Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News Studie: Sicherheit beim Online-Banking an erster Stelle
- Ersteller Andy
- Erstellt am
- Zur News: Studie: Sicherheit beim Online-Banking an erster Stelle
tobi14
Banned
- Registriert
- Sep. 2009
- Beiträge
- 915
Sicherhjeit und Datenschutz stehen also an erster Stelle? Wie können sich dann solche Dienste wie "Softortüberweisung.de" die sich wie einee Seuche ausbreiten über wasserhalten? Scheint also doch noch viel Idioten zu geben.
Genauso wie der Personenkreis der mobileTANs nutzt und gleichzeitig mit dem selben Gerät dann seine Geschäfte abwickelt. Das hat mit "Sicherheit" dann auch nichts mehr zu tun in Zeiten wo jede 0815 App auch Zugriff auf die SMS haben möchte. Da braucht man sich schon gar keine Mühe zu machen die Daten über Lücken aus zu lesen wenn der doofe User allem schon bei der Installation zu stimmt! Von Rechten entziehen oder blocken hat der normale Smartphone Nutzer jedenfalls keine Plan.
mobileTAN hatte ich auch mal genutzt, dann aber eben mit einem extra altmodischen Handy mit 3 Zeilen Display!
Auf einem Smartphone macht es wie gesagt aus Sicherheitsgründen keinen Sinn mobileTAN zu nutzen, da finde ich selbst die gute alte Papierliste sicherer wo man dazu aufgeforderter wird den X-ten Code ein zu geben!
Genauso wie der Personenkreis der mobileTANs nutzt und gleichzeitig mit dem selben Gerät dann seine Geschäfte abwickelt. Das hat mit "Sicherheit" dann auch nichts mehr zu tun in Zeiten wo jede 0815 App auch Zugriff auf die SMS haben möchte. Da braucht man sich schon gar keine Mühe zu machen die Daten über Lücken aus zu lesen wenn der doofe User allem schon bei der Installation zu stimmt! Von Rechten entziehen oder blocken hat der normale Smartphone Nutzer jedenfalls keine Plan.
mobileTAN hatte ich auch mal genutzt, dann aber eben mit einem extra altmodischen Handy mit 3 Zeilen Display!
Auf einem Smartphone macht es wie gesagt aus Sicherheitsgründen keinen Sinn mobileTAN zu nutzen, da finde ich selbst die gute alte Papierliste sicherer wo man dazu aufgeforderter wird den X-ten Code ein zu geben!
Natürlich ist mTAN sicherer, alleine schon weil transaktionsgebunden. Da gibt es eine immer noch aktuelle Liste:
http://www-ti.informatik.uni-tuebingen.de/~borchert/Troja/Online-Banking.shtml
Dazu kommt dann noch der Social Engineering Angriffsvektor, aber der gilt für alle Verfahren.
http://www-ti.informatik.uni-tuebingen.de/~borchert/Troja/Online-Banking.shtml
Dazu kommt dann noch der Social Engineering Angriffsvektor, aber der gilt für alle Verfahren.
smuper schrieb:Natürlich ist mTAN sicherer, alleine schon weil transaktionsgebunden. Da gibt es eine immer noch aktuelle Liste:
http://www-ti.informatik.uni-tuebingen.de/~borchert/Troja/Online-Banking.shtml
Dazu kommt dann noch der Social Engineering Angriffsvektor, aber der gilt für alle Verfahren.
Sicherer ja, aber sicher? Siehe hier: http://www.focus.de/finanzen/banken...ummern-von-telekom-handys-um_aid_1138211.html
MfG, Gregor
Was bin ich denn dann? Zum "Online-Banking" benutze ich den Automaten in der Filiale, ansonsten wird nur mit Bargeld gezahlt. Kreditkarte brauche ich leider für Dienstreisen, aber die ist nur Prepaid-CC.Coleslaw schrieb:Dann bin ich wohl auch ein Exot.
Gregor550 schrieb:Sicherer ja, aber sicher? Siehe hier: http://www.focus.de/finanzen/banken...ummern-von-telekom-handys-um_aid_1138211.html
MfG, Gregor
was kann das mTAN verfahren zu wenn die telekom sim-karte duplikate an dritte ohne legitimation ausgibt?
das wäre genau so, wenn jeder hinz und kunz eine neue bankkarte zu einem beliebigen konto erhalten würde. da hilft die beste technik nix.
Zuletzt bearbeitet:
H
highks
Gast
Luxuspur schrieb:Naja und was nützt es mir, wenn ich meinen Rechner zur Festung mache, die beteiligten Firmen aber jeden Cent bei der Sicherheit sparen und meine Kreditkarten / Bankdaten dann in den Shops abgegriffen werden?
Ein tolles Beispiel in Sachen IT-Sicherheit geben auch die Banken ab... bei der DKB Bank zum Beispiel hat man zum Login ein 5-stelliges Passwort.
Das ist kein Scherz, es muss fünstellig sein! Aber man darf ja alle Zeichen und Zahlen verwenden, deshalb findet die DKB Bank schon, dass es sicher ist - das haben sie mir jedenfalls ganz ernsthaft auf meine Mail geantwortet, in der ich gefragt habe, ob das System aus den frühen Neunziger Jahren stammt...
Die DKB verwendet übrigens auch noch die gute alte Papier-TAN auf ausgedruckten Zetteln - das passt von der Modernität her, ist aber wenigstens relativ sicher.
Bei der Sparda Bank ist es auch nicht viel besser, da hat man eine 6-stellige Zahl als "Passwort" und dann kommt noch ein Superduper Captcha dazu - dafür kann man aber hier nicht mal den Login-Namen ändern, der ist fixiert auf die Kontonummer...
Manchmal habe ich echt das Gefühl, je mehr es direkt um Geld geht, desto lächerlicher werden die Passwortbeschränkungen - auch bei Paypal ist eine Beschränkung der Länge von 13-20 Zeichen gegeben (immerhin...)
Als ob denen noch keiner gesagt hätte, dass jede feste Beschränkung der Länge die Entropie der möglichen Passwörter reduziert. Aber ich will nicht motzen, immerhin sind 20 Zeichen möglich... trotzdem sind meine Passwörter(phrasen) normalerweise länger.
Seit einigen Monaten habe ich mir übrigens als Sicherheitsregel für das Online-Banking festgelegt, dass nur noch c't Bankix verwendet wird. Das ist ein von der c't angepasstes Ubuntu, das schreibgeschützt von der SD Karte gebootet wird, und das keinerlei Zugriff auf Computer-interne Festplatten besitzt (die Möglichkeit auf SATA Zugriff wurde im Kernel entfernt).
Damit dürfte dann auch mTAN sicher genug sein - es ist eben nicht ganz so easy, als das Banking gleich im laufenden System mit zu erledigen, aber der Aufwand hält sich in Grenzen.
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.312
Coleslaw schrieb:Dann bin ich wohl auch ein Exot. Bin seit Jahren mit StarMoney und ner HBCI-Karte nebest Kartenleser unterwegs. Viel sicherer geht wohl nicht mehr. Ich muss nicht von unterwegs überweisen oder sonstigen Bankkram machen.
AFAIK sollte ChipTan sicherer sein, da dort keine Verbindung zum PC besteht und so das Gerät nicht manipuliert werden kann. Vorausgesetzt natürlich, man fällt nicht auf irgendeine Phishing Scheiße rein, aber das ist nun nicht so schwer. Einmal ein ordentliches Lesezeichen auf die richtige Seite setzen und nur darüber gehen.
Was bin ich denn dann? Zum "Online-Banking" benutze ich den Automaten in der Filiale, ansonsten wird nur mit Bargeld gezahlt. Kreditkarte brauche ich leider für Dienstreisen, aber die ist nur Prepaid-CC.
Altbacken? Ängstlich? Wer weiß, ist auch ziemlich egal, dafür gibt es ja die Wahlmöglichkeiten.
Seit einigen Monaten habe ich mir übrigens als Sicherheitsregel für das Online-Banking festgelegt, dass nur noch c't Bankix verwendet wird. Das ist ein von der c't angepasstes Ubuntu, das schreibgeschützt von der SD Karte gebootet wird, und das keinerlei Zugriff auf Computer-interne Festplatten besitzt (die Möglichkeit auf SATA Zugriff wurde im Kernel entfernt).
Damit dürfte dann auch mTAN sicher genug sein - es ist eben nicht ganz so easy, als das Banking gleich im laufenden System mit zu erledigen, aber der Aufwand hält sich in Grenzen.
Wofür? Wer solchen Aufwand schiebt, bzw. Paranoia hat, der sollte auch seinem Produktivsystem so weit vertrauen können bzw. in der Lage sein dieses zu sichern und Veränderungen zu erkennen.
Zuletzt bearbeitet:
Executor55
Lt. Commander
- Registriert
- Okt. 2004
- Beiträge
- 1.699
es geht ja um ein bruteforceangriff auf einen hashwert, den man zb aus der datenbank der bank gehackt oder evtl live mitgeschnitten hat oder wie auch immer.Tekwin schrieb:Bei fünfstelligen alphanumerischen Passworten mit einer Sperre nach der dritten Fehleingabe in folge, macht eine Bruteforceattacke keinen Sinn.
Deshalb laufen Angriffe auf Zugänge zum Onlinebanking grundsätzlich über Trojaner, Phishingmails und gefakte Seiten.
/edit
Nenne mir bitte jemand eine Bank in Deutschland, bei der der Zugang nicht nach wenigen Passwortfehleingaben gesperrt wird.
mir ist zwar ein solcher fall nicht bekannt, aber da wäre ein 5-stelliges pw binnen millisekunden entschlüsselt.
da nützt die passwortsperre nach 3 mal falsch eingeben auch nichts.
ich verstehe einfach nicht warum man nicht einfach größere pw zulässt. das würde der bank keine mühe machen und nichtmal mehr speicherplatz kosten, da man ja eh nur den hashwert speichert und der immer gleich lang ist, ob das pw 5 stellen oder 50 hat.
ein programmieraufwand von 2 minuten für jede bank.
Luxuspur
Banned
- Registriert
- Apr. 2012
- Beiträge
- 5.662
/edit
Nenne mir bitte jemand eine Bank in Deutschland, bei der der Zugang nicht nach wenigen Passwortfehleingaben gesperrt wird.
nützt dir nur nix wenn die Firmen an der Sicherheit spraen und Datendiebe einfach mal die PW Datenbank kopieren... dann können die Brutforcen wie sie möchten ohne Sperre nach Fehleingabe.
Heute klaut man doch keine PW mehr beim User! Wieso auch Aufwand für einen einzelnen User, wenn man die Daten millionenfach bei den Firmen abgreifen kann!
H
highks
Gast
[SoD]r4z0r schrieb:aber mobileTAN ist meiner Meinung nach sehr unsicher
Das kommt darauf an, wie man es verwendet. Wenn man es auf dem Smartphone verwendet, mit dem man gleichzeitig auch den Kontozugriff macht, dann ist es natürlich die Katastrophe. Wenn man dann auf dem Smartphone noch sämtlichen Müll aus dubiosen Quellen installiert, dann ist der Missbrauch praktisch schon vorprogrammiert.
Aber wenn man wie ich den Zugriff auf die Bank-Seiten ausschließlich vom völlig abgekapselten und manipulationsgeschützten c't Bankix System macht, wo soll dann die Korrelation der TAN mit dem System herkommen? Dann kann maximal jemand die SMS mit der TAN abgreifen, aber er weiß nicht, zu welcher Transaktion diese TAN gehört - denn die Transaktion selbst ist wie gesagt völlig abgekapselt und manipulationsgeschützt auf dem schreibgeschützten USB-Stick Linux.
Wenn man dazu jetzt noch ein altmodisches Handy ohne Apps verwendet, dann wäre die mTAN wahrscheinlich eines der sichersten Verfahren überhaupt.
Aber wie gesagt, es kommt sehr darauf an, wie man mTAN einsetzt - die Sicherheit schwankt hier von ziemlich bombensicher bis oh mein Gott ur pwned!
AFAIK sollte ChipTan sicherer sein, da dort keine Verbindung zum PC besteht und so das Gerät nicht manipuliert werden kann. Vorausgesetzt natürlich, man fällt nicht auf irgendeine Phishing Scheiße rein, aber das ist nun nicht so schwer. Einmal ein ordentliches Lesezeichen auf die richtige Seite setzen und nur darüber gehen.
Es ist mit einem Class 3 Lesegerät so ziemlich das Gleiche.
highks schrieb:Das kommt darauf an, wie man es verwendet. Wenn man es auf dem Smartphone verwendet, mit dem man gleichzeitig auch den Kontozugriff macht, dann ist es natürlich die Katastrophe. Wenn man dann auf dem Smartphone noch sämtlichen Müll aus dubiosen Quellen installiert, dann ist der Missbrauch praktisch schon vorprogrammiert.
bei den meisten banken ist das überweisen von einem mobilen endgerät und den erhält einer mobileTAN gesperrt.
d.h. eine mobileTAN gibt's nur wenn man das Online-Banking über einen PC aufruft.
H
highks
Gast
Executor55 schrieb:es geht ja um ein bruteforceangriff auf einen hashwert, den man zb aus der datenbank der bank gehackt oder evtl live mitgeschnitten hat oder wie auch immer.
mir ist zwar ein solcher fall nicht bekannt, aber da wäre ein 5-stelliges pw binnen millisekunden entschlüsselt.
da nützt die passwortsperre nach 3 mal falsch eingeben auch nichts.
Genau das ist es - man macht keine Bruteforce Attacken auf eine Webseite. Das wäre auch ohne Sperre viel zu langsam!
Bruteforce Attacken werden immer auf die Hashwerte gemacht, und da sind heutzutage selbst achtstellige Passwörter mit dem kompletten Zeichensatz mit ein paar Consumergrafikkarten in wenigen Tagen geknackt.
Fünstellige Zahlencodes sind in dem Fall so schnell berechnet, da kann man sich nicht mal einen Kaffee holen. Da kann man noch nicht mal das Wort "Kaffee" denken, in der Zeit in der das geknackt wird!
smuper schrieb:Das umgehen die Leute aber einfach ...
wer selbsständig sicherheitsmechanismen ausser kraft setzt ist dann auch beim schaden selber schuld.
bei meinem auto bau ich doch auch nicht den airbag aus
[SoD]r4z0r
Cadet 4th Year
- Registriert
- Apr. 2011
- Beiträge
- 122
Vejita schrieb:was kann das mTAN verfahren zu wenn die telekom sim-karte duplikate an dritte ohne legitimation ausgibt?
das wäre genau so, wenn jeder hinz und kunz eine neue bankkarte zu einem beliebigen konto erhalten würde. da hilft die beste technik nix.
Und was machst du wenn dein Handy kompromittiert ist? Wenn der dann noch die Zugangsdaten von deinem Onlinebanking hat kann er wunderbar dein Konto leerräumen und du bekommst nichts mit.
Bei der iTAN ist maximal eine Überweisung betroffen, es sei denn du lässt dir erklären dass deine 100 eingegebene TANs alle falsch sind.
Und nach wieviel falschen Eingaben wird dein Passwort gesperrt? Davon abgesehen bekommst du nach einem fehlgeschlagenen Loginversuch bei der nächsten Anmeldung eine entsprechende Meldung angezeigt.highks schrieb:[...]
Bei der Sparda Bank ist es auch nicht viel besser, da hat man eine 6-stellige Zahl als "Passwort" und dann kommt noch ein Superduper Captcha dazu - dafür kann man aber hier nicht mal den Login-Namen ändern, der ist fixiert auf die Kontonummer...
[...]
Wenn jetzt ein Keylogger mitläuft ist es auch egal ob du nun eine 6 stelliges PW oder ein 100 stelliges PW verwendest.
Im Falle eines Datenklaus würde ich eh davon ausgehen dass die PWs alle entschlüsselt werden können oder gar nicht erst wurden, wodurch das auch hinfällig wird.
Executor55 schrieb:es geht ja um ein bruteforceangriff auf einen hashwert, den man zb aus der datenbank der bank gehackt oder evtl live mitgeschnitten hat oder wie auch immer.
mir ist zwar ein solcher fall nicht bekannt, aber da wäre ein 5-stelliges pw binnen millisekunden entschlüsselt.
da nützt die passwortsperre nach 3 mal falsch eingeben auch nichts.
ich verstehe einfach nicht warum man nicht einfach größere pw zulässt. das würde der bank keine mühe machen und nichtmal mehr speicherplatz kosten, da man ja eh nur den hashwert speichert und der immer gleich lang ist, ob das pw 5 stellen oder 50 hat.
ein programmieraufwand von 2 minuten für jede bank.
Zum PW entschlüsseln: Ob ich jetzt 0.0815 Sekunden für ein 5- oder 6 stelliges PW brauche oder 3 Minuten für ein 12 Stelliges. Macht das dann einen großen Unterschied wenn ich im Endeffekt eh das Passwort kenne und es gar nicht zu einer falschen Eingabe kommt?
Wenn die Banksysteme alle mit 5-6 langen PWs entwickelt wurden ist es leider keine Sache von 2 Minuten. Davon abgesehen haben die Banken nur eine eigene IT die sich um den laufenden Betrieb kümmert. Da sitzen keine bzw. nur wenige Entwickler die sich um "Updates" bzw. neue Features kümmern. Ein Großteil wird von externen Dienstleistern unternommen. Bis auf diesem Wege eine Änderung der PW-Länge auf 8-32 Zeichen mit allen 4 Regeln erfolgt vergehen viele Monate und einige Mios an €. Und da keiner einen Anfang macht...
[SoD]r4z0r schrieb:Und was machst du wenn dein Handy kompromittiert ist? Wenn der dann noch die Zugangsdaten von deinem Onlinebanking hat kann er wunderbar dein Konto leerräumen und du bekommst nichts mit.
Bei der iTAN ist maximal eine Überweisung betroffen, es sei denn du lässt dir erklären dass deine 100 eingegebene TANs alle falsch sind.
wenn es so einen trojaner gibt der ein smartphone so befallen kann hast du recht, da steht man dann ziemlich blöd da und der angreifer hat erstmal einen freifahrtsschein.
bisher ist aber nur das szenario mit sim-duplikaten möglich um mobileTAN zu knacken.
iTAN hat meiner Meinung nach den großen Nachteil das bei einem Man-In-The-Middle Angriff dem Benutzer keine Möglichkeit bleibt die Daten zu vergleichen. Solche Angriffe sind nun mal das Hauptproblem, und da ist immer noch der Benutzer die letzte Instanz ob er die TAN zum autorisieren der Zahlung eingibt oder nicht.
Zuletzt bearbeitet:
Executor55
Lt. Commander
- Registriert
- Okt. 2004
- Beiträge
- 1.699
wenn jemand zb einen passwortsafe benutzt und sein pw >20 zeichen zufallsgeneriert ist, ist das passwort eben nicht mal eben in ein paar minuten/stunden/tagen entschlüsselt sondern eher in jahren ... defakto garnicht![SoD]r4z0r schrieb:Zum PW entschlüsseln: Ob ich jetzt 0.0815 Sekunden für ein 5- oder 6 stelliges PW brauche oder 3 Minuten für ein 12 Stelliges. Macht das dann einen großen Unterschied wenn ich im Endeffekt eh das Passwort kenne und es gar nicht zu einer falschen Eingabe kommt?
Wenn die Banksysteme alle mit 5-6 langen PWs entwickelt wurden ist es leider keine Sache von 2 Minuten. Davon abgesehen haben die Banken nur eine eigene IT die sich um den laufenden Betrieb kümmert. Da sitzen keine bzw. nur wenige Entwickler die sich um "Updates" bzw. neue Features kümmern. Ein Großteil wird von externen Dienstleistern unternommen. Bis auf diesem Wege eine Änderung der PW-Länge auf 8-32 Zeichen mit allen 4 Regeln erfolgt vergehen viele Monate und einige Mios an €. Und da keiner einen Anfang macht...
ich weis viele benutzen so etwas garnicht. hier geht es aber um die möglichkeit soetwas zu nutzen, die mir einfach nicht geboten wird.
und doch ... wer sich mit datenbanken auskennt bzw mit webprogrammierung, der stimmt mir zu das das eine sache von 2 minuten ist.
erklärung: wenn das passwort wirklich gehasht gespeichert wird in der datenbank (und ich hoffe das ist es), dann ist die feldlänge ja schon so lange, wie für den verwendeten hashalgorithmus nötig. die länge des pw ist hier nun unerheblich, da sich durch ändern der pw länge der hashwert nicht ändern würde (länger werden würde) und trotzdem genauso lang ist wie bisher. heißt also die datenbank bzw das feld für die pw müsste nicht angepasst werden.
die länge des pw wird in der eingabeform vom webserver festgelegt. und da wäre ein ändern der variable von 5 auf 30 zeichen zb ein kinderspiel.
klar kommen da noch 1-2 sicherheitsrelevante sachen dazu ("salt" für den hashwert etc....) aber alles in allem kein wirklicher aufwand für den programmierer.
da muss was anderes dahinter stecken ... was mir aber nicht einfällt.
Ähnliche Themen
- Antworten
- 13
- Aufrufe
- 1.462
- Antworten
- 33
- Aufrufe
- 6.505
M