Idee: mangelhafte iTAN Verfahren Sicherheit perfektionieren

#0
20.11.2005, 14:59
Member
Avatar Laserpointa

Beiträge: 2175
#1 Hallo,

ich hatte gerade den Postbank Flyer in meinem Briefkasten und dachte - endlich ;) werden diese ganzen Phising Mails mit dem neuen iTAN Verfahren in Zukunft ein Ende haben!

aber nein falsch gedachte iTAN bei Google eingegeben und sofort auf folgenden Artikel gestossen:
http://www.heise.de/security/news/meldung/66046
http://www.heise.de/security/news/meldung/63249
eine plausible Lösung die aktuelle Sicherheit von iTAN zu umgehen! ;)

und nun zu meiner Idee die ich den lieben Banken mal vorschlagen wollte um das System zu perfektionieren:

sie sollten einfach einen Captcha (siehe auch hier) beim Login oder zusätzlich zum iTAN Verfahren einbauen bzw. Anfrage einer Überweisung einbauen, dann ist die Sache sicher bzw. kann nicht mehr automatisch von den Phishern gesteuert werden.

habe ich da einen Denkfehler? oder ist das wirklich das perfektere System?
ansonsten ist HBCI bisher anscheinend immer noch am sichersten!
Greetz Lp
Seitenanfang Seitenende
20.11.2005, 19:11
Administrator
Avatar Lukas

Beiträge: 1742
#2 PIN/TAN hat sich bisher als ziemlich sicher erwiesen, das grösste Risiko ist immer noch der nicht vollständig aufgeklärte User und die damit möglichen Phisher.

die von Dir beschriebene Weiterentwicklung würde das System nach aktuellem Stand imho "sicherer" machen.
// edit habe gerade nochmal nachgedacht, theoretisch könnte man einen Captcha bzw. die Grafik auch weiterleiten ;)

ich bin sehr gespannt welche Bank zuerst reagiert!
ansonsten wäre das wirklich nur wieder Augenwischerei - da nicht zuende gedacht!

wer haftet eigentlich bei Phising Unfällen?
__________
Gruß Lukas :yo
Seitenanfang Seitenende
20.11.2005, 19:39
Member

Beiträge: 3306
#3 Das Problem der Banken ist ähnlich dem von Microsoft. Eigentlich gibt es ein sicheres Verfahren das heißt HBCI und gibt es seit hundert Jahren. Das Problem: Die "Geiz ist geil" Gesellschaft will keine teuren Kartenleser kaufen und auch kein kompliziertes Verfahren. Der Mehrwert an Sicherheit ist anscheinend nicht vermittelbar. Also sucht man weiterhin nach Verfahren die gerade sicher genug sind um GAUs zu verhindern, aber gleichzeitig billig und simpel genug für absolut sicherheitsunbewusste Leute. Der CT-Artikel zu dem Thema ist übrigens auch sehr aufschlussreich:
http://www.heise.de/ct/05/22/148/default.shtml
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
20.11.2005, 21:00
Member

Beiträge: 69
#4 Hier ist der Artikel der Ruhr Uni Bochum zum Topic:

http://www.pm.ruhr-uni-bochum.de/pm2005/msg00355.htm

Ein Mitglied der Arbeitsgruppe hat schon angekündigt, das sie in Kürze auch das HBCI Verfahren testen werden.

http://forum.angeklickt.net/viewtopic.php?p=93006&highlight=hbci#93006

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4
Dieser Beitrag wurde am 20.11.2005 um 21:09 Uhr von brainbox editiert.
Seitenanfang Seitenende
21.11.2005, 13:31
...neu hier

Beiträge: 1
#5

Zitat

sie sollten einfach einen Captcha (siehe auch hier) beim Login oder zusätzlich zum iTAN Verfahren einbauen bzw. Anfrage einer Überweisung einbauen, dann ist die Sache sicher bzw. kann nicht mehr automatisch von den Phishern gesteuert werden.
Moin,
vielleicht irre ich mich ja, aber die von der Ruhr-Uni beschriebene "Man in the middle Attack" würde doch auch mit Captcha klappen.

Der Kunde will sich bei der Bank einloggen, landet aber auf einer "nachgemachten" Seite des Angreifers (von mir aus auch incl. Captcha), der wiederrum loggt sich mit den Kundendaten bei der Bank ein.
Der Kunde führt also den Dialog mit dem Angreifer, der Angreifer führt den eigentlichen Dialog mit der Bank.
Die erforderlichen Daten (PIN, TAN,...) erhält er jeweils online vom Kunden.

Gegen diese Form des Angriffs hilft auch ein noch so ausgeklügeltes System nicht (es macht Angriffe ggf. nur aufwendiger), sondern nur Kundenaufklärung:

- klicke nie auf Links in eMails sondern gehe immer direkt über die Site der Bank.
- aktiviere Vienscanner
- achte auf SSL-Verschlüsselung
- prüfe das SSL-Zertifikat (Herausgeber, Verifizierungsinstanz, Fingerprint, ...)

oder HBCI mit Chiparte und Kartenleser(mind. Klasse 2!) ;-)
Seitenanfang Seitenende
27.11.2005, 11:00
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2175
#6 ok, ich glaube es macht keinen Sinn, den Banken ist mit ihrem Sicherheitskonzepten sowieso nicht zu helfen siehe: http://www.heise.de/security/news/meldung/66652

wer solche Lücken offen lässt ist bildlich "nicht ganz dicht!"
das Banken für "Sicherheit" stehen ist mitlerweile wohl ein Märchen

Greetz Lp
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: