iTAN-Verfahren unsicherer als von Banken behauptet

Sorry aber das wonach du schreien tust ist nicht relevant. Die Nachfrage bez. iTAN ist sehr hoch was mit Sicherheit auch durch die Presse verursacht wurde. iTAN ist meines achtens nach übrigens eine durchaus sinnvollle Sicherheitsmassnahme für das PIN/TAN Verfahren.



Und welches Verfahren ist wirklich sicher? HBCI mit Klasse 3 Kartensystem? Wieviel private Kunden nutzen das prozentual ca. bei euch und sind damit zufrieden? Und wenn es keine Probleme bereitet, hat deine Bank die Beweislast bez. Online-Banking aufs eigene Risiko gelegt oder wird das auf den Kunden abgeschoben? Sollte ja eigentlich kein Problem sein eine Versicherung zu finden wenn das System soviel sicherer ist als das PIN/TAN Verfahrenb.



Wieso schlecht? Nenne mir bitte das System welches eine 100% Sicherheit bietet und mit Begründung warum. Ich möchte damit auch nochmal gerne auf die Bank AGBs hinweisen, welches System kennst du welches so sicher ist das selbst die Bank das Risiko übernimmt? Komisch, ich kenne persönlich keine Bank die die Beweislast übernimmt bei einen HBCI Chip System, warum eigentlich nicht? Denke das ist soviel sicherer?

Hallo,

siehe

Hallo Leute,

jetzt muss ich einfach nochmal für Dummies nachfragen

Es ist also richtig, dass ein Kunde der PoBa mit seiner einen TAN-Liste (ein Kundensatz) über www.postbank.de mit iTAN arbeitet und mit derselben Liste über die Softwareschnittstelle seine TAN ganz normal nutzen kann?

In den SI-Sparkassen kenne ich es nur so, dass der komplette Kundensatz entweder immer iTAN (also mit Software NICHT nutzbar) ist oder generell iTAN deaktiviert ist.

Ich hoffe, meine Frage überschneidet sich jetzt nicht, da ich vielleicht in den vielen langen Thread´s das eine oder andere überlesen habe *rotwerd*

Gruss von der Hotline

Naja "nutzlos" würd ich nicht sagen, nur halt nicht sicherer als ein Klasse 2

Gruß
Vader

Rechnen wir mal:

drei davon.... also von den verbrauchten?
3 Versuche, dann Index-Sperre

drei von den unverbrauchten:
Chance von 3:50 das eine von den bekannten abgefragt wird.
Theoretisch... das heisst aber auch nicht das dann eine Überweisung möglich ist, denn:
der Phisher müsste auch die lfd. Nummer wissen , sonst ist nämlich auch seine noch gültige TAN im Müll, denn sie wurde nicht angefordert. In so einem Fall werden nämlich gleich beide (die freie bekannte und die eigentlich über Index angeforderte) TAN verbrannt.

Ist die lfd. Nummer dagegen auch bekannt hilft nur probieren bis eine der drei angefordert wird, wobei nach drei TAN-Index Anforderungen ohne TAN Eingabe auch die Index-Sperre greift.
Falsche TAN Eingaben erhöhen dagegen zusätzlich den TAN Fehlzähler.

Das System wird wie leicht erkennbar ist mit jeder weiteren verbrauchten TAN schwächer. Bei weniger als 20 freien TAN gibt unser System neue Listen in Auftrag.

Was auch zu bedenken ist:
Unsere Kunden brauchen keine TAN mehr zu streichen, es werden ja automatisch nur freie abgefragt. Fragt nun eine Phishing Seite nach TAN, besteht bei 50:50 Verbrauch die Chance das von den drei ergaunerten auch bereits 1,5 sowieso schon ungültig sind. Der Kunde weiss in der Regel ja nicht im Kopf was schon mal per Zufallsprinzip angefragt wurde und somit schon weg ist.

Aber wie gesagt, es ist kein absolut sicheres System - wie alle anderen auch.

Weil er sie nicht gestrichen hat, warum auch...



Natürlich nicht...



Absolut, aber dabei ohne richtig großen Aufwand umsetzbar - sehen wir mal von den 2-3 Wochen Hotline ab.

Standard Phishing sehe ich mit iTAN nicht als DAS Problem an. Eher gut gemachte Trojaner die intelligent als MitM arbeiten.

Hoffen wir nur, dass dann Firma Microsoft aufgrund von Trojanern mit MitM-Funktion, nicht auch noch den "normalen" promiscious mode in ihrer schlampigen TCP/IP Implementierung "abdreht". Den Raw Socket Modus haben sie ja bereits abgedreht, weil man damit ja IPs spoofen kann.. Einfach nur lächerlich...

Ich denke das Redmonder TCP-IP stammt aus FreeBSD, so schlecht kann das doch gar nicht sein

Es sei denn sie haben es verschlimmbessert...

Man kann bewusst so schreiben das man von mehr als der 75% nicht verstanden wird, den Sinn dahinter kennt nur maxxy selber.

[insider]
Das mit der Teilnahme am Wort zum Sonntag war übrigens gut...
[/insider]

Sorry. Tut mir leid, dass das als Wort zum Sonntag gewertet wurde. Aber ich gehe eigentlich davon, dass in einem Forum zum Thema Sicherheit durchaus jemand meinen Worten folgen kann. Speziell wenn man da über MitM-Attacken redet.

Aber:

Promiscious Modus = Ein spezieller Modus in dem man eine handelsübliche NIC schalten kann. Innerhalb des Promiscious Modus kann man somit alle Datenpakete lesen, die nicht für die eigene Station gedacht sind.

Raw Socket Modus = Ohne auf den Socket einzugehen... Es handelt sich im Prinzip um einen Modus indem man volle Kontrolle über die Definition eines Datenpaketes hat. Dieses ermöglicht zum Beispiel das "Fälschen" von Absenderadressen oder die direkte Manipulation von anderen Daten im IP-Paket. Im normalen Socket-Modus übernimmt das Betriebssystem die Zusammenstellung von Paketen.