wieso ist das iTAN-Verfahren unsicher?

Immer wenn es um Sicherheit geht ,wird geschrieben, dass das iTAN-Verfahren nur mäßig sicher ist. Aber warum soll das so sein?

Angenommen, ein Pisher oder Hacker fängt meine PIN und eine TAN ab: Gut, mit der PIN kann er zwar mein Konto einsehen, mehr aber auch nicht. Das ist zwar unangenehm aber noch nicht schädigend. Aber wie groß ist die Chance, dass gerade diese TAN bei der nächsten Transaktion verlangt wird?

Darum ist mir nicht so ganz klar, warum iTAN nicht so sehr sicher sein soll.
Vielleicht kann mir das ja einer der anwesenden Experten hier erklären

http://www.onlinebanking-forum…php?t=7460

Kannst dir ja mal das Spezial durchlesen "Aus für Hacker" I-TAN wird auch erwähnt. Ich halte auch nicht sehr viel vom I-TAN, wenn dich jemand hackt und geschickt umgeht kriegt er warscheinlich mehrere TAN's.
Die Versuche landen erst garnicht bei der Bank. Wenn der Hacker jetzt nur ein wenig Glück hat und eine der TAN's abgefragt wird die er nun schon hat dann ist das Geld weg.

Naja ich bleibe dann doch lieber bei meiner Chipkarte.

Viele Grüße
Stefan

Edit: FRAG war wieder sekunden schneller ^^ ja und das Man-In-the-Middle Verfahren gibt es da ja auch noch *schäm* ^^

Hallo,



Das ist eher die Ausnahme.

Otto

kurze Antwort:
Ja.
Afaik gibt es Viren, die genau das können.

Aber selbst da lauern noch mehrere Hürden, Limite und Kontorahmen. Der entscheidende Faktor ist die Zeit.
Sicher sind diese Viren schonmal unter Laborbedingungen getestet worden, aber alle bisher von uns untersuchten infizierten PC`s waren nicht mit diesem Virus, sondern mit einem normalen Trojaner der PIN und TAN an einen Server sendet (egal ob Banking oder ebay Account) infiziert. Mich stört diese Panikmache. Selbst wenn mehrere iTANs mit Index abgephisht werden (ich halte dieses Thema aber in D für durch) ist die Treffermöglichkeit bei z.B. 10 von 80 eher gering.
Die iTAN ist sicher nicht der Weisheit letzter Schluß, aber für ein anderes Sicherungsverfahren fehlt es auch an Bereitschaft es anzunehmen und einzuführen. Es wird sich ja schon über die iTAN beschwert, da man jetzt immer die ganze Liste ins Internetcafe mitnehmen muss :evil:

Hallo Olaf,


sorry, aber Du irrst da gewaltig!
Die RealtimeTrojaner sind durchaus bereits Realität. Zudem unterschätzt Du den Markt gewaltig.
Das was die iTAN heute ein wenig schützt, ist einzig und allein die Tatsache, dass der Angriff gegen ein Einschritt TAN Verfahren mit einfacheren Mitteln erfolgen kann. Spätestens, wenn bei den Banken diese Einschrittverfahren nicht mehr gibt, wird man sich auf das nächste Verfahren stürzen, dass die meisten Angriffsszenarien bietet und dass ist die iTAN. Deine Laborversuche, beziehen sich in der Regel auf "große" MiM Angriffe, bei der der Datenverkehr über andere Server geleitet wird und diese Daten dann manipuliert werden. Viel zu Aufwendig! Der Angriff auf den Kunden PC mit einem kleinen Trojaner ist auch bei der iTAN viel viel effizienter und n ur minimal aufwendiger, als heutige Angriffe gegen die "normale" TAN.

Von daher war die iTAN sicherlich geeignet kurzfristig etwas mehr an Sicherheit zu bringen, aber das Mindesthaltbarkeitsdatum ist kurz vor dem Ablauf. Das wird in den meisten Bankenverbänden (auch bei denen, die die iTAN bereits eingeführt haben) übrigens genau so gesehen!

Wie Vader es schon geschrieben hat: Die Tokenvariante Sm@rt TAN+ wird bei den Banken, die das bereits eingeführt haben, oder sogar bereits alle Kunden umgestellt haben, sehr gut von den Kunden angenommen.

Gruß

Holger

Hi Stoney,

ich wage zu behaupten, dass es künftig "regelmäßig" neue Verfahren gibt.
Zum Angriffsszenario:
Das mit den 1 - 2 Feldern stimmt so nicht. Dagegen funktioniert jeder anderer Realtimeangriff bei den Tokenlösungen, wenn der Anwender auf die Verwendung seiens Verstandes verzichtet. Wie geschrieben, ist das Verfahren nur dadurch sicher, dass es eine Bindung an einem Auftrag gibt und der Anwender dies unabhängig von der Anzeige am Bildschirm kontrollieren kann. Tut er dies nicht, kann es natürlich sein, dass er jeden x beliebigen Auftrag frei gibt. Dann hat die TAN zwar immer noch einen direkten Bezug zum Auftrag, aber eben zu dem Auftrag des Angreifers, der dann vom Anwender frei gegeben wird.

Nur für die Leute ist dann zumindestens das OnlineBanking per PIN/TAN nicht zu empfehlen (wenn man überhaupt OnlineBanking zulassen sollte....)

Gruß

Holger

Hi Stoney,

das funktioneirt nicht! Wie schon gesagt, hat die TAN einen Bezug zum Auftrag. Wenn nicht ist diese nicht sicher!
Bei Sm@rt TAN plus gibst Du neben einem Bankcode (der einen Bezug zur aktuellen Sitzung und zum Hash des Auftrags haben kann), zusätzlich noch die Kontonumemr des Empfängers an. Damit funktioniert dein Angriff nicht, da die TAN nur für diese Kontonummer gültig ist. Jede Manipulation an den Auftragsdaten oder an der Eingabe lässt die TAN ungültig werden.

Die Neukalibrierung z.B. hat keine Kontonumemr als Zusatzdaten und kann daher auch nicht für Transaktionen verwendet werden.

Nur wenn ich die Nummer, die ich zur Generierung der TAN nicht mit der kontrolliere, die ich eingegeben habe, kann man mir eine andere Nummer unterjubeln. Nur dann gilt das vorher geschriebene.

Gruß

Holger

Hallo Stoney,

du verwechselst ein paar Zusammenhänge, daher mal der Ablauf:

Ich habe eine Überweisung an das Konto 1234567890. Die schicke ich (wie bei anderen Zweischrittverfahren auch) an die Bank. Die schickt mir anschliessend eien Nachricht:
Geben Sie bitte in ihren TAN Generator den Bankcode 54321 und anschkliessend die Kontonummer des Empfängers ein.
Die Daten nehme ich und tippe diese in den TAN Generator ein, der aus beiden Angaben dann die TAN berechnet. Damit fliesst in die Berechnung der TAN der Bankcode (mit dem wird u.a. sichergestellt, dass ich vor dem PC sitze) und die Kontonummer des Zahlungsempfängers ein.

Die so generierte TAN gebe ich an das System zurück. Die kann dann die TAN nachrechnen und weiß damit, ob der Bankcode und die Kontonummer zur TAN passen.
Wenn der Angreifer den Bankcode manipuliert hat, passt die TAN nicht mehr, genau so, wenn der Angreifer die Kontonummer manipuliert hat.

Es gibt in dem ganzen zwei Angriffsszenarien:
1. Der Angreifer manipuliert den Auftrag und ich tippe stumpf die falsche Kontonummer ein. (Den Bankcode muß er durchreichen)
2. Der Angreifer verfügt über 9999999999 verschiedene Kontonummer und kann in Realtime die Auftragsdaten anpassen.

Alle anderen Anngriffe auf eien Einzelüberweisung funktionieren nicht, da jede Manipulation sofort erkennbar ist, oder zu einer fehlerhaften TAN führt.

Gruß

Holger

Womit du aber wieder bei dem schon angesprochenen Punkt "Mitdenken beim Anwender" bist.

Alle adminstrativen Geschäftsvorfälle kommen ohne Eingabe eier Empfängerkontonummer aus (woher sollte die auch kommen?), wenn jetzt eine gefordert wird, muss ich als Anwender misstrauisch werden.

Werde ich das nicht, funktioniert das von dir beschriebene Verfahren natürlich...

Gruß
BW