Wie sicher ist beim OB das Captcha-Verfahren?

hbci-fan

Benutzer

Geschlecht: keine Angabe
Beiträge: 32
Dabei seit: 07 / 2004

Betreff:

Wie sicher ist beim OB das Captcha-Verfahren?

· Gepostet: 24.01.2007 - 09:19 Uhr · #1

Hallo,

mich würde interessieren wie sicher das sog. Captcha-Verfahren im Bereich OnlineBanking ist.

Wie ist dieses Verfahren im Gegensatz zu HBCI Chipkarte, mTAN und eTAN-Plus zu sehen?

Anscheinend wird das Verfahren mit iTAN kombiniert und soll so sicher sein. (Beispiel: www.spardabank-augsburg.de).

Jede Bankengruppe bastelt sich ja zur Zeit ein vermeintlich sicheres System zusammen. In der Vielfalt der Variationen verliert der Kunde bald den Überblick. Was wird sich Eurer Meinung nach durchsetzen?

Kaum war z.B SmartTAN oder eTAN auf dem Markt spricht man schon nicht mehr davon. Auch mTAN setzt sich in der Masse nicht durch.

Das einzige Verfahren was seit Jahren als "sicher" gilt ist doch das Chipkartenverfahren. Wieso wird dieses Verfahren nicht gepuscht? An den Kosten alleine kannst doch nicht liegen - für ca. 50-70 EUR bekomme ich ein sicheres System und hab Ruhe.

Ist es wirklich billiger für die Rechenzentren andauernd an neuen Verfahren zu basteln, die dann doch nicht die gewünschte Sicherheit bringen und den Kunden nur noch mehr verunsichern?

Gruß
hbci-fan (immer noch)

windata

Benutzer

Geschlecht: keine Angabe
Herkunft: Wangen im Allgäu
Homepage: windata.de
Beiträge: 627
Dabei seit: 11 / 2003

Betreff:

Re: Wie sicher ist beim OB das Captcha-Verfahren?

· Gepostet: 24.01.2007 - 09:43 Uhr · #2

Hallo hbci-fan,

Du sprichst mir aus der Seele (und meinen Kollegen von den anderen Softwareherstellern wird es ähnlich ergehen). Bei dem "Sicherheitsverfahrendschungel" blickt der Normal-User mittlerweile wirklich nicht mehr duch. Leider scheint die Kreativität im erfinden neuer Sicherheitsverfahren nahezu unerschöpflich zu sein.

Ich glaube mittlerweile, dass der einzige Weg, ein Verfahren (es sei mal dahingestellt, welches) als Quasi-Standard zu entablieren, der ist, dass die Anwender (sprich Kunde) sich auf ein Verfahren "einigen" (durch entsprechende Aufklärung von neutralen Dritten zum Beispiel) und dieses dann bei ihren Instituten mit entsprechendem Nachdruck einfordern. Vielleicht gelänge es auch, dass sich die Softwarehersteller (und dazu gehören auch die Hersteller von HBCI-Servern) gemeinsam darauf verständigen, diesen "Wahnsinn" nicht mehr mitzumachen.
Aber das wird wohl niemals Wirklichkeit werden...leider.
Somit bleibt uns allen (EBLer und Softwarehersteller) nur, den Anwendern/Kunden es möglichst einfach zu machen und sie nach bestem Wissen und Gewissen zu beraten, damit er/sie mit dem Angebot an Sicherheitsverfahren klar kommt. Aber im Sinne des Kunden ist die derzeitige Situation sicherlich nicht.

In diesem Sinne träume ich weiter von einer besseren Online-Banking-Welt...

Stefan Balk

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003

Betreff:

Re: Wie sicher ist beim OB das Captcha-Verfahren?

· Gepostet: 24.01.2007 - 09:44 Uhr · #3

Hi hbci-fan,

wie sicher das Verfahren ist, ist gar nicht die Frage, sondern wie hoch ist der Aufwand für einen Angreifer und wie hoch ist dabei seine Erfolgsquote. Wenn der Aufwand höher als der Erfolg ist, ist der Betrugsversuch für den Angreifer uninteressant. Das Captcha "verfahren" ist ein möglicher zusätzlicher Baustein und Versuch, den Aufwand zu erhöhen, ohne die Benutzerfreundlichkeit zu sehr ein zuschränken. Ob das damit gelingt ist eine andere Frage.

Da die ganzen anderen Zwieschrittverfahren recht jung am Markt sind, kann man jetzt sicher noch nicht davon reden, ob es sich in der Masse durch gesetzt hat oder durchsetzt.
Sm@rt TAN ist bei den Volks- und Raiffeisenbanken immer noch ein Thema, schliesslich ist das Produkt wohl der erfolgreichste TAN Generator im Bankenmarkt. (eTAN ist vom Grundprinzip übrigens fast das Gleiche).
Mit Sm@rt TAN plus gibt es zudem die nächste Ausbaustufe des TAN Generators, mit einer deutlich höheren Sicherheit, dafür allerdings nicht mehr ganz so simpel in der Nutzung.

Mit der Sicherheit der Chipkarte liegst Du bei den aktuellen Systemen übrigens völlig falsch! Die Chipkarte selber ist sicherlich das sicherste Legitimationsmedium, aber das brauche ich gar nicht angreifen um erfolgreich einen Betrugsversuch zu starten! Dazu müßten vorhandene Realtime Trojaner "nur" "leicht" modifiziert werden.

Gruß

Holger

Fellini

Benutzer

Geschlecht: keine Angabe
Herkunft: Im wunderschönen Ahrtal
Beiträge: 2077
Dabei seit: 04 / 2004

Betreff:

Re: Wie sicher ist beim OB das Captcha-Verfahren?

· Gepostet: 24.01.2007 - 09:50 Uhr · #4

Zitat

Dazu müßten vorhandene Realtime Trojaner "nur" "leicht" modifiziert werden.

Der Trojaner müsste aber dann gezielt den HBCI-Kernel und die Bankingsoftware angreifen. Die Möglichkeit hier den Aufwand für die bösen Buben zu erhöhen ist mit Sicherheit x-fach höher als beim Browser (egal welcher Buchstabe vor Tan steht).

CU
Frank

Stoney

Benutzer

Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004

Betreff:

Re: Wie sicher ist beim OB das Captcha-Verfahren?

· Gepostet: 24.01.2007 - 10:51 Uhr · #5

Zitat geschrieben von hbci-fan

Hallo,

mich würde interessieren wie sicher das sog. Captcha-Verfahren im Bereich OnlineBanking ist.

Wie ist dieses Verfahren im Gegensatz zu HBCI Chipkarte, mTAN und eTAN-Plus zu sehen?

Das ist doch nur dieser zusätzlich Zugriffscode, den ich abtippe oder?

Hat die Sparda noch eine Softwareschnittstelle zusätzlich zum Webfrontend und wird dort dann auf den Zugriffscode verzichtet? Letzendlich hilft dieser Zugriffscode doch nur gegen das vollautomatisierte Befüllen der Internetseite, aber nicht gegen das eigentliche Ausspähen der Daten.

Heart

Benutzer

Geschlecht:
Beiträge: 349
Dabei seit: 11 / 2003

Betreff:

Re: Wie sicher ist beim OB das Captcha-Verfahren?

· Gepostet: 24.01.2007 - 10:57 Uhr · #6

Zitat geschrieben von Stoney

Exakt... Und so wie er z.B. bei dieser Sparda-Bank eingesetzt wird ist das knacken/auslesen/decodieren dieses Captchas mittlerweile für einen Robot auch kein Problem mehr (siehe PWNtcha)