maush August 4, 2010 Gestern habe ich eine neue Tan Liste von der Sparkasse (Holstein - betrifft sicher auch andere Sparkassen) bekommen und bin hinsichtlich der Sicherheit etwas verunsichert. Bisher wurden diese ja genau wie bei den anderen Banken in einem extra Umschlag innerhalb des Briefumschlags versendet. Dieser zweite Umschlag war nur durch "aufreissen" zu öffnen. Jetzt wird die TAN Liste einfach offen im Briefumschlag versendet. Ein Briefumschlag kann m.E. leicht geöffnet werden, ohne das ich es feststellen kann. Ein Dritter könnte sich die TAN-Liste kopieren, Kontonummer steht praktischerweise gleich als Zugangsname drauf, und braucht dann lediglich noch meine PIN. Nachdem ich die TAN freigeschaltet habe (da ich ja nichts von der Kopie bemerkt habe) könnte er munter Zahlungen ausführen. Das ist doch ein erheblicher Rückschritt in der Sicherheit. Ich habe sofort dort angerufen. Mir wurde nur gesagt, dass alles i.O sei, meine Bedenken bezüglich der Sicherheit zwar weiter geleitet werden aber sich daran sicher nichts mehr ändert wird. Will man die alten TAN-Listen Kunden damit auf TAN-Generator bzw. SMS bringen? Diesen Beitrag teilen Link zum Beitrag
xolgo August 4, 2010 Will man die alten TAN-Listen Kunden damit auf TAN-Generator bzw. SMS bringen? Glaube ich nicht. Die wenigsten Kunden dürften so weit denken. Ich würde eher an Kostensenkung als Grund denken. Diesen Beitrag teilen Link zum Beitrag
fireball August 4, 2010 Nun das ist eigentlich eine Frechheit, auch wenn ich Tan Generatoren für sicherer halte, allerdings wenn man unterwegs ist ziemlich nervig da man ja nicht nur einen dabei haben muss sondern zig von diesen Kästchen. Diesen Beitrag teilen Link zum Beitrag
abbreviation August 4, 2010 Meine Sparkasse dürfte deutlich südlich von Deiner liegen und macht das auch immer so. Allerdings kann man von der Liste nicht auf das Konto schließen sondern lediglich auf meine Person. Die Zugangsdaten zum Online Banking sind nicht darauf enthalten. Im übrigen scheint es mir schon grundsätzlich komisch zu sein für den Login des Onlinebankings die Kontonummer zu verwenden, denn diese ist jedem zugänglich, der sich eine entsprechende EC-Karte beschafft. Vielleicht schaust Du Dir das nochmal genauer an? Am dollsten finde ich die Bank, die ein Sicherheitssystem ohne PINs über einen USB-Stick hat, aber der ist nur mit dem Internet Explorer einzusetzen. Erstaunlich, dass ausgerechnet da dann keinerlei Sicherheitsbedenken bezüglich es IE bestehten. Diesen Beitrag teilen Link zum Beitrag
xolgo August 4, 2010 Im übrigen scheint es mir schon grundsätzlich komisch zu sein für den Login des Onlinebankings die Kontonummer zu verwenden, ... Das ist bei vielen Banken so üblich. Im Endeffekt ist es auch fast egal, ob der geheime Teil in der PIN steckt oder auf Anmeldenamen und PIN verteilt ist. Diesen Beitrag teilen Link zum Beitrag
ipl August 4, 2010 Ich finde die mTANs am bequemsten. Da bekommt man die TAN auf das Handy zugeschickt und die ist dann ein paar Minuten lang für die exakt in Auftrag gegebene Transaktion - und keine andere - gültig. Der Angreifer müsste die Kontodaten, Online-PIN und mein Handy für einen wie auch immer gearteten Angriff haben. Selbst TAN abfangen bringt dann nichts mehr, da sie nicht für andere Transaktionen verwendbar ist. Diesen Beitrag teilen Link zum Beitrag
xolgo August 4, 2010 Ich finde die mTANs am bequemsten. Da bekommt man die TAN auf das Handy zugeschickt und die ist dann ein paar Minuten lang für die exakt in Auftrag gegebene Transaktion - und keine andere - gültig. Der Angreifer müsste die Kontodaten, Online-PIN und mein Handy für einen wie auch immer gearteten Angriff haben. Selbst TAN abfangen bringt dann nichts mehr, da sie nicht für andere Transaktionen verwendbar ist. Jein. Wenn der Angreifer Deinen Verkehr mit der Bank manipuliert, müssen in der SMS die wesentlichen Daten der Transaktion wiederholt werden und vom Empfänger kontrolliert werden. Geschieht dies nicht, ist auch ein Angriff auf mit mTAN geschützte Verfahren möglich (ohne das Handy zu besitzen). Damit ist man - mal wieder - bei der mE wichtigsten potentiellen Schwachstelle - dem Menschen, die sich auch durch noch so viel technische Spielereien nicht beeindrucken lässt. Diesen Beitrag teilen Link zum Beitrag
ipl August 4, 2010 Ich finde die mTANs am bequemsten. Da bekommt man die TAN auf das Handy zugeschickt und die ist dann ein paar Minuten lang für die exakt in Auftrag gegebene Transaktion - und keine andere - gültig. Der Angreifer müsste die Kontodaten, Online-PIN und mein Handy für einen wie auch immer gearteten Angriff haben. Selbst TAN abfangen bringt dann nichts mehr, da sie nicht für andere Transaktionen verwendbar ist. Jein. Wenn der Angreifer Deinen Verkehr mit der Bank manipuliert, müssen in der SMS die wesentlichen Daten der Transaktion wiederholt werden und vom Empfänger kontrolliert werden. Geschieht dies nicht, ist auch ein Angriff auf mit mTAN geschützte Verfahren möglich (ohne das Handy zu besitzen). Damit ist man - mal wieder - bei der mE wichtigsten potentiellen Schwachstelle - dem Menschen, die sich auch durch noch so viel technische Spielereien nicht beeindrucken lässt. In der SMS von meiner Bank, die das einsetzt, werden die Daten wiederholt und auch von mir überprüft. Zur TAN muss man nämlich noch runterscrollen. ^^ Diesen Beitrag teilen Link zum Beitrag
fireball August 4, 2010 Nun sicher finde ich es schon mit Tokken oder mtan allerdings ist mir das mit den SMS sehr unangenehm und umständlich und sicher auch verdammt teuer wenn ich im Ausland und nicht in Deutschland bin. Diesen Beitrag teilen Link zum Beitrag
maush August 5, 2010 Nun sicher finde ich es schon mit Tokken oder mtan allerdings ist mir das mit den SMS sehr unangenehm und umständlich und sicher auch verdammt teuer wenn ich im Ausland und nicht in Deutschland bin. Das sind genau die Gründe warum ich bisher keine mtan für die Sparkasse einsetze. Zurück zur Sicherheit bei dem neuen Tan-Listen Verfahren der Sparkasse. Seht ich da auch ein eindeutiges Sicherheitsrisiko (also im Vergleich mit dem bisherigen) oder sind meine Bedenken übertrieben? Diesen Beitrag teilen Link zum Beitrag
DrCash August 5, 2010 Zurück zur Sicherheit bei dem neuen Tan-Listen Verfahren der Sparkasse. Seht ich da auch ein eindeutiges Sicherheitsrisiko (also im Vergleich mit dem bisherigen) oder sind meine Bedenken übertrieben? Dieses Verfahren finde ich ziemlich bedenklich (ist mir noch nicht untergekommen), die anderen Banken versenden die Umschläge zum "Aufreissen" doch nicht zum Spaß. Diesen Beitrag teilen Link zum Beitrag