iTAN plus der Fiducia (Split von Topic Institus-PIN)

 
kleiner77
Benutzer
Avatar
Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 21.01.2008 - 17:03 Uhr  ·  #1
MauriceE
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 303
Dabei seit: 01 / 2008
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 21.01.2008 - 17:27 Uhr  ·  #2
iTan - Plus ist die Erweiterung von iTan.
Bei iTan wird nur vorgegeben, welche Tan für welche Transaktion benötigt wird.

Bei iTAN - Plus stimmt der erste Teil auch, nur wird diese TAN NUR für diese Transaktion reserviert und nach 5 Minuten als Ungültig entwertet. Weiter wird die einzugebende Tan in einem Wasserzeichen angezeigt, in dem das Geb. Datum des Nutzers hinterlegt ist.

Du siehst, ein rießen Unterschied und vorallem um ein vielfaches sicherer!
Fellini
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Im wunderschönen Ahrtal
Beiträge: 2077
Dabei seit: 04 / 2004
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 21.01.2008 - 17:36 Uhr  ·  #3
Was ist daran jetzt so toll ?
Bei MitM wird jetzt halt die iTan mit dem Wasserzeichen für die Buchung an den Finanzagenten benutzt...
Was bringt das dem Kunden, der brav seine 89 unverbrauchten Tans in eine Form eintastet?
kleiner77
Benutzer
Avatar
Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 21.01.2008 - 17:41 Uhr  ·  #4
Zitat geschrieben von MauriceE
...nur wird diese TAN NUR für diese Transaktion reserviert und nach 5 Minuten als Ungültig entwertet.

Dieses Prinzip ist AFAIK für ALLE Zweischrittverfahren gültig.

Zitat
Weiter wird die einzugebende Tan in einem Wasserzeichen angezeigt, in dem das Geb. Datum des Nutzers hinterlegt ist.

Wie darf ich das verstehen, dass die "einzugebende TAN in einem Wasserzeichen angezeigt" wird? Die TANs stehen bei mir zu Hause auf einer Liste oder werden von einem Smart-Device generiert - da ist kein Wasserzeichen.

Und warum soll das sicherer sein? *verwirrt

-stefan-

@moderator: ich glaube das wird eigentlich schon wieder ein neuer thread... ;-)
MauriceE
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 303
Dabei seit: 01 / 2008
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 21.01.2008 - 17:45 Uhr  ·  #5
Seih mir nicht böse, aber ich versteh deine Fragestellung nicht so ganz!
Was meinst du mit MitM ?

Der Vorteil des Wasserzeichens liegt darin, das diese noch nicht fälschbar sind und eindeutig durch das geb.Dat des Nutzers identifizierbar sind. Die heute Rechnerleistung lässt dies nicht zu! Der größere Vorteil liegt aber eher an dieser Zeitspanne von 5 Minuten, da es Phishern kaum gelingen sollte Daten in 5 Minuten auf dem Tisch zu haben und sie gleichzeitig zu nutzen.
MauriceE
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 303
Dabei seit: 01 / 2008
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 21.01.2008 - 17:47 Uhr  ·  #6
Sry mein Fehler.

Habe das mit dem Wasserzeichen ein wenig Falsch bzw. schlecht erklärt.

In diesem Wasserzeichen steht am unteren Rand: Bitte geben Sie die Tan neben der Nummer (z.B.) 150 ein.

Meines Wissens ist das mit diesen 5 Minuten aber sehr neu! Und wird nur von Itan - Plus verwendet! Aber in diesem Punkt könnte ich irren! War aber die Aussage des kompetentesten FAG-Mitarbeiter im Bereich EBL!
kleiner77
Benutzer
Avatar
Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 21.01.2008 - 18:00 Uhr  ·  #7
Zitat geschrieben von MauriceE
Meines Wissens ist das mit diesen 5 Minuten aber sehr neu! Und wird nur von Itan - Plus verwendet! Aber in diesem Punkt könnte ich irren!

Du irrst Dich. In der Spezifikation des (HBCI)-Zweischritt-Verfahrens wird dieses Prinzip bereits beschrieben - und die letzte Version dieser Spez., die ich gerade auf dem virtuellen Tisch habe, ist vom 9.2.2006.
-stefan-
MauriceE
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 303
Dabei seit: 01 / 2008
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 21.01.2008 - 18:05 Uhr  ·  #8
O.k. dann danke ich!

*Merke nicht alles glauben was FAG-Mitarbeiter erzählen*

Man lernt nie aus ;)

wäre es Möglich mir die Internetseite/Datei zu schicken, aus der du deine Antwort ziehst ?
Wäre dir sehr dankbar!
kleiner77
Benutzer
Avatar
Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 21.01.2008 - 20:05 Uhr  ·  #9
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 22.01.2008 - 07:41 Uhr  ·  #10
Zitat geschrieben von MauriceE
Meines Wissens ist das mit diesen 5 Minuten aber sehr neu! Und wird nur von Itan - Plus verwendet!


Das ist definitiv falsch. Die erste iTAN Implementation lief bei den Sparkassen an der SI irgendwo seit 2005 im Echtbetrieb und dort war ein Zeitablauf von IMHO 7 Minuten schon immer enthalten. Man kann das sehr schon im der Anzeige der verbrauchten TAN im Banksystem nachvollziehen, wenn ein Kunde tatsächlich mal länger braucht. Schwupps springt der Status von Index-Angefordert auf Index-Entwertet und die TAN-Position ist geschreddert :)

iTAN plus an sich bringt gar nix, solange bei der Fiducia die Softwareprodukte weiterhin mit dem klassischen Verfahren arbeiten dürfen und sogar müssen. Bisher ist das nur Kosmetik...
Was hindert mich, eine erbeutete TAN einfach an den HBCI-PIN/TAN Server zu schicken? Den interessiert weniger welche ich nehme, Hauptsache sie ist unverbraucht.

Und ja, es ist ein neues Topic :)
MauriceE
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 303
Dabei seit: 01 / 2008
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 22.01.2008 - 08:12 Uhr  ·  #11
Ok, dann danke ich! Ich lass mich immer wieder gerne belehren!

Das Problem mit der Fiducia kennt jeder der am FAG Netz angeschlossen ist!

Dann tut es mir leid, das ich so nen Quark geschrieben hab, aber meine Aussage bezog sich auf einen Mitarbeiter der FAG!

Das gleiche Problem haben wir mit SEPA ! Wird zusammen mit der Freischaltung des Zweischrittverfahrens für die Software erledigt!
Die wollen sich halt nur einmal die mühe machen, an ihrem Server zu basteln ;)
null8null2
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 299
Dabei seit: 12 / 2003
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 22.01.2008 - 08:52 Uhr  ·  #12
Zitat
iTAN plus an sich bringt gar nix, solange bei der Fiducia die Softwareprodukte weiterhin mit dem klassischen Verfahren arbeiten dürfen und sogar müssen. Bisher ist das nur Kosmetik...


Sehe ich nicht so. iTANPlus ist schon einen Tick besser als das normale iTAN. Ich denke ein Bild ist (im Moment) nicht so einfach zu manipulieren wie ein einfacher Text.
Ein Trojaner, der direkt eine Software angreift hat es in der freien Wildbahn doch auch noch nicht gegeben, oder irre ich da?
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 22.01.2008 - 08:55 Uhr  ·  #13
Das Problem des iTAN plus ist doch, das ich gar keinen Trojaner brauche. Es reicht eine übliche Phishing-Mail ohne Abfrage der Positionsangabe und erbeuten/erfragen muss ich neben der PIN nur eine einzige freie TAN.
Es muss auch keine Software angegriffen oder manipuliert werden.

Der Betrüger müsste nur seine erbeutete TAN mittels Software verwenden, das ist das einzig neue. Einen MITM Trojaner zu schreiben ist komplizierter. Allerdings hat es das in freier Wildbahn bisher nicht gegeben, zumindest habe ich bisher nichts von Software-Nutzern als Betrügern gehört.

Mittels Trojaner kann das Bild per Screenshot weitergereicht werden,solche Trojaner gibt es prinzipiell schon. Ich denke mal es ist gegen einen direkten Abruf aus einer fremden Domäne geschützt, sonst wäre es noch einfacher.

Warten wir mal morgen ab :)
MauriceE
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 303
Dabei seit: 01 / 2008
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 22.01.2008 - 09:04 Uhr  ·  #14
Zitat geschrieben von Captain FRAG
Das Problem des iTAN plus ist doch, das ich gar keinen Trojaner brauche. Es reicht eine übliche Phishing-Mail ohne Abfrage der Positionsangabe und erbeuten/erfragen muss ich neben der PIN nur eine einzige freie TAN.


Ich sehe das Problem eher daran, das die Server der Fiducia noch nicht umgestellt sind, als an der Itan - Plus ! Die Volksbanken im FAG Netz hätten das gleiche Problem wenn auf das iTan anstatt auf auf iTan - Plus umgestellt worden wäre ! Aber wie ich vorhins sagte, ist die FAG nicht immer sehr schnell!

Die rießen Sicherheitslücke in den Programmen ist uns bekannt ! Jedoch bietet die FAG mitlerweile einen sehr guten Phishing-Service an!

Die arbeiten mit einer Firma zusammen, die das Netz bzw. Server nach Phishingverdächtigen Daten durchsucht und meldet es dann der FAG, die das dann der entsprechenden Bank weiterleitet ! Ich bekomme tag täglich solche Mails und bin sehr froh drum, seit dem hatten wir keinen einzigen Phishing-fall mehr bei uns in der Bank!
null8null2
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 299
Dabei seit: 12 / 2003
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 22.01.2008 - 09:05 Uhr  ·  #15
Ok, wer so dämlich ist und heute noch auf eine normale Phishing-Mail reinfällt ...
MauriceE
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 303
Dabei seit: 01 / 2008
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 22.01.2008 - 09:08 Uhr  ·  #16
lach nicht ! Ich hatte neulich nen Kunden da haut ma sich gegen die Birne !

Er bekam ne Phishing-Mail ! Da sollte er 100Tans eingeben ! ....

Er hat auch wirklich damit angefangen, nur irgendwann hatte er keine Lust mehr und es gelassen ...

Also wie du siehst ...
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 22.01.2008 - 09:37 Uhr  ·  #17
Zitat geschrieben von MauriceE
Ich sehe das Problem eher daran, das die Server der Fiducia noch nicht umgestellt sind.


Nichts anderes habe ich gesagt und deswegen von Kosmetik gesprochen. Solange eine "Lücke" geschlossen, aber eine andere ungeschlossen ist, hat das Gesamtsystem nur scheinbar an Sicherheit gewonnen.

Das schwächste Glied der Kette usw.

Die Sache mit den erbeuteten Kundendaten ist bei allen Banken so. Vermutlich ist die Datenquelle sowieso diesselbe, da zentral und nicht einzeln die Server hochgenommen werden. Das ganze wurde schon mal im internen angesprochen und gehört hier auch nicht hin.
ronald.n
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 633
Dabei seit: 07 / 2003
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 22.01.2008 - 17:38 Uhr  ·  #18
Zitat geschrieben von null8null2
iTANPlus ist schon einen Tick besser als das normale iTAN. Ich denke ein Bild ist (im Moment) nicht so einfach zu manipulieren wie ein einfacher Text.


Wenn ich die ppt-Präsentation der FAG richtig verstanden habe, gibt doch das "Bild" lediglich das Geburtsdatum des Kunden wieder.

Damit soll dem Kunden ein einfach zu erkennendes (weil sein persönliches Geburtsdatum...) Signal gegeben werden, dass er sich auf der korrekten, nicht manipulierten Seite der Bank befindet - mehr nicht.

Oder?
null8null2
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 299
Dabei seit: 12 / 2003
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 22.01.2008 - 19:44 Uhr  ·  #19
Es werden das Geburtsdatum, einige Daten der getätigten Überweisung und der Hinweis auf die einzugebende TAN angezeigt.
ronald.n
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 633
Dabei seit: 07 / 2003
Betreff:

Re: iTAN plus der Fiducia (Split von Topic Institus-PIN)

 ·  Gepostet: 22.01.2008 - 19:54 Uhr  ·  #20
Zitat geschrieben von null8null2
Es werden das Geburtsdatum, einige Daten der getätigten Überweisung und der Hinweis auf die einzugebende TAN angezeigt.


Aber nur das Geburtsdatum wird "verzerrt" angezeigt.

Die restlichen Daten stehen da im Klartext... oder?

Ich frag so "doof", weil ich noch nicht ganz verstanden habe, wo das "plus" an Sicherheit bei dieser iTAN jetzt eigentlich genau steckt.

Gegen "Echtzeit"-Trojaner hilft das alles doch eher weniger, oder?
Gewählte Zitate für Mehrfachzitierung:   0