geschrieben von: TheDemon
Datum: 10.05.19 16:32
Wer zu blöd ist, der sollte das mit dem Online-Banking wirklich besser lassen: "Kein passendes Mobiltelefon? Wenn Sie kein Mobiltelefon besitzen, auf dem Sie die Commerzbank photoTAN-App installieren können, haben Sie die Möglichkeit, bei Anmeldung zur photoTAN ein preisgünstiges Lesegerät zu erwerben."TheDemon schrieb:Das ist die von den Banken beworbene, also die massgebliche Lösung.Keine Ahnung, wie du da jetzt wieder auf das Smartphone kommst.
geschrieben von: ehemaliger Nutzer
Datum: 10.05.19 17:49
Die Lesegerät-Option sieht so aus:"Kein passendes Mobiltelefon? Wenn Sie kein Mobiltelefon besitzen, auf dem Sie die Commerzbank photoTAN-App installieren können, haben Sie die Möglichkeit, bei Anmeldung zur photoTAN ein preisgünstiges Lesegerät zu erwerben."
[www.commerzbank.de]
Nix "massgebliche Lösung". Es gibt Optionen.
geschrieben von: TheDemon
Datum: 10.05.19 20:24
Wie gesagt: Wenn man halt zu blöd ist. Lass es halt sein. Du warst ja schon zu blöd die PhotoTan zu finden. Das es dann noch weitere Defizite gibt, das wundert mich nicht.TheDemon schrieb:Die Lesegerät-Option sieht so aus:"Kein passendes Mobiltelefon? Wenn Sie kein Mobiltelefon besitzen, auf dem Sie die Commerzbank photoTAN-App installieren können, haben Sie die Möglichkeit, bei Anmeldung zur photoTAN ein preisgünstiges Lesegerät zu erwerben."
[www.commerzbank.de]
Nix "massgebliche Lösung". Es gibt Optionen.
1. ich rufe die Bankseite auf, melde mich an, und gebe einen Überweisungsauftrag ein
2. die Bank schickt mir auf meinen Bildschirm ein Bild
3. das Lesegerät generiert daraus einen Code
4. ich tippe den Code auf der Bankseite ein
5. die Bank prüft den Code und führt bei positivem Ergebnis den Auftrag aus
Der gehackte Browser war zwischendurch auch nicht faul. Er hat schon während des Schrittes 1 die von mir eingetippte Steuerzahlung in Höhe von 498,04 EUR in eine Überweisung von 4980,40 umgewandelt und dies an die Bank weitergeleitet. Der Empfänger ist anstelle des Finanzamts nun Herr Alexejew Ganov in Kasachstan, bei dem ich nach Schritt 5 das Geld suchen gehen kann.
Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein.
geschrieben von: ehemaliger Nutzer
Datum: 11.05.19 16:29
Diesen Quatsch von sich fernzuhalten, ist ein Zeichen intakten Verstands (das Gegenteil heißt 'Digitale Demenz').kmueller schrieb:Wie gesagt: Wenn man halt zu blöd ist. Lass es halt sein. Du warst ja schon zu blöd die PhotoTan zu finden. Das es dann noch weitere Defizite gibt, das wundert mich nicht.Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein.
geschrieben von: TheDemon
Datum: 11.05.19 17:31
Nöö, wenn man erkennbar zu blöd ist, sämtliche verfügbaren Optionen zu erfassen, dann ist das alles, nur kein Zeichen eines intakten Verstandes. Denn nur mit allen bzw. möglichst vielen Informationen kann man saubere Entscheidungen treffen.TheDemon schrieb:Diesen Quatsch von sich fernzuhalten, ist ein Zeichen intakten Verstands (das Gegenteil heißt 'Digitale Demenz').kmueller schrieb:Wie gesagt: Wenn man halt zu blöd ist. Lass es halt sein. Du warst ja schon zu blöd die PhotoTan zu finden. Das es dann noch weitere Defizite gibt, das wundert mich nicht.Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein.
geschrieben von: Ingo Oerther
Datum: 11.05.19 20:36
geschrieben von: Weltreisender
Datum: 12.05.19 01:47
Dass gerade bei kleinen RZ die Verkaufszahlen zurückgehen, ist leider wahr. Allerdings gibt es für jede Reise auch nicht 10 Mio Tarifvarianten. Das System zeigt nur die Varianten, die beim Durchlösen in Frage kommen auf. Die Varianten, die durch Stückeln zustande kommen, zeigt das System nicht. Diese kennen eben nur die professionellen Verkäufer. Aber genau dort liegt das Problem: Es gibt so viele Möglichkeiten, dass Du als Einzelner, sie fast alle gar nicht kennen kannst.Eins ist Fakt: Die Verkazfszahlen besonders der "kleineren" Reisezentren gehen seit Jahren zugunsten der "modernen" Vertriebswege (Internet, Handy) zurück.
Ich frage mich wie die Leute, die man mit der "Aktion" im Auge hat, die gefühlten 10 Millionen Tarifvarianten verstehen sollen, um damit klar zu kommen.
Ferner betrachte ich diese "Aktion" gerade bei internationalen Verbindungen (Fahrkarten und Reservierungen), die nicht in einem durchgehenden Zug aus D zurückgelegt werden
als "Schuss in den Ofen"!
Oder sollen sich die Reisenden bei jeder in Frage kommenden Bahnverwaltung einen Kundenaccount anlegen, um beispielsweise Tickets und Reservierungen von Karlsruhe nach Siracusa zu
erwerben?
Iregndwie empfinde ich dies aus Sicht potentieller Kunden als Hohn.
geschrieben von: Ingo Oerther
Datum: 12.05.19 11:09
geschrieben von: ehemaliger Nutzer
Datum: 12.05.19 12:25
Eine gut funktionierende Lösung, die ihren Zweck erfüllt reicht.kmueller schrieb:Nöö, wenn man erkennbar zu blöd ist, sämtliche verfügbaren Optionen zu erfassen, dann ist das alles, nur kein Zeichen eines intakten Verstandes. Denn nur mit allen bzw. möglichst vielen Informationen kann man saubere Entscheidungen treffen.Diesen Quatsch von sich fernzuhalten, ist ein Zeichen intakten Verstands (das Gegenteil heißt 'Digitale Demenz').
geschrieben von: ehemaliger Nutzer
Datum: 12.05.19 12:28
Zum Ausgleich kann man mittlerweile auf der Straße über fast jede Grenze mit nur geringfügig verminderter Geschwindigkeit einfach so drüberrollen.Mich treibt halt der "Ärger" um, dass es für "Normalverbraucher" schwer geworden ist, ausländische Tickets und Reservierungen bei der DB zu bekommen.
M.E. passt das leider nicht in ein zusammenwachsendes Europa.
geschrieben von: Weltreisender
Datum: 12.05.19 14:38
Grüss Dich Ingo,Hallo Martin!
Vielen Dank für Deine Ausführungen.
Meine Bemerkung "gefühlte 10 Millionen Varianten" war ironisch gemeint. ;-)
Ich werde die Reservierungen für die diesjährige Rumänienreise (mit meinem Arbeitskollegen Burkhard) wohl wieder bei den
Profis der Bahnagentur Schöneberg buchen.
Ich habe den Eindruck, die kommen mit den "Kniffen" bei internationalen Reservierungen am besten zurecht.
Mich treibt halt der "Ärger" um, dass es für "Normalverbraucher" schwer geworden ist, ausländische Tickets und Reservierungen bei der DB zu bekommen.
M.E. passt das leider nicht in ein zusammenwachsendes Europa.
Die Grenzen fallen, aber Bahntariflich werden neue hochgezogen, das ist wahrlich unschön.
Gruß
Ingo
Dieses prinzipielle Betrugsszenario ist zwar genau ein Grund, warum die iTAN als unsicher abgeschafft werden soll, aber bei photoTan sollte das eigentlich nicht möglich sein. In den photoTAN-Code sollten bei korrekter Implementierung nämlich zum einen die Überweisungsdaten (Kontonummer, Betrag), als auch ein kundenspezifisches kryptographisches Geheimnis eingehen, welches nur der Bank und dem jeweiligen Kunden [1] bekannt ist.TheDemon schrieb:Die Lesegerät-Option sieht so aus:"Kein passendes Mobiltelefon? Wenn Sie kein Mobiltelefon besitzen, auf dem Sie die Commerzbank photoTAN-App installieren können, haben Sie die Möglichkeit, bei Anmeldung zur photoTAN ein preisgünstiges Lesegerät zu erwerben."
[www.commerzbank.de]
Nix "massgebliche Lösung". Es gibt Optionen.
1. ich rufe die Bankseite auf, melde mich an, und gebe einen Überweisungsauftrag ein
2. die Bank schickt mir auf meinen Bildschirm ein Bild
3. das Lesegerät generiert daraus einen Code
4. ich tippe den Code auf der Bankseite ein
5. die Bank prüft den Code und führt bei positivem Ergebnis den Auftrag aus
Der gehackte Browser war zwischendurch auch nicht faul. Er hat schon während des Schrittes 1 die von mir eingetippte Steuerzahlung in Höhe von 498,04 EUR in eine Überweisung von 4980,40 umgewandelt und dies an die Bank weitergeleitet. Der Empfänger ist anstelle des Finanzamts nun Herr Alexejew Ganov in Kasachstan, bei dem ich nach Schritt 5 das Geld suchen gehen kann.
Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein...
Ja, so sollte es laufen. Doch dann wird eben vorexerziert, wie man das binnen Sekunden umschiffen kann. Das externe Lesegerät ist ja die Ausnahme, primär wird eine entsprechende App auf dem (gleichen) Telefon empfohlen. Und diese App kennt das Geheimnis, also kann eine manipulierte App auch einen neuen Code berechnen.kmueller schrieb:Dieses prinzipielle Betrugsszenario ist zwar genau ein Grund, warum die iTAN als unsicher abgeschafft werden soll, aber bei photoTan sollte das eigentlich nicht möglich sein. In den photoTAN-Code sollten bei korrekter Implementierung nämlich zum einen die Überweisungsdaten (Kontonummer, Betrag), als auch ein kundenspezifisches kryptographisches Geheimnis eingehen, welches nur der Bank und dem jeweiligen Kunden [1] bekannt ist.Die Lesegerät-Option sieht so aus:
1. ich rufe die Bankseite auf, melde mich an, und gebe einen Überweisungsauftrag ein
2. die Bank schickt mir auf meinen Bildschirm ein Bild
3. das Lesegerät generiert daraus einen Code
4. ich tippe den Code auf der Bankseite ein
5. die Bank prüft den Code und führt bei positivem Ergebnis den Auftrag aus
Der gehackte Browser war zwischendurch auch nicht faul. Er hat schon während des Schrittes 1 die von mir eingetippte Steuerzahlung in Höhe von 498,04 EUR in eine Überweisung von 4980,40 umgewandelt und dies an die Bank weitergeleitet. Der Empfänger ist anstelle des Finanzamts nun Herr Alexejew Ganov in Kasachstan, bei dem ich nach Schritt 5 das Geld suchen gehen kann.
Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein...
In dem obigen Szenario passiert daher folgendes:
Um sowohl die Bank als auch mich zu täuschen, müsste der Angreifer gegenüber der Bank die korrekte TAN für die manipulierte Überweisung berechnen [2] und gleichzeitig mir gegenüber einen neuen photoTAN-Code für die originale Überweisung generieren, der von meinem Lesegerät dann auch akzeptiert wird. Da er aber das kryptographische Geheimnis nicht kennt, kann er das nicht machen.
Oder der Angreifer leitet das originale photoTAN-Bild unverändert weiter - dann tauchen auf meinem Lesegerät aber die manipulierten Überweisungsdaten auf, die mich hoffentlich stutzig werden lassen.
Um das 'Geheimnis' zu bewahren, sollten Dritte nie irgendeine 'Träger'karte oder irgendein anderes Gerät in die Hand (bzw. in den Geräteschlitz) bekommen, das an der Generierung der TAN mitwirkt. Allein deswegen scheiden für mich Verfahren aus, die Bankomat- oder Kreditkarten nutzen.Dieses prinzipielle Betrugsszenario ist zwar genau ein Grund, warum die iTAN als unsicher abgeschafft werden soll, aber bei photoTan sollte das eigentlich nicht möglich sein. In den photoTAN-Code sollten bei korrekter Implementierung nämlich zum einen die Überweisungsdaten (Kontonummer, Betrag), als auch ein kundenspezifisches kryptographisches Geheimnis eingehen, welches nur der Bank und dem jeweiligen Kunden bekannt ist.
Bei der Einrichtung des Lesegerätes sollte dieses Geheimnis natürlich nicht einfach online übermittelt werden, und eine kurze Suche liefert bei einigen Banken auch tatsächlich das Stichwort "Aktivierungsbrief". Alternativ nutzt man bei der Variante chipTAN die Bankkarte des Kunden als sicheren Geheimnisträger und spart sich den extra Aktivierungsbrief. Bei Nutzung einer Handy-App als Lese"gerät" besteht natürlich das Risiko, dass bei gehacktem Handy ein Angreifer das Geheimnis aus den gespeicherten Daten der App auslesen könnte - mit eigenständigen Lesegeräten geht das hingegen nicht, ohne das Lesegerät selber (oder den Aktivierungsbrief, sofern noch vorhanden) zu klauen.
Wenn Du deinem Rechner nicht traust, dann verwende doch ein Live-Linux-System. Leider wird das hervorragende c't Bankix nicht mehr angeboten.TheDemon schrieb:Die Lesegerät-Option sieht so aus:"Kein passendes Mobiltelefon? Wenn Sie kein Mobiltelefon besitzen, auf dem Sie die Commerzbank photoTAN-App installieren können, haben Sie die Möglichkeit, bei Anmeldung zur photoTAN ein preisgünstiges Lesegerät zu erwerben."
[www.commerzbank.de]
Nix "massgebliche Lösung". Es gibt Optionen.
1. ich rufe die Bankseite auf, melde mich an, und gebe einen Überweisungsauftrag ein
2. die Bank schickt mir auf meinen Bildschirm ein Bild
3. das Lesegerät generiert daraus einen Code
4. ich tippe den Code auf der Bankseite ein
5. die Bank prüft den Code und führt bei positivem Ergebnis den Auftrag aus
Der gehackte Browser war zwischendurch auch nicht faul. Er hat schon während des Schrittes 1 die von mir eingetippte Steuerzahlung in Höhe von 498,04 EUR in eine Überweisung von 4980,40 umgewandelt und dies an die Bank weitergeleitet. Der Empfänger ist anstelle des Finanzamts nun Herr Alexejew Ganov in Kasachstan, bei dem ich nach Schritt 5 das Geld suchen gehen kann.
Dieses Verfahren ist eine Einfaktorauthentisierung (modern Fake-Zweifaktorauthentisierung). Alles hängt von der Integrität der Software auf dem Rechner ab, genau wie bei der Handy-Variante. Deswegen kann das Lesegerät so 'billig' sein...
This forum is powered by Phorum.
Eugenol template is a free semantic and xhtml valid theme for Phorum edited under GPL by PROMOPIXEL.
Dieses Forum ist ein kostenloser Service der Zeitschrift Drehscheibe und von Drehscheibe Online (www.drehscheibe-online.de)