ComputerBase Menü
Aktuelles

News Neue Sicherheitslücke schürt weitere Zweifel an mTAN

Mal ganz ehrlich, wer so saudämlich ist und seine Handynummer samt IMEI preisgibt, der glaubt auch, das Bankräuber nur die Bank rauben und nicht das Geld. :freak:
 
Finds auch ne Sauerrei, das ich nun vom gemochten und zudem sicheren iTan weichen muss, alles was außschließlich mit Elektronik zu tun hat ist unsicher, lasst dem Kunden wenigstens ein Ass im Ärmel gegen Trojanern etc.!
 
Die armen Nokia User xD
Aber naja am Ende sind User selbst schuld, man kann es doch logisch ausschließen.
 
SavageSkull schrieb:
Zu Modem Zeiten hat man sich in den Bank Rechner eingewählt und da war gar kein Internet dazwischen.
Warum haben wir überhaupt diesen Rückschritt gemacht?
Zum Vergrößern anklicken....

wenn da kein Internet war, was dann?
auch ein Datenklo hat eine Verbindung in das sagenumwobene Internet hergestellt...
*rolleyes*

100% Sicher ist keine Methode. Damit muß man sich mal abfinden, die Welt dreht sich immer noch.
Zum Vergrößern anklicken....

DA muss ich dir Recht geben.
100%-ige Sicherheit gibts nicht...
und solange der Nutzer das größte Sicherheitsrisiko ist, werden wir uns immer wieder neue noch "bessere" Sicherheitsmechanismen antun...
für mich reichte iTAN auch, wobei mTAN durchaus bequem ist...
da kann man die dumme TAN-Liste nicht vergessen, wenn man mal eine Zeit lang unterwegs ist, das Handy hat man im Regelfall immer dabei
 
KRambo schrieb:
Also da sollte ja wohl der letzte Hirnlose schnallen dass da was nicht stimmen kann. Was hat das Handy mit der Webseite der Bank zu tun?
Zum Vergrößern anklicken....

Was das Handy mit der Bank zu tun hat? Bei mTAN jede Menge, die Bank muß doch wissen auf welches Handy die TAN-Nummer geschickt werden muß.

Kleiner69 schrieb:
Soweit mir bekannt ist die mTan
1. zeitlich limitiert,
2. funktioniert diese nur in Verbindung mit der korrekten Kontonr. des Empfängers und
dem korrekten Zahlbetrag.

Was kann also jemand mit der abgefangenen mTan anfangen - außer evtl ein Buch mit schreiben?
Zum Vergrößern anklicken....

Abgesehen von den schon gegebenen Antworten kommt noch etwas dazu. Das gilt vielleicht nur für ChipTAN, eventuell aber auch für mTAN. Wenn Du eine Sammelüberweisung machst, wird zumindst bei Chip-TAN nur eine TAN-Nummer generiert. Ich bekomme das nicht mehr ganz zusammen, aber das wurde von einer PC-Zeitschrift als Risiko bewertet, weil nur die Summe der Überweisungen angezeigt wird.

MrEisbaer schrieb:
Mal ganz ehrlich, wer so saudämlich ist und seine Handynummer samt IMEI preisgibt, der glaubt auch, das Bankräuber nur die Bank rauben und nicht das Geld. :freak:
Zum Vergrößern anklicken....

Natürlich kommt man mit Nachdenken darauf, auf der anderen Seite kann man damit Laien viel leichter hereinlegen. Anders als bei TAN Abfragen kann sich der Laie sagen, die Handynummer braucht die Bank ja um die SMS zu schicken. Und da man keine TAN Nummer eingeben muß, ist das Sicherheitsbedenken geringer bei einem Laien könnte ich mir vorstellen. So gesehen halte ich dieses Pishing für effektiver als die TAN Abfragen.

Warum iTAN aber unsicherer sein soll verstehe ich selber nicht. Zumindest rein theoretisch ist mTAN und ChipTAN knackbar, da eine Berechnung aufgrund eingegebener Daten erfolgt. Ist dieser Code geknackt, kann mit der passenden EC Karte (Kopie reicht, wie z.B: an Automaten oder Karten-Tankstellen schon geschehen) eigene Überweisungen gemacht werden. Dies ist bei der Zufallszahlenliste nicht möglich.
 
Wo besteht denn die Gefahr beim iTan?

Daran, dass jemand einige Nummern von bisherigen iTans abfängt und dann versucht den verwendeten Generator Code rauszufinden? (Wenn das überhaupt so gemacht wird.)

Denn ich glaube nicht, dass vielen Leuten mal eben der Bogen mit den Nummern abhanden kommt...
 
Die Gefahr beim TAN Oder iTan liegt darin, daß ein Trojaner auf dem PC ausreicht, im Hintergund die Überweisung zu manipulieren.

Bei mTan muß parallel dazu auch noch das Mobiltelefon unter Kontrolle gebracht werden. Das erfolgt hier mit dem speziell auf das jeweilige Telefon signierten Installer, deshalb die IMEI.

Das ist imho keine Sicherheitslücke, sondern ein Fall für den gesunden Menschenverstand.
Auf jeden Fall ist ein normale TAN um ein Vielfaches unsicherer.

Just my two cents...
 
Also iTan ist wirklich sehr unsicher. Der Bankberater, der hier zitiert wurde hatte unrecht. Das größte Problem ist nicht, dass die Liste gestohlen wird, sondern ein so genannter Man-in-middle Angriff. Davon bekommt man im Optimalfall nichts mit.
Die Angreifbarkeit des chipTan Verfahrens bei Sammelüberweisungen ist natürlich gegeben. Aber wann macht man mal eine Sammelüberweisung?
Firmen, die sowas öfters machen, sollten sowieso ein professionelles Onlinebanking System haben.
Und wenn man seine Geldkarte verliert, dann ist doch Onlinebanking, für das man noch die Pin braucht doch nichts das größte Problem. Der Dieb/Finder kann dann direkt auf Einkaufstour gehen.
 
danke das die news auch auf cb zu finden ist;) quelle
tja da haben die chinesen wohl herausgefunden das die grosse masse an telefonen im umlauf mit symbian bestückt sind. damit greifen sie nicht nur die deutschen banken an sondern auch nokia. wird auch zeit das symbian mal wieder ein update bekommt. also wer bei ner banküberweisung seine imei nummer eingibt muss erst mal wissen was das überhaupt ist. die meisten leute brauchen die sehr selten.

cheers
 
Kein System wird jemals vor der Dummheit des Anwenders sicher sein.
 
Das Problem mit der iTAN ist, dass die Liste auf dem Server gespeichert ist. Und leider kann man auf diese zugreifen. Die Bank kann nur leider ueber die IP die Ueberweisung zurueckverfolgen. Und ich habe in der Tat zwei Ueberweisungen mit Rainbow-Tabellen statt iTAN-Liste gemacht. Damals, als ich noch juenger war und mein Konto allenfalls Taschengeld beinhaltete. Heute ist iTAN auf meinem Konto abgeschaltet.

In der Richtung ist mTAN tatsaechlich besser. Die Chip-TAN und die mTAN haben die gleiche Schwaeche. Verlierst du den einen Chip (Karte) oder den anderen Chip (SIM), stehst du doof da.
 
Aber wenn du deine Chipkarte verlierst, dann stehst du auch ohne Onlinebanking doof da.
 
Wurde auch zwangsweise auf mTAN umgestellt. Jetzt bezahle ich für jede Überweisung 9 Cent. Bei anderen Banken geht's auch noch mit iTAN und somit kostenlos, daher wird der Account gleich mal still gelegt.

Usern die es ausdrücklich wünschen, iTANs zu benutzen, sollte man es nicht grundsätzlich verbieten. Nun hat die Spaßkasse einen Kunden weniger ;)
 
"wenn da kein Internet war, was dann?"

schon mal was von direktverbindung gehört?
 
Im zweitem Absatz, im letzten Satz ist ein kleiner Fehler: Sypware. Sollte eigentlich ja Spyware heissen^^.
 
die Sicherheitslücke ist ja wieder mal beim Anwender... wenn der darauf reinfällt und sein Symbiangerät zum Zertifikat installieren ansteckt, selbst Schuld.
Ich nutze seit 3 wochen mTAN, mir bleibt als Sparkassenkunde nichts anderes übrig als früher oder später umzusteigen. Eigentlich recht angenehm, die SMS kommt 1 Sekunde nachdem ich die Überweisung abschicke, TAN ablesen einhacken fertig. Die Sparkasse lässt sich das nur leider mit 9 Cent pro Überweisung berechnen...
 
PeterBaier schrieb:
Die Gefahr beim TAN Oder iTan liegt darin, daß ein Trojaner auf dem PC ausreicht, im Hintergund die Überweisung zu manipulieren.
Zum Vergrößern anklicken....

Also, bei meiner Bank bekomme ich nach Eingabe des TANs noch eine Zusammenfassung und die Frage: "Sind Sie sicher, dass alle Angaben so stimmen? j/n"

Wenn sich diese Seite automatisch wegklickt, da etwas anderes drin steht als man eingegeben hat und man dann trotzdem nicht zur Bank rennt, um das schnellstens rückgängig zu machen, dem kann man dann nicht mehr helfen.

Wirklich "im Hintergrund" kann man das nicht nennen - es sei denn, der Trojaner ist so ausgefuchst, dass er selbst diesen Bestätigungsscreen noch abändert und das ganze so hin bekommt, dass der verwendete Browser kein Alarm schlägt. Das halte ich dann aber doch für sehr unwahrscheinlich.
 
Das Problem sitzt doch immer zwischen Monitor und Rückenlehne, aber mal ehrlich:
Wer will die Oma mit 70 Jahren dazu "zwingen" alle Sicherheitsregeln im Internet zu beachten? Die möchte sich vor die Kiste hocken und will, dass das Ding funktioniert...

Ich denke, das einzige Verfahren, dass wirklich sicher ist (derzeit) ist und bleibt HBCI mit dediziertem Cardreader mit PIN-Pad... Da kann nicht einmal der Nutzer was falsch machen...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Windows: Neue Sicherheitslücke entdeckt – sie betrifft fast alle Nutzer
Antworten
6
Aufrufe
599
Dachshund
D
Jan
News CacheWarp: Neue Sicherheitslücke mit Heilmittel in CPUs von AMD
2
Antworten
35
Aufrufe
6.467
Merkmal
Merkmal
S
Neue Sicherheitslücke bei Intel?
Antworten
3
Aufrufe
1.307
inge70
inge70
cbtestarossa
RID Hijacking - Neue Sicherheitslücke ab XP inkl. Server
Antworten
17
Aufrufe
1.172
cbtestarossa
cbtestarossa
P
News Neue Sicherheitslücke in Reflection-API von Java entdeckt
2 3 4
Antworten
61
Aufrufe
8.078
Cool Master
Cool Master

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz