1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Onlinebanking: Sparkassen-App für…

Kann man denn kein dediziertes PushTAN-Gerät bauen?

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Kann man denn kein dediziertes PushTAN-Gerät bauen?

    Autor: Spaghetticode 28.12.15 - 22:22

    (dediziertes PushTAN-Gerät = ein Gerät, was nur dazu da ist, PushTANs zu empfangen)

    Dieses Gerät bräuchte eigentlich nur eine Low-End-CPU, eine Batterie, ein Schwarz-Weiß-Display, einen WLAN-Chip und ein paar Knöpfe zum Ein-/Ausschalten und Konfigurieren. So etwas sollte für unter 20 Euro zu machen sein.

    Dieses Gerät kann klein sein (weil wir keinen Kartenleser, keinen Strichcodescanner und keine Zifferntastatur brauchen), überall benutzt werden (entweder im heimischen WLAN oder per Tethering) und ist bequemer als dieser Blinkercode, wo man erst aufs Einlesen warten muss.

    Nachteil ist, dass die Einrichtung umständlich ist (Eingabe der Benutzerdaten und des WLAN-Schlüssels) und dass es prinzipbedingt nicht in WLANs mit Captive Portal funktioniert.

  2. chipTAN

    Autor: Kondom 28.12.15 - 22:32

    Seit Jahren gibt es chipTAN (auch bei allen Sparkassen). Die Geräte gibt's ~15¤ oder kostenlos bei der Bank. EC-Karte reinstecken, bisschen was eintippen, fertig. Ganz ohne WLAN, Blinkercode oder Smartphone.

  3. Re: chipTAN

    Autor: SpliTref 28.12.15 - 22:41

    Kondom schrieb:
    --------------------------------------------------------------------------------
    > Seit Jahren gibt es chipTAN (auch bei allen Sparkassen). Die Geräte gibt's
    > ~15¤ oder kostenlos bei der Bank. EC-Karte reinstecken, bisschen was
    > eintippen, fertig. Ganz ohne WLAN, Blinkercode oder Smartphone.

    Verdrehst du das nicht etwas? Beim chipTAN gibt es natürlich einen Blinkercode

  4. Re: chipTAN

    Autor: Spaghetticode 28.12.15 - 22:46

    SpliTref schrieb:
    --------------------------------------------------------------------------------
    > Verdrehst du das nicht etwas? Beim chipTAN gibt es natürlich einen
    > Blinkercode

    Es gibt zwei Varianten: Eine mit Blinkercode, und eine mit manuellem Eintippen. Man kann zwischen den beiden Varianten während der ChipTAN-Abfrage/Eingabe im Onlinebanking umschalten, falls es beispielsweise mit dem Blinkercode nicht geht. Mit dem Blinkercode dürfte man aber schneller sein.



    1 mal bearbeitet, zuletzt am 28.12.15 22:47 durch Spaghetticode.

  5. Re: chipTAN

    Autor: OhYeah 28.12.15 - 23:15

    Der Blinkcode wird nicht von jeder Anwendung einwandfrei unterstützt und ich selbst finde ihn frustrierend.

    Swag

  6. Re: chipTAN

    Autor: SpliTref 28.12.15 - 23:17

    Spaghetticode schrieb:
    --------------------------------------------------------------------------------
    > SpliTref schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Verdrehst du das nicht etwas? Beim chipTAN gibt es natürlich einen
    > > Blinkercode
    >
    > Es gibt zwei Varianten: Eine mit Blinkercode, und eine mit manuellem
    > Eintippen. Man kann zwischen den beiden Varianten während der
    > ChipTAN-Abfrage/Eingabe im Onlinebanking umschalten, falls es
    > beispielsweise mit dem Blinkercode nicht geht. Mit dem Blinkercode dürfte
    > man aber schneller sein.


    oh okay :), ist mir noch nie aufgefallen! Hatte bisher auch noch keine Probleme mit dem Flickercode

  7. Re: Kann man denn kein dediziertes PushTAN-Gerät bauen?

    Autor: Anonymer Nutzer 28.12.15 - 23:42

    Können kann man viel. Aber der Durchschnittsmensch ist eben ein faules Stück und es ist viel zu umständlich ein zweites gerät für sowas zu verwenden. ;)

  8. Re: chipTAN

    Autor: desmaddin 29.12.15 - 00:00

    Kondom schrieb:
    --------------------------------------------------------------------------------
    > Seit Jahren gibt es chipTAN (auch bei allen Sparkassen). Die Geräte gibt's
    > ~15¤ oder kostenlos bei der Bank. EC-Karte reinstecken, bisschen was
    > eintippen, fertig. Ganz ohne WLAN, Blinkercode oder Smartphone.

    Das setzt aber voraus, dass man sowohl die EC Karte als auch den TAN Generator immer dabei hat - Und das ist dann schon wieder unsicher, weil ein Angreifer mit beidem beliebige Überweisungen ausführen könnte.

    Die Zeiten von Online Banking im stillen Hinterkämmerchen sind allerdings auch vorbei. Von daher wird man über kurz oder lang Mittel und Wege finden müssen, die sowohl sicher als auch praktikabel sind - nicht nur eins von beidem.

  9. Re: chipTAN

    Autor: nautsch 29.12.15 - 00:32

    desmaddin schrieb:
    --------------------------------------------------------------------------------
    > Kondom schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Seit Jahren gibt es chipTAN (auch bei allen Sparkassen). Die Geräte
    > gibt's
    > > ~15¤ oder kostenlos bei der Bank. EC-Karte reinstecken, bisschen was
    > > eintippen, fertig. Ganz ohne WLAN, Blinkercode oder Smartphone.
    >
    > Das setzt aber voraus, dass man sowohl die EC Karte als auch den TAN
    > Generator immer dabei hat - Und das ist dann schon wieder unsicher, weil
    > ein Angreifer mit beidem beliebige Überweisungen ausführen könnte.

    Nein. Man benötigt bei dieser Zwei-Faktor Authentifizierung beide Faktoren. Also die EC Karte (der Generator ist generisch) UND das Passwort. Also nur mit Handy und EC Karte hat der Gauner noch nichts gewonnen. (Wir ignorieren hier die hirnrissigen Einschränkungen bei der Passwortvergabe mancher Banken)



    1 mal bearbeitet, zuletzt am 29.12.15 00:33 durch nautsch.

  10. Re: chipTAN

    Autor: thomas001le 29.12.15 - 00:46

    Denn heutzutage will ich Onlinebanking auch in der Fußgängerzone, im Fitnesstudio und nachts im Club....also ich wollte noch nie woanders etwas überweisen als zu Hause...aber vielleicht bin ich zu alt für die neuen Trends oO

  11. Re: Kann man denn kein dediziertes PushTAN-Gerät bauen?

    Autor: nmSteven 29.12.15 - 01:28

    Der Sinn von PushTAN ist es doch das zweite Gerät sich zu sparen und Zeitgleich noch Geld zu sparen, da die Kunden eh die SMS TAN zusammen mit einer Banking APP auf ein und dem selben Gerät nutzen.

    Fakt ist das eine sichere zwei Faktor Autorisierung wie es die TAN eigentlich sein sollte nur durch einen Medien Bruch gewährleistet werden kann, selbst das klassische Online Banking am PC mit der SMS TAN ist theoretisch angreifbar. Nicht angreifbar ist nur die Papierliste oder wirklich ein Netzunabhängiger TAN Generator.

    Die Frage ist nun wie viel Sicherheit möchte der Kunde oder die Bank aufgeben für welchen Komfort. Von meinem Standpunkt aus ist es absolut Vertretbar, dass wenn die Bank sagt bis 500¤ Garantieren wir für das PushTan verfahren, bieten unseren Kunden damit mehr Komfort und für alle Überweisungen über 500¤ sind nur mit TAN Generator oder TAN Liste möglich.

  12. Re: Kann man denn kein dediziertes PushTAN-Gerät bauen?

    Autor: Anonymer Nutzer 29.12.15 - 01:55

    nmSteven schrieb:
    --------------------------------------------------------------------------------
    > [...] Nicht angreifbar ist nur die Papierliste [...]
    Auch die Papiertanliste ist angreifbar. Wenn ein bösartiges Programm deine eingegebenen Daten abändert, dir aber weiterhin deine Daten anzeigt überweist du mit deiner TAN Geld woanders hin.

    Bisher gibt es schlicht kein 100%ig sicheres Verfahren. Jeder muss für sich selber wissen, welchen Geräten er vertraut und dann entscheiden, welches Verfahren er nutzt.
    Ich persönlich nutze, wenn möglich, immer die Methode über welche in der Presse berichtet wird, das sie Fehler enthält. Wieso? Ganz einfach! So ist im Betrugsfall der Nachweis am einfachsten, das das Verfahren Fehler aufweist. :)

  13. Re: Kann man denn kein dediziertes PushTAN-Gerät bauen?

    Autor: Spaghetticode 29.12.15 - 01:55

    nmSteven schrieb:
    --------------------------------------------------------------------------------
    > Nicht angreifbar ist nur die Papierliste
    Nein, da hier die TAN weder von Auftragsdaten abhängig ist noch bei Lieferung an den Nutzer an den Auftrag gebunden wurde. Das heißt, dass die TAN auf der Papierliste für einen beliebigen Auftrag verwendet werden kann. Beziehungsweise sieht man auf der Papierliste nicht, für welchen Auftrag die TAN gedacht ist.

  14. Re: Kann man denn kein dediziertes PushTAN-Gerät bauen?

    Autor: robinx999 29.12.15 - 06:53

    Mit Seperatem Gerät ist es auch nur sicher wenn man auf dem Gerät das die TAN Generiert auch noch Betrag / Empfängerkonto sehen kann und dafür muss das Gerät schon etwas mehr können. Ob die Eingabe jetzt über Blinkcode oder manuelles Eintippen der Daten erfolgt macht keinen wirklichen Unterschied.
    Falls man es am Smartphone / Tablet nutzen will wäre es natürlich noch nett wenn der Generator die TAN auch in Form eines QR Codes generieren würde. (Wäre generell wohl auch besser wie der Blinkcode für die Umgekehrte Richtung aber ein Kamera Modul wäre vermutlich zu teuer für das TAN Gerät)

  15. Re: Kann man denn kein dediziertes PushTAN-Gerät bauen?

    Autor: ChevalAlazan 29.12.15 - 06:54

    Spaghetticode schrieb:
    --------------------------------------------------------------------------------
    > (dediziertes PushTAN-Gerät = ein Gerät, was nur dazu da ist, PushTANs zu
    > empfangen)
    >
    > Dieses Gerät bräuchte eigentlich nur eine Low-End-CPU, eine Batterie, ein
    > Schwarz-Weiß-Display, einen WLAN-Chip und ein paar Knöpfe zum
    > Ein-/Ausschalten und Konfigurieren. So etwas sollte für unter 20 Euro zu
    > machen sein.

    Warum nutzt man das Verfahren nicht einfach so, wie es gedacht ist?
    PushTAN auf dem Smartphone erstellen und diese dann im Browser des Computers eingeben. Schon hat man zwei Geräte.

    Aber nein, wenn so ein schlauer Student die Ratschläge der Banken missachtet und dadurch das Verfahren austrickst, klingt das natürlich viel furchterregender und schon muss man über kleine Geräte diskutieren, statt einfach das Gehirn einzuschalten.

  16. Re: Kann man denn kein dediziertes PushTAN-Gerät bauen?

    Autor: robinx999 29.12.15 - 07:05

    > Warum nutzt man das Verfahren nicht einfach so, wie es gedacht ist?
    > PushTAN auf dem Smartphone erstellen und diese dann im Browser des
    > Computers eingeben. Schon hat man zwei Geräte.
    >
    > Aber nein, wenn so ein schlauer Student die Ratschläge der Banken
    > missachtet und dadurch das Verfahren austrickst, klingt das natürlich viel
    > furchterregender und schon muss man über kleine Geräte diskutieren, statt
    > einfach das Gehirn einzuschalten.

    Also ich weiß nicht auf der Seite der Sparkasse steht aber nichts von zwei Geräten, im Gegenteil das Verfahren wird damit beworben das man nur ein Gerät braucht
    https://www.sparkasse.de/service/sicherheit-im-internet/tan-verfahren.html

    ---
    Mobile-Banking mit der pushTAN

    Empfangen Sie TANs unterwegs auf Ihrem Smartphone oder Tablet jederzeit und überall. Sie benötigen nur ein Gerät, um auf Ihr Konto zugreifen und Geld überweisen zu können.
    Die Vorteile beim pushTAN-Verfahren:

    Keine Zusatzgeräte nötig
    Für Smartphones und Tablets als auch für den PC
    Jede TAN gilt nur für einen bestimmten Auftrag

    ---

  17. Re: chipTAN

    Autor: Anonymer Nutzer 29.12.15 - 08:43

    desmaddin schrieb:
    --------------------------------------------------------------------------------
    > Kondom schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Seit Jahren gibt es chipTAN (auch bei allen Sparkassen). Die Geräte
    > gibt's
    > > ~15¤ oder kostenlos bei der Bank. EC-Karte reinstecken, bisschen was
    > > eintippen, fertig. Ganz ohne WLAN, Blinkercode oder Smartphone.
    >
    > Das setzt aber voraus, dass man sowohl die EC Karte als auch den TAN
    > Generator immer dabei hat - Und das ist dann schon wieder unsicher, weil
    > ein Angreifer mit beidem beliebige Überweisungen ausführen könnte.
    >
    > Die Zeiten von Online Banking im stillen Hinterkämmerchen sind allerdings
    > auch vorbei. Von daher wird man über kurz oder lang Mittel und Wege finden
    > müssen, die sowohl sicher als auch praktikabel sind - nicht nur eins von
    > beidem.

    Nö. Man braucht noch den EC Karten PIN. Wer so blöd ist den auf einen Zettel zu schreiben der mit der Karte gelagert wird hat es nicht anders verdient.
    (Nichts spricht gegen den Zettel an sich, dann aber sicher getrennt fernab lagern.)
    Barclays nutzt Karte + "PIN Sentry", letzterer kann für manche Funktionen auch durch ein Smartphone ersetzt werden (zumindest beim Online Banking Login) sofern das eigene Telefon unterstützt wird... (kein BlackBerry, kein root...)

  18. Re: chipTAN

    Autor: baltasaronmeth 29.12.15 - 09:15

    Der zweite Faktor ist sowieso erst interessant, wenn entweder die PIN bekannt ist oder die Browsersession abgefangen werden kann. Ist meine PIN bekannt und meine EC-Karte vorhanden, brauch ein Angreifer mein Handy nicht. Die TAN war nie gedacht, um Angreifer vor Ort anzugehen, sondern um gekaperten Browsersessions und geklauten PINs im Onlinebanking etwas entgegenzusetzen.

  19. Re: Kann man denn kein dediziertes PushTAN-Gerät bauen?

    Autor: johnripper 29.12.15 - 09:57

    ChevalAlazan schrieb:
    --------------------------------------------------------------------------------
    > Warum nutzt man das Verfahren nicht einfach so, wie es gedacht ist?
    > PushTAN auf dem Smartphone erstellen und diese dann im Browser des
    > Computers eingeben. Schon hat man zwei Geräte.

    Naja die Sprkasse suggeriert, dass ein Gerät ok ist. Die BaFin weiß aber schon warum sie zwei fordert.

    Als Entscheider würde ich eher auf Verfahren wie photoTAN (z.B. bei der Commerzbank im Einsatz) setzen. Unmöglich hier ohne zwei Geräte zu arbeiten, da eine QR-Code abfotografiert werden muss. Vom gleichen Gerät geht das nicht, außer man verwendet einen Spiegel. ..oder so.

  20. Re: Kann man denn kein dediziertes PushTAN-Gerät bauen?

    Autor: robinx999 29.12.15 - 11:00

    > Als Entscheider würde ich eher auf Verfahren wie photoTAN (z.B. bei der
    > Commerzbank im Einsatz) setzen. Unmöglich hier ohne zwei Geräte zu
    > arbeiten, da eine QR-Code abfotografiert werden muss. Vom gleichen Gerät
    > geht das nicht, außer man verwendet einen Spiegel. ..oder so.


    Dafür steht bei der Deutschen Bank unter photoTAN sogar folgendes
    https://www.deutsche-bank.de/pfb/content/privatkunden/online-mobile-banking_phototan.html?kid=i.9288.90.70
    ---
    Im Mobile-Banking (Smartphone und Tablet) brauchen Sie kein zweites Smartphone oder separates Lesegerät. Die „Meine Bank“-App und die „photoTAN“-App tauschen die erforderlichen Informationen direkt aus.
    ---
    Womit wir dann wieder bei den Problemen wären, also je nach Implementierung scheint es da genauso problematisch zu sein. Bei dem Erklärvideo https://www.youtube.com/watch?v=KunTMN9cMt0 (00:52) wird da ja auch direkt gezeigt das alles auf einem Gerät stattfindet.

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ABO Wind AG, Wiesbaden
  2. ESG Elektroniksystem- und Logistik-GmbH, Donauwörth
  3. Dataport, Bremen, Magdeburg, Hamburg
  4. Landeshauptstadt Stuttgart, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 399,00€ (Bestpreis! zzgl. Versand)
  2. (u. a. RTX 2080 ROG Strix Gaming Advanced für 699€, RTX 2080 SUPER Dual Evo OC für 739€ und...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.


    Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
    Bosch-Parkplatzsensor im Test
    Ein Knöllchen von LoRa

    Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
    Ein Test von Friedhelm Greis

    1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
    2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

    Frauen in der IT: Ist Logik von Natur aus Männersache?
    Frauen in der IT
    Ist Logik von Natur aus Männersache?

    Wenn es um die Frage geht, warum es immer noch so wenig Frauen in der IT gibt, kommt früher oder später das Argument, dass Frauen nicht eben zur Logik veranlagt seien. Kann die niedrige Zahl von Frauen in dieser Branche tatsächlich mit der Biologie erklärt werden?
    Von Valerie Lux

    1. IT-Jobs Gibt es den Fachkräftemangel wirklich?
    2. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen
    3. IT-Freelancer Paradiesische Zustände

    1. Security Lab: Github sucht mit Partnern nach Lücken in Open Source Code
      Security Lab
      Github sucht mit Partnern nach Lücken in Open Source Code

      Mit seinem Security-Lab will der Code-Hoster Github künftig aktiv nach Sicherheitslücken in Open Source Code suchen und wird dabei von vielen Unternehmen unterstützt. Für Github-Nutzer soll zudem der Umgang mit Sicherheitslücken einfacher werden.

    2. SSD: Crucials BX500 erhält QLC- statt TLC-Speicher
      SSD
      Crucials BX500 erhält QLC- statt TLC-Speicher

      Die BX500 gibt es mittlerweile auch mit 1 TByte und 2 TByte Kapazität. Crucial verwendet bei den günstigen Sata-SSDs jedoch etwas flotteren Flash-Speicher als bei den bisherigen kleineren Modellen.

    3. Raumfahrt: Mehr Geld für die Raumfahrt reicht nicht aus
      Raumfahrt
      Mehr Geld für die Raumfahrt reicht nicht aus

      Eine mögliche leichte Senkung des deutschen Beitrags zur Esa bringt nicht die Raumfahrt in Gefahr. Deren heutige Probleme sind Resultat von Fehlentscheidungen, die hohe Kosten und Ausgaben nach sich ziehen. Zuerst braucht es Reformen statt noch mehr Geld.


    1. 10:28

    2. 10:13

    3. 10:00

    4. 09:45

    5. 09:26

    6. 09:08

    7. 08:02

    8. 07:44