1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Online-Banking: In 150 Tagen…

stumpfe Grundregel: das TAN-Generierende gerät darf keine Verbindungen...

Expertentalk zu DDR5-Arbeitsspeicher am 7.7.2020 Am 7. Juli 2020 von 15:30 bis 17:00 Uhr wird Hardware-Redakteur Marc Sauter eure Fragen zu DDR5 beantworten.
  1. Beitrag
  1. Thema

stumpfe Grundregel: das TAN-Generierende gerät darf keine Verbindungen...

Autor: meinoriginalusergehtnichtmehr 18.04.19 - 13:00

Kredo: Das TAN-Generierende Gerät darf physisch über keine Möglichkeiten verfügen sich mit anderen Geräten in irgendeiner Art zu verbinden...

sprich: ChipTAN und auch wirklich nur ChipTAN

weil: Authentifizierung braucht Variablen.
- Bei der SMS-Tan gibt es quasi keine Variable (der Angreifer muss per IMSI-Catcher einfach nur auf die richtigen Zielnummern horchen)
- bei PhotoTAN muss auf dem Computerdisplay per Farbcode dargestellter Wert die Gerätekennung des TAN-Generators sein (was bei Android-Geräten ohne Probleme auch ohne Root zu fälschen ist - vgl. "Änderung Android-ID" in Apps wie AppCloner oder Parallel Space)
- nur bei chipTAN muss das ChipTAN-Gerät den richtigen TAN-Zähler haben und die richtige Karte eingesteckt haben

zusätzlich zu den Daten die aus der Transaktion ersichtlich werden (Ziel-IBAN und Transaktionshöhe im Startcode versteckt)

Es ist lohnenswert sich technisch in die Verfahren einzuarbeiten - z.B. um zu verstehen woraus ein "Startcode" bei der manuellen Dateneingabe ins ChipTAN Gerät besteht und so weiter.
Allerdings geht das dann auch weiter: Will man photoTAN mit dem Smartphone nutzen sollte man vorher verstehen was bei Android ein "systemless root" ist und warum dieser Zusatzfunktionen bringen kann ohne Systemdateien zu ändern - und wie es "magisk" schaffen kann die Root-Rechte und sich selbst z.B. vor Banking-Apps zu verstecken.
Erst dann hat man ein Gefühl letztendlich für die Sicherheit - und dann das Bedrängnis photoTAN dann doch mit einem separaten physischen Gerät machen zu wollen, welches eben keine Möglichkeiten hat sich mit irgendwelchen anderen zu verbinden. Und selbst induktives Laden ist eine "Verbindung" über die Daten übertragen werden könnten (stellt euch blos vor die chinesische QI-Ladeschale erkennt ein D-Lan oder Power-LAN und spricht dann halt einfach mit)

Aber all das ist nicht der Fokus von Banken. Nicht einmal Login per 2 Stufiger Authentifizierung ist auf dem Schirm - oder ist als "zu aufwendig" angedacht - das habe ich so aus einem Beratergespräch. Dort wurde letztendlich gesagt dass die Bank bei "echten Schäden" eh die technischen Möglichkeiten für erzwungene Rückbuchungen habe und der Rest über entsprechende Bankenversicherungen abgedeckt ist.

Der deutsche Bankensektor wird also altbacken bleiben, während bereits heute der Login in einen Google-Account ein höheres Authentifizierungslevel darstellt (vgl. PIN-lose Transaktionen über 25¤ via Google Pay dank Smartphone-Funkzellenabfrage, Standortverlauf und sonstigen Datenerhebungen). Das bedeutet jetzt allerdings nicht, dass die Banken sicherheitstechnisch außen vor bleiben, sie verlassen sich nun mal eben auf altes und bewährtes, was ebenso gleich gut sichern kann, nur dann eben nicht mehr präventiv...



2 mal bearbeitet, zuletzt am 18.04.19 13:07 durch meinoriginalusergehtnichtmehr.


Neues Thema Ansicht wechseln


Thema
 

stumpfe Grundregel: das TAN-Generierende gerät darf keine Verbindungen...

meinoriginalusergehtnichtmehr | 18.04.19 - 13:00

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. LBS Westdeutsche Landesbausparkasse, Münster
  2. Limbach Gruppe SE, Heidelberg
  3. Diehl Metering GmbH, Ansbach/Nürnberg, Bazanowice (Polen)
  4. Simovative GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-47%) 21,00€
  2. 10,48€
  3. (-91%) 2,20€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Telekom, Vodafone: Wenn LTE schneller als 5G ist
Telekom, Vodafone
Wenn LTE schneller als 5G ist

Dynamic Spectrum Sharing erlaubt 5G und LTE in alten Frequenzbereichen von 3G und DVB-T. Doch wenn man hier nur LTE einsetzen würde, wäre die Datenrate höher.
Ein Bericht von Achim Sawall

  1. Telekom Große Nachfrage nach Campusnetzen bei der Industrie
  2. Redbox Vodafone stellt komplettes 5G-Netz in einer Box vor
  3. 5G N1 Telekom erweitert massiv das 5G-Netz mit Telefónica-Spektrum

Horror-Thriller Unsubscribe: Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde
Horror-Thriller Unsubscribe
Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde

Zwei US-Filmemacher haben mit Zoom den Horror-Film Unsubscribe gedreht. Sie landeten damit sogar an der Spitze der US-Box-Office-Charts. Zumindest für einen Tag.
Von Peter Osteried

  1. Film Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten
  2. Alien Im Weltall hört dich keiner schreien
  3. Terminator: Dark Fate Die einzig wahre Fortsetzung eines Klassikers?

Schule: Hard- und Software allein macht keinen digitalen Unterricht
Schule
Hard- und Software allein macht keinen digitalen Unterricht

WLAN in allen Klassenzimmern reicht nicht, der ganze Unterricht an Schulen muss sich ändern. An den Problemen dabei sind nicht in erster Linie die Lehrkräfte schuld.
Ein IMHO von Gerd Mischler

  1. Kipping Linken-Chefin fordert Schul-Laptops mit SIM für alle Schüler
  2. Datenschutz Unberechtigte Accounts in Schul-Cloud
  3. Homeschooling-Report Wie Schulen mit der Coronakrise klarkommen