[HaBo]

friday0D

Anzeige

also um ein derartiges verfahren zu sichern ist notwendig, dass der benutzer einen schlüsselteil besitzt, der für ihn individuell ist und nur ihm bekannt und nur duch ihn zugreifbar. dies ist nur durch ein token in einem eigenständigen gerät möglich.
diese tokens werden in einem angeommenerweise sicheren zustand, inittialisiert durch einen salt parameter von der bank, der das token in einen entropen schlüssel für zukünftige aktionen versetzt.
das die prüfsumme der überweisungsdaten in der sms z.b. enthalten ist reicht nicht solange der benutzer nicht den klartext der überweisung überprüfen kann. auch wenn er es kann ist dies nicht die beste wahl, denn es gibt genügend leute, die nicht darauf achten würden, die daten reiflich zu überprüfen, da bin ich mir sicher. falls jemand schon smstan nutzt: von welchem absender stammen denn die sms ? wie überprüft man denn die gültigkeit der sms-absender ? mit eine bischen kindergartewissen kann man sms beliebiger absender verschicken ? es muss doch eine art öffnetlicher schlüssel vorhanden sein um die echtheit einer smsnachricht zu überprüfen, bitte sagt mir nicht, dass es nicht so ist ...

Lesco

Also irgendeine besondere Absender-Authentifizierung gibt es zumindest bei der VR-Bank nicht, aber das halte ich auch nicht für sonderlich schlimm, da andere Absender ohnehin keine gültigen TANs generieren könnten. Könnten sie dies, so bräuchte die Malware auch gar keine SMS zu fälschen und das ganze wäre hinfällig.

lightsaver

Es ist vielleicht derzeit noch recht weit hergeholt, aber gerade Smartphones verbreiten sich ja immer mehr. Es gibt genug Leute (mich eingeschlossen), die dieses regelmäßig mit dem PC synchronisieren.
Stellt man sich nun einen zweischichtigen Trojaner vor, einer auf dem PC und dann noch einer auf dem Telefon, dann würde der Angriff theoretisch wieder funktionieren können. Trivial wäre das zwar definitiv nicht, aber ich bin mir recht sicher, dass es nicht unmöglich ist.

Persönlich würde ich aber wie gesagt auf HBCI setzen.

enkore

Es kristallisiert sich hier ganz langsam (oder auch ganz schnell für Abiturienten ) heraus, dass HBCI das einzig - auch theoretisch - sichere System ist.
Denn man kann sicher nich per USB den HBCI Leser mit einer neuen Firmware versehen...

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++

muhrad

Naja...du kannst allerdings bei HBCI (im Standard-Fall) nicht prüfen, welche Daten deine Bank-Software an den Kartenleser geschickt hat. Du kannst nur sicherstellen, dass genau diese Daten dann unverändert bei der Bank ankommen.

Wenn die Banksoftware durch einen Trojaner Kompromittiert ist, kannst du auch hier einem Betrug ausgesetzt sein.

Dafür wurde jetzt allerdings der Nachfolge-Standard Secoder verabschiedet, der die Anzeige der zentralen Transaktions-Daten im Display des Kartenlesers vorschreibt (ist bei HBCI schon moeglich, aber nicht vorgeschrieben...wird somit bei vielen Kartenlesern nicht angezeigt)

Mechanius

Lightsaver die Variante Bluetoothtrojaner soll es angeblich schon geben. Zumindest hat das einer behauptet beim Vortrag zur Handysicherheit. Aber auch mit altmodischen Papierüberweisungen kann man betrogen werden deshalb immer Augen auf!

Elderan

Hallo,
naja seid froh, dass wir solch ein TAN Verfahren in Deutschland haben.

Bei der Bank of America, bei der man seit wenigen Wochen erst online Überweisungen machen kann (vorher gingen nur Überweisungen innerhalb der Bank of America), geht das ganze ohne TAN! Einfach einloggen und schon kann jeder beliebig Geld überweisen.

Tolle neue Welt. Wobei diese Form des Online Banking vermutlih ähnlich sicher ist wie die Checks die hier weiterhin genutzt werden

baSe--T

Hier mal ein Auszug aus einer SMS (Volksbank):
Zudem hat die Volksbank ein sehr gutes Sessionmanagement-System. Es wäre nicht unmöglich aber sehr schwer.