Ist halt so sicher, wie du deinem Endgerät vertraust. Dass ein zweiter Faktor sicherer ist, dürfte außer Frage stehen.
-
-
-
Auch auf die Gefahr hin, dass dir das eh klar ist: In die TAN-Berechnung einer Chip-Tan gehen afaik Betrag und Kontonummer ein (und werden dem Nutzer angezeigt) => Kann man nicht so einfach fuer andere Transaktionen nutzen.
-
Dass die Daten in die Berechnung der TAN eingehen, sollte keine Rolle spielen. Und zumindest in der Abbildung da sehe ich nur eine PIN angezeigt, keine Überweisungsdaten?
-
Das Chip-Tan-Geraet zeigt zuerst Betrag, dann Ziel-Kontonummer und dann die TAN an. Bei manchen Banken auch BLZ (also gesamte IBAN) => Der Nutzer kann kontrollieren, ob die manipuliert wurden.
-
Ok, das gilt.
-
Ja, meist ist es ein Sha1/Sha256 ueber iban+betrag+anzahl der bisherigen TANs der in die karte geht. Dann mach die Karte irgendwas haeszliches (vmtl. des/3des) mit nem internen key auf nen Teil des Hash, klebt da nen bitfilter und ne shift drueber und feddich, TAN.
End of conversation
New conversation -
-
-
Eventuell weil die TAN unabhängig der Transaktion gültig ist.
-
Ja und in welchem Szenario spielt das eine Rolle, in dem die anderen Verfahren nicht kompromittiert wären?
-
z.B. eines in dem ein Trojaner auf deinem Rechner hängt und die Überweisung manipuliert, quasi der klassische Angriff, zumindest bei ChipTan passt die TAN ja nur zu den im Display des Endgerätes (hoffentlich nicht Anfreifbar) angezeigten Daten.
-
Das ist auch meine Annahme.
End of conversation
New conversation -
-
-
Dass die TAN bei iTAN nicht an die konkrete Transaktion gekoppelt ist. Ein MitM/ MitB kann sie also abfangen und zB für ein anderes Zielkonto verwenden, ohne dass der Anwender das bemerken kann. Das ist bei SmartTAN nicht möglich.
-
Wer MitM kann, kann mir auch eine völlig andere Transaktion im Web-Browser anzeigen. Aber das Argument, dass die Zahlungsdaten nochmal im Display angezeigt werden, zieht natürlich.
-
Das war der Teil mit dem „bemerken kann“. Aber afair gab es auch schon Angriffe, die funktionierten, weil die Opfer Konto/Betrag nicht kontrolliert haben.
End of conversation
New conversation -
-
-
Möglicherweise die Möglichkeit, Kund:innen gleich eine ganze Reihe gültiger TANs abzuluchsen, auch wenn das natürlich ein klassisches PEBKAC ist?
Thanks. Twitter will use this to make your timeline better. UndoUndo
-
-
-
ich werde iTan vermissen. Fand es einfach und komfortabel genug. Sehe auch nicht woher die angebliche Unsicherheit stecken soll
Thanks. Twitter will use this to make your timeline better. UndoUndo
-
-
-
Eventuell wegen: "auch wenn der Kunde grob fahrlässig handelt, und der Kunde im Schadensfall nicht beweisen muss, dass er sorgfältig war."
Thanks. Twitter will use this to make your timeline better. UndoUndo
-
-
-
Is Kobil Schlangenöl...
Thanks. Twitter will use this to make your timeline better. UndoUndo
-
-
-
Das iTAN-Verfahren stellt für Kriminelle kein Problem mehr dar, erklärte Mirko Manske, Kriminalhauptkommissar im Bundeskriminalamt (BKA) auf dem 11. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik in Bonn.https://www.heise.de/security/meldung/BKA-iTAN-Verfahren-keine-Huerde-mehr-fuer-Kriminelle-219497.html …
Thanks. Twitter will use this to make your timeline better. UndoUndo
-
-
-
Ich vermute, dass beim Hash, der bei PhotoTAN generiert wird, der eingegebene Empfänger Teil des preimage ist. Wenn der Empfänger nun manipuliert wird, passt der Hash aus der PhotoTAN nicht mehr zum Vorgang und dieser wird abgebrochen. Bei iTAN würde der Vorgang durchgehen.
Thanks. Twitter will use this to make your timeline better. UndoUndo
-
-
-
Hast du dir das denn Mal angeschaut?
Thanks. Twitter will use this to make your timeline better. UndoUndo
-
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.