Diskussionsforum
Menü

Zweifelhafter Schutz


26.11.2006 19:01 - Gestartet von lr
Kann man das kurz so zusammenfassen? Mit mTAN werden diejenigen, die auf alles klicken, was nicht bei 3 auf den Bäumen ist, ein ganz klein wenig vor Phishing geschützt - selbstverständlich gegen Gebühr? Daß mTAN keine Patentlösung gegen Phishing ist, ist ja in dem Artikel schön beschrieben worden; wer auf TAN-Phishing reingefallen ist, dem nützt auch mTAN nichts mehr, und wer bei Phishing-Mails nachdenkt, der braucht keine kostenpflichtigen mTANs.

Also: Die einen brauchen's nicht, für die anderen ist es nur ein schwacher Schutz.
Menü
[1] cwoltz antwortet auf lr
26.11.2006 22:48
Naja schwach ist der Schutz ja nicht. Bei jeder Überweisung bekommt man ja die Tan auf sein Handy geschickt. Ändert man nun doch noch etwas an der Überweisung, ist die zuvor gesendete m-Tan ungültig. Somit ist wäre eine geklaute m-Tan für einen Angreifer nutzlos. Dies geht aus dem eh etwas oberflächlichen Artikel nicht hervor ;-(
Lediglich die 'Lücke' bei der Handy Anmeldung sollte man sicherer gestalten.

Ich persönlich nutze HBCI/FinTs für zuhause und m-tan wenn ich mal was schnell unterwegs erledigen möchte. Zusätzlich habe ich für Tan Überweisung ein recht geringes Tages Limit und Auslandszahlung gehen damit auch nicht.....
Menü
[1.1] gijan antwortet auf cwoltz
26.11.2006 23:35
Benutzer cwoltz schrieb:

Ich persönlich nutze HBCI/FinTs für zuhause und m-tan wenn ich mal was schnell unterwegs erledigen möchte.

Ist mTAN nicht auch HBCI?
Menü
[1.1.1] cwoltz antwortet auf gijan
27.11.2006 07:51
Ich meine mit HBCI/FinTs die Chipkarte ....
Die Banken verstehen darunter PIN/TAN oder Chipkarte. (Wenn ich das richtig verstanden habe)
Menü
[1.1.1.1] honkitonk antwortet auf cwoltz
28.11.2006 12:20
Benutzer cwoltz schrieb:
Ich meine mit HBCI/FinTs die Chipkarte ....
Die Banken verstehen darunter PIN/TAN oder Chipkarte. (Wenn ich das richtig verstanden habe)

Ganz richtig versteht man unter HBCI/FinTS lediglich ein Kommunikationsprotokoll, die Sicherheitsmedien sind dabei variabel. Zur Zeit wird unterstützt Chipkarte RSA oder DDV, Diskette RSA, PIN/TAN, Signaturkarte und 2-Schrittverfahren (iTAN,eTAN,mTAN).
Menü
[2] fbad antwortet auf lr
27.11.2006 08:35
Schöner als von lr unten geschrieben kann man es nicht zusammenfassen! Lob!

Dieses Gerede von der Signaturkarte als der Lösung aller Probleme wird langweilig. Seit wie vielen Jahren wird geredet und nichts passiert?

Was die Sicherheit und Komfort betrifft, so gab es in der Vergangenheit bereits bessere Lösungen. Ein Beispiel: Die DiBa (für deren Erwähnung erhalte ich keine Provision) hatte ein asymmetrisches Verschlüsselungsverfahren. Der Schlüssel wurde einmal erzeugt, der Hash-Wert ausgedruckt, unterschrieben, an die Bank gefaxt. Einmal Aufwand, dann fertig!

Mein privater Schlüssel war auf Diskette (damals), heute wäre er eher auf USB-Stick. Überweisungen unterschrieb ich mit meinem privaten Schlüssel. Für Nutzer von PGP/GnuPG/CryptoEx ein vertrauter Vorgang. Keine TAN, iTAN, mTAN, xyzTAN, die bei Bedarf alle waren oder aufgrund anderer Probleme (mTAN/Akku leer) problematisch waren.

Das Verfahren wurde eingestellt und durch PIN/TAN (im letzten Jahr iTAN) ersetzt. WARUM??? Weil der Durchschnittsnutzer mangels elemetarer Grundkenntnisse das sichere und komfortable Verfahren nicht begriffen hat. DA besteht Nachholebedarf!

---

Benutzer lr schrieb:
Kann man das kurz so zusammenfassen? Mit mTAN werden diejenigen, die auf alles klicken, was nicht bei 3 auf den Bäumen ist, ein ganz klein wenig vor Phishing geschützt - selbstverständlich gegen Gebühr? Daß mTAN keine Patentlösung gegen Phishing ist, ist ja in dem Artikel schön beschrieben worden; wer auf TAN-Phishing reingefallen ist, dem nützt auch mTAN nichts mehr, und wer bei Phishing-Mails nachdenkt, der braucht keine kostenpflichtigen mTANs.

Also: Die einen brauchen's nicht, für die anderen ist es nur
ein schwacher Schutz.
Menü
[2.1] honkitonk antwortet auf fbad
28.11.2006 12:15
Benutzer fbad schrieb:
Was die Sicherheit und Komfort betrifft, so gab es in der Vergangenheit bereits bessere Lösungen. Ein Beispiel: Die DiBa (für deren Erwähnung erhalte ich keine Provision) hatte ein asymmetrisches Verschlüsselungsverfahren. Der Schlüssel wurde einmal erzeugt, der Hash-Wert ausgedruckt, unterschrieben, an die Bank gefaxt. Einmal Aufwand, dann fertig!

Mein privater Schlüssel war auf Diskette (damals), heute wäre er eher auf USB-Stick. Überweisungen unterschrieb ich mit meinem privaten Schlüssel. Für Nutzer von PGP/GnuPG/CryptoEx ein vertrauter Vorgang. Keine TAN, iTAN, mTAN, xyzTAN, die bei Bedarf alle waren oder aufgrund anderer Probleme (mTAN/Akku leer) problematisch waren.

Das Verfahren wurde eingestellt und durch PIN/TAN (im letzten Jahr iTAN) ersetzt. WARUM??? Weil der Durchschnittsnutzer mangels elemetarer Grundkenntnisse das sichere und komfortable Verfahren nicht begriffen hat. DA besteht Nachholebedarf!

Das von dir so hoch gelobte Verfahren nennt sich HBCI Diskette/RSA etc. Es wird schon seit Jahren (bei den ersten Banken seit 1999) bei verschiedenen Banken (Volksbanken, Deutsche Bank, Commerzbank, Dresdner Bank etc.) angeboten, allerdings ist dieses Verfahren im Endeffekt in Sachen Sicherheit auf einer Stufe mit PIN/TAN, denn es wird lediglich die Schlüsseldatei und PIN benötigt um unbegrenzt!!!Transaktionen durchzuführen. Das zur Zeit am einfachsten sicher zu bedienene Verfahren bleibt HBCI Chipkarte mit einem Klasse 2 Leser.