1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Online-Banking: In 150 Tagen…
  6. Th…

Völlig bescheuert

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 15:51

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Gesagt getan, SMS-Tan war da, stellt sich raus: ist gar nicht absolut
    > sicher. Sofort wurde den Bänkern erklärt, das sei nur wegen dem Handy, weil
    > Handys ja generell nicht sicher sind, das weiß man ja. Also hat man das
    > nächste Verfahren ausprobiert, und dann das nächste, usw. Irgendwann
    > dämmerte es dann selbst beim letzten Vorstandschef, dass man hier wohl
    > jemandem auf den Leim gegangen war. Jetzt konnte man das aber nicht einfach
    > zugeben, also hat man gesagt: "PhotoTAN, das isses!" und alle haben
    > applaudiert und schlicht ignoriert, dass auch das nicht "vollständig
    > sicher" ist wie versprochen. Außerdem muss man ja später noch irgendwelche
    > Unternehmen kaufen die Blockchain im Namen haben, das ist nämlich gerade
    > voll im Trend!

    Es ist sowieso nichts sicher. Gäbe es 100%ige Sicherheit, könnte man auf Versicherungen verzichten.

    > Auf die Frage wie ich dann bei ner Handy-Überweisung ein Foto vom
    > Bildschirm machen soll würde so ein skizzierter Manager vermutlich mit:
    > "Hat ihr Handy denn keine Kamera?" beantworten.

    Deswegen geht das bei einigen Banken jetzt App2App.

  2. Re: Völlig bescheuert

    Autor: Localhorst86 18.04.19 - 15:56

    treysis schrieb:
    --------------------------------------------------------------------------------
    > Deswegen geht das bei einigen Banken jetzt App2App.


    App2App ist aber (meines Erachtens) konzeptionell völlig katastrophal. Hier wird wieder die physische Trennung der Geräte (Ein Gerät führt aus, ein Gerät validiert) aufgehoben.

    Ist dein Smartphone kompromitiert, ist dein Smartphone kompromitiert. Dann darf auch einer Kommunikation zweier Apps untereinander nicht mehr vertraut werden.

  3. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 16:05

    Localhorst86 schrieb:
    --------------------------------------------------------------------------------
    > treysis schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Deswegen geht das bei einigen Banken jetzt App2App.
    >
    > App2App ist aber (meines Erachtens) konzeptionell völlig katastrophal. Hier
    > wird wieder die physische Trennung der Geräte (Ein Gerät führt aus, ein
    > Gerät validiert) aufgehoben.
    >
    > Ist dein Smartphone kompromitiert, ist dein Smartphone kompromitiert. Dann
    > darf auch einer Kommunikation zweier Apps untereinander nicht mehr vertraut
    > werden.

    Jo, ich finds auch Schwachsinn. Aber ich halte mich einfach weiter an die Trennung. Ich finde selbst unterwegs jemanden, bei dem ich schnell das Banking ausführen kann, um es dann mit der App auf meinem Smartphone zu validieren. Den seltenen Fall, wo ich mal niemanden finde, nehme ich in Kauf. Bzw. dann kann mich mir immer noch spontan überlegen, ob ich mich nicht doch traue, App2App zu machen.

  4. Re: Völlig bescheuert

    Autor: Localhorst86 18.04.19 - 16:35

    treysis schrieb:
    --------------------------------------------------------------------------------
    > Jo, ich finds auch Schwachsinn. Aber ich halte mich einfach weiter an die
    > Trennung. Ich finde selbst unterwegs jemanden, bei dem ich schnell das
    > Banking ausführen kann, um es dann mit der App auf meinem Smartphone zu
    > validieren. Den seltenen Fall, wo ich mal niemanden finde, nehme ich in
    > Kauf. Bzw. dann kann mich mir immer noch spontan überlegen, ob ich mich
    > nicht doch traue, App2App zu machen.

    Es ist aber ja auch kritisch dass die Funktion ohne weiteres in der App aktiviert werden kann. Ohne verifizierung, ohne Hinweis. Wird der Schalter umgelegt, ist App2App aktiviert. M.E. kann aber bei einem kompromitierten Gerät auch bösartige Software die Funktion aktivieren.

    EDIT: mir wäre es am liebsten meine Bank würde mir eine App zur Verfügung stellen mit der ich mir mein Konto nur anschauen kann. Ich brauche auf meinem Smartphone keine Banking app mit der ich auch Überweisungen durchführen kann.



    1 mal bearbeitet, zuletzt am 18.04.19 16:40 durch Localhorst86.

  5. Re: Völlig bescheuert

    Autor: crazypsycho 18.04.19 - 18:08

    Howaner schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > whitbread schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Völlig bescheuert ist ein sicheres Verfahren gegen ein unsicheres
    > > Verfahren
    > > > (mTAN) zu ersetzen!
    > >
    > > mTAN ist in jedem Fall mindestens so sicher, wie iTAN. iTAN braucht
    > > definitiv nur ein infiziertes Gerät, damit Geld geklaut werden kann.
    > > Bei mTAN muss mindestens der PC und das Handy infiziert sein, bzw. der
    > PC
    > > infiziert sein und per Sozial-Enginiering eine neue SIM-Karte bestellt
    > > werden. Damit müssen zwei Faktoren kompromittiert sein.
    >
    > Um eine SMS oder einen Anruf mitzulesen oder umzuleiten ist keine SIM Karte
    > oder Handy nötig.
    > mTAN ist durch die Funktionsweise von SS7 ziemlich unsicher (Google einfach
    > mal nach SS7 Hack)

    Wenn es so einfach ist, warum hat es bisher noch niemand gemacht?

  6. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 18:56

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Howaner schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > LinuxMcBook schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > whitbread schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > Völlig bescheuert ist ein sicheres Verfahren gegen ein unsicheres
    > > > Verfahren
    > > > > (mTAN) zu ersetzen!
    > > >
    > > > mTAN ist in jedem Fall mindestens so sicher, wie iTAN. iTAN braucht
    > > > definitiv nur ein infiziertes Gerät, damit Geld geklaut werden kann.
    > > > Bei mTAN muss mindestens der PC und das Handy infiziert sein, bzw. der
    > > PC
    > > > infiziert sein und per Sozial-Enginiering eine neue SIM-Karte bestellt
    > > > werden. Damit müssen zwei Faktoren kompromittiert sein.
    > >
    > > Um eine SMS oder einen Anruf mitzulesen oder umzuleiten ist keine SIM
    > Karte
    > > oder Handy nötig.
    > > mTAN ist durch die Funktionsweise von SS7 ziemlich unsicher (Google
    > einfach
    > > mal nach SS7 Hack)
    >
    > Wenn es so einfach ist, warum hat es bisher noch niemand gemacht?

    Aber es wurde doch ausgenutzt?!

  7. Re: Völlig bescheuert

    Autor: crazypsycho 18.04.19 - 19:07

    treysis schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Howaner schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > LinuxMcBook schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > whitbread schrieb:
    > > > >
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > >
    > > > > -----
    > > > > > Völlig bescheuert ist ein sicheres Verfahren gegen ein unsicheres
    > > > > Verfahren
    > > > > > (mTAN) zu ersetzen!
    > > > >
    > > > > mTAN ist in jedem Fall mindestens so sicher, wie iTAN. iTAN braucht
    > > > > definitiv nur ein infiziertes Gerät, damit Geld geklaut werden kann.
    > > > > Bei mTAN muss mindestens der PC und das Handy infiziert sein, bzw.
    > der
    > > > PC
    > > > > infiziert sein und per Sozial-Enginiering eine neue SIM-Karte
    > bestellt
    > > > > werden. Damit müssen zwei Faktoren kompromittiert sein.
    > > >
    > > > Um eine SMS oder einen Anruf mitzulesen oder umzuleiten ist keine SIM
    > > Karte
    > > > oder Handy nötig.
    > > > mTAN ist durch die Funktionsweise von SS7 ziemlich unsicher (Google
    > > einfach
    > > > mal nach SS7 Hack)
    > >
    > > Wenn es so einfach ist, warum hat es bisher noch niemand gemacht?
    >
    > Aber es wurde doch ausgenutzt?!

    Wäre mir neu.

  8. Re: Völlig bescheuert

    Autor: LinuxMcBook 18.04.19 - 19:19

    twothe schrieb:
    --------------------------------------------------------------------------------
    > jemandem auf den Leim gegangen war. Jetzt konnte man das aber nicht einfach
    > zugeben, also hat man gesagt: "PhotoTAN, das isses!" und alle haben
    > applaudiert und schlicht ignoriert, dass auch das nicht "vollständig
    > sicher" ist wie versprochen. Außerdem muss man ja später noch irgendwelche
    > Unternehmen kaufen die Blockchain im Namen haben, das ist nämlich gerade
    > voll im Trend!

    Du vergisst bei dem ganzen nur, dass mit chipTAN oder photoTAN mit einem externen Gerät! derzeit noch nicht einmal ein theoretischer Angriffsweg vorstellbar ist. Dementsprechend ist das schon das, was der absoluten Sicherheit recht nahe kommt. Kostet halt nur eben einmalig mal 10-30¤...

  9. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 19:28

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > treysis schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > crazypsycho schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Howaner schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > LinuxMcBook schrieb:
    > > > >
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > >
    > > > > -----
    > > > > > whitbread schrieb:
    > > > > >
    > > > >
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > >
    > > > >
    > > > > > -----
    > > > > > > Völlig bescheuert ist ein sicheres Verfahren gegen ein
    > unsicheres
    > > > > > Verfahren
    > > > > > > (mTAN) zu ersetzen!
    > > > > >
    > > > > > mTAN ist in jedem Fall mindestens so sicher, wie iTAN. iTAN
    > braucht
    > > > > > definitiv nur ein infiziertes Gerät, damit Geld geklaut werden
    > kann.
    > > > > > Bei mTAN muss mindestens der PC und das Handy infiziert sein, bzw.
    > > der
    > > > > PC
    > > > > > infiziert sein und per Sozial-Enginiering eine neue SIM-Karte
    > > bestellt
    > > > > > werden. Damit müssen zwei Faktoren kompromittiert sein.
    > > > >
    > > > > Um eine SMS oder einen Anruf mitzulesen oder umzuleiten ist keine
    > SIM
    > > > Karte
    > > > > oder Handy nötig.
    > > > > mTAN ist durch die Funktionsweise von SS7 ziemlich unsicher (Google
    > > > einfach
    > > > > mal nach SS7 Hack)
    > > >
    > > > Wenn es so einfach ist, warum hat es bisher noch niemand gemacht?
    > >
    > > Aber es wurde doch ausgenutzt?!
    >
    > Wäre mir neu.

    Na, nur weil du nicht davon gehört hast oder dich nicht daran erinnern kannst?
    Kann ich nur nochmal den Vorschlag von @Howaner wiederholen, dem du ja anscheinend nicht gefolgt bist: Google mal danach.

  10. Re: Völlig bescheuert

    Autor: crazypsycho 18.04.19 - 19:36

    > > > > > > > Völlig bescheuert ist ein sicheres Verfahren gegen ein
    > > unsicheres
    > > > > > > Verfahren
    > > > > > > > (mTAN) zu ersetzen!
    > > > > > >
    > > > > > > mTAN ist in jedem Fall mindestens so sicher, wie iTAN. iTAN
    > > braucht
    > > > > > > definitiv nur ein infiziertes Gerät, damit Geld geklaut werden
    > > kann.
    > > > > > > Bei mTAN muss mindestens der PC und das Handy infiziert sein,
    > bzw.
    > > > der
    > > > > > PC
    > > > > > > infiziert sein und per Sozial-Enginiering eine neue SIM-Karte
    > > > bestellt
    > > > > > > werden. Damit müssen zwei Faktoren kompromittiert sein.
    > > > > >
    > > > > > Um eine SMS oder einen Anruf mitzulesen oder umzuleiten ist keine
    > > SIM
    > > > > Karte
    > > > > > oder Handy nötig.
    > > > > > mTAN ist durch die Funktionsweise von SS7 ziemlich unsicher
    > (Google
    > > > > einfach
    > > > > > mal nach SS7 Hack)
    > > > >
    > > > > Wenn es so einfach ist, warum hat es bisher noch niemand gemacht?
    > > >
    > > > Aber es wurde doch ausgenutzt?!
    > >
    > > Wäre mir neu.
    >
    > Na, nur weil du nicht davon gehört hast oder dich nicht daran erinnern
    > kannst?
    > Kann ich nur nochmal den Vorschlag von @Howaner wiederholen, dem du ja
    > anscheinend nicht gefolgt bist: Google mal danach.

    Du stellst hier eine Behauptung auf, also solltest du sie auch mit Quellen untermauern und nicht auf Google verweisen.
    Aber habe trotzdem mal gegoogelt. Und so leicht ist es dann doch nicht. Und es ist auch nichts darüber bekannt, dass diese Lücke jemals ausgenutzt wurde.

  11. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 19:51

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Du stellst hier eine Behauptung auf, also solltest du sie auch mit Quellen
    > untermauern und nicht auf Google verweisen.

    Naja, du hast behauptet, es wäre noch nicht ausgenutzt worden. Aber ich sehe auch, dass der Nicht-Beweis eben unmöglich ist. Aber doch, ist ausgenutzt worden.

    > Aber habe trotzdem mal gegoogelt. Und so leicht ist es dann doch nicht. Und
    > es ist auch nichts darüber bekannt, dass diese Lücke jemals ausgenutzt
    > wurde.

    Eben doch, siehe hier: https://www.sueddeutsche.de/wirtschaft/it-sicherheit-schwachstelle-im-mobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504
    Angeblich wurde aber diese Lücke geschlossen. Keine Ahnung wie wirksam. Im Ausland evtl. immer noch gefährdet, wenn man gerade roamt. Keine Ahnung, ob mTAN dann immer noch als so unsicher anzusehen ist.

  12. Re: Völlig bescheuert

    Autor: crazypsycho 18.04.19 - 20:07

    treysis schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Du stellst hier eine Behauptung auf, also solltest du sie auch mit
    > Quellen
    > > untermauern und nicht auf Google verweisen.
    >
    > Naja, du hast behauptet, es wäre noch nicht ausgenutzt worden. Aber ich
    > sehe auch, dass der Nicht-Beweis eben unmöglich ist. Aber doch, ist
    > ausgenutzt worden.

    Ich habe das behauptet, weil laut mehreren Artikeln die ich über Google gefunden habe nichts darüber bekannt sei, dass diese ausgenutzt worden wäre.

    > > Aber habe trotzdem mal gegoogelt. Und so leicht ist es dann doch nicht.
    > Und
    > > es ist auch nichts darüber bekannt, dass diese Lücke jemals ausgenutzt
    > > wurde.
    >
    > Eben doch, siehe hier: www.sueddeutsche.de
    > Angeblich wurde aber diese Lücke geschlossen. Keine Ahnung wie wirksam. Im
    > Ausland evtl. immer noch gefährdet, wenn man gerade roamt. Keine Ahnung, ob
    > mTAN dann immer noch als so unsicher anzusehen ist.

    Da ist aber auch einiges an Equipment und Kontakten notwendig, um diese Lücke ausnutzen zu können. Zudem braucht der Hacker erst noch die Logindaten.
    100%ige Sicherheit gibt es halt nie. Man kann es Angreifern nur schwerer machen.
    Und mTAN macht es einem schon ziemlich schwer.

  13. Re: Völlig bescheuert

    Autor: treysis 18.04.19 - 20:42

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Da ist aber auch einiges an Equipment und Kontakten notwendig, um diese
    > Lücke ausnutzen zu können. Zudem braucht der Hacker erst noch die
    > Logindaten.
    > 100%ige Sicherheit gibt es halt nie. Man kann es Angreifern nur schwerer
    > machen.
    > Und mTAN macht es einem schon ziemlich schwer.

    Die Login-Daten brauchst du für iTAN ja auch.
    Aber ja, 100% gibt es nicht. Für den Rest halt die Versicherung, bzw. Haftung der Bank. Das reicht mir eigentlich aus. Für mich ist photoTAN dennoch komfortabler.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Axians IT Solutions GmbH, München
  2. Dataport, verschiedene Standorte
  3. Statistisches Bundesamt, Wiesbaden
  4. Habermaass GmbH, Bad Rodach bei Coburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  2. täglich neue Deals bei Alternate.de
  3. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Power-to-X: Sprit aus Ökostrom, Luft und Wasser
Power-to-X
Sprit aus Ökostrom, Luft und Wasser

Die Energiewende ist ohne synthetische Treibstoffe nicht zu schaffen. In Karlsruhe ist eine Anlage in Betrieb gegangen, die das mithilfe von teilweise völlig neuen Techniken schafft.
Ein Bericht von Wolfgang Kempkens

  1. The Ocean Cleanup Interceptor fischt Plastikmüll aus Flüssen
  2. The Ocean Cleanup Überarbeiteter Müllfänger sammelt Plastikteile im Pazifik

ZFS erklärt: Ein Dateisystem, alle Funktionen
ZFS erklärt
Ein Dateisystem, alle Funktionen

Um für möglichst redundante und sichere Daten zu sorgen, ist längst keine teure Hardware mehr nötig. Ein Grund dafür ist das Dateisystem ZFS. Es bietet Snapshots, sichere Checksummen, eigene Raid-Level und andere sinnvolle Funktionen - kann aber zu Anfang überfordern.
Von Oliver Nickel

  1. Dateisystem OpenZFS soll einheitliches Repository bekommen
  2. Dateisystem ZFS on Linux unterstützt native Verschlüsselung

Gardena: Open Source, wie es sein soll
Gardena
Open Source, wie es sein soll

Wenn Entwickler mit Zeitdruck nach Lösungen suchen und sich dann für Open Source entscheiden, sollte das anderen als Vorbild dienen, sagen zwei Gardena-Entwickler in einem Vortrag. Der sei auch eine Anleitung dafür, das Management von der Open-Source-Idee zu überzeugen - was auch den Nutzern hilft.
Ein Bericht von Sebastian Grüner

  1. Linux-Kernel Machine-Learning allein findet keine Bugs
  2. KernelCI Der Linux-Kernel bekommt einheitliche Test-Umgebung
  3. Linux-Kernel Selbst Google ist unfähig, Android zu pflegen

  1. Tele Columbus: Rocket Internet kauft größeren Anteil an United Internet
    Tele Columbus
    Rocket Internet kauft größeren Anteil an United Internet

    Rocket Internet hat sich für 320 Millionen Euro bei United Internet eingekauft. Beide Firmen haben Anteile an dem Kabelnetzbetreiber Tele Columbus.

  2. 5G: Ausschluss von Huawei führt "zur schlimmsten Gefahr"
    5G
    Ausschluss von Huawei führt "zur schlimmsten Gefahr"

    Im Bundestag wurde trotz einer Entscheidung der Kanzlerin noch einmal die Huawei-Frage bei 5G diskutiert. Kein einzelner Staat und auch keine einzelne Firma könne allein solche Systeme beherrschen, betonte ein Experte.

  3. Malware-Schutz: Microsofts Defender ATP soll 2020 für Linux kommen
    Malware-Schutz
    Microsofts Defender ATP soll 2020 für Linux kommen

    Die Sicherheitssoftware und Malware-Schutz Defender ATP von Microsoft soll im kommenden Jahr auch auf Linux laufen. Eine Mac-Version gibt es bereits seit einem halben Jahr.


  1. 20:03

  2. 18:05

  3. 17:22

  4. 15:58

  5. 15:26

  6. 14:55

  7. 13:17

  8. 12:59