Diskussionsforum
Menü

Sichere Methode?


14.10.2010 20:28 - Gestartet von Telly
Ich habe es mir jetzt mehrfach durchgelesen und folgende Fragen:

1. Wieso gibt es Geräte mit Zifferntastatur?

2. Ist die "TAN auf Handyvariante" nicht sicherer? Wenn ich merke, dass mir mein Handy samt SIM-Karte geklaut wurde, kann ich die Karte direkt sperren lassen und danach entstehen keine "TAN-Schäden" mehr.

Aber eine Bankkarte wird doch von Betrügern heute schon oft genug "mal so schnell nebenbei" auf Rohlinge kopiert. Somit ist nicht gewährleistet, dass ich der einzige bin, welcher mit einer Karte und dem Generator mein Konto benutzt.

Oder wird der "Geldkarten-Chip" benutzt? Gilt der lt. Experten immer noch als "kopiersicher"?

Telly

Menü
[1] KnuddelTim antwortet auf Telly
14.10.2010 21:08
1. Wieso gibt es Geräte mit Zifferntastatur?

Zur manuellen Eingabe der Empfänger-Kontodaten und des Betrages.
Es entfällt das optische "auslesen".

2. Ist die "TAN auf Handyvariante" nicht sicherer? Wenn ich merke, dass mir mein Handy samt SIM-Karte geklaut wurde, kann ich die Karte direkt sperren lassen und danach entstehen keine "TAN-Schäden" mehr.

Und wenn du es nicht merkst? Außerdem benötigt der Angreifer ja auch noch deine Zugangsdaten zum Online-Banking.

chipTAN und mTAN sind ähnlich sicher. Für mTAN benötigt man ein registriertes Handy, für chipTAN deine Bankkarte + Lesegerät.

Aber eine Bankkarte wird doch von Betrügern heute schon oft genug "mal so schnell nebenbei" auf Rohlinge kopiert. Somit ist nicht gewährleistet, dass ich der einzige bin, welcher mit einer Karte und dem Generator mein Konto benutzt.
>
Oder wird der "Geldkarten-Chip" benutzt? Gilt der lt. Experten immer noch als "kopiersicher"?

Zur Erzeugung der TAN wird der Chip auf der Karte genutzt.

Aber alleine mit der TAN kommt man nicht weiter. Zusätzlich muss man ja ins Online-Banking, um überhaupt eine TAN eingeben zu können.
Menü
[1.1] Telly antwortet auf KnuddelTim
14.10.2010 21:18
Benutzer KnuddelTim schrieb:
1. Wieso gibt es Geräte mit Zifferntastatur?

Zur manuellen Eingabe der Empfänger-Kontodaten und des Betrages.
Es entfällt das optische "auslesen".

D.h. ich erfasse erstmal die Daten im Online-Forumular und dann nochmal auf dem Gerät? Das ist doch unpraktikabel.

2. Ist die "TAN auf Handyvariante" nicht sicherer? Wenn ich merke, dass mir mein Handy samt SIM-Karte geklaut wurde, kann ich die Karte direkt sperren lassen und danach entstehen keine "TAN-Schäden" mehr.

Und wenn du es nicht merkst?

Genauso kann ich auch nicht merken, dass mir meine Bankkarte gestohlen wurde.

Außerdem benötigt der Angreifer ja auch noch deine Zugangsdaten zum Online-Banking.

Aber alleine mit der TAN kommt man nicht weiter. Zusätzlich muss man ja ins Online-Banking, um überhaupt eine TAN eingeben zu können.

Das habe ich bewusst außer Acht gelassen. Schließlich gehts ja um die Verbesserung der TAN-Nutzung. Auch bei der TAN-Liste brauche ich diesen Zugang.

chipTAN und mTAN sind ähnlich sicher. Für mTAN benötigt man ein registriertes Handy, für chipTAN deine Bankkarte + Lesegerät.

Handy kann ich sperren lassen. Bankkarten können ohne mein Wissen kopiert werden. Es sei denn...

Zur Erzeugung der TAN wird der Chip auf der Karte genutzt.

... der Chip ist wirklich noch kopiersicher! Wahrscheinlich auch nur eine Frage der Zeit. Aber wenn er wirklich z. Zt. noch kopiersicher ist, dann gebe ich Dir Recht und zumindest im Moment wären die Verfahren "ähnlich sicher".

Telly
Menü
[1.1.1] niveaulos antwortet auf Telly
14.10.2010 21:52
... der Chip ist wirklich noch kopiersicher! Wahrscheinlich auch nur eine Frage der Zeit. Aber wenn er wirklich z. Zt. noch kopiersicher ist, dann gebe ich Dir Recht und zumindest im Moment wären die Verfahren "ähnlich sicher".

der entscheidende Nachteil von mTAN ist immer noch dieses notwendige Zusatzgerät. Das Handy für mobileTAN hab ich in der Regel immer bei mir, wenn ich mal unterwegs von einem anderen Rechner eine Überweisung o.Ä. machen muss (oder im Urlaub bin, oder auf Dienstreise...) - alleine das spricht für mich schon für dieses System, deswegen hab ich mich auf dafür entschieden und nicht für mTAN, was meine Bank ebenfalls schon länger anbietet (Schön, dass die Postbank als Großbank jetzt auch mal endlich so weit ist wie die meisten kleinen Sparkassen und Volksbanken schon lange)
Menü
[1.1.1.1] chrschn antwortet auf niveaulos
14.10.2010 22:49
Was denn nun? m(obile)TAN oder chipTAN.

Für meinen Geschmack ist mTAN das bessere Verfahren (das die Postbank i.Ü. schon sehr lange und v.a. kostenfrei für den Kunden anbietet und für Beträge ab 1000 Euro sogar verpflichtend gemacht hat), da doch nahezu jeder ein SMS-fähiges Handy besitzt. Gerade wenn man unterwegs ist, oder von unterwegs Bankgeschäfte durchführen will, ist auch mTAN besser. Sonst muss ich ja nur auf Verdacht immer das chipTAN-Gerät mitnehmen (und dann weiß ein Dieb doch auch schon so einiges, wenn er mich ausraubt: Meine Bank, meine Kontonummer, er hat das chipTAN-Gerät).
Bei einem Handy weiß er noch nicht einmal, ob ich ein Girokonto habe und ob ich Online-Banking mache...


Benutzer niveaulos schrieb:
... der Chip ist wirklich noch kopiersicher! Wahrscheinlich auch nur eine Frage der Zeit. Aber wenn er wirklich z. Zt. noch kopiersicher ist, dann gebe ich Dir Recht und zumindest im Moment wären die Verfahren "ähnlich sicher".

der entscheidende Nachteil von mTAN ist immer noch dieses notwendige Zusatzgerät. Das Handy für mobileTAN hab ich in der Regel immer bei mir, wenn ich mal unterwegs von einem anderen Rechner eine Überweisung o.Ä. machen muss (oder im Urlaub bin, oder auf Dienstreise...) - alleine das spricht für mich schon für dieses System, deswegen hab ich mich auf dafür entschieden und nicht für mTAN, was meine Bank ebenfalls schon länger anbietet (Schön, dass die Postbank als Großbank jetzt auch mal endlich so weit ist wie die meisten kleinen Sparkassen und
Volksbanken schon lange)
Menü
[1.1.1.1.1] niveaulos antwortet auf chrschn
15.10.2010 14:35
Benutzer chrschn schrieb:
Was denn nun? m(obile)TAN oder chipTAN.

ich nutze m(obile)TAN via SMS.

Für meinen Geschmack ist mTAN das bessere Verfahren (das die Postbank i.Ü. schon sehr lange und v.a. kostenfrei für den Kunden anbietet und für Beträge ab 1000 Euro sogar verpflichtend gemacht hat), da doch nahezu jeder ein SMS-fähiges Handy besitzt.

Wir reden beide vom selben. Das m(obile)TAN bieten nahezu alle Banken und Sparkassen ebenfalls schon lange an (und soweit mir bekannt auch überall kostenlos) - und ich halte es im Vergleich zum alternativen chipTAN für flexibler, einfacher und mindestens genauso sicher. würde deshalb nie auf die Idee kommen, mich für diese Extragerät zu entscheiden. Da sind in meinem ersten Post nur an einer Stelle die Begriffe kurz durcheinandergekommen.

Gerade wenn man unterwegs ist, oder von unterwegs Bankgeschäfte durchführen will, ist auch mTAN besser.

Sag ich doch.

Sonst muss ich ja nur auf Verdacht immer das chipTAN-Gerät mitnehmen > Kontonummer, er hat das chipTAN- Gerät).

Das chipTAN-Gerät ist unabhängig von der Bank und kann mit jedem dafür freigeschaltetem Konto genutzt werden. Durch das chipTAN-Gerät weis der Dieb also weder Kontonummer noch Bank. Die erfährt er (genauso wie das chipTAN-Gerät im Einsatz) erst duch die EC/Bank/Maestro/Sonstwas-Karte die jedesmal in das Gerät gesteckt werden muss. Insofern ist diese
Sicherheitsanmerkung nicht so ganz richtig bzw. unterscheidet sich bei beiden Systemen nicht wirklich. Das Problem ist dann eher die mitgeführte Bankkarte. Um auf Nummer sicher zu gehen müsste ich aber beim chipTAN-Verfahren eigentlich Bankkarte & chipTAN-Gerät immer an unterschiedlichen Orten aufbewahren und beraube mich dann nochmals um ein Stück Flexiblität.

Was mich beim mTAN-Verfahren hingegen persönlich arg stört ist folgendes: Alle Banken sperren, falls man dieses Verfahren nutzt, das mobileBanking über eine Smartphone-App bzw. über eine mobile Webseite. Es ist dann nur noch Kontoeinsicht möglich, aber keine Überweisung. Angeblich aus dem Sicherheitsgrund, weil sonst TAN-Zustellung und Banking auf demselben Gerät genutzt würden und der Dieb somit mit einem geklauten Telefon leichter auf das Konto zugreifen könnte. Irgendwie ist mir das nicht wirklich einleuchtend. Wo ist denn bitteschön der Unterschied ob der Dieb, nachdem er mir mein Telefon geklaut hat, versucht von meinem Handy auf mein Konto zuzugreifen (wozu er ja auch erstmal die Login-Daten benötigen würde) oder ob er sich nun einfach in ein Internetcafé setzt und es von einem dortigen Rechner aus macht??
Menü
[1.1.2] KnuddelTim antwortet auf Telly
14.10.2010 22:12
D.h. ich erfasse erstmal die Daten im Online-Forumular und dann nochmal auf dem Gerät? Das ist doch unpraktikabel.

Ist wohl dafür gedacht, wenn die optische Erfassung nicht klappt. Sehe das auch so.

>> Und wenn du es nicht merkst?
Genauso kann ich auch nicht merken, dass mir meine Bankkarte gestohlen wurde.

Darauf wollte ich hinaus.

Das habe ich bewusst außer Acht gelassen. Schließlich gehts ja um die Verbesserung der TAN-Nutzung. Auch bei der TAN-Liste brauche ich diesen Zugang.

chipTAN ist keine Verbesserung zur m(obilen)TAN, nur ein weiterer Weg. Vorteil ggb. der TAN-Liste/iTAN ist aber der Ausschluss von Man-In-The-Middle Angriffen, da dir das chipTAN Gerät noch einmal die Überweisungsdaten der Transaktion anzeigt.

Handy kann ich sperren lassen. Bankkarten können ohne mein Wissen kopiert werden. Es sei denn...
[...]
... der Chip ist wirklich noch kopiersicher! Wahrscheinlich auch nur eine Frage der Zeit. Aber wenn er wirklich z. Zt. noch kopiersicher ist, dann gebe ich Dir Recht und zumindest im Moment wären die Verfahren "ähnlich sicher".

Persönlich favorisiere ich auch die mobileTAN, da ich nicht nur das Handy sperren lassen kann, sondern auch ein Handy wieder "deaktivieren" kann. Ich habe mehrere Nummern hinterlegt, so dass ich bei Verlust flexibel walten kann. Zudem nutze ich die Bankkarte nicht, dafür nutze ich ein anderes Konto.

Das Kopieren des Chips bzw. der enthaltenen Information ist sehr sehr sehr viel aufwendiger als das blose Auslesen von Information eines Magnetstreifens.
Menü
[2] Kai Petzke antwortet auf Telly
15.10.2010 10:16
Benutzer Telly schrieb:

Aber eine Bankkarte wird doch von Betrügern heute schon oft genug "mal so schnell nebenbei" auf Rohlinge kopiert.

Das bezieht sich auf die Daten aus dem Magnetstreifen. Die Crypto-Chips (der zusätzlich zum Geldkarten-Chip drauf sitzt, bzw. als zusätzliche Funktinoseinheit auf den Geldkarten-Chip mit draufgepackt wird) auf der Geldkarte sind hingegen noch recht neu. Aktuell können ihn die "bad guys" wohl noch nicht kopieren. Wobei ich befürchte, dass es ihnen in absehbarer Zeit gelingen wird. Dass sich der Chip nach dem Jahr-2010-Problem im Geldautomaten sogar umprogrammieren ließ, stimmt mich hier nicht gerade zuversichtlich. Womöglich schaffen auch manipulierte Kartenterminals irgendwann die Umprogrammierung :-(

Somit ist nicht gewährleistet, dass ich der einzige bin, welcher mit einer Karte und dem Generator mein Konto benutzt.

Aktuell schon. Vor allem braucht der Angreifer nicht nur die TAN, sondern auch noch die PIN, die ja nicht auf der Karte steht. Und die aktuell beliebte Methode, in einem Phishing-Formular eine PIN und eine TAN abzufragen und mit denen dann Unfug anzustellen, klappt künftig nicht mehr, weil es keine allgemeinen TANs mehr gibt. Insofern ist die chipTAN bezüglich der heutigen Standard-Angriffe sicher. Wie lange das hält, bleibt abzuwarten.


Kai