Guten Morgen,


ich bringe mich grade auf den neuesten Stand, was Gefahren und Abwehrmethoden beim Online-Banking betrifft.
Ich bin dabei auf ein recht interessantes Verfahren names e-p@d gestossen. Hierbei werden Zugangsinformationen nicht über die Tastatur, sondern über Tastatur-Buttons auf der Homepage der Bank eingegeben. Trojaner, die die Tastatureingaben auf Clientseite mithorchen (was meines Erachtens im Moment die größte Gefahr beim OnlineBanking darstellt) , sind dabei aussen vor.
Leider scheint dieses Verfahren noch nicht allzu verbreitet, ich habe heute zum ersten mal davon gelesen.

Gibt es die Chance, bzw Bestrebungen, dass sich dieses Verfahren in der Breite durchsetzt?
den Ansatz finde ich jedenfalls sehr interessant.

Viele Grüße...

Hi Bioscan,

ich hoffe doch mal nicht, dass es sich durchsetzt Damit es Angriffssicher gemacht werden kann, muessen sich die Nummern auf dem Zahlenblock andauernd ändern, was die meiseten Leute schon überfordern würde, so dass eine Sperre nach der anderen der Fall wäre. Hinzu kommt, dass die Tastatur in die Darstellung eingreifen muss, damit die PIN Eingabe nicht mitgefilmt werden kann. Solange nur wenige Leute das nutzen, ist es sicherlich ganz pfiffig und für einen Angreifer nicht interessant, sobald es in die Breite geht, ist es vorbei.

Gruß

Holger

Auch wenn der Begriff PIN vermuten lässt, das es sich ausschliesslich um ein numerisches Kennwort handelt, ist das in der Praxis nicht so.

Die Online-Banking PIN ist ein alphanumerisches Kennwort, welches je nach Umsetzung der Bank aus über 60 verschiedenen Werten (2x26 Buchstaben, Ziffern von 0-9 sowie ein paar Sonderzeichen) pro Stelle bestehen kann.

Eine künstliche Reduzierung auf reine Ziffern ist sicher kein Fortschritt.

mögliche PIN-Kombinationen:
nur numerisch: 10^5 = 100.000
alphanumerisch: 60^5 = 777.600.000

selbst wenn keine Unterscheidung zwischen Groß-/Kleinschreibung stattfindet (gibt es auch) habe ich immer noch 60 Mio. Möglichkeiten.

Trojaner, die einen Film aufzeichnen, gibt es bereits. Damit kann jeder Mausklick wunderschön mitverfolgt werden. Das Filmchen wird anschliessend über die eigene SMTP-Engine verschickt. Solange es noch normales PIN/TAN gibt, wird ein Angriff auf das e-p@d-Verfahren nicht so häufig vorkommen und deshalb etwas mehr Schutz bieten - sicher ist es aber nicht wirklich.

So ganz nebenbei: wie sieht es bei diesem Verfahren mit Barrierefreiheit (Sehbehinderte) aus ?

Viele Grüße

Hamick

Dies dürfte der Dolchstoß dieser Anwendung sein ;(

Ausser, dass die Bildfelder ein "id-tag" haben, in der z.B. die Zahlen "1, 2 etc." hinterlegt sind.

btw: Diverse meiner blinden Kunden nutzen die HBCI-Chipkarte in Kombination mit SFirm32. Es gibt z.B. einen Blinden-Trainer, der coacht die Sehbehinderten speziell bei Fragen zu Sfirm32. Faszinierend