Forum: Netzwelt
pushTAN-Verfahren: Hacker knackt Online-Banking-App
Vincent Haupert

Neue Apps sollen das Online-Banking bequemer machen, weil man die benötigte TAN einfach auf dem Handy generiert. Ein Forscher zeigt nun, wie leicht sich dieses System hacken lässt, und verrät, welche Verfahren sicherer sind.

Seite 3 von 7
kain1 28.12.2015, 14:48
20. Erschreckend

...das hinter dem, von der grundsätzlichen Überlegung her unsicheren Verfahren, eine komplette IT-Abteilung incl. Vorstand bei der Sparkasse und ggf. noch ein IT-Dienstleister stehen. Die Ausgaben für solch einen Schildbürgerstreich erfüllt ja fast schon den Tatbestand der Untreue.
Bei PCs weß man seit Jahren, dass die Systeme kompromitiert werden - warum sollte ein Smartphone mit dem gleichen Betriebssystem sicherer sein ?

Beitrag melden Antworten / Zitieren
swandue 28.12.2015, 14:55
21.

Zitat von amidelis
Unsicher ist also nicht das jeweilige Verfahren sondern der jeweilige Kunde. Und der ist die Störquelle weil er früher zu seiner Hausbank laufen konnte, einen überweisungsträger abgegeben hat und dann war der Fall erledigt. Das wurde aber für die Banken zu teuer weswegen alle Kunden zum onlinebanking gedrängt wurden. Und seit es dieses Procedere gibt, werden weitaus mehr Banken und Kunden bestohlen als jemals zuvor. They call it Fortschritt.
Und wenn der Vorgang "alle Kunden zum onlinebanking gedrängt" abgeschlossen ist, dann stellen sie vielleicht irgendwann mal fest: "Wir sehen unsere Kunden gar nicht mehr persönlich. Das ist blöd, wenn man ihnen ab und zu mal was verkaufen möchte."

Beitrag melden Antworten / Zitieren
Phil2302 28.12.2015, 14:58
22.

Verstehe ich das richtig: Ich muss jetzt immer diesen kleinen Taschenrechner benutzen, weil analoge TANs wegen der Blödheit anderer als zu unsicher gelten?

Beitrag melden Antworten / Zitieren
toledo 28.12.2015, 15:08
23. ....

Selbst der Trick mit der Ersatz SimCard würde bei meiner Bank nicht funktionieren, da potentielle Täter auch unbedingt mein(!) Handy bräuchten. Denn nur dieses, vorher bei der Bank angemeldet und identifiziert, könnte den TAN-Code auf dem Bildschirm entschlüsseln, der vom auführenden Gerät angefordert wird.
Die können sich also soviel SIM Karten bestellen wie sie wollen..

Beitrag melden Antworten / Zitieren
Telon 28.12.2015, 15:16
24. iTAN schon sicher!

Die TAN-Listen an dich waren bzw. sind in meinen Augen sicher genug. Das Problem ist und war nicht das Verfahren, sondern die Nutzer.
Wer TANs speichert ode scannt schreibt auch seine PIN auf die ec-Karte oder gibt jedem Hanswurst an der Haustür 100,- wenn der sagt er kommt von der Gemeinde oder ähnlichen Unfug verzapft.
Ich hätte meine Papierliste gerne zurück!

Beitrag melden Antworten / Zitieren
alice-b 28.12.2015, 15:16
25. Nicht nur...

die 5 Zeichen die bei der Sparkasse erlaubt sind, nein auch noch im Feld "Verwendungszweck" sind Sonderzeichen nicht erlaubt. Folgender Verwendungszweck geht nicht "100,00 €- 3% Skonto."
Das € Zeichen, der Minus-strich und die Prozent werden nicht akzeptiert.

Beitrag melden Antworten / Zitieren
fitzefatz 28.12.2015, 15:22
26. unsicher...

Offenbar liegt bei allen Verfahren mit einer Zwei-Faktor-Athenttifizierung das Risiko beim fahrlässigen Nutzer, nicht beim System an sich. Zum Thema Online-Banking wäre generell unsicher: Wenn man möchte kann man gern immer persönlich zur Bank gehen und die Überweisungen einwerfen. Man kommt raus an die frische Luft, trifft evtl. Leute etc... Aber ich schätze mal, dass die teils beschriebenen Tricks zum Knacken der TAN-Verahren bedeutend komplizierter sind, als die Unteschrift auf einem Überweisungsträger zu fälschen.

Beitrag melden Antworten / Zitieren
limubei 28.12.2015, 15:25
27. warum warum warum nur?

Zitat von nahdran
"Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt die Zwei-Faktor-Authentifikation in seinen IT-Grundschutz-Katalogen." siehe wikipedia. Das Thema ist nicht neu. Warum also bieten Banken Ihren meist ahnungslosen Kunden überhaupt ein Verfahren an, der dieses Paradigma aushebelt?
Wer seiner Bank und seinem Bankberater vertraut - siehe Artikel heute auf SPON zum Thema Anlagen.

Zuviel Ahnungslose im Neuland unterwegs! Ist halt so schön praktisch immer mit dem Smartphone vor der Nase alles zu machen. Faul Fauler Smombie. Und dann noch mit dem Hooverboard durch die Stadt.
Am besten beides gleichzeitig vor die nächste Wand.

Beitrag melden Antworten / Zitieren
kroganer 28.12.2015, 15:30
28. Warum

Muss man von überall auf der Welt überhaupt Überweisungen tätigen können. Wer braucht so was? Man kan. doch schon mit Geldkarte, Kreditkarte und Schecks überall bezahlen. Ich sehe keinen Sinn darin mich in so ein Risiko zu begeben, irgendwann ist man immer Zuhause um das Computer zu machen und da gibt es z.B. Mit dem Chip-Tan verfahren doch schon sehr sichere Möglichkeiten.

Beitrag melden Antworten / Zitieren
Das Pferd 28.12.2015, 15:30
29.

Zitat von black-mamba
Wenn däd Tanlisten-Verfahren tatsächlich nur dadurch "geknackt" werden kann, dass der Nutzer aktiv seine Tans wo eingibt, wo er vorher ausdrücklich davor gewarnt wurde, dass es keinen Grund gibt (außer vielleicht seiner Einfältigkeit) die Tan anderswo einzugeben als auf der selbst gestarteten Online-Banking-Site, dann scheint mir däd papierbasierte Listenverfahren doch als das sicherste. Muss es wurkluch immer "schneller" "höher" "weiter" "hipper" sein, kann man nicht einfach mal däd Bewährte bestehen lassen? Also unter Fortschritt verstehe ich etwas anderes als "hauptsache neuer"
nein, TAN-Listen sind nicht aus der Mode, sie sind tatsächlich unsicher. Die Banken tun sich doch den ganzen Zirkus mit verärgerten "ich habe gar kein Handy"-Senioren nicht zum Spaß an. Sie haben schlicht den besten Überblick, wie hoch der Schaden bei den jeweiligen Verfahren ist. Und Einfältigkeit der Kunden, grade der, die von der ganzen modernen Technik ohnehin überfordert sind, ist sehr wohl Teil der Zuverlässigkeit von Sicherungsmechanismen. Die Jahrgänge, die etwas "einfältig" werden, haben oft die größten Geldvermögen.
Ausserden sind Bankgeschäfte etwas, was man eben bis ins hohe Alter selbst machen will. Länger als arbeiten, Autofahren, reisen oder ein Handy bedienen.

Beitrag melden Antworten / Zitieren
Seite 3 von 7