Smart Tan Verfahren (son Generator dingens)

[Btah]

Unglaublich wie viele Leute auf phishing Emails reinfallen, wird dem durchschnittlichen bw.deler wahrscheinlich weniger passieren (wobei hier auch einige Hirnakrobaten rumrennen - ich sag nur blauer Hund *hust*, muss man nur manche Threads im Technik oder Comm anschaun), aber in der Gesamtbevölkerung ist dieses Problem weitaus größer.

Phising ordne ich eher jetzt mal unter Dummheit und weniger unter Unsicherheit ein...ich mein es soll ja auch Leute geben die mit nem Edding ihre PIN auf die EC-Karte schreiben

das von 2F klingt da schon eher nach nem Grund

 

[schotty]

Also mal ehrlich, das neue Verfahren ist genauso anfällig fpr Man in the Middle. Denn er würde ja direkt für SEINE Kontonummer eine Tan anfordern und es dem Benutzer zeigen als währe es seine. Selbst wenn per SMS-Tan in der SMS steht, dass sei die und die Tan zu dem und dem Betrag und der und der Kontonummer.......SMS-Absender kann man genauso fälschen...

Wurde schon vor Jahren bei AKTE oder kp wo gezeigt was alles durch Man in the Middle möglich ist. Natürlich ist dies keine leichte Attacke, allerdings, und das zählt, sind die neuen Verfahren nicht mehr oder weniger sicher.

Und dann bleibt leider wirklich nur ein Punkt über....der Verwaltungsaufwand der Sparkassen. Und was mit den Kosten ist wirklich mal ein Rückschritt der Sparkassen...denn das war damals bei vielen die ich kenne der Punkt, Überweisungsscheine waren teurer. Es gab ja auch diesen Trend der Überweisungsbankautomaten nur um diese Kosten zu sparen...

 

[deleted_24196]

Also das mit dem Generator scheint mir noch am sichersten zu sein (von HBCI mal abgesehen). Ich habe einen Überweisungsträger (ausgedruckt und per Post zugeschickt; Kontodaten kann man ja vorher noch auf der HP der Versicherung o.ä. kontrollieren bzw. mit vorherigen Überweisungen abgleichen) und gebe manuell die Daten (Kto.-Nr. und BLZ) in den Generator ein und bekomme dann die generierte und nur für die Transaktion gültige TAN. Wie soll da ein MITM-Angriff durchgeführt werden können?

 

[PWD]

Hab beides SMS und diesen ollen Generator (das Ding nervt vorallem wenn man wie ich jeden Abend 15 Tans erstellen lassen muss, wünsche mir die Liste wieder)!

Habe als mir meine neue Karte zugestellt wurde aus alter Gewonheit meine alte einfach zerschnitten und in en Abfall geschmissen, jetzt brauchte ich die aber um das Gerät von der alten Karte auf die neue umzustellen was ein riesen Fail... 1 Woche lang ging nichts mit diesem Mist!

Musstet ihr für das Tan-Gerät was bezahlten oder habt ihr es so bekommen?

 

[deleted_24196]

Ich habe 8€ oder so dafür bezahlt. Wenn du so oft Onlinebanking nutzt, wäre dann HBCI nicht besser geeignet?

 

[cHL]

smstan ist eine sichere alternative zum alten system. ganz klar.
wer so sensible daten über sms schickt/empfängt ist selber schuld.

diese timestamp gschichten für bestimmte empfängerkonten sind zwar schon besser, aber mitm ist dabei auch machbar und trojaner können auch einfach die maske so ändern dass die fremde kontonummer durch die reguläre maskiert wird. abgesehen davon dass die tans offensichtlich irgendwie per timestamp erzeugt werden müssen. ka, aber für mich klingt das nach security through obscurity. weiß nicht was die zum erzeugen der tans verwenden, aber das ist imho leakbar. vielleicht schätz ich das aber auch falsch ein.

jedenfalls bleib ich bei meinem käsezettel.

 

[drwilly]

Ich weiss garnicht was in Bezug auf Sicherheit schlimmer ist, Unwissen oder Halbwissen.

 

[Scorpionking]

Postbank, SMS Tan, kostenlos.

#2
bei Sparkasse nutze ich noch TAN-Liste und lass mich überraschen was da noch so passiert in nächster Zeit.

 

[HarryHard0]

Bei mir ist es seit Freitag nur leider auch soweit, mir wurde mein online Banking gekündigt bei der Sparkasse, da ich noch Tanverfahren nutze.
Allerdings stand im Schreiben, dass ich widerspruch einlegen kann. Hat das schon wer gemacht? Ich vermute ich kann die Kündigung nur herauszögern.

Werde nächste Woche mal hingehen und mich erkundigen, da ich gerne meine Tanliste noch etwas behalten würde.

 

[Schico]

ich versteh nicht wie man allen ernstes behaupten kann, dass abgedruckte, universell gültige TANs genauso sicher seien wie individuell aus empfängerdaten, geldbetrag und uhrzeit generierte TANs.

auch verstehe ich nicht die leute, die behaupten bei dem neuen TAN verfahren gäbe es immer noch das problem von trojanern oder phishingattacken. ich weiß ja nicht wie ihr eine überweisung tätigt, aber ich gebe kontodaten und betrag ein, dann die kontodaten und einen speziellen code in meinen generator (per hand, copy paste geht ja wohl schlecht). dabei merke ich doch zwangsläufig, ob es die gleiche kontonummer ist, die ich soeben auch verwendet habe, oder ob es auf einmal eine ganz andere ist. da müsste der trojaner ja bereits meine überweisungsträger fälschen, damit ich einem falschen empfängerkonto was überweisen kann. die generierte tan ist schließlich nur für diese sitzung, für diesen betrag, für diese gewisse zeitspanne und für dieses konto gültig.

ich halte das "neue" (gibt es ja nun auch schon jahre) tan verfahren für absolut sicher und vertrauenswürdig.

 

[Btah]

Bei mir ist es seit Freitag nur leider auch soweit, mir wurde mein online Banking gekündigt bei der Sparkasse, da ich noch Tanverfahren nutze.
Allerdings stand im Schreiben, dass ich widerspruch einlegen kann. Hat das schon wer gemacht? Ich vermute ich kann die Kündigung nur herauszögern.

Werde nächste Woche mal hingehen und mich erkundigen, da ich gerne meine Tanliste noch etwas behalten würde.

Ich schätze mal falls du es rauszögern kannst, geht das auch nur maximal so lange bis die TANs auf deinem aktuellen Wisch "weg" sind...dann werden die sich ggf einfach weigern dir ne neuen Liste zu schicken, weil die natürlich Interesse haben, die Systeme die dafür zuständig sind jetzt wegzurationalisieren und das nicht weiter parallel laufen lassen zu müssen

 

[SvenGlueckspilz]

Ich (bei der Sparkasse) hab von Liste auf ChipTAN gewechselt und es kostet nichts. Auch das Gerät war kostenlos. Da das Verfahren einleuchtenderweise sicherer ist, hab ich nicht gezögert, als ich davon gehört habe.

 

[FORYOUITERRA]

das verfahren kostet vor allem mal mehr zeit für den user.

 

[drwilly]

Genau. TAN abschaffen!

 

[Collateral]

Also ich bin auch bei der Sparkasse und verwende SMS-aufs-Handy-Methode. Vorallem weil mir bis dato auch noch nichts anderes angeboten wurde. Aber den kleinen Kasten in Betrieb zu nehmen scheint ja doch etwas kompliziert zu sein lauf den ersten Aussagen hier.
Werd wohl vorläufig die Finger davon lassen, wenn ich es irgendwann mal angeboten bekomme...

 

[zYkLuS]

Musste am Freitag wegen was anderem zur Bank, hab dann aber gleich die Umstellung gemacht mit Chip TAN.
Gerade das ganze mal getestet. Lief nicht so reibungslos wie erwartet.
Hat zum Freischalten bestimmt 10 Versuche gebraucht, bis das Ding den Code richtig lesen konnte. Bei der Überweisung auch paar Versuche gebraucht.
Scheint auch teilweise wohl mit der Auflösung etwas zusammenzuhängen.
Hab die noch hochgestellt, weil die pfeilmakierungen am Bildschirm weiter auseinander waren als die am Gerät.

Also mit Liste gings deutlich schneller bisher.
Evtl. muss man erstmal ne Position raus haben, wie man das gerät am besten dranhält.

 

[deleted_24196]

Du musst das Gerät dranhalten? Code lesen? Gibst du den Code nicht manuell ein?

 

[zYkLuS]

Du steckst deine Bankkarte in das Gerät und das Gerät musst du irgendwie schräg an den Bildschirm halten, wo nen blinkender Code angezeigt wird.
Dann ließt das Teil diesen (oder auch nicht) und zeigt dir dann am Gerät die TAN an, die du dann wie beim Listenverfahren normal eingibst.

 

[deleted_24196]

Ok, dann scheinst du ne andere Version von dem Reader zu haben.

Bei mir:
1) Digitalen Überweisungsträger ausfüllen und auf Absenden klicken
2) Es werden zwei Codes generiert
3) EC-Karte in den Reader stecken
4) Auf die TAN-Taste drücken
5) Code 1 & 2 von der Onlinebankingseite eingeben
6) Nochmal auf TAN drücken
7) Generierte TAN ins TAN-Feld (auf der Onlinebankingseite) eingeben

 

[zYkLuS]

Hm ja, du bist halt bei der Volksbank, ich nicht

Unterscheidet sich soweit ja nur darin, dass du den/die code/s selbst eintippst, während das ding bei mir diese selbst einließt.
Wahrscheinlich gehts bei dir aber deutlich schneller

 

[SvenGlueckspilz]

Also mit Liste gings deutlich schneller bisher.
Evtl. muss man erstmal ne Position raus haben, wie man das gerät am besten dranhält.

Naja, die Pfeilmarkierungen was die seitliche Position angeht ist ja klar. Und was die Nähe angeht: Ich halte das Ding immer ganz nah ran oder lasse es den Monitor sogar berühren. Klappt bei mir bislang reibungslos. Hatte auch am Anfang keine Probleme beim einrichten.

 

[HarryHard0]

lol die Sparkasse hat es wohl dringend notwendig dass ich schnell auf ein neues online Banking umstelle. Jetzt rufen sie einen schon an und drängen zum umstellen und dann behaupten sie auch noch dass es einen Monat früher ausläuft als in dem Brief steht.

 

[HERR 2FICKENDEHUNDE]

auch verstehe ich nicht die leute, die behaupten bei dem neuen TAN verfahren gäbe es immer noch das problem von trojanern oder phishingattacken.

wenn man keine ahnung hat fresse halten...

http://www.heise.de/security/meldung/Quellcode-des-ZeuS-Trojaners-frei-im-Netz-1241256.html

und das ist nur ein bespiel...

It is an advanced crime kit and very configurable. With the release and leakage of the source code the ZeuS/Zbot could easily become even more widespread and an even bigger threat than it already is today.

hier nochmal die übersicht über die unterschiedlichen verfahren und deren sicherheit. stammt von der auf seite 1 von mir geposteten seite...

 

[Schico]

wenn man keine ahnung hat fresse halten...

http://www.heise.de/security/meldung/Quellcode-des-ZeuS-Trojaners-frei-im-Netz-1241256.html

und das ist nur ein bespiel...



hier nochmal die übersicht über die unterschiedlichen verfahren und deren sicherheit. stammt von der auf seite 1 von mir geposteten seite...

ok, in dem von dir geposteten heise link steht irgendwas von irgendeinem trojaner, dessen quellcode nun frei verfügbar ist und anscheinend mit c++ programmiert wurde. cool.

und wo steht jetzt eine erklärung, dass das von mir geschilderte TAN verfahren durch trojaner oder phishingattacken computerseitig manipuliert werden kann? nirgends.

erklär du es mir doch mal bitte in eigenen worten, ich bin immer offen um was dazuzulernen, halte aber nicht viel von "das ist halt so" erklärungen (oder gar keine).
ich mein, dass phishingattacken und MITM ausscheidet, kann man sich doch eigentlich schon mit logik erklären.

€: hab mir deinen tollen link von seite eins mal angeguckt. das system, welches ich beschrieben habe (und welches soweit ich weiß hier im thread zur debatte steht) ist wohl als "smart tan plus" system einzuordnen, welches sogar auf deinem lustigen schaubild als "trojanersicher" gilt. also bitte, mäulchen halten

 

[deleted_24196]

Moin,

schlechte Nachrichten für mich...

Das SmartTANPlus-Verfahren entspricht nicht mehr in vollem Umfang unseren Sicherheitsanforderungen. Aus diesem Grund wird das Verfahren zum 31.12.2011 eingestellt.

Auf was soll ich nun wechseln?

a) mobileTAN mit 10ct pro SMS?
b) SmartTANoptic für 15€ einmaliger Anschaffungspreis?

Dieses SmartTANoptic liest anscheinend den Code vom Bildschirm und generiert daraus die entsprechende TAN.

 

[Btah]

zu ner vernünftigen Bank wechseln die einen nicht bei den SMS abzockt? 10ct ist einfach dreist

 

[deleted_24196]

Keine Lust alles umzustellen.

 

[drwilly]

dann b)

 

[YesNoCancel]

die mobile-tans per sms gelten also auch als unsicher?

 

[Timmy87]

die mobile-tans per sms gelten also auch als unsicher?

Teilweise ja aus folgendem Grund:

Die Banken schreiben in Ihre Bedinungen, dass das TAN-Handy nicht das selbe sein darf, wie das Gerät mit dem Onlinebanking betrieben wird.

Konstellation: Bei vielen Banking Apps lassen sich PIN´s fürs Banking speichern, so das nicht jedes mal bei einer Kontoabfrage die PIN manuell eingegeben werden muss.

Kommt jemand in besitz des Handy´s, macht eine Überweisung, bekommt die TAN auf DEIN Handy -> Transaktion erfolgreich.

Hab schon mehrere Fälle diesbezüglich.

 

[ROOT]

hm also online banking aufm handy hab ich mich bisher nicht getraut, dabei wirds wohl auch erstmal bleiben. so wichtig ist dann doch keine überweisung, dass sie nicht warten könnte bis ich wieder zuhause am schreibtisch sitze.

aber hier gibts ja scheinbar auch leute die ihre tanlisten bei dropbox speichern

 

[YesNoCancel]

Teilweise ja aus folgendem Grund:

Die Banken schreiben in Ihre Bedinungen, dass das TAN-Handy nicht das selbe sein darf, wie das Gerät mit dem Onlinebanking betrieben wird.

Konstellation: Bei vielen Banking Apps lassen sich PIN´s fürs Banking speichern, so das nicht jedes mal bei einer Kontoabfrage die PIN manuell eingegeben werden muss.

Kommt jemand in besitz des Handy´s, macht eine Überweisung, bekommt die TAN auf DEIN Handy -> Transaktion erfolgreich.

Hab schon mehrere Fälle diesbezüglich.

Achso - ne, dass ist ja dann auch Quatsch. Mache Banking über den Rechner und bekomme die SMS halt aufs Smartphone - hatte nur keine Lust auf diesen umständlichen Kartenleser-Eingebkram und die SMS war mit 0,01€ / Stk. auch relativ günstig als Alternative zum abgelösten iTan-Verfahren.

 

[Timmy87]

aber hier gibts ja scheinbar auch leute die ihre tanlisten bei dropbox speichern

Problematisch sobald ein Trojaner mit Keylogger aufm Rechner ist...
Kannte viele die ihre PW´s in ner Exelliste gespeichert hatte, im Klartext versteht sich

 

[Steep]

Dieses SmartTan funzt soweit auch mit Banking apps. scheisse nur das man das teil dann mit sich rumschleppen muss .. als frau ja kein Problem aber ich hab halt kein Handtäschchen.

 

[Timmy87]

Sicherheit und Komfort beissen sich leider manchmal

 

[drwilly]

Dieses SmartTan funzt soweit auch mit Banking apps. scheisse nur das man das teil dann mit sich rumschleppen muss .. als frau ja kein Problem aber ich hab halt kein Handtäschchen.

Falls man mal wieder von unterwegs aus eben schnell ne Überweisung …

 

[I Am Weasel]

Sparkasse noch Tan Liste... Raiffeisen schon SMS-Tan. 5 Tan pro Tag kostenlos.

 

[Bootdiskette]

unglaublich, dieser fred ist wirklich nicht von 2007 ...
damals hatte ich so nen codegenerator schon für mein konto in norwegen bekommen. kein wunder dass sich die skandinavier immer wieder über unsere rückständigkeit bekringeln.

€: umsonst.

 

[Annihilator]

Das Ding funktioniert mit meinem S-IPS Panel nicht, muss jedes mal nen Laptop anmachen...
Sollte ich denen bei Gelegenheit auch mal sagen.

 

[Getraenkeautomat]

in skandinavien gibs wahrscheinlich einfach mehr gesocks