Forum: Netzwelt
pushTAN-Verfahren: Hacker knackt Online-Banking-App
Vincent Haupert

Neue Apps sollen das Online-Banking bequemer machen, weil man die benötigte TAN einfach auf dem Handy generiert. Ein Forscher zeigt nun, wie leicht sich dieses System hacken lässt, und verrät, welche Verfahren sicherer sind.

Seite 1 von 7
Armin2 28.12.2015, 13:57
1. Nur theoretisches Risiko

Das ist ja ein toller Trick: "Geben Sie mir bitte mal Zugriff auf Ihr Handy, dann kann ich Überweisungen ausführen, ohne dass Sie das merken." Wenn jemand so blöd ist, dass er sein Handy bzw. seine Zugangsdaten nicht ausreichend schützen kann, dann ist dieser Person durch keinen Schutz der Welt zu helfen. Two-Faktor-Auth? Wäre doch viel zu kompliziert. Wer auf Mails reagiert, die eine Übergabe der kompletten TAN-Liste fordern, gute Güte, was soll man da noch sagen außer: Schon mal über einen Vormund nachgedacht?

Beitrag melden Antworten / Zitieren
purple 28.12.2015, 13:58
2. Gegen Dummheit ist kein Kraut gewachsen

Nachdem ein Handy ein grundsätzlich unsicheres Gerät ist, auf das es sogar von den Herstellern eingebaute Backdoors gibt - für Wartung etc.... kann man auf dem Handy kein sicheres Banking machen mit keinem denkbaren Verfahren und eigentlich gehören die Leute gestraft die es trotzdem machen sowohl auf Anbieter als auch auf Anwenderseite.

Es gibt nur ein sicheres Verfahren HBCI -Chipcard mit eigener zertifizierter Pintastatur und eigentlich ist auch das I-Tan verfahren sicher - falls der Benutzer nicht so blöd ist und seine Tanliste am PC einscannt...

Leider gibt es HBCI Chipcard nur bei wenigen Banken und da auch nur auf Anfrage - ich benutze es seit Jahren

Beitrag melden Antworten / Zitieren
black-mamba 28.12.2015, 13:59
3. Das geduldige Papier

Wenn däd Tanlisten-Verfahren tatsächlich nur dadurch "geknackt" werden kann, dass der Nutzer aktiv seine Tans wo eingibt, wo er vorher ausdrücklich davor gewarnt wurde, dass es keinen Grund gibt (außer vielleicht seiner Einfältigkeit) die Tan anderswo einzugeben als auf der selbst gestarteten Online-Banking-Site, dann scheint mir däd papierbasierte Listenverfahren doch als das sicherste. Muss es wurkluch immer "schneller" "höher" "weiter" "hipper" sein, kann man nicht einfach mal däd Bewährte bestehen lassen? Also unter Fortschritt verstehe ich etwas anderes als "hauptsache neuer"

Beitrag melden Antworten / Zitieren
vitalik 28.12.2015, 14:00
4.

Bei jedem Beratungsgespräch, in jedem Brief und in jeder Email wird immer darauf hingewiesen, dass die Bank den Kunden nie nach Passwort und TAN fragen wird und trotzdem gibt es diese Leute, die munter darauf los die Nummern eintippen.

Beitrag melden Antworten / Zitieren
nahdran 28.12.2015, 14:00
5. two factor authentication

"Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt die Zwei-Faktor-Authentifikation in seinen IT-Grundschutz-Katalogen."
siehe wikipedia.

Das Thema ist nicht neu.
Warum also bieten Banken Ihren meist ahnungslosen Kunden überhaupt ein Verfahren an, der dieses Paradigma aushebelt?

Beitrag melden Antworten / Zitieren
daoip 28.12.2015, 14:01
6. Forscher entdecken Hirschkuh mit Arschgeweih

Angriff funktioniert nur auf gerooteten Geräten. Und auf gerooteten Geräte ist ALLES was man macht potentiell unsicher, da ALLE Apps manipuliert werden können.
Deswegen funktioniert pushTAN in der neuesten Version auf gerooteten Geräten auch nicht. Angriffsszenario also nicht gegeben, bin gespannt was für ein Klickdummy sich Haupert nachher zusammenbastelt.

Somit Schnee von gestern und viel Wirbel um nichts.
"Forscher"-Haupert sollte lieber Würstchen verkaufen.
Sparkasse rulez!

Beitrag melden Antworten / Zitieren
railerowl 28.12.2015, 14:05
7. Für mich gibt es nur Chip-Tan

Ich würde niemals ein anderes Verfahren als das momentan sicherste verwenden.
Aus Bequemlichkeit entstehen immer die größte Unsicherheit! und M-Tan ist Bequemlichkeit pur!
Für mich als PC Techniker ist es unbegreiflich, dass die Geldinstitute überhaupt ein so unsicheres Verfahren anbieten. Eigentlich ist das eine absichtliche Einladung zum Raub!!!

Beitrag melden Antworten / Zitieren
ThomasGB 28.12.2015, 14:07
8. Ja geht's denn noch?

Zum iTAN-Verfahren:
" Zum Beispiel hätten manche Kunden gefälschte E-Mails bekommen, in denen sie scheinbar von der Bank aufgefordert ..."

Also etwas selten blöderes habe ich noch nicht gehört. Weil ein Benutzer so bescheuert ist, seine TANs in eine ominöse Website einzutippen ist das Verfahren an sich unsicher.
Solche Trottel kann man auch mit einer e-mail hereinlegen in der angegeben wird, daß sämtliche Überweisgungen in Zukunft über ein zentrales Empfängerkonto abgewickelt werden und nur noch die im Schreiben angegebene Kontonummer als Empfängerkonto benutzt werden soll.
Was schließen wir dann daraus? Aha, Überweisungen sind per se unsicher!

Beitrag melden Antworten / Zitieren
Toncontin 28.12.2015, 14:09
9. Was ist an iTAN verkehrt?!

Der einzige Mangel am iTAN-System ist ja offensichtlich der Nutzer selbst, der nicht weiß was er macht bzw. seinen Rechner nicht richtig schützt. Ich bin dankbar, das meine Banken iTAN noch unterstützen. ... Und die Wahrscheinlichkeit, dass einer bei mir einbricht, die TAN-Listen klaut und das Passwort für's Onlinebanking hat, ist ja wohl eher gering.

Beitrag melden Antworten / Zitieren
Seite 1 von 7