User kann doch keine langen Passwörter abtippen, total user-unfreundlich") dass ein BruteForce interessant sein könnte. Und andererseits nur "one way" ist - beide Informationen werden über denselben Weg übertragen, so dass der Zugriff auf ein Anwendung/Gerät (Mailpostfach) genügt um die Sicherheitssperre zu überwinden.

  11. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: Truster 14.12.18 - 10:17

    Und was passiert, wenn man mit Crome "Desktop-Webseite" aktiviert?

  12. Re: Warum nicht TAN-Verfahren wiederverwenden?

    Autor: ibsi 14.12.18 - 14:10

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > Beide verbieten Transaktionen von diesem Handy aus.

    Schalte in dem Browser deiner Wahl den Desktopmodus an, komm frisch auf die Seite und mach beides auf dem selben Gerät ;) Hat bisher immer funktioniert

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ING-DiBa AG, Nürnberg
  2. BWI GmbH, München, Rheinbach, Leipzig
  3. Statistisches Bundesamt, Wiesbaden
  4. über duerenhoff GmbH, Raum Offenburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 32,49€
  2. 3,86€
  3. 24,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Security: Vernetzte Autos sicher machen
Security
Vernetzte Autos sicher machen

Moderne Autos sind rollende Computer mit drahtloser Internetverbindung. Je mehr davon auf der Straße herumfahren, desto interessanter werden sie für Hacker. Was tun Hersteller, um Daten der Insassen und Fahrfunktionen zu schützen?
Ein Bericht von Dirk Kunde

  1. Alarmsysteme Sicherheitslücke ermöglicht Übernahme von Autos
  2. Netzwerkanalyse Wireshark 3.0 nutzt Paketsniffer von Nmap
  3. Sicherheit Wie sich "Passwort zurücksetzen" missbrauchen lässt

Uploadfilter: Der Generalangriff auf das Web 2.0
Uploadfilter
Der Generalangriff auf das Web 2.0

Die EU-Urheberrechtsreform könnte Plattformen mit nutzergenerierten Inhalten stark behindern. Die Verfechter von Uploadfiltern zeigen dabei ein Verständnis des Netzes, das mit der Realität wenig zu tun hat. Statt Lizenzen könnte es einen anderen Ausweg geben.
Eine Analyse von Friedhelm Greis

  1. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  2. EU-Urheberrecht Die verdorbene Reform
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

Uploadfilter: Voss stellt Existenz von Youtube infrage
Uploadfilter
Voss stellt Existenz von Youtube infrage

Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

  1. Uploadfilter SPD setzt auf Streichung von Artikel 13
  2. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
  3. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen

  1. Zweiter Sender: Fernsehen über 5G in Bayern ist einsatzbereit
    Zweiter Sender
    Fernsehen über 5G in Bayern ist einsatzbereit

    Um Fernsehen auf dem Smartphone zu empfangen, ist keine SIM-Karte nötig, es gibt einen Free-to-Air-Modus. In Bayern geht es jetzt los, bald mit 5G.

  2. Experte: 5G-Auktion könnte bei Ausstieg von Drillisch schnell enden
    Experte
    5G-Auktion könnte bei Ausstieg von Drillisch schnell enden

    Bis zum Ende dieser Woche wurden bei der Auktion für die 5G-Frequenzen 662,8 Millionen Euro geboten. Wir wollten von einem Experten wissen, wie es weitergeht.

  3. Elektromobilität: Oslo bekommt Induktionslader für Taxis
    Elektromobilität
    Oslo bekommt Induktionslader für Taxis

    Norwegen ist Vorreiter bei der Elektromobilität und will Autos mit Verbrennungsantrieb in wenigen Jahren abschaffen. Damit Oslos Taxis in Zukunft elektrisch fahren, initiiert die Stadt den Aufbau einer Ladeinfrastruktur für die E-Taxis.


  1. 19:12

  2. 18:32

  3. 17:59

  4. 17:15

  5. 16:50

  6. 16:30

  7. 16:10

  8. 15:43