1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Online-Banking: In 150 Tagen…

stumpfe Grundregel: das TAN-Generierende gerät darf keine Verbindungen...

  1. Thema

Neues Thema Ansicht wechseln


  1. stumpfe Grundregel: das TAN-Generierende gerät darf keine Verbindungen...

    Autor: meinoriginalusergehtnichtmehr 18.04.19 - 13:00

    Kredo: Das TAN-Generierende Gerät darf physisch über keine Möglichkeiten verfügen sich mit anderen Geräten in irgendeiner Art zu verbinden...

    sprich: ChipTAN und auch wirklich nur ChipTAN

    weil: Authentifizierung braucht Variablen.
    - Bei der SMS-Tan gibt es quasi keine Variable (der Angreifer muss per IMSI-Catcher einfach nur auf die richtigen Zielnummern horchen)
    - bei PhotoTAN muss auf dem Computerdisplay per Farbcode dargestellter Wert die Gerätekennung des TAN-Generators sein (was bei Android-Geräten ohne Probleme auch ohne Root zu fälschen ist - vgl. "Änderung Android-ID" in Apps wie AppCloner oder Parallel Space)
    - nur bei chipTAN muss das ChipTAN-Gerät den richtigen TAN-Zähler haben und die richtige Karte eingesteckt haben

    zusätzlich zu den Daten die aus der Transaktion ersichtlich werden (Ziel-IBAN und Transaktionshöhe im Startcode versteckt)

    Es ist lohnenswert sich technisch in die Verfahren einzuarbeiten - z.B. um zu verstehen woraus ein "Startcode" bei der manuellen Dateneingabe ins ChipTAN Gerät besteht und so weiter.
    Allerdings geht das dann auch weiter: Will man photoTAN mit dem Smartphone nutzen sollte man vorher verstehen was bei Android ein "systemless root" ist und warum dieser Zusatzfunktionen bringen kann ohne Systemdateien zu ändern - und wie es "magisk" schaffen kann die Root-Rechte und sich selbst z.B. vor Banking-Apps zu verstecken.
    Erst dann hat man ein Gefühl letztendlich für die Sicherheit - und dann das Bedrängnis photoTAN dann doch mit einem separaten physischen Gerät machen zu wollen, welches eben keine Möglichkeiten hat sich mit irgendwelchen anderen zu verbinden. Und selbst induktives Laden ist eine "Verbindung" über die Daten übertragen werden könnten (stellt euch blos vor die chinesische QI-Ladeschale erkennt ein D-Lan oder Power-LAN und spricht dann halt einfach mit)

    Aber all das ist nicht der Fokus von Banken. Nicht einmal Login per 2 Stufiger Authentifizierung ist auf dem Schirm - oder ist als "zu aufwendig" angedacht - das habe ich so aus einem Beratergespräch. Dort wurde letztendlich gesagt dass die Bank bei "echten Schäden" eh die technischen Möglichkeiten für erzwungene Rückbuchungen habe und der Rest über entsprechende Bankenversicherungen abgedeckt ist.

    Der deutsche Bankensektor wird also altbacken bleiben, während bereits heute der Login in einen Google-Account ein höheres Authentifizierungslevel darstellt (vgl. PIN-lose Transaktionen über 25¤ via Google Pay dank Smartphone-Funkzellenabfrage, Standortverlauf und sonstigen Datenerhebungen). Das bedeutet jetzt allerdings nicht, dass die Banken sicherheitstechnisch außen vor bleiben, sie verlassen sich nun mal eben auf altes und bewährtes, was ebenso gleich gut sichern kann, nur dann eben nicht mehr präventiv...



    2 mal bearbeitet, zuletzt am 18.04.19 13:07 durch meinoriginalusergehtnichtmehr.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  2. Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung, Bonn
  3. Gesellschaft zur Verwertung von Leistungsschutzrechten mbH (GVL), Berlin
  4. Bundesamt für Soziale Sicherung, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Asus Geforce RTX 2060 Super Dual Evo V2 OC 8GB + Rainbow Six: Siege für 369,45€, Asus...
  2. 112,10€ (mit 20€ Direktabzug - Bestpreis!)
  3. (u. a. Dyson Turmventilator für 291,48€, iRobot Roomba Saugroboter für 271,97€, LG...
  4. (u. a. Der Hobbit und Der Herr Der Ringe: Mittelerde Collection (Blu-ray) für 19,49€, Alf - die...


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Amazon: Prime Video erhält Profile
    Amazon
    Prime Video erhält Profile

    Amazon liefert eine immer wieder gewünschte Funktion in Prime Video nach und erlaubt künftig Profile für bis zu sechs Zuschauer.

  2. Chilisoße: Tencent offenbar von Game-Key-Betrügern reingelegt
    Chilisoße
    Tencent offenbar von Game-Key-Betrügern reingelegt

    Einen hohen Schaden sollen Betrüger bei Tencent verursacht haben - mit einem vorgetäuschten E-Sport-Deal rund um Chilisoße.

  3. Motorola: Moto G 5G Plus kostet ab 350 Euro
    Motorola
    Moto G 5G Plus kostet ab 350 Euro

    Mit dem Moto G 5G Plus bringt Motorola den schnellen Netzstandard ins Mittelklassesegment. Dazu kommen eine Vierfachkamera und ein großer Akku.


  1. 17:00

  2. 16:58

  3. 16:03

  4. 15:50

  5. 15:34

  6. 15:15

  7. 15:00

  8. 14:51