1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Online-Banking: In 150 Tagen…
  6. Th…

Völlig bescheuert

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 15:51

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Gesagt getan, SMS-Tan war da, stellt sich raus: ist gar nicht absolut
    > sicher. Sofort wurde den Bänkern erklärt, das sei nur wegen dem Handy, weil
    > Handys ja generell nicht sicher sind, das weiß man ja. Also hat man das
    > nächste Verfahren ausprobiert, und dann das nächste, usw. Irgendwann
    > dämmerte es dann selbst beim letzten Vorstandschef, dass man hier wohl
    > jemandem auf den Leim gegangen war. Jetzt konnte man das aber nicht einfach
    > zugeben, also hat man gesagt: "PhotoTAN, das isses!" und alle haben
    > applaudiert und schlicht ignoriert, dass auch das nicht "vollständig
    > sicher" ist wie versprochen. Außerdem muss man ja später noch irgendwelche
    > Unternehmen kaufen die Blockchain im Namen haben, das ist nämlich gerade
    > voll im Trend!

    Es ist sowieso nichts sicher. Gäbe es 100%ige Sicherheit, könnte man auf Versicherungen verzichten.

    > Auf die Frage wie ich dann bei ner Handy-Überweisung ein Foto vom
    > Bildschirm machen soll würde so ein skizzierter Manager vermutlich mit:
    > "Hat ihr Handy denn keine Kamera?" beantworten.

    Deswegen geht das bei einigen Banken jetzt App2App.

  2. Re: Völlig bescheuert

    Autor: Localhorst86 18.04.19 - 15:56

    treysis schrieb:
    --------------------------------------------------------------------------------
    > Deswegen geht das bei einigen Banken jetzt App2App.


    App2App ist aber (meines Erachtens) konzeptionell völlig katastrophal. Hier wird wieder die physische Trennung der Geräte (Ein Gerät führt aus, ein Gerät validiert) aufgehoben.

    Ist dein Smartphone kompromitiert, ist dein Smartphone kompromitiert. Dann darf auch einer Kommunikation zweier Apps untereinander nicht mehr vertraut werden.

  3. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 16:05

    Localhorst86 schrieb:
    --------------------------------------------------------------------------------
    > treysis schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Deswegen geht das bei einigen Banken jetzt App2App.
    >
    > App2App ist aber (meines Erachtens) konzeptionell völlig katastrophal. Hier
    > wird wieder die physische Trennung der Geräte (Ein Gerät führt aus, ein
    > Gerät validiert) aufgehoben.
    >
    > Ist dein Smartphone kompromitiert, ist dein Smartphone kompromitiert. Dann
    > darf auch einer Kommunikation zweier Apps untereinander nicht mehr vertraut
    > werden.

    Jo, ich finds auch Schwachsinn. Aber ich halte mich einfach weiter an die Trennung. Ich finde selbst unterwegs jemanden, bei dem ich schnell das Banking ausführen kann, um es dann mit der App auf meinem Smartphone zu validieren. Den seltenen Fall, wo ich mal niemanden finde, nehme ich in Kauf. Bzw. dann kann mich mir immer noch spontan überlegen, ob ich mich nicht doch traue, App2App zu machen.

  4. Re: Völlig bescheuert

    Autor: Localhorst86 18.04.19 - 16:35

    treysis schrieb:
    --------------------------------------------------------------------------------
    > Jo, ich finds auch Schwachsinn. Aber ich halte mich einfach weiter an die
    > Trennung. Ich finde selbst unterwegs jemanden, bei dem ich schnell das
    > Banking ausführen kann, um es dann mit der App auf meinem Smartphone zu
    > validieren. Den seltenen Fall, wo ich mal niemanden finde, nehme ich in
    > Kauf. Bzw. dann kann mich mir immer noch spontan überlegen, ob ich mich
    > nicht doch traue, App2App zu machen.

    Es ist aber ja auch kritisch dass die Funktion ohne weiteres in der App aktiviert werden kann. Ohne verifizierung, ohne Hinweis. Wird der Schalter umgelegt, ist App2App aktiviert. M.E. kann aber bei einem kompromitierten Gerät auch bösartige Software die Funktion aktivieren.

    EDIT: mir wäre es am liebsten meine Bank würde mir eine App zur Verfügung stellen mit der ich mir mein Konto nur anschauen kann. Ich brauche auf meinem Smartphone keine Banking app mit der ich auch Überweisungen durchführen kann.



    1 mal bearbeitet, zuletzt am 18.04.19 16:40 durch Localhorst86.

  5. Re: Völlig bescheuert

    Autor: crazypsycho 18.04.19 - 18:08

    Howaner schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > whitbread schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Völlig bescheuert ist ein sicheres Verfahren gegen ein unsicheres
    > > Verfahren
    > > > (mTAN) zu ersetzen!
    > >
    > > mTAN ist in jedem Fall mindestens so sicher, wie iTAN. iTAN braucht
    > > definitiv nur ein infiziertes Gerät, damit Geld geklaut werden kann.
    > > Bei mTAN muss mindestens der PC und das Handy infiziert sein, bzw. der
    > PC
    > > infiziert sein und per Sozial-Enginiering eine neue SIM-Karte bestellt
    > > werden. Damit müssen zwei Faktoren kompromittiert sein.
    >
    > Um eine SMS oder einen Anruf mitzulesen oder umzuleiten ist keine SIM Karte
    > oder Handy nötig.
    > mTAN ist durch die Funktionsweise von SS7 ziemlich unsicher (Google einfach
    > mal nach SS7 Hack)

    Wenn es so einfach ist, warum hat es bisher noch niemand gemacht?

  6. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 18:56

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Howaner schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > LinuxMcBook schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > whitbread schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > Völlig bescheuert ist ein sicheres Verfahren gegen ein unsicheres
    > > > Verfahren
    > > > > (mTAN) zu ersetzen!
    > > >
    > > > mTAN ist in jedem Fall mindestens so sicher, wie iTAN. iTAN braucht
    > > > definitiv nur ein infiziertes Gerät, damit Geld geklaut werden kann.
    > > > Bei mTAN muss mindestens der PC und das Handy infiziert sein, bzw. der
    > > PC
    > > > infiziert sein und per Sozial-Enginiering eine neue SIM-Karte bestellt
    > > > werden. Damit müssen zwei Faktoren kompromittiert sein.
    > >
    > > Um eine SMS oder einen Anruf mitzulesen oder umzuleiten ist keine SIM
    > Karte
    > > oder Handy nötig.
    > > mTAN ist durch die Funktionsweise von SS7 ziemlich unsicher (Google
    > einfach
    > > mal nach SS7 Hack)
    >
    > Wenn es so einfach ist, warum hat es bisher noch niemand gemacht?

    Aber es wurde doch ausgenutzt?!

  7. Re: Völlig bescheuert

    Autor: crazypsycho 18.04.19 - 19:07

    treysis schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Howaner schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > LinuxMcBook schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > whitbread schrieb:
    > > > >
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > >
    > > > > -----
    > > > > > Völlig bescheuert ist ein sicheres Verfahren gegen ein unsicheres
    > > > > Verfahren
    > > > > > (mTAN) zu ersetzen!
    > > > >
    > > > > mTAN ist in jedem Fall mindestens so sicher, wie iTAN. iTAN braucht
    > > > > definitiv nur ein infiziertes Gerät, damit Geld geklaut werden kann.
    > > > > Bei mTAN muss mindestens der PC und das Handy infiziert sein, bzw.
    > der
    > > > PC
    > > > > infiziert sein und per Sozial-Enginiering eine neue SIM-Karte
    > bestellt
    > > > > werden. Damit müssen zwei Faktoren kompromittiert sein.
    > > >
    > > > Um eine SMS oder einen Anruf mitzulesen oder umzuleiten ist keine SIM
    > > Karte
    > > > oder Handy nötig.
    > > > mTAN ist durch die Funktionsweise von SS7 ziemlich unsicher (Google
    > > einfach
    > > > mal nach SS7 Hack)
    > >
    > > Wenn es so einfach ist, warum hat es bisher noch niemand gemacht?
    >
    > Aber es wurde doch ausgenutzt?!

    Wäre mir neu.

  8. Re: Völlig bescheuert

    Autor: LinuxMcBook 18.04.19 - 19:19

    twothe schrieb:
    --------------------------------------------------------------------------------
    > jemandem auf den Leim gegangen war. Jetzt konnte man das aber nicht einfach
    > zugeben, also hat man gesagt: "PhotoTAN, das isses!" und alle haben
    > applaudiert und schlicht ignoriert, dass auch das nicht "vollständig
    > sicher" ist wie versprochen. Außerdem muss man ja später noch irgendwelche
    > Unternehmen kaufen die Blockchain im Namen haben, das ist nämlich gerade
    > voll im Trend!

    Du vergisst bei dem ganzen nur, dass mit chipTAN oder photoTAN mit einem externen Gerät! derzeit noch nicht einmal ein theoretischer Angriffsweg vorstellbar ist. Dementsprechend ist das schon das, was der absoluten Sicherheit recht nahe kommt. Kostet halt nur eben einmalig mal 10-30¤...

  9. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 19:28

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > treysis schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > crazypsycho schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Howaner schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > LinuxMcBook schrieb:
    > > > >
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > >
    > > > > -----
    > > > > > whitbread schrieb:
    > > > > >
    > > > >
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > >
    > > > >
    > > > > > -----
    > > > > > > Völlig bescheuert ist ein sicheres Verfahren gegen ein
    > unsicheres
    > > > > > Verfahren
    > > > > > > (mTAN) zu ersetzen!
    > > > > >
    > > > > > mTAN ist in jedem Fall mindestens so sicher, wie iTAN. iTAN
    > braucht
    > > > > > definitiv nur ein infiziertes Gerät, damit Geld geklaut werden
    > kann.
    > > > > > Bei mTAN muss mindestens der PC und das Handy infiziert sein, bzw.
    > > der
    > > > > PC
    > > > > > infiziert sein und per Sozial-Enginiering eine neue SIM-Karte
    > > bestellt
    > > > > > werden. Damit müssen zwei Faktoren kompromittiert sein.
    > > > >
    > > > > Um eine SMS oder einen Anruf mitzulesen oder umzuleiten ist keine
    > SIM
    > > > Karte
    > > > > oder Handy nötig.
    > > > > mTAN ist durch die Funktionsweise von SS7 ziemlich unsicher (Google
    > > > einfach
    > > > > mal nach SS7 Hack)
    > > >
    > > > Wenn es so einfach ist, warum hat es bisher noch niemand gemacht?
    > >
    > > Aber es wurde doch ausgenutzt?!
    >
    > Wäre mir neu.

    Na, nur weil du nicht davon gehört hast oder dich nicht daran erinnern kannst?
    Kann ich nur nochmal den Vorschlag von @Howaner wiederholen, dem du ja anscheinend nicht gefolgt bist: Google mal danach.

  10. Re: Völlig bescheuert

    Autor: crazypsycho 18.04.19 - 19:36

    > > > > > > > Völlig bescheuert ist ein sicheres Verfahren gegen ein
    > > unsicheres
    > > > > > > Verfahren
    > > > > > > > (mTAN) zu ersetzen!
    > > > > > >
    > > > > > > mTAN ist in jedem Fall mindestens so sicher, wie iTAN. iTAN
    > > braucht
    > > > > > > definitiv nur ein infiziertes Gerät, damit Geld geklaut werden
    > > kann.
    > > > > > > Bei mTAN muss mindestens der PC und das Handy infiziert sein,
    > bzw.
    > > > der
    > > > > > PC
    > > > > > > infiziert sein und per Sozial-Enginiering eine neue SIM-Karte
    > > > bestellt
    > > > > > > werden. Damit müssen zwei Faktoren kompromittiert sein.
    > > > > >
    > > > > > Um eine SMS oder einen Anruf mitzulesen oder umzuleiten ist keine
    > > SIM
    > > > > Karte
    > > > > > oder Handy nötig.
    > > > > > mTAN ist durch die Funktionsweise von SS7 ziemlich unsicher
    > (Google
    > > > > einfach
    > > > > > mal nach SS7 Hack)
    > > > >
    > > > > Wenn es so einfach ist, warum hat es bisher noch niemand gemacht?
    > > >
    > > > Aber es wurde doch ausgenutzt?!
    > >
    > > Wäre mir neu.
    >
    > Na, nur weil du nicht davon gehört hast oder dich nicht daran erinnern
    > kannst?
    > Kann ich nur nochmal den Vorschlag von @Howaner wiederholen, dem du ja
    > anscheinend nicht gefolgt bist: Google mal danach.

    Du stellst hier eine Behauptung auf, also solltest du sie auch mit Quellen untermauern und nicht auf Google verweisen.
    Aber habe trotzdem mal gegoogelt. Und so leicht ist es dann doch nicht. Und es ist auch nichts darüber bekannt, dass diese Lücke jemals ausgenutzt wurde.

  11. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 19:51

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Du stellst hier eine Behauptung auf, also solltest du sie auch mit Quellen
    > untermauern und nicht auf Google verweisen.

    Naja, du hast behauptet, es wäre noch nicht ausgenutzt worden. Aber ich sehe auch, dass der Nicht-Beweis eben unmöglich ist. Aber doch, ist ausgenutzt worden.

    > Aber habe trotzdem mal gegoogelt. Und so leicht ist es dann doch nicht. Und
    > es ist auch nichts darüber bekannt, dass diese Lücke jemals ausgenutzt
    > wurde.

    Eben doch, siehe hier: https://www.sueddeutsche.de/wirtschaft/it-sicherheit-schwachstelle-im-mobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504
    Angeblich wurde aber diese Lücke geschlossen. Keine Ahnung wie wirksam. Im Ausland evtl. immer noch gefährdet, wenn man gerade roamt. Keine Ahnung, ob mTAN dann immer noch als so unsicher anzusehen ist.

  12. Re: Völlig bescheuert

    Autor: crazypsycho 18.04.19 - 20:07

    treysis schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Du stellst hier eine Behauptung auf, also solltest du sie auch mit
    > Quellen
    > > untermauern und nicht auf Google verweisen.
    >
    > Naja, du hast behauptet, es wäre noch nicht ausgenutzt worden. Aber ich
    > sehe auch, dass der Nicht-Beweis eben unmöglich ist. Aber doch, ist
    > ausgenutzt worden.

    Ich habe das behauptet, weil laut mehreren Artikeln die ich über Google gefunden habe nichts darüber bekannt sei, dass diese ausgenutzt worden wäre.

    > > Aber habe trotzdem mal gegoogelt. Und so leicht ist es dann doch nicht.
    > Und
    > > es ist auch nichts darüber bekannt, dass diese Lücke jemals ausgenutzt
    > > wurde.
    >
    > Eben doch, siehe hier: www.sueddeutsche.de
    > Angeblich wurde aber diese Lücke geschlossen. Keine Ahnung wie wirksam. Im
    > Ausland evtl. immer noch gefährdet, wenn man gerade roamt. Keine Ahnung, ob
    > mTAN dann immer noch als so unsicher anzusehen ist.

    Da ist aber auch einiges an Equipment und Kontakten notwendig, um diese Lücke ausnutzen zu können. Zudem braucht der Hacker erst noch die Logindaten.
    100%ige Sicherheit gibt es halt nie. Man kann es Angreifern nur schwerer machen.
    Und mTAN macht es einem schon ziemlich schwer.

  13. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 20:42

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Da ist aber auch einiges an Equipment und Kontakten notwendig, um diese
    > Lücke ausnutzen zu können. Zudem braucht der Hacker erst noch die
    > Logindaten.
    > 100%ige Sicherheit gibt es halt nie. Man kann es Angreifern nur schwerer
    > machen.
    > Und mTAN macht es einem schon ziemlich schwer.

    Die Login-Daten brauchst du für iTAN ja auch.
    Aber ja, 100% gibt es nicht. Für den Rest halt die Versicherung, bzw. Haftung der Bank. Das reicht mir eigentlich aus. Für mich ist photoTAN dennoch komfortabler.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DEHOGA Baden-Württemberg e. V., Stuttgart
  2. ITEOS, Stuttgart
  3. ANDRITZ Fiedler GmbH, Regensburg
  4. operational services GmbH & Co. KG, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 91,99€ (Bestpreis!)
  2. (heute Logitech MK545 Advanced Tastatur-Maus Set für 44€ statt 61,99€ im Vergleich)
  3. (zu jedem Artikel aus der Aktion gibt es einen weiteren geschenkt)
  4. (aktuell u. a. Death Stranding PS4 für 39,99€ und PS4-Controller verschiedene Farben für 42...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

Threadripper 3970X/3960X im Test: AMD wird uneinholbar
Threadripper 3970X/3960X im Test
AMD wird uneinholbar

7-nm-Fertigung, Zen-2-Architektur und dank Chiplet-Design keine Scheduler-Probleme unter Windows 10: AMDs Threadripper v3 überzeugen auf voller Linie, die CPUs wie die Plattform. Intel hat im HEDT-Segment dem schlicht nichts entgegenzusetzen. Einzig Aufrüster dürften sich ärgern.
Ein Test von Marc Sauter

  1. Via Technologies Centaur zeigt x86-Chip mit AI-Block
  2. Nuvia Apples Chip-Chefarchitekt gründet CPU-Startup
  3. Tiger Lake Intel bestätigt 10-nm-Desktop-CPUs

Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

  1. Pentium G3420: Intel verkauft 22-nm-Prozessor von 2013 wieder
    Pentium G3420
    Intel verkauft 22-nm-Prozessor von 2013 wieder

    Die 14-nm-Knappheit bei Intel wird obskur: Der Hersteller hat den Pentium G3420 von 2013 erneut ins Angebot aufgenommen. Der 22-nm-Haswell-Chip ist eigentlich längst ausgelaufen, wird aber reanimiert.

  2. Breitbandausbau: Bernie Sanders will Internet- und Kabelkonzerne zerschlagen
    Breitbandausbau
    Bernie Sanders will Internet- und Kabelkonzerne zerschlagen

    US-Senator Bernie Sanders hat seinen Plan für den Breitbandausbau besonders in ländlichen und armen Regionen der USA vorgelegt. Er will Konzerne zerschlagen und kommunale Strukturen stark fördern.

  3. Korruption: Ericsson zahlt über 1 Milliarde US-Dollar Strafe in den USA
    Korruption
    Ericsson zahlt über 1 Milliarde US-Dollar Strafe in den USA

    Der europäische 5G-Hoffnungsträger war in mehreren Staaten in Korruptionsfälle verwickelt. Die Ericsson-Konzernführung hat dies eingestanden. In den USA zahlt das Unternehmen eine hohe Strafe.


  1. 17:32

  2. 15:17

  3. 14:06

  4. 13:33

  5. 12:13

  6. 17:28

  7. 15:19

  8. 15:03