Es gibt zwei sichere Möglichkeiten Onlinebanking zu betreiben: 1. Die TAN wird von der Postbank per Handy verschickt und von mir eingegeben (Browser HTTPS) 2. Die TAN wird per Chipkartenleser von mir generiert und von mir eingegeben (Browser HTTPS) Welches der beiden Verfahren ist als sicherer einzustufen?
Ich halte für beide Versionen für gleich gut. Voraussetzung ist jedoch daß das Handy Ausschließlich!!! für den Empfang der Tan benützt wird. Es soll Leute geben die mit dem Handy-Internet-Browser die Überweisung machen und exakt dieses Handy als Empfänger für die Tan angeben, dann ist es aus mit Sicherheit.
Beide sind angreifbar per Man-In-The-Middle, aber beim SMS-Verfahren hast du die Möglichkeit, das zu erkennen, wenn du die Kontonummer vergleichst.
MaWin schrieb: > Beide sind angreifbar per Man-In-The-Middle Nein, nicht wenn das Verfahren die Kontonummer/BLZ und den Betrag einschließt. Bond schrieb: > dann ist es aus mit Sicherheit. Dann müßte aber bereits das Handy infiltriert sein durch Schadsoftware. Martin schrieb: > Welches der beiden Verfahren ist als sicherer einzustufen? Der Kartenleser funktioniert halt auch ohne Empfang und die Batterie darin hält einige Jahre. Ansonsten nehmen sich die Verfahren nicht viel, wobei das mit dem extra Gerät noch ein tick sicherer ist, da dort der Unsicherheitsfaktor Handy/Betriebssystem nicht gegeben ist.
MaWin schrieb: > Beide sind angreifbar per Man-In-The-Middle, Manipulieren kann man grundsätzlich jeden Datenstrom. Entscheidend ist, ob man dieses erkennt. > aber beim SMS-Verfahren hast du die Möglichkeit, > das zu erkennen, wenn du die Kontonummer vergleichst. Zum Beispiel. Zusätzlich wird beispielsweise bei Consors noch BLZ und Betrag angezeigt. Womit Man-in-the-middle glücklicherweise nicht mehr möglich ist. Das Handy-Verfahren ist schon ok. Mit dem Chipkartenleser: ist schon sehr lästig - das nervt mich immer bei der SwissPost. Chris D.
Chris D. schrieb: > Mit dem Chipkartenleser: ist schon sehr lästig Bei OpticTAN werden die Daten über eine Art Barcode automatisch in den Leser übertragen und man muß die Daten nurnoch einmal kontrollieren und die TAN eingeben, also auch nicht sooooo viel schwierieger :)
Läubi .. schrieb: > Chris D. schrieb: >> Mit dem Chipkartenleser: ist schon sehr lästig > > Bei OpticTAN werden die Daten über eine Art Barcode automatisch in den > Leser übertragen und man muß die Daten nurnoch einmal kontrollieren und > die TAN eingeben, also auch nicht sooooo viel schwierieger :) Schon richtig. Ich meine auch weniger das Eintippen als das "Rumfummeln" mit Geldbörse, Karte und Lesegerät. Das Handy dagegen habe ich üblicherweise immer auf dem Schreibtisch liegen :-)
Hallo, ich hatte letztens 'mal in einer Zeitschrift gelesen, das das Verfahren mit dem Handy noch Kosten für SMS erzeugen kann!
Wie sicher bist du dir, dass der Nachbars-Junge es nicht schafft auf deinem Rechner einen Keylogger abzulegen, um die Online Banking Daten abzufischen und dann dieses hier: http://bazonline.ch/wirtschaft/unternehmen-und-konjunktur/So-einfach-lassen-sich-SMS-abfangen-und-entschluesseln/story/25854824 Zusärtlixh dazu, dass der Chip-Tan generator meist nur einmalig kostet und eine SMS ggf. jeweils ca 13ct. Ich nutze ChipTan mit dem Optic-Flacker-Code von der Sparkasse(man sollte das Gerät aber genau vor den Bildschirm halten, sonst klappt das nicht- meine Mutter hält, das gerät so, dass sie was lesen kann...
Vielen Dank für die Antworten und Beiträge :) > Wie sicher bist du dir, dass der Nachbars-Junge es nicht schafft auf > deinem Rechner einen Keylogger abzulegen, um die Online Banking Daten > abzufischen und dann dieses hier: http://bazonline.ch/wirtschaft/unternehmen-und-konjunktur/So-einfach-lassen-sich-SMS-abfangen-und-entschluesseln/story/25854824 Was kann der Nachbarsjunge mit der TAN anfangen? Ist in der TAN nicht alles in verschlüsselter Form enthalten (Betrag, Kontonummer, ...)?
> Nein, nicht wenn das Verfahren die Kontonummer/BLZ und den Betrag > einschließt. Nicht wenn der Mond aus Käse ist. Schau dir das Verfahren doch einfach an welches die Post verwendet. Ich habe das -offenbar im Gegenteil zu dir- nämlich getan, ich habe nämlich so ein blödes Konto beim nun-auch-Ackermann Verein. Und daher schreibe ich, was man beachten muß. Es gibt Stellen an denen man manipulieren kann, es gibt Stellen an denen man das kontrollieren könnte (Verantwortung also von Bank auf Kudnen abgewälzt) wo es aber erfahrungsgemäß niemand tut (na, vieleicht doch, ab 1000 EUR). Schon daß man bei der Eingabe einer Online-Überwisung die Kontonummer nicht überpüfen KANN, ob die richtig genannt wurde, richtig übermittelt wurde, richtig abgeschrieben wurde, weil die Bank einem die Daten des Empfängers VORENTHÄLT, aber die Konsequenzen ihrer unzureichenden Technik NATÜRLICH auf den Kunden abwälzen will (keine Ahnung, ob deren einseitig beschlossenen AGB vor Gericht Bestand hätten - ich glaube kaum, wenn der Richter versteht was da vor sich geht), zeigt, daß Online-Banking absolut unsicher ist. Was nicht viel ausmacht, wenn, wie bei Kreditkarten oder Rückbuchungen von Abbuchungen, die Bank problemlos die Behebung des Fehlers ermöglicht. Aber wir wissen alle, wie sich die Banken gesträubt haben, zu unrecht durch kopierte EC-Karten abgebuchte Beträge zurückzuerstatten, bloss weil der KUNDE nicht wusste, wie einfach skimming geht, und deswegen das Gegenteil "newin ich war es nicht, nein ich habe meine PIN nicht rausgegeben" nicht beweisen konnte. Millionengewinne für Banken.
Wenn dein Nachbar sowas hier hat dann kan nder deine SMS und damit deine TAN mitlesen. Ein etwas älteres Handy mit einem bestimmten Chipsatz und http://bb.osmocom.org/trac/ plus diverse freie Software Ob er dann damit was anfangen kann, steht auf einem anderen Blatt. Gibt trotzdem einen faden Beigeschmack!
Marcus B. schrieb: > Wie sicher bist du dir, dass der Nachbars-Junge es nicht schafft auf > deinem Rechner einen Keylogger abzulegen, um die Online Banking Daten > abzufischen und dann dieses hier: > > http://bazonline.ch/wirtschaft/unternehmen-und-konjunktur/So-einfach-lassen-sich-SMS-abfangen-und-entschluesseln/story/25854824 Na und? Dann weiss er, wohin ich überweise. Manipulieren kann er da noch lange nichts. > Zusärtlixh dazu, dass der Chip-Tan generator meist nur einmalig kostet > und eine SMS ggf. jeweils ca 13ct. Nö, das ist zumindest bei der Post und Consors kostenlos. Und das kostet gar nichts :-) > Ich nutze ChipTan mit dem Optic-Flacker-Code von der Sparkasse(man > sollte das Gerät aber genau vor den Bildschirm halten, sonst klappt das > nicht- meine Mutter hält, das gerät so, dass sie was lesen kann... Wie gesagt: mir ist das zu fummelig. Per Handy ist das schon sicher. Wenn man natürlich Betrag, Kontonr. und BLZ der SMS nicht überprüft, ist man selbst schuld. Ich kontrolliere das jedenfalls immer. Chris D.
Chris D. schrieb: > Na und? > > Dann weiss er, wohin ich überweise. Wenn er dann deine Zugangsdaten hat, dann weiss er, wohin er überweist. Und erklär mal deiner Bank, dass deine Nachbarn deine SMS abgefangen haben und dann die Überweisung getätigt wurde. Der Keylogger am PC ist noch relativ einfach nachweisbar
> Wenn er dann deine Zugangsdaten hat, dann weiss er, wohin er > überweist. Das ist die Frage: welche Daten het er? Was kann er mit diesem Daten anfangen?
Marcus B. schrieb: > Chris D. schrieb: >> Na und? >> >> Dann weiss er, wohin ich überweise. > > Wenn er dann deine Zugangsdaten hat, dann weiss er, wohin *er* > überweist. Stimmt, da hast Du Recht. Ich wusste allerdings nicht, dass die Verschlüsselung bei GSM so grottenschlecht ist. > Und erklär mal deiner Bank, dass deine Nachbarn deine SMS abgefangen > haben und dann die Überweisung getätigt wurde. Ich nehme alles zurück und behaupte das Gegenteil :-) Allerdings ist der Aufwand schon sehr hoch, insbesondere wenn er die Handynummer nicht kennt. Chris D. (wird sich wohl doch wieder ein Lesegerät zulegen müssen)
Martin schrieb: > Das ist die Frage: welche Daten het er? Was kann er mit diesem Daten > anfangen? Wohin und wievel hat er. Anfangen kann er damit nichts. Diese TAN ist nur für diese Überweisung gültig. Es sei denn er will das überweisen :-)) Ich habe auch die SMS Variante genommen. War schon sauer genug wegen der ganzen Browserbanking Leute mit ihren Keyloggern. Wollte nicht extra noch Geld für den Generator ausgeben. Und dann das Ding auch noch vor den Monitor halten...neee neee Es gibt übrigens bisher nicht einen nachgewisenen Fall das Bankingsoftware kompromitiert wurde. Aber Borwserbanking ist ja soooo easy !!
ps.: ja bei mir sind die SMS kostenlos. Alles andere wäre für mich ein sofortiger Wechselgrund !! Das ist Nötigung !!
Ich habe jetzt ein Beispiel gefunden was die Postbank an Daten per SMS übermittelt. Das ist die Kontonummer (ohne BLZ) des Empfängers, der Betrag und die TAN für diese Transaktion. Ein direkter Schaden entsteht erst einmal nicht und ist wohl auch nicht möglich.
Chris D. schrieb: > Allerdings ist der Aufwand schon sehr hoch, insbesondere > wenn er die Handynummer nicht kennt. Er muss außerdem deine PIN ausspähen und dein Handy zur rechten Zeit klauen und die SMS welche du empfängst schnell löschen und dann das Handy wieder zurückbringen...
Nach euren Einlassungen und einem Artikel auf Wikipedia habe ich mich für das Handy entschlossen. http://de.wikipedia.org/wiki/Transaktionsnummer
Läubi .. schrieb: > Chris D. schrieb: >> Allerdings ist der Aufwand schon sehr hoch, insbesondere >> wenn er die Handynummer nicht kennt. > Er muss außerdem deine PIN ausspähen und dein Handy zur rechten Zeit > klauen und die SMS welche du empfängst schnell löschen und dann das > Handy wieder zurückbringen... Welche PIN meinst Du? Die vom Login bei der Postbank? Ja - aber wenn er einen Keylogger installieren kann, sollte das sehr einfach logbar sein. Das Handy benötigt er dafür leider nicht, denn wenn er den Funkverkehr vom Mast zu mir aufzeichnet, und dekodiert reicht ihm das ja. Er loggt sich dann ganz bequem zu hause ein (PIN hat er ja) und überweist wohin er will - dann fängt er die SMS ab und gibt die TAN ein - weg ist das Geld. Einmal funktioniert das auf jeden Fall und das reicht meist ;-) Bitter: durch die zeitliche Nähe Überweisung <-> SMS (meist nur einige Sekunden) kann er die Handynummer doch relativ schnell rausfinden :-/ Chris D. (der dachte, GSm wäre halbwegs sicher - tja, falsch gedacht ...)
Ja aber du kriegst ja die SMS auch nochmal da sollte man dann doch stutzig werden :)
Läubi .. schrieb: > Ja aber du kriegst ja die SMS auch nochmal da sollte man dann doch > stutzig werden :) Natürlich - bloß ist das Geld dann schon weg. Und wenn SIE schlau sind, dann überweisen SIE ES irgendwann nachts ;-)
Hier ein Video in dem der Prof. vorführt, wie ein Handygespräch abgehört werden kann (ab 13:30): http://www.videoportal.sf.tv/video?id=a6480b5a-c9fa-40bc-b6b6-073eadb626ea
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.