Das hatte ich bisher nur vermutet...

Damit ist die Einführung der iTAN durch die PB ein Marketinggag und keine Sicherheitssteigerung.

Sorry aber das wonach du schreien tust ist nicht relevant. Die Nachfrage bez. iTAN ist sehr hoch was mit Sicherheit auch durch die Presse verursacht wurde. iTAN ist meines achtens nach übrigens eine durchaus sinnvollle Sicherheitsmassnahme für das PIN/TAN Verfahren.



Und welches Verfahren ist wirklich sicher? HBCI mit Klasse 3 Kartensystem? Wieviel private Kunden nutzen das prozentual ca. bei euch und sind damit zufrieden? Und wenn es keine Probleme bereitet, hat deine Bank die Beweislast bez. Online-Banking aufs eigene Risiko gelegt oder wird das auf den Kunden abgeschoben? Sollte ja eigentlich kein Problem sein eine Versicherung zu finden wenn das System soviel sicherer ist als das PIN/TAN Verfahrenb.



Wieso schlecht? Nenne mir bitte das System welches eine 100% Sicherheit bietet und mit Begründung warum. Ich möchte damit auch nochmal gerne auf die Bank AGBs hinweisen, welches System kennst du welches so sicher ist das selbst die Bank das Risiko übernimmt? Komisch, ich kenne persönlich keine Bank die die Beweislast übernimmt bei einen HBCI Chip System, warum eigentlich nicht? Denke das ist soviel sicherer?

Begründung bitte...alle Phishing Möglichkeiten fallen mit den iTAN System quasi weg. Es ist also nur möglich durch eine MITM Attacke an die Daten zu kommen, warum ist das keine Sicherheitssteigerung?

Hallo,

siehe

Hallo Dragi,

die Phisihing Möglichkeiten fallen mit der iTAN eben nicht weg! Mit der iTAN wird das Phishing nur erschwert!
Überleg Dir bitte mal, wen Du mit einer iTAN schützen möchtest! Denjenigen, der völlig naiv und unbedarft mit seinen persönlichen legitimationsdaten umgeht! Und dem wir ein deutlich komplizierteres (aus Sicht eines Unbedarften!) System an die Hand gegeben, mit dem er ganz sicher nicht souverän umgeht!
Dafür weden aber 99% der anderen Anwender, die souverän mit Ihrern legitimationsmedien umgehen bestraft und deren Schutz wird völlig vergessen! Den das nächste Angriffszenario sind intelligente Trojaner und hier hilft Dir keine iTAN!
Die Kritik an der iTAN ist daher auch : Gut gegen Phishing, aber Sie löst im Ansatz nur ein aktuelles Problem! Was fehlt ist die Nachhaltigkeit! Und das hat zur Folge, dass wir uns in einem oder zwei Jahren wieder über andere Schutzmechanismen unterhalten und wieder viel geld verheizt wird,

Gruß

Holger

PS Der Klasse 3 Leser ist für HBCI nutzlos.

Hallo Leute,

jetzt muss ich einfach nochmal für Dummies nachfragen

Es ist also richtig, dass ein Kunde der PoBa mit seiner einen TAN-Liste (ein Kundensatz) über www.postbank.de mit iTAN arbeitet und mit derselben Liste über die Softwareschnittstelle seine TAN ganz normal nutzen kann?

In den SI-Sparkassen kenne ich es nur so, dass der komplette Kundensatz entweder immer iTAN (also mit Software NICHT nutzbar) ist oder generell iTAN deaktiviert ist.

Ich hoffe, meine Frage überschneidet sich jetzt nicht, da ich vielleicht in den vielen langen Thread´s das eine oder andere überlesen habe *rotwerd*

Gruss von der Hotline

@Hotline

Genau das ist der Witz!

Deswegen sage ich das die iTAN-Lösung der PoBa nur ein Marketing-Gag ist.

Ich hab die i-a3.org schon dazu angeschrieben

Naja "nutzlos" würd ich nicht sagen, nur halt nicht sicherer als ein Klasse 2

Gruß
Vader

Warum die iTan auch nichts bringt? Sie verringert nur die Wahrscheinlichkeit, dass der Betrüger an das Konto herankommt.

Nehmen wir mal an, der Kunde hat die Hälfte seiner TAN verbraucht und schlauerweise auf der gefälschten Bankseite "nur" drei davon eingegeben.

Wie hoch ist die Wahrscheinlichkeit, dass der Phisher eine Überweisung erfolgreich durchführen kann?

Gruß
Raimund

Rechnen wir mal:

drei davon.... also von den verbrauchten?
3 Versuche, dann Index-Sperre

drei von den unverbrauchten:
Chance von 3:50 das eine von den bekannten abgefragt wird.
Theoretisch... das heisst aber auch nicht das dann eine Überweisung möglich ist, denn:
der Phisher müsste auch die lfd. Nummer wissen , sonst ist nämlich auch seine noch gültige TAN im Müll, denn sie wurde nicht angefordert. In so einem Fall werden nämlich gleich beide (die freie bekannte und die eigentlich über Index angeforderte) TAN verbrannt.

Ist die lfd. Nummer dagegen auch bekannt hilft nur probieren bis eine der drei angefordert wird, wobei nach drei TAN-Index Anforderungen ohne TAN Eingabe auch die Index-Sperre greift.
Falsche TAN Eingaben erhöhen dagegen zusätzlich den TAN Fehlzähler.

Das System wird wie leicht erkennbar ist mit jeder weiteren verbrauchten TAN schwächer. Bei weniger als 20 freien TAN gibt unser System neue Listen in Auftrag.

Was auch zu bedenken ist:
Unsere Kunden brauchen keine TAN mehr zu streichen, es werden ja automatisch nur freie abgefragt. Fragt nun eine Phishing Seite nach TAN, besteht bei 50:50 Verbrauch die Chance das von den drei ergaunerten auch bereits 1,5 sowieso schon ungültig sind. Der Kunde weiss in der Regel ja nicht im Kopf was schon mal per Zufallsprinzip angefragt wurde und somit schon weg ist.

Aber wie gesagt, es ist kein absolut sicheres System - wie alle anderen auch.

warum sollte der Kunde die gestrichenen Tan eingeben?

Natürlich wird der Betrüger ebenfalls nach dem Index fragen
Wenn jemand so naiv ist, ist die lfd Nr. wohl kein Prob, oder?

Es ist und bleibt ein Behelf - aber besser als nix, das sehe ich ein.

Der große Vorteil: Der eine oder andere User macht sich sicherlich Gedanken (hm, warum macht meine Bank/Sparkasse denn diesen ganzen Aufwand?")

Und das ist m.E. das eigentlich gute daran!

Weil er sie nicht gestrichen hat, warum auch...



Natürlich nicht...



Absolut, aber dabei ohne richtig großen Aufwand umsetzbar - sehen wir mal von den 2-3 Wochen Hotline ab.

Standard Phishing sehe ich mit iTAN nicht als DAS Problem an. Eher gut gemachte Trojaner die intelligent als MitM arbeiten.

ack

Hoffen wir nur, dass dann Firma Microsoft aufgrund von Trojanern mit MitM-Funktion, nicht auch noch den "normalen" promiscious mode in ihrer schlampigen TCP/IP Implementierung "abdreht". Den Raw Socket Modus haben sie ja bereits abgedreht, weil man damit ja IPs spoofen kann.. Einfach nur lächerlich...

Ähm... mag ja sein das ich blöd bin ops: aber ich hab keine Ahnung wovon du redest... könnte das irgendwer mal übersetzen?

Ich denke das Redmonder TCP-IP stammt aus FreeBSD, so schlecht kann das doch gar nicht sein

Es sei denn sie haben es verschlimmbessert...

Danke Angel,

auch ich dachte heute morgen ..... hmm... ja....

das Yamaha XP750i soll ja gut sein, aber wenn der Lambada nicht dabei gewesen wäre, dann hätte ich des Ding nicht gekauft.
(frei nach Badesalz)

Gruss von der Hotline

Man kann bewusst so schreiben das man von mehr als der 75% nicht verstanden wird, den Sinn dahinter kennt nur maxxy selber.

[insider]
Das mit der Teilnahme am Wort zum Sonntag war übrigens gut...
[/insider]

@Hotline
Na gottseidank... ich dachte schon ich wär die Einzige, die das nicht kapiert *lol*... danke für dein Zugeständnis

Sorry. Tut mir leid, dass das als Wort zum Sonntag gewertet wurde. Aber ich gehe eigentlich davon, dass in einem Forum zum Thema Sicherheit durchaus jemand meinen Worten folgen kann. Speziell wenn man da über MitM-Attacken redet.

Aber:

Promiscious Modus = Ein spezieller Modus in dem man eine handelsübliche NIC schalten kann. Innerhalb des Promiscious Modus kann man somit alle Datenpakete lesen, die nicht für die eigene Station gedacht sind.

Raw Socket Modus = Ohne auf den Socket einzugehen... Es handelt sich im Prinzip um einen Modus indem man volle Kontrolle über die Definition eines Datenpaketes hat. Dieses ermöglicht zum Beispiel das "Fälschen" von Absenderadressen oder die direkte Manipulation von anderen Daten im IP-Paket. Im normalen Socket-Modus übernimmt das Betriebssystem die Zusammenstellung von Paketen.