Deutsche Bank führt Ende Februar 2006 iTAN ein

hochexplosiv

Benutzer

Geschlecht: keine Angabe
Beiträge: 1221
Dabei seit: 02 / 2003

Betreff:

Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 20.12.2005 - 16:31 Uhr · #1

Hallo zusammen,

die Deutsche Bank führt Ende Februar 2006 iTAN ein.

Interessant ist auch eine Aussage in http://www.deutsche-bank.de/pbc/pdf/qa_einf_tan_051206.pdf

Zitat

Kann ich den erweiterten TAN-Block auch mit einer Softwarelösung nutzen?

Ja, Sie können diesen TAN-Block auch für Ihre Banking-Software nutzen. Abhängig vom in Ihrer Software ausgewählten Übertragungsverfahren werden die nach einer bestimmten TAN gefragt oder können wie gewohnt eine beliebige TAN aus Ihrem TAN-Block verwenden. Details hierzu können Sie beim jeweiligen Software-Hersteller erfragen. Bei Nutzung einer beliebigen TAN sollten Sie Ihre verbrauchte TAN durchstreichen.

Ich sehe schon eine News die von einer "Hintertür" im iTAN-Verfahren berichtet, wie es bereits unter http://www.heise.de/security/news/meldung/66652 geschehen ist.

Gruß

sierra

Neuling

Geschlecht: keine Angabe
Beiträge: 1
Dabei seit: 12 / 2005

Betreff:

Re: Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 20.12.2005 - 17:04 Uhr · #2

iTAN ist genauso (un)sicher wie das herkömmliche TAN verfahren.
http://www.pm.ruhr-uni-bochum.de/pm2005/msg00355.htm

Die Ruhr Uni hat iTAN innerhalb eines Tages geknackt.
http://www.page-online.de/aktu…1131966893

hochexplosiv

Benutzer

Geschlecht: keine Angabe
Beiträge: 1221
Dabei seit: 02 / 2003

Betreff:

Re: Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 20.12.2005 - 17:37 Uhr · #3

Hallo sierra,

Zitat geschrieben von sierra

Die Ruhr Uni hat iTAN innerhalb eines Tages geknackt.

Geknackt wurde beim iTAN überhaupt nichts. Das das ist ein ganz normaler "Man-in-the-Middle" Angriff und hat nichts mit iTAN zu tun. Das schlimme an der Sache ist, dass einige Medien den Blödsinn von AI3 weiterverbreiten und etwas hinzudichten.

Unter http://www.heise.de/security/news/meldung/66046 steht:

Zitat

Allerdings weisen die Forscher explizit darauf, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind.

Gruß

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8170
Dabei seit: 08 / 2002

Betreff:

Re: Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 20.12.2005 - 17:42 Uhr · #4

letzteres passiert übrigens beim Einsatz einer Homebanking-Software quasi automatisch. Wenn der Rechner dann noch Viren/Trojaner/drogensüchtigerSohn/DAU sicher ist, dann kann nichts mehr passieren...

Stoney

Benutzer

Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004

Betreff:

Re: Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 20.12.2005 - 18:45 Uhr · #5

Zitat geschrieben von hochexplosiv

Hallo sierra,

Zitat geschrieben von sierra

Die Ruhr Uni hat iTAN innerhalb eines Tages geknackt.

Zitat

Allerdings weisen die Forscher explizit darauf, dass sowohl TAN als auch iTAN-Verfahren bei korrekter Überprüfung der SSL-Verbindung sicher sind.

Gruß

Sehe ich genauso, nur weil ich jemand bei der PIN-Eingabe am Geldautomaten gefilmt habe und nun seine PIN kenne, habe ich auch noch lange nicht die Bankkarte geknackt

Den Schlußsatz der Pressemeldung find ich auch genial

Zitat

Das iTAN-Verfahren kann also kein Ersatz für SSL sein, sondern das Verfahren nur ergänzen.
Hier ist bei den Kunden weitere Aufklärungsarbeit zu leisten.

Natürlich wollte man SSL abschaffen

Nur gut, dass die Aufklärungsarbeit schon seit Jahren läuft und durch die Medien leider nicht unterstützt wird

Oder auch hier ein kleines Zitat:https://www.a-i3.org/content/view/215/28/

Zitat

In den vergangenen Wochen haben Banken - insbesondere ist hier die Vorreiterstellung der Postbank positiv zu nennen - neue Verfahren zum Schutz ihrer Kunden vor Phishing-Angriffen bereitgestellt.

Da wird die Poba noch als gutes Beispiel genannt, obwohl von Anfang an durch die Poba kommuniziert wurde, das lediglich im Browserbanking eine iTan gefordert wird, später ist es dann ne Lücke

Da hilft wohl nur "erst denken - dann schreiben"

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6161
Dabei seit: 02 / 2003

Betreff:

Re: Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 20.12.2005 - 18:49 Uhr · #6

Hallo Daniel,

ich würde einfach mal sagen, wir waren hier einfach zu blöd uns mit so einem schwachsinninigen Aussage zu profilieren. Wir glauben halt immer noch daran, dass man fundierte und wahrheitsgemässe Aussagen machen muss um als Fachmann anerkannt zu werden.......
Tja uns was lehrt uns das?
1. Die dümmsten Bauern (nix gegen Bauern!!!), ernten die dicksten Kartoffeln.
2. Kleider machen Leute (sprich, wenn ich gekonnt den Eindruck erwecke ich hätte Ahnung wird es schon irgend einen Trottel geben, der mir das abnimmt.)

Das Traurige ist, dass ich ja eigentlich absolut gar nichts von der iTAN halte, aber wegen solcher Profilierungssüchtiger, doch tatsächlich in die Situation komme, den Blödsinn doch lieber zu verteidigen, bevor noch mehr Halbwarheiten verbreitet werden, die den Anwender noch mehr verunsichern statt ihm zu helfen!

Gruß

Holger

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8170
Dabei seit: 08 / 2002

Betreff:

Re: Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 20.12.2005 - 19:17 Uhr · #7

Leute, wichtig ist doch, was unten rauskommt. Deshalb hab ich auch da nur ein kleines Problem damit, dass beim Thema Sicherheit etwas mit dem dicken Hammer gearbeitet wird.

Die Leute von der Ruhruni haben genug Ahnung von der Materie, davon können wir doch wohl ausgehen.
Wenn dann aus Marketing oder Profilierungsgründen die Formulierungen nicht unbedingt der technischen Wahrheit entsprechen, ("geknackt", was soll das denn heissen?), so stimmt doch die Grundaussage, die der normale User und meinetwegen Banker aus dem ganzen Geschrei ziehen sollte: Aufpassen!

Das eigentliche Problem dabei: Die oberflächlichen Medienberichte lassen sich durch diese übertriebenen Behauptungen wieder so einfach demontieren, dass die Aussagen wieder von vielen Kunden und Bankern in der Gesamtheit nicht mehr ernstgenommen werden.
Und schon verkehrt sich der Effekt ins Gegenteil und die Wirkung verpufft, zu schade...

Gruß
Raimund

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6161
Dabei seit: 02 / 2003

Betreff:

Re: Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 20.12.2005 - 19:46 Uhr · #8

Hallo Raimund,

ich sehe das etwas anders! Durch diese Art der Profilierung wird soviel Unsicherheit geschürt, dass der einfache Anwender gar nicht mehr weiß, was eigentlich los ist und auf was er achten soll. In dieser Situation ist er ein sehr leichtes Opfer von scheinbar seriösen Anbietern!
Was bei allen Berichterstattungen zu diesem Thema bisher noch nie betrachtet wurde, ist die eigene Verantwortung des Anwenders für die Sicherheit seiner Daten. Keiner hat sich bisher darum gekümmert, den unbedarften Anwender mal ernsthaft un praktisch darüber aufzuklären, was er genau beachten muss, was er zur eigenen Sicherheit tun kann und was er tun solte, wenn er das Gefühlt hat, doch hereingefallen zu sein. Dabei würden hier schon eine Handvoll kleiner Tipps ein deutlichen Zuwachs an persönlicher (vorallem auch gefühlter) Sicherheit bringen.

Fairer Wiese muss ich sagen, dass hier die Banken bisher auch noch nicht mit entsprechender offensiver Aufklärung geglänzt haben.

Gruß

Holger

ronald.n

Benutzer

Geschlecht: keine Angabe
Beiträge: 633
Dabei seit: 07 / 2003

Betreff:

Re: Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 22.12.2005 - 00:24 Uhr · #9

Zitat geschrieben von Stoney

Zitat

Das iTAN-Verfahren kann also kein Ersatz für SSL sein, sondern das Verfahren nur ergänzen.
Hier ist bei den Kunden weitere Aufklärungsarbeit zu leisten.

Natürlich wollte man SSL abschaffen

Nur gut, dass die Aufklärungsarbeit schon seit Jahren läuft und durch die Medien leider nicht unterstützt wird

Nun - früher oder später werden doch immer die Trends aus Amerika umgesetzt und da schaft man SSL auf Bankseiten doch gerade aus Performance-Gründen ab...

http://www.silicon.de/cpo/news…p?nr=23208

:twisted:

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 02.03.2006 - 12:05 Uhr · #10

Zitat

Ja, Sie können diesen TAN-Block auch für Ihre Banking-Software nutzen. Abhängig vom in Ihrer Software ausgewählten Übertragungsverfahren werden die nach einer bestimmten TAN gefragt oder können wie gewohnt eine beliebige TAN aus Ihrem TAN-Block verwenden. Details hierzu können Sie beim jeweiligen Software-Hersteller erfragen. Bei Nutzung einer beliebigen TAN sollten Sie Ihre verbrauchte TAN durchstreichen.

Technisch gefragt:

Heisst das das die Deuba zwei TAN-Verfahren (z.B. 999+900) über ihre Anwendung zulässt und über BPD mitteilt und somit die Software / Der Kunde frei wählen kann?
Möglich ist das, ob es sinnvoll ist steht auf einem anderen Blatt.

subsembly

Benutzer

Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4494
Dabei seit: 11 / 2004

Betreff:

Re: Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 02.03.2006 - 17:08 Uhr · #11

Aktuell bietet die DeuBa noch gar kein iTAN über HBCI/FinTS und es gibt auch noch keinen Termin wann das eingeführt werden soll.

hochexplosiv

Benutzer

Geschlecht: keine Angabe
Beiträge: 1221
Dabei seit: 02 / 2003

Betreff:

Re: Deutsche Bank führt Ende Februar 2006 iTAN ein

· Gepostet: 02.03.2006 - 19:05 Uhr · #12

Hallo Captain,

Zitat geschrieben von Captain FRAG

wenn man sich das original Zitat der DeuBa ansieht könnte man das glatt denken. Ich vermute jedoch, dass man den Passus mit "bestimmter TAN" und "beliebiger TAN" auf Rücksicht proprietärer Zugriffsmöglichkeiten wie bspw. Screenscraping reingenommen hat. Nach meinem Kenntnisstand funktioniert iTAN bei der DeuBa z.Z. ausschließlich über die Webseite.

Gruß