Hallo zusammen,

die Deutsche Bank führt Ende Februar 2006 iTAN ein.

Interessant ist auch eine Aussage in http://www.deutsche-bank.de/pbc/pdf/qa_einf_tan_051206.pdf



Ich sehe schon eine News die von einer "Hintertür" im iTAN-Verfahren berichtet, wie es bereits unter http://www.heise.de/security/news/meldung/66652 geschehen ist.

Gruß

iTAN ist genauso (un)sicher wie das herkömmliche TAN verfahren.
http://www.pm.ruhr-uni-bochum.de/pm2005/msg00355.htm

Die Ruhr Uni hat iTAN innerhalb eines Tages geknackt.
http://www.page-online.de/aktu…1131966893

Hallo sierra,

Geknackt wurde beim iTAN überhaupt nichts. Das das ist ein ganz normaler "Man-in-the-Middle" Angriff und hat nichts mit iTAN zu tun. Das schlimme an der Sache ist, dass einige Medien den Blödsinn von AI3 weiterverbreiten und etwas hinzudichten.

Unter http://www.heise.de/security/news/meldung/66046 steht:

Gruß

letzteres passiert übrigens beim Einsatz einer Homebanking-Software quasi automatisch. Wenn der Rechner dann noch Viren/Trojaner/drogensüchtigerSohn/DAU sicher ist, dann kann nichts mehr passieren...

Sehe ich genauso, nur weil ich jemand bei der PIN-Eingabe am Geldautomaten gefilmt habe und nun seine PIN kenne, habe ich auch noch lange nicht die Bankkarte geknackt

Den Schlußsatz der Pressemeldung find ich auch genial



Natürlich wollte man SSL abschaffen Nur gut, dass die Aufklärungsarbeit schon seit Jahren läuft und durch die Medien leider nicht unterstützt wird

Oder auch hier ein kleines Zitat:https://www.a-i3.org/content/view/215/28/



Da wird die Poba noch als gutes Beispiel genannt, obwohl von Anfang an durch die Poba kommuniziert wurde, das lediglich im Browserbanking eine iTan gefordert wird, später ist es dann ne Lücke Da hilft wohl nur "erst denken - dann schreiben"

Hallo Daniel,

ich würde einfach mal sagen, wir waren hier einfach zu blöd uns mit so einem schwachsinninigen Aussage zu profilieren. Wir glauben halt immer noch daran, dass man fundierte und wahrheitsgemässe Aussagen machen muss um als Fachmann anerkannt zu werden.......
Tja uns was lehrt uns das?
1. Die dümmsten Bauern (nix gegen Bauern!!!), ernten die dicksten Kartoffeln.
2. Kleider machen Leute (sprich, wenn ich gekonnt den Eindruck erwecke ich hätte Ahnung wird es schon irgend einen Trottel geben, der mir das abnimmt.)

Das Traurige ist, dass ich ja eigentlich absolut gar nichts von der iTAN halte, aber wegen solcher Profilierungssüchtiger, doch tatsächlich in die Situation komme, den Blödsinn doch lieber zu verteidigen, bevor noch mehr Halbwarheiten verbreitet werden, die den Anwender noch mehr verunsichern statt ihm zu helfen!

Gruß

Holger

Leute, wichtig ist doch, was unten rauskommt. Deshalb hab ich auch da nur ein kleines Problem damit, dass beim Thema Sicherheit etwas mit dem dicken Hammer gearbeitet wird.

Die Leute von der Ruhruni haben genug Ahnung von der Materie, davon können wir doch wohl ausgehen.
Wenn dann aus Marketing oder Profilierungsgründen die Formulierungen nicht unbedingt der technischen Wahrheit entsprechen, ("geknackt", was soll das denn heissen?), so stimmt doch die Grundaussage, die der normale User und meinetwegen Banker aus dem ganzen Geschrei ziehen sollte: Aufpassen!

Das eigentliche Problem dabei: Die oberflächlichen Medienberichte lassen sich durch diese übertriebenen Behauptungen wieder so einfach demontieren, dass die Aussagen wieder von vielen Kunden und Bankern in der Gesamtheit nicht mehr ernstgenommen werden.
Und schon verkehrt sich der Effekt ins Gegenteil und die Wirkung verpufft, zu schade...

Gruß
Raimund

Hallo Raimund,

ich sehe das etwas anders! Durch diese Art der Profilierung wird soviel Unsicherheit geschürt, dass der einfache Anwender gar nicht mehr weiß, was eigentlich los ist und auf was er achten soll. In dieser Situation ist er ein sehr leichtes Opfer von scheinbar seriösen Anbietern!
Was bei allen Berichterstattungen zu diesem Thema bisher noch nie betrachtet wurde, ist die eigene Verantwortung des Anwenders für die Sicherheit seiner Daten. Keiner hat sich bisher darum gekümmert, den unbedarften Anwender mal ernsthaft un praktisch darüber aufzuklären, was er genau beachten muss, was er zur eigenen Sicherheit tun kann und was er tun solte, wenn er das Gefühlt hat, doch hereingefallen zu sein. Dabei würden hier schon eine Handvoll kleiner Tipps ein deutlichen Zuwachs an persönlicher (vorallem auch gefühlter) Sicherheit bringen.

Fairer Wiese muss ich sagen, dass hier die Banken bisher auch noch nicht mit entsprechender offensiver Aufklärung geglänzt haben.

Gruß

Holger

Nun - früher oder später werden doch immer die Trends aus Amerika umgesetzt und da schaft man SSL auf Bankseiten doch gerade aus Performance-Gründen ab...

http://www.silicon.de/cpo/news…p?nr=23208

:twisted:

Technisch gefragt:

Heisst das das die Deuba zwei TAN-Verfahren (z.B. 999+900) über ihre Anwendung zulässt und über BPD mitteilt und somit die Software / Der Kunde frei wählen kann?
Möglich ist das, ob es sinnvoll ist steht auf einem anderen Blatt.

Aktuell bietet die DeuBa noch gar kein iTAN über HBCI/FinTS und es gibt auch noch keinen Termin wann das eingeführt werden soll.

Hallo Captain,

wenn man sich das original Zitat der DeuBa ansieht könnte man das glatt denken. Ich vermute jedoch, dass man den Passus mit "bestimmter TAN" und "beliebiger TAN" auf Rücksicht proprietärer Zugriffsmöglichkeiten wie bspw. Screenscraping reingenommen hat. Nach meinem Kenntnisstand funktioniert iTAN bei der DeuBa z.Z. ausschließlich über die Webseite.

Gruß