Hedges schrieb am 22.08.2019 14:05:
So wie ich das verstehe, kann schon einfache Schadsoftware auf dem
PC über die Geräteschnittstelle mein Sicherheitsmerkmal mitlesen und
dann lustig im Hintergrund per Replay unzählige versteckte Transaktionen
ausfĂĽhren und damit Schaden anrichten.
Nore. Liest noch mal den Artikel
Denn:
Tatsächlich stellt nur der
Bestätigungsknopf auf dem Token selber eine genügend große
Sicherheitsschwelle da - besser wäre natürlich eine PIN, wie eben
beim aktuellen HBCI-Verfahren (s.o) und die Anzeige des "Vertragspartners"
auf einem Display. Aber das ist in Zeiten von Unicode ja auch so eine
Sache ...
Wenn Du bei jeder Transaktion den Knopf am Token drĂĽckst....ja.
Aber: Warum solltest Du den Knopf betätigen?
Sicher wäre es sicherer, wenn auf dem Display des Tokens die Daten angeweigt würden und nicht auf dem des PCs.
Aber teure... ein Chp-TAN-Token von Reiner kostet doch schon 13 Euro.
Hat tastatuur und Display...
Warum sollte das Fido2 Konsortium nicht 45 Euro verlangen und das ohne Tastatu und ohne Display? Sie wĂĽrden ja weniger Gewinn machen.
Wenn Du bei jeder Transaktion eine Pin eingeben mĂĽĂźtest wĂĽrdest Du Dich auch bedanken...
Aber das "mitlesen" nutzt einer Schadsoftware ungefähr genausoeviel wie einen HTTPS-Verkehr mitzulesen: Nichts.
Natürlich könnte eine Schadsoftware beliebige Einlogvorgängen auslösen, solange der Token steckt (und du den Knopf drückst).
Sie könnte aber nichts ohne den Token machen, garnichts.