Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

News: Viren, Spyware, Datenschutz

Erneut gehackt: das pushTan-Verfahren bei der Sparkasse

Olaf19 / 59 Antworten / Flachansicht Nickles

Am Rande der 32C3 in Hamburg hat Vincent Haupert von der Uni Erlangen berichtet, wie es ihm innerhalb weniger Monate zum zweiten Mal gelungen ist, das pushTan-Verfahren der Sparkasse zu hacken – und wie simpel dies laut seiner Schilderung gewesen sein soll.

Natürlich wird die Sparkasse ihrerseits nachlegen und ein Update bringen, um die Sicherheitslücke zu schließen, doch am Ende, so Haupert, wird die Sparkasse das Katz-und-Maus-Spiel immer verlieren: der Fehler liegt im Gesamtkonzept. Online-Banking-App und TAN-Generation auf dem gleichen Gerät, das wird immer anfällig bleiben.

Die Zeit beschäftigt sich mit diesem Thema in einem ausführlichen Artikel.

Quelle: www.zeit.de

Olaf19 meint: Sich per SMS eine TAN aufs Smartphone schicken zu lassen, mag ja noch angehen – eine TAN ist eh nur ein "Wegwerfartikel", der in Sekundenschnelle verbraucht ist und danach nie wieder genutzt werden kann.

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
shrek3 Olaf19 „Bei der Sparda-Bank habe ich beides, iTAN auf Papierliste zuhause und mTAN für unterwegs was natürlich selten gebraucht ...“
Optionen
Quintessenz: das neue(!) iTAN-Verfahren ist jetzt noch sicherer, weil alle TANs durchnummeriert sind und nur die jeweils aufgerufene Nummer genutzt werden kann

Am Anfang war es ja noch egal, welche der 100 TANs man verwendete - da hatte der Kunde freie Hand. Einzige Bedingung: Er konnte eine bereits verwendete TAN nicht nochmals nutzen.

Dann ging man zu einer Nummerierung der 100 TANs über und die Bank teilte bei einer Online-Überweisung mit, welche Nummer jetzt verwendet werden sollte. War zwar etwas sicherer, löste das Problem aber nicht grundsätzlich.

Da ist die Sparda-Bank wohl noch auf den alten Stand von Anno dazumal, wenn sie auch jetzt noch solche Aussagen macht. ;-)

Nun gut, ich hatte deinen vorigen Beitrag so verstanden, dass das TAN-Verfahren generell ein Auslaufmodell ist, also mit TAN als Sammelbegriff für iTAN, mTAN etc.

Nein, so ist das nicht. Das mTAN-Verfahren ist schon DAU-sicherer.
Knacken lässt sich das zwar auch, wenn z.B. ein Krimineller die Logindaten zum SIM-Kartenanbieter hat und dort eine neue SIM-Karte unter der selben Mobilfunknummer anfordert, weil das alte Handy entweder verloren gegangen oder die SIM-Karte unbrauchbar geworden sei.

Aber auch das geht nur, wenn er eine andere Versandadresse für die Zustellung der Ersatz-SIM-Karte angeben kann.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen