1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Online-Banking: In 150 Tagen…

stumpfe Grundregel: das TAN-Generierende gerät darf keine Verbindungen...

  1. Thema

Neues Thema Ansicht wechseln


  1. stumpfe Grundregel: das TAN-Generierende gerät darf keine Verbindungen...

    Autor: meinoriginalusergehtnichtmehr 18.04.19 - 13:00

    Kredo: Das TAN-Generierende Gerät darf physisch über keine Möglichkeiten verfügen sich mit anderen Geräten in irgendeiner Art zu verbinden...

    sprich: ChipTAN und auch wirklich nur ChipTAN

    weil: Authentifizierung braucht Variablen.
    - Bei der SMS-Tan gibt es quasi keine Variable (der Angreifer muss per IMSI-Catcher einfach nur auf die richtigen Zielnummern horchen)
    - bei PhotoTAN muss auf dem Computerdisplay per Farbcode dargestellter Wert die Gerätekennung des TAN-Generators sein (was bei Android-Geräten ohne Probleme auch ohne Root zu fälschen ist - vgl. "Änderung Android-ID" in Apps wie AppCloner oder Parallel Space)
    - nur bei chipTAN muss das ChipTAN-Gerät den richtigen TAN-Zähler haben und die richtige Karte eingesteckt haben

    zusätzlich zu den Daten die aus der Transaktion ersichtlich werden (Ziel-IBAN und Transaktionshöhe im Startcode versteckt)

    Es ist lohnenswert sich technisch in die Verfahren einzuarbeiten - z.B. um zu verstehen woraus ein "Startcode" bei der manuellen Dateneingabe ins ChipTAN Gerät besteht und so weiter.
    Allerdings geht das dann auch weiter: Will man photoTAN mit dem Smartphone nutzen sollte man vorher verstehen was bei Android ein "systemless root" ist und warum dieser Zusatzfunktionen bringen kann ohne Systemdateien zu ändern - und wie es "magisk" schaffen kann die Root-Rechte und sich selbst z.B. vor Banking-Apps zu verstecken.
    Erst dann hat man ein Gefühl letztendlich für die Sicherheit - und dann das Bedrängnis photoTAN dann doch mit einem separaten physischen Gerät machen zu wollen, welches eben keine Möglichkeiten hat sich mit irgendwelchen anderen zu verbinden. Und selbst induktives Laden ist eine "Verbindung" über die Daten übertragen werden könnten (stellt euch blos vor die chinesische QI-Ladeschale erkennt ein D-Lan oder Power-LAN und spricht dann halt einfach mit)

    Aber all das ist nicht der Fokus von Banken. Nicht einmal Login per 2 Stufiger Authentifizierung ist auf dem Schirm - oder ist als "zu aufwendig" angedacht - das habe ich so aus einem Beratergespräch. Dort wurde letztendlich gesagt dass die Bank bei "echten Schäden" eh die technischen Möglichkeiten für erzwungene Rückbuchungen habe und der Rest über entsprechende Bankenversicherungen abgedeckt ist.

    Der deutsche Bankensektor wird also altbacken bleiben, während bereits heute der Login in einen Google-Account ein höheres Authentifizierungslevel darstellt (vgl. PIN-lose Transaktionen über 25¤ via Google Pay dank Smartphone-Funkzellenabfrage, Standortverlauf und sonstigen Datenerhebungen). Das bedeutet jetzt allerdings nicht, dass die Banken sicherheitstechnisch außen vor bleiben, sie verlassen sich nun mal eben auf altes und bewährtes, was ebenso gleich gut sichern kann, nur dann eben nicht mehr präventiv...



    2 mal bearbeitet, zuletzt am 18.04.19 13:07 durch meinoriginalusergehtnichtmehr.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über ATLAS TITAN Paderborn GmbH, Gütersloh
  2. Heinrich-Heine-Universität, Düsseldorf
  3. ADMIRAL ENTERTAINMENT GmbH, Bingen
  4. ENGAGEMENT GLOBAL gGmbH, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 7,99€
  2. 19€
  3. 31,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Datenschutzverstöße EuGH soll über Verbandsklagerecht entscheiden
  2. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  3. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben

Realme X50 Pro im Test: Der Oneplus-Killer
Realme X50 Pro im Test
Der Oneplus-Killer

Oneplus bezeichnete sich einst als "Flagship-Killer", mittlerweile stellt sich die Frage, wer hier für wen gefährlich wird: Das X50 Pro des Schwesterunternehmens Realme ist ein wahrer "Oneplus-Killer".
Ein Test von Tobias Költzsch

  1. Astro Slide Neues 5G-Smartphone mit aufschiebbarer Tastatur
  2. Galaxy S20 Ultra im Test Samsung beherrscht den eigenen Kamerasensor nicht
  3. Red Magic 5G Neues 5G-Gaming-Smartphone kommt mit 144-Hz-Display

Energieversorgung: Wasserstoff-Fabrik auf hoher See
Energieversorgung
Wasserstoff-Fabrik auf hoher See

Um überschüssigen Strom sinnvoll zu nutzen, sollen in der Nähe von Offshore-Windparks sogenannte Elektrolyseure installiert werden. Der dort produzierte Wasserstoff wird in bestehende Erdgaspipelines eingespeist.
Ein Bericht von Wolfgang Kempkens

  1. Industriestrategie EU plant Allianz für sauberen Wasserstoff
  2. Energie Dieses Blatt soll es wenden
  3. Energiewende Grüner Wasserstoff aus der Zinnschmelze