Zum Inhalt springen
maush

Sicherheit bei neuer Art von Tan Listen der Sparkasse

Von maush, in Broker, Bank und Handelsmanagement

Empfohlene Beiträge

maush   

maush

Gestern habe ich eine neue Tan Liste von der Sparkasse (Holstein - betrifft sicher auch andere Sparkassen) bekommen und bin hinsichtlich der Sicherheit etwas verunsichert. Bisher wurden diese ja genau wie bei den anderen Banken in einem extra Umschlag innerhalb des Briefumschlags versendet. Dieser zweite Umschlag war nur durch "aufreissen" zu öffnen. Jetzt wird die TAN Liste einfach offen im Briefumschlag versendet. Ein Briefumschlag kann m.E. leicht geöffnet werden, ohne das ich es feststellen kann. Ein Dritter könnte sich die TAN-Liste kopieren, Kontonummer steht praktischerweise gleich als Zugangsname drauf, und braucht dann lediglich noch meine PIN. Nachdem ich die TAN freigeschaltet habe (da ich ja nichts von der Kopie bemerkt habe) könnte er munter Zahlungen ausführen. Das ist doch ein erheblicher Rückschritt in der Sicherheit. Ich habe sofort dort angerufen. Mir wurde nur gesagt, dass alles i.O sei, meine Bedenken bezüglich der Sicherheit zwar weiter geleitet werden aber sich daran sicher nichts mehr ändert wird. Will man die alten TAN-Listen Kunden damit auf TAN-Generator bzw. SMS bringen?

Diesen Beitrag teilen

Link zum Beitrag

xolgo   

xolgo

Will man die alten TAN-Listen Kunden damit auf TAN-Generator bzw. SMS bringen?

 

Glaube ich nicht. Die wenigsten Kunden dürften so weit denken. Ich würde eher an Kostensenkung als Grund denken.

Diesen Beitrag teilen

Link zum Beitrag

fireball   

fireball

Nun das ist eigentlich eine Frechheit, auch wenn ich Tan Generatoren für sicherer halte, allerdings wenn man unterwegs ist ziemlich nervig da man ja nicht nur einen dabei haben muss sondern zig von diesen Kästchen.

Diesen Beitrag teilen

Link zum Beitrag

abbreviation   

abbreviation

Meine Sparkasse dürfte deutlich südlich von Deiner liegen und macht das auch immer so. Allerdings kann man von der Liste nicht auf das Konto schließen sondern lediglich auf meine Person. Die Zugangsdaten zum Online Banking sind nicht darauf enthalten. Im übrigen scheint es mir schon grundsätzlich komisch zu sein für den Login des Onlinebankings die Kontonummer zu verwenden, denn diese ist jedem zugänglich, der sich eine entsprechende EC-Karte beschafft. Vielleicht schaust Du Dir das nochmal genauer an?

 

Am dollsten finde ich die Bank, die ein Sicherheitssystem ohne PINs über einen USB-Stick hat, aber der ist nur mit dem Internet Explorer einzusetzen. Erstaunlich, dass ausgerechnet da dann keinerlei Sicherheitsbedenken bezüglich es IE bestehten.

Diesen Beitrag teilen

Link zum Beitrag

xolgo   

xolgo

Im übrigen scheint es mir schon grundsätzlich komisch zu sein für den Login des Onlinebankings die Kontonummer zu verwenden, ...

 

Das ist bei vielen Banken so üblich. Im Endeffekt ist es auch fast egal, ob der geheime Teil in der PIN steckt oder auf Anmeldenamen und PIN verteilt ist.

Diesen Beitrag teilen

Link zum Beitrag

ipl   

ipl

Ich finde die mTANs am bequemsten. Da bekommt man die TAN auf das Handy zugeschickt und die ist dann ein paar Minuten lang für die exakt in Auftrag gegebene Transaktion - und keine andere - gültig. Der Angreifer müsste die Kontodaten, Online-PIN und mein Handy für einen wie auch immer gearteten Angriff haben.

 

Selbst TAN abfangen bringt dann nichts mehr, da sie nicht für andere Transaktionen verwendbar ist.

Diesen Beitrag teilen

Link zum Beitrag

xolgo   

xolgo

Ich finde die mTANs am bequemsten. Da bekommt man die TAN auf das Handy zugeschickt und die ist dann ein paar Minuten lang für die exakt in Auftrag gegebene Transaktion - und keine andere - gültig. Der Angreifer müsste die Kontodaten, Online-PIN und mein Handy für einen wie auch immer gearteten Angriff haben.

 

Selbst TAN abfangen bringt dann nichts mehr, da sie nicht für andere Transaktionen verwendbar ist.

 

Jein. Wenn der Angreifer Deinen Verkehr mit der Bank manipuliert, müssen in der SMS die wesentlichen Daten der Transaktion wiederholt werden und vom Empfänger kontrolliert werden. Geschieht dies nicht, ist auch ein Angriff auf mit mTAN geschützte Verfahren möglich (ohne das Handy zu besitzen).

 

Damit ist man - mal wieder - bei der mE wichtigsten potentiellen Schwachstelle - dem Menschen, die sich auch durch noch so viel technische Spielereien nicht beeindrucken lässt.

Diesen Beitrag teilen

Link zum Beitrag

ipl   

ipl

Ich finde die mTANs am bequemsten. Da bekommt man die TAN auf das Handy zugeschickt und die ist dann ein paar Minuten lang für die exakt in Auftrag gegebene Transaktion - und keine andere - gültig. Der Angreifer müsste die Kontodaten, Online-PIN und mein Handy für einen wie auch immer gearteten Angriff haben.

 

Selbst TAN abfangen bringt dann nichts mehr, da sie nicht für andere Transaktionen verwendbar ist.

 

Jein. Wenn der Angreifer Deinen Verkehr mit der Bank manipuliert, müssen in der SMS die wesentlichen Daten der Transaktion wiederholt werden und vom Empfänger kontrolliert werden. Geschieht dies nicht, ist auch ein Angriff auf mit mTAN geschützte Verfahren möglich (ohne das Handy zu besitzen).

 

Damit ist man - mal wieder - bei der mE wichtigsten potentiellen Schwachstelle - dem Menschen, die sich auch durch noch so viel technische Spielereien nicht beeindrucken lässt.

In der SMS von meiner Bank, die das einsetzt, werden die Daten wiederholt und auch von mir überprüft. Zur TAN muss man nämlich noch runterscrollen. ^^

Diesen Beitrag teilen

Link zum Beitrag

fireball   

fireball

Nun sicher finde ich es schon mit Tokken oder mtan allerdings ist mir das mit den SMS sehr unangenehm und umständlich und sicher auch verdammt teuer wenn ich im Ausland und nicht in Deutschland bin.

Diesen Beitrag teilen

Link zum Beitrag

maush   

maush

Nun sicher finde ich es schon mit Tokken oder mtan allerdings ist mir das mit den SMS sehr unangenehm und umständlich und sicher auch verdammt teuer wenn ich im Ausland und nicht in Deutschland bin.

Das sind genau die Gründe warum ich bisher keine mtan für die Sparkasse einsetze.

 

Zurück zur Sicherheit bei dem neuen Tan-Listen Verfahren der Sparkasse. Seht ich da auch ein eindeutiges Sicherheitsrisiko (also im Vergleich mit dem bisherigen) oder sind meine Bedenken übertrieben?

Diesen Beitrag teilen

Link zum Beitrag

DrCash   

DrCash

Zurück zur Sicherheit bei dem neuen Tan-Listen Verfahren der Sparkasse. Seht ich da auch ein eindeutiges Sicherheitsrisiko (also im Vergleich mit dem bisherigen) oder sind meine Bedenken übertrieben?

Dieses Verfahren finde ich ziemlich bedenklich (ist mir noch nicht untergekommen), die anderen Banken versenden die Umschläge zum "Aufreissen" doch nicht zum Spaß.

Diesen Beitrag teilen

Link zum Beitrag

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Gehe zur Themenübersicht
×
×
  • Neu erstellen...