M75 schrieb am 24. Juli 2014 10:09
> > Man führte mTAN und ChipTAN ein, weil iTAN so unsicher war. Schon
>Â >Â vergessen?
>Â
> Bei meiner Bank ist iTAN sicher, da meine Bank eine
> Transaktionsbenachrichtigung per SMS verschickt. Das können die
> Angreifer überhaupt nicht verhindern. Eine mißbräuchliche Transaktion
> kann so gleich storniert werden.
Die idee ist garnicht so dumm. So wird iTan womöglich ähnlich sicher
wie mTan.
Aber nur wenn der User die Überweisung nur durchführt nachdem er per
SMS die Bestätigung bekommen hat welche iTan für welche Transaktion
zu verwenden ist.
Kommt die SMS erst danach ist es eigentlich zu spät denn
Transaktionen von deiner Seite aus lassen sich, somindest laut den
Warnmeldungen bei meiner Bank, NICHT Stornieren! Zudem lassen sich
SMS unterdrücken oder Manipulieren wenn das Smartphone infiziert ist.
Damit ist die Sicherheit gegenüber mTAN kaum zu erhöhen.
> Aber auch das Szenario aus der Link erfordert dumme User. Denn
> eine simple Umsatzprüfung würde den Fehler zeigen.
Würde er nicht. Die Manipulierte Seite zeigt dir natürlich die
Kriminelle Abbuchung nicht an. Eine Umsatzprüfung müsste daher direkt
über die Bank durchgeführt werden.
>Â
> Das große Risiko bei mTAN ist, daß es nicht in Echtzeit zusammen mit
> dem Opfer laufen muß. Ein mTAN-Angriff kann jederzeit, also ohne
> Aktion des Opfers laufen. Du machst also nichts, während Dein Konto
> leergeräumt wird. Und Du kriegst auch nichts mit. Und das ist zigmal
> mehr Risiko als iTAN.
Es ist ein anderes Risiko. Aber iTan so wie es von Banken verwendet
wurde ist unsicher da man nur den PC manipulieren muss um es zu
umgehen. Transaktionsbenachrichtigungen sind nicht so üblich und
schon garnicht welche die vor der Überweisung kommen.
> > Man führte mTAN und ChipTAN ein, weil iTAN so unsicher war. Schon
>Â >Â vergessen?
>Â
> Bei meiner Bank ist iTAN sicher, da meine Bank eine
> Transaktionsbenachrichtigung per SMS verschickt. Das können die
> Angreifer überhaupt nicht verhindern. Eine mißbräuchliche Transaktion
> kann so gleich storniert werden.
Die idee ist garnicht so dumm. So wird iTan womöglich ähnlich sicher
wie mTan.
Aber nur wenn der User die Überweisung nur durchführt nachdem er per
SMS die Bestätigung bekommen hat welche iTan für welche Transaktion
zu verwenden ist.
Kommt die SMS erst danach ist es eigentlich zu spät denn
Transaktionen von deiner Seite aus lassen sich, somindest laut den
Warnmeldungen bei meiner Bank, NICHT Stornieren! Zudem lassen sich
SMS unterdrücken oder Manipulieren wenn das Smartphone infiziert ist.
Damit ist die Sicherheit gegenüber mTAN kaum zu erhöhen.
> Aber auch das Szenario aus der Link erfordert dumme User. Denn
> eine simple Umsatzprüfung würde den Fehler zeigen.
Würde er nicht. Die Manipulierte Seite zeigt dir natürlich die
Kriminelle Abbuchung nicht an. Eine Umsatzprüfung müsste daher direkt
über die Bank durchgeführt werden.
>Â
> Das große Risiko bei mTAN ist, daß es nicht in Echtzeit zusammen mit
> dem Opfer laufen muß. Ein mTAN-Angriff kann jederzeit, also ohne
> Aktion des Opfers laufen. Du machst also nichts, während Dein Konto
> leergeräumt wird. Und Du kriegst auch nichts mit. Und das ist zigmal
> mehr Risiko als iTAN.
Es ist ein anderes Risiko. Aber iTan so wie es von Banken verwendet
wurde ist unsicher da man nur den PC manipulieren muss um es zu
umgehen. Transaktionsbenachrichtigungen sind nicht so üblich und
schon garnicht welche die vor der Überweisung kommen.