Ich möchte gerne mal eure Meinung über folgendes Online-Banking System hören.
Wohne in Schweden und habe dort bei der ‚Sparkasse‘ mein Girokonto mit Online-Anschluss. Das funktioniert so:
Man bekommt bei Kontoeröffnung eine Art Taschenrechner ohne Rechenfunktionen (nur EIN/AUS, Ziffern, Cursor Links und Display). Dann geht man zu hause an seinen PC, geht auf die Homepage der Bank, und wählt dort ‚Einloggen‘. Danach wird man (SSL) aufgefordert, seine Sozialversicherungsnummer (die ist eindeutig und immer dieselbe) in ein Feld einzugeben und man bekommt eine 8-stellige Nummer zurück (die aber immer wieder anders ist). Diese tippt man dann in den kleinen ‚Taschenrechner‘ ein (der hat keine Verbindung zum PC oder mit dem Telefon, und ist mit einer 4-stelligen PIN-Nr. geschützt), und der generiert dann wieder einen 8-stelligen Code, den man dann zum Verifizieren wieder in den PC eingibt. Stimmt alles, hat man dann Zugriff auf sein Konto.
Will man nun Geld überweisen oder Rechnungen bezahlen, so muss man jedes mal den Betrag in den ‚Taschenrechner‘ eintippen und der generiert dann wieder eine 8-stellige Nummer, die dann der PC online verifiziert.
Ich musste keinerlei Software bei mir installieren usw., alles geht mit ‚Bordmitteln‘ und der kleinen Dose.
Was haltet Ihr davon? Ist das sicher? Probleme gab’s nach zwei jahren Betrieb noch nie.
ich kenne ein ähnliches System, die RSA SecureID-Karten. Was steht auf diesem „Taschenrechner“ für ein Hersteller hinten drauf? Evtl. auch eine Modellbezeichnung?
Hallo Reinhard,
ich bin mir nicht wirklich sicher, ob dieses System so hundertprozentig ist. Für mich gibt es an einem Punkt eine Schwachstelle, sollte ich damit falsch liegen, korrigiert mich:
Anscheinend generiert der Taschenrechner immer nach demselben Algorithmus, der der Gegenseite bekannt ist, die Zahlen.
Das einzige Anmeldemittel ist Deine Sozialversicherungsnummer, also ein Faktor, der bekannt sein/werden könnte.
Mit dem richtigen Algorithmus könnte nun der Angreifer anhand Deiner SVN sowohl Zugang zu Deinem Konto wie auch zu Überweisungen bekommen. Vielleicht ist es daher nur eine Frage der Zeit (langer Zeit !), aber wenn der Angreifer eine Liste von 20.000 SVN sowie 20 der Taschenrechner in der Hand hätte, könnte es sich vielleicht für ihn lohnen.
Eine zusätzliche unbekannte Variable, also z.B. eine vielstellige _eigene_ PIN, halte ich persönlich für einen Sicherheitsgewinn.
Gruß,
Jürgen
Anscheinend generiert der Taschenrechner immer nach demselben
Algorithmus, der der Gegenseite bekannt ist, die Zahlen.
Das einzige Anmeldemittel ist Deine Sozialversicherungsnummer,
also ein Faktor, der bekannt sein/werden könnte.
Mit dem richtigen Algorithmus könnte nun der Angreifer anhand
Deiner SVN sowohl Zugang zu Deinem Konto wie auch zu
Überweisungen bekommen.
Das wäre jedoch keine Lücke, wenn sowohl im „Taschenrechner“ als auch in der Bank ein langer, privater Schlüssel hinterlegt ist und die Codes, die der „TR“ erzeugt, auch noch zeitabhängig sind, also nur eine Minute lang gültig oder so.
So machen es SecureID-Karten, und die gelten weithin als ziemlich sicher!
Um das beurteilen zu können, müsste man mehr Informationen über das System haben.
Was haltet Ihr davon? Ist das sicher? Probleme gab’s nach zwei
jahren Betrieb noch nie.
dieses sog. challenge response verfahren ist im prinzip der herkoemmlichen authentifizierung mit kundennummer und pin sicher vorzuziehen.
bei der implementierung ist es wichtig, dass bei der erzeugung der challenge phrase genuegend entropie einfliesst, so dass diese nicht vorhersagbar ist.
weiterhin stellt sich die frage, ob der „taschenrechner“ nach n fehlversuchen gesperrt wird, ansonsten ist eine vierstellige pin ein bisschen duenn, wenn das ding wegkommt…
alles in allem addressiert es aber richtig implementiert recht gut die sonst vorhandene trojaner-problematik beim webbasierten banking.
Die erste Zufallsnummer, die nach dem Einloggen mit der SV-Nr. generiert wird, ist nur 3 Minuten gültig.
Der ‚Taschenrechner‘ ist durch eine 4-stellige, nur mir bekannte, PIN gesperrt; drei Fehlversuche und ich muss ihn umtauschen auf der Bank. Er schaltet sich nach ca. 1 Minute ab; danach muss man wieder die 4-stellige PIN zum Anschalten eingeben.
Ja, er generiert immer nach dem gleichen Algorithmus, da bei gleichen Beträgen auch immer die gleiche PIN-Nr. kommt.
Auf der Rückseite steht: ‚This is an ActiveCard Product‘, scheint aus der USA zu kommen (jede Menge US-Patentnummern hinten drauf), ist aber in China hergestellt.
Ich hab mir mal das Datenblatt zu dem Produkt angesehen, und das las sich alles recht positiv. Das einzige Manko scheint mir der verwendete Verschlüsselungsalgorithmus zu sein, DES. DES ist nicht mehr up to date. Allerdings sind die Mängel in DES eher… naja, theoretischer Natur.
Grundsätzlich ist das verwendete System um einiges fortschrittlicher als z.B. das verbreitete System mit user:stuck_out_tongue:ass und diesen TAN-Nummern.
Unterm Strich also ein „Plus“ für Deine Bank. Sie ist da weiter als die meisten anderen Banken.
Wenn Du eine detailliertere Einschätzung haben möchtest, einfach nochmal melden.