highks schrieb:
Das kommt darauf an, wie man es verwendet. Wenn man es auf dem Smartphone verwendet, mit dem man gleichzeitig auch den Kontozugriff macht, dann ist es natürlich die Katastrophe. Wenn man dann auf dem Smartphone noch sämtlichen Müll aus dubiosen Quellen installiert, dann ist der Missbrauch praktisch schon vorprogrammiert.
Aber wie gesagt, es kommt sehr darauf an, wie man mTAN einsetzt - die Sicherheit schwankt hier von ziemlich bombensicher bis oh mein Gott ur pwned!
Zumindest in meinem Bekanntenkreis kenne ich viele die alles von einem Smartphone aus machen und dort auch jeden Müll, jede "Trendapp" (wie ich die Tage erfahren habe) installieren.
Das Linux fürs Online Banking ist eine sehr gute Idee und in Kombination mit nem alten Handy auch sehr sicher. Aber es ist halt nicht weit verbreitet.
Meine Aussage mit mTAN bezog sich auf alles vom Smartphone aus machen bzw. das Smartphone auch regelmäßig mit dem PC zu synchronisieren, sodass ganz leicht eine Verbindung zwischen beiden Geräten erkannt werden kann.
Executor55 schrieb:
[...]
und doch ... wer sich mit datenbanken auskennt bzw mit webprogrammierung, der stimmt mir zu das das eine sache von 2 minuten ist.
erklärung: wenn das passwort wirklich gehasht gespeichert wird in der datenbank (und ich hoffe das ist es), dann ist die feldlänge ja schon so lange, wie für den verwendeten hashalgorithmus nötig. die länge des pw ist hier nun unerheblich, da sich durch ändern der pw länge der hashwert nicht ändern würde (länger werden würde) und trotzdem genauso lang ist wie bisher. heißt also die datenbank bzw das feld für die pw müsste nicht angepasst werden.
die länge des pw wird in der eingabeform vom webserver festgelegt. und da wäre ein ändern der variable von 5 auf 30 zeichen zb ein kinderspiel.
klar kommen da noch 1-2 sicherheitsrelevante sachen dazu ("salt" für den hashwert etc....) aber alles in allem kein wirklicher aufwand für den programmierer.
da muss was anderes dahinter stecken ... was mir aber nicht einfällt.
Die reine Programmierarbeit ist in der Tat sehr gering. Aber wir leben hier in Deutschland, in einer Bürokratie^10. Bis da etwas genehmigt wird dauert es schon lange. Dann muss alles ausgeschrieben werden wegen Wettbewerb etc. Dann mit Projektmanagement, Projektdurchführung durch externe und dem Sicherheitswirrwar drum herum, bis die erst einmal anfangen dauert das schon recht lange. Danach kommt natürlich eine Testphase, ggf. von einer Zertifizierung gefolgt. Dann muss das Release noch geplant werden, im Vorhinein müssen die Mitarbeiter noch geschult werden um in eventuellen Supportanfragen den Kunden erklären zu können was die nun für ein Passwort eingeben können, etc.
Bis das ganze dann durchgeführt wurde vergeht wirklich einiges an Zeit. Und das kostet natürlich auch gut.
So kann ich mir zumindest wunderbar erklären warum die Banken das noch nicht gemacht haben. Da ist der Schaden von 100 gehackten Konten geringer wie die Projektkosten.
Vejita schrieb:
wenn es so einen trojaner gibt der ein smartphone so befallen kann hast du recht, da steht man dann ziemlich blöd da und der angreifer hat erstmal einen freifahrtsschein.
bisher ist aber nur das szenario mit sim-duplikaten möglich um mobileTAN zu knacken.
iTAN hat meiner Meinung nach den großen Nachteil das bei einem Man-In-The-Middle Angriff dem Benutzer keine Möglichkeit bleibt die Daten zu vergleichen. Solche Angriffe sind nun mal das Hauptproblem, und da ist immer noch der Benutzer die letzte Instanz ob er die TAN zum autorisieren der Zahlung eingibt oder nicht.
Ich denke es ist mittlerweile besonders bei Android recht einfach möglich, SMS etc. abzugreifen und auch unbemerkt zu versenden, oder habe ich das gerade falsch in Erinnerung?
Zum Thema MITM-Angriff, wieviele gab es jetzt eigentlich? Bei Wikipedia stand mal was mit "2008 und 1800 bekannte Angriffe". Das klingt für mich eigentlich nach nicht soo viel... Allerdings weiß ich nicht wie sich das weiterentwickelt hat.
MountWalker schrieb:
Auch da kann ein doppelter Kartenslot und eine Microkamera versteckt angebracht sein - ging 1990, geht 2014 immernoch. Vorsicht ist die Mutter der Porcellankiste - egal ob online oder am Bankterminal.
Wäre dann nicht der Überweisungsträger am sichersten?
Wobei bei dem reicht doch auch nur die EC-Karte zum einlösen aus - und die lässt sich doch auch einfach fälschen...