1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Postbank: Indizierte TAN gegen…

Habe ich einen Denkfehler?

  1. Thema

Neues Thema Ansicht wechseln


  1. Habe ich einen Denkfehler?

    Autor: TreoJaner 08.08.05 - 15:22

    Folgende Situation: ich habe eine Liste mit 100 TANs. Bei der ersten Überweisung nun habe ich eine theoretische Möglichkeit von 1:100

    Jetzt übwerweise ich fleißig. Ergebnis: auf meiner Liste sind nur noch 10 TANs übrig. D.h. ein potentieller Angreifer bräuchte nur noch 10 versuche...

    Was passiert eigentlich mit den Konten, wenn ich 10 mal falsche TANs eingegeben habe? Werden die dann gesperrt?

  2. Re: Habe ich einen Denkfehler?

    Autor: schenke 08.08.05 - 15:34

    In der Regel wird der Online-Zugriff und die TAN-Liste? bereits nach 3 Fehlversuchen gesperrt.

    TreoJaner schrieb:
    -------------------------------------------------------
    > Folgende Situation: ich habe eine Liste mit 100
    > TANs. Bei der ersten Überweisung nun habe ich eine
    > theoretische Möglichkeit von 1:100
    >
    > Jetzt übwerweise ich fleißig. Ergebnis: auf meiner
    > Liste sind nur noch 10 TANs übrig. D.h. ein
    > potentieller Angreifer bräuchte nur noch 10
    > versuche...
    >
    > Was passiert eigentlich mit den Konten, wenn ich
    > 10 mal falsche TANs eingegeben habe? Werden die
    > dann gesperrt?


  3. Re: Habe ich einen Denkfehler?

    Autor: Darki 08.08.05 - 15:35

    TreoJaner schrieb:
    -------------------------------------------------------

    > Jetzt übwerweise ich fleißig. Ergebnis: auf meiner
    > Liste sind nur noch 10 TANs übrig. D.h. ein
    > potentieller Angreifer bräuchte nur noch 10
    > versuche...
    >
    > Was passiert eigentlich mit den Konten, wenn ich
    > 10 mal falsche TANs eingegeben habe? Werden die
    > dann gesperrt?

    Die werden gesperrt. Dein Gedankengang hat aber einen kleinen Fehler, die 10 TAN Nummern brauche ich gar nicht zu "probieren". Woher auch? Woher sollte der Angreifer wissen welche er da probieren kann? iTANs funktionieren so, das ich jedesmal nach einer neuen Nummer gefragt werde. Ein potenzieller Phisher fragt dich also nach einer freien TAN und der entsprechenden Positionsnummer. Nun geht er ins Banking und wiederholt so oft die Absendefunktion der Transaktion bis tatsächlich nach der richtigen TAN gefragt wird. Ich glaube kaum das eine Sperrabfrage in den Konten vorhanden ist solange man gar nichts eingibt sondern nur abwartet bis die richtige Nummer abgefragt wird.

    Allerdings können da folgenden Hindernisse auftreten:

    1. das Opfer kann gar keine freie TAN angeben da er die vorherigen gar nicht abgestrichen hat, denn ein wegstreichen der TANs ist gar nicht mehr nötig damit. Allerdings wissen wir das der Mensch ja bekanntlich ein Gewohnheitstier ist und somit ein wohl nicht geringer Anteil an Menschen die Ziffern trotzdem wegstreicht

    2. es wird nach irgendeiner TAN auf der Phishing Seite gefragt oder das Opfer gibt einfach irgendeine an weil er nicht weiss welche frei ist. In diesem Fall hätte es sogar Vorteile wenn nur noch 10 Nummern frei sind, die Chance das man eine noch verfügbare TAN bekommt, verringert sich dadurch um so mehr (Beispiel, jemand fragt auf der Phishing Seite nach TAN 35 kann aber gar nicht wissen ob die überhaupt noch existiert).


    So optimal ist diese neuen Liste also auch nicht, aber es erhöht halt wieder ein Stück mehr die Sicherheit und darauf kommt es erstmal an.

  4. Re: Habe ich einen Denkfehler?

    Autor: jga_de 08.08.05 - 16:17

    Darki schrieb:
    -------------------------------------------------------

    > [...]
    > So optimal ist diese neuen Liste also auch nicht,
    > aber es erhöht halt wieder ein Stück mehr die
    > Sicherheit und darauf kommt es erstmal an.

    Wie waer's, wenn die Banken nicht Listen mit 100 TANs sondern
    sagen wir mal 1000 TANs a 10 Digits schicken? Diese lebenslange
    Liste verfaellt dann nie (z.B. kann die Frage nach der 712. TAN
    mehrfach kommen). Waere doch ein toller Rationalisierungseffekt
    fuer die Bank.

    Gruss
    Juergen

  5. Re: Habe ich einen Denkfehler?

    Autor: Captain FRAG 08.08.05 - 16:29

    > Ein
    > potenzieller Phisher fragt dich also nach einer
    > freien TAN und der entsprechenden Positionsnummer.
    > Nun geht er ins Banking und wiederholt so oft die
    > Absendefunktion der Transaktion bis tatsächlich
    > nach der richtigen TAN gefragt wird. Ich glaube
    > kaum das eine Sperrabfrage in den Konten vorhanden
    > ist solange man gar nichts eingibt sondern nur
    > abwartet bis die richtige Nummer abgefragt wird.


    Das wäre einfach, funktioniert aber nicht. Zumindest nicht im iTAN-System der Sparkassen.
    Dort wird jede sogen. Index-Anforderung ebenfalls gezählt und nach drei nicht oder falsch beantworteten Anfragen ebenfalls eine komplette Sperre des Zugangs gesetzt (neben 3xPIN oder 3x TAN).

  6. Re: Habe ich einen Denkfehler?

    Autor: tim 10.08.05 - 17:44

    Darki schrieb:
    -------------------------------------------------------
    > TreoJaner schrieb:
    > --------------------------------------------------
    > -----
    >
    > > Jetzt übwerweise ich fleißig. Ergebnis: auf
    > meiner
    > Liste sind nur noch 10 TANs übrig.
    > D.h. ein
    > potentieller Angreifer bräuchte nur
    > noch 10
    > versuche...
    > > Was passiert
    > eigentlich mit den Konten, wenn ich
    > 10 mal
    > falsche TANs eingegeben habe? Werden die
    > dann
    > gesperrt?
    >
    > Die werden gesperrt. Dein Gedankengang hat aber
    > einen kleinen Fehler, die 10 TAN Nummern brauche
    > ich gar nicht zu "probieren". Woher auch? Woher
    > sollte der Angreifer wissen welche er da probieren
    > kann? iTANs funktionieren so, das ich jedesmal
    > nach einer neuen Nummer gefragt werde. Ein
    > potenzieller Phisher fragt dich also nach einer
    > freien TAN und der entsprechenden Positionsnummer.
    > Nun geht er ins Banking und wiederholt so oft die
    > Absendefunktion der Transaktion bis tatsächlich
    > nach der richtigen TAN gefragt wird. Ich glaube
    > kaum das eine Sperrabfrage in den Konten vorhanden
    > ist solange man gar nichts eingibt sondern nur
    > abwartet bis die richtige Nummer abgefragt wird.

    Falsch geglaubt :-) Es gibt einen TAN-Reservierungszähler, der bei jeder iTAN-Reservierung hochgezählt wird. Ist der auf 4 wird die Tanliste vorläufig gesperrt und kann anschließend vom Kunden durch Angabe der 5. reservierten TAN aufgehoben werden (genau ein Versuch, wer hier nichts eingibt hat verloren und darf zur Entsperrung im Callcenter anrufen).
    D.h. beginne 4x eine Überweisung inkl. weiter auf TAN-Seite und schwupps Tanliste gesperrt.


    cu tim

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hochschule Furtwangen, Furtwangen
  2. Proximity Technology GmbH, Düsseldorf
  3. Campact e.V., deutschlandweit (Remote-Arbeitsplatz)
  4. Universität Bielefeld, Bielefeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 17,99€ (PC)/18,74€ (Mac)
  2. (Lenovo IdeaPad S340 für 649,00€ - Vergleichspreis: 668,00€ bei Ebay)
  3. (aktuell u. a. Deepcool Gammaxx L120 V2 Wakü für 44,99€, JBL E55BT Headset für 64,90€, Dell...


Haben wir etwas übersehen?

E-Mail an news@golem.de