Idee: mangelhafte iTAN Verfahren Sicherheit perfektionieren |
|
---|---|
20.11.2005, 14:59
Member
Beiträge: 2176 |
|
|
|
20.11.2005, 19:11
Administrator
Beiträge: 1743 |
#2
PIN/TAN hat sich bisher als ziemlich sicher erwiesen, das grösste Risiko ist immer noch der nicht vollständig aufgeklärte User und die damit möglichen Phisher.
die von Dir beschriebene Weiterentwicklung würde das System nach aktuellem Stand imho "sicherer" machen. // edit habe gerade nochmal nachgedacht, theoretisch könnte man einen Captcha bzw. die Grafik auch weiterleiten ich bin sehr gespannt welche Bank zuerst reagiert! ansonsten wäre das wirklich nur wieder Augenwischerei - da nicht zuende gedacht! wer haftet eigentlich bei Phising Unfällen? __________ Gruß Lukas |
|
|
20.11.2005, 19:39
Member
Beiträge: 3306 |
#3
Das Problem der Banken ist ähnlich dem von Microsoft. Eigentlich gibt es ein sicheres Verfahren das heißt HBCI und gibt es seit hundert Jahren. Das Problem: Die "Geiz ist geil" Gesellschaft will keine teuren Kartenleser kaufen und auch kein kompliziertes Verfahren. Der Mehrwert an Sicherheit ist anscheinend nicht vermittelbar. Also sucht man weiterhin nach Verfahren die gerade sicher genug sind um GAUs zu verhindern, aber gleichzeitig billig und simpel genug für absolut sicherheitsunbewusste Leute. Der CT-Artikel zu dem Thema ist übrigens auch sehr aufschlussreich:
http://www.heise.de/ct/05/22/148/default.shtml __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
20.11.2005, 21:00
Member
Beiträge: 69 |
#4
Hier ist der Artikel der Ruhr Uni Bochum zum Topic:
http://www.pm.ruhr-uni-bochum.de/pm2005/msg00355.htm Ein Mitglied der Arbeitsgruppe hat schon angekündigt, das sie in Kürze auch das HBCI Verfahren testen werden. http://forum.angeklickt.net/viewtopic.php?p=93006&highlight=hbci#93006 brainbox __________ Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4 Dieser Beitrag wurde am 20.11.2005 um 21:09 Uhr von brainbox editiert.
|
|
|
21.11.2005, 13:31
...neu hier
Beiträge: 1 |
#5
Zitat sie sollten einfach einen Captcha (siehe auch hier) beim Login oder zusätzlich zum iTAN Verfahren einbauen bzw. Anfrage einer Überweisung einbauen, dann ist die Sache sicher bzw. kann nicht mehr automatisch von den Phishern gesteuert werden.Moin, vielleicht irre ich mich ja, aber die von der Ruhr-Uni beschriebene "Man in the middle Attack" würde doch auch mit Captcha klappen. Der Kunde will sich bei der Bank einloggen, landet aber auf einer "nachgemachten" Seite des Angreifers (von mir aus auch incl. Captcha), der wiederrum loggt sich mit den Kundendaten bei der Bank ein. Der Kunde führt also den Dialog mit dem Angreifer, der Angreifer führt den eigentlichen Dialog mit der Bank. Die erforderlichen Daten (PIN, TAN,...) erhält er jeweils online vom Kunden. Gegen diese Form des Angriffs hilft auch ein noch so ausgeklügeltes System nicht (es macht Angriffe ggf. nur aufwendiger), sondern nur Kundenaufklärung: - klicke nie auf Links in eMails sondern gehe immer direkt über die Site der Bank. - aktiviere Vienscanner - achte auf SSL-Verschlüsselung - prüfe das SSL-Zertifikat (Herausgeber, Verifizierungsinstanz, Fingerprint, ...) oder HBCI mit Chiparte und Kartenleser(mind. Klasse 2!) ;-) |
|
|
27.11.2005, 11:00
Member
Themenstarter Beiträge: 2176 |
#6
ok, ich glaube es macht keinen Sinn, den Banken ist mit ihrem Sicherheitskonzepten sowieso nicht zu helfen siehe: http://www.heise.de/security/news/meldung/66652
wer solche Lücken offen lässt ist bildlich "nicht ganz dicht!" das Banken für "Sicherheit" stehen ist mitlerweile wohl ein Märchen Greetz Lp |
|
|
ich hatte gerade den Postbank Flyer in meinem Briefkasten und dachte - endlich werden diese ganzen Phising Mails mit dem neuen iTAN Verfahren in Zukunft ein Ende haben!
aber nein falsch gedachte iTAN bei Google eingegeben und sofort auf folgenden Artikel gestossen:
http://www.heise.de/security/news/meldung/66046
http://www.heise.de/security/news/meldung/63249
eine plausible Lösung die aktuelle Sicherheit von iTAN zu umgehen!
und nun zu meiner Idee die ich den lieben Banken mal vorschlagen wollte um das System zu perfektionieren:
sie sollten einfach einen Captcha (siehe auch hier) beim Login oder zusätzlich zum iTAN Verfahren einbauen bzw. Anfrage einer Überweisung einbauen, dann ist die Sache sicher bzw. kann nicht mehr automatisch von den Phishern gesteuert werden.
habe ich da einen Denkfehler? oder ist das wirklich das perfektere System?
ansonsten ist HBCI bisher anscheinend immer noch am sichersten!
Greetz Lp