Siemens will dem Passwortchaos per Smartcard ein Ende bereiten

Hi,
schon mal was vom "CHIPDRIVE® Password Manager" gehört?
Der macht genau das und den gibt es schon seit ein paar Jahren Und den Klasse 2 Chipkartenleser gleich dazu.

 

Eine sichere Authentifizierung im Internet ist heute ohne zusätzliche Hardware (Lesegeräte, Chipkarten) durch die Registrierung des eigenen Handys und dem darin befindlichen Chip möglich.

Per SMS wird die TAN nach Anforderung im Internet an das registrierte Handy geschickt.

Die Postbank nennt dieses neue Konzept mTAN für mobile TAN und im Hochschulbereich hat die Firma http://www.schomaecker-gmbh.com dieses Konzept im letzten Jahr bereits für die Studierenden in Deutschland verfügbar gemacht: SAFETYMAXX.

 

Hier liegt der Hase im Pfeffer. Es gibt eine Vielzahl von verschiedenen Lesegeräten mit verschiedenen Anschlüssen (USB, Seriell etc.) und jeder hat einen eigenen Treiber, obwohl es einen einheitlichen Standard gibt (CT-API). Solange hier nicht etwas geschieht, wird sich so etwas nicht durchsetzen.

Als Beispiel möge hier dienen: Ich habe einen Kartenleser von ACS (Hongkong) mit USB-Anschluß, den ich bei e-bay ersteigert habe. Ich habe zu Hause einen Mac und einen PC. Der Mac hat keinen seriellen Anschluß, so daß USB eigentlich OK wäre. Ich habe sogar eine Vollversion einer Telebanking Software mit SmartCard oder wie das Ding heißt erstanden. Die Software läuft nur unter System 9, für den Kartenleser gibt es aber nur einen OS X-Treiber und der funktioniert nicht mit OSX 10.2.x oder höher. Ein Update gibt es nicht seit 2002. Die Telebanking SW wird auch nicht weiterentwickelt und unterstützt nur einen einzigen speziellen Kartenleser mit USB. Der ist mir aber zu teuer. Ich sollte doch einen Seriell-USB-Adapter verwenden, kostet nochmal extra und ich kann den USB-Kartenleser nicht mehr verwenden. Der Adapter läuft nicht unter OS X.

Gut, habe ich mir gesagt, nimmst Du halt Virtual PC/W98 mit der Telebanking SW von der Deutschen Bank (kostenlos!!!). Alles eingerichtet, Kartenleser erkannt, Einstellungen vornehmen... Ich kann hier nur zwischen COM1...COM6 auswählen, von USB hat die Deutsche Bank noch nichts gehört. Die Hotline sagte mir es würde doch irgendwie gehen, wenn ich den Treiber dort und dort reinkopiere. Gesagt getan... Fehlermeldung: die xyz.dll hat eine falsche Version. Auf dem echten PC dasselbe Ergebnis.

Wie lange gibt es eigentlich schon USB? Und solange nicht alle Plattformen unterstützt werden ist das ganze nur Spielerei.

 

@rascal

manche Leute müssen einfach überall ihren Senf dazu geben - auch wenn sie nichts mitzuteilen haben

 

und den namen "smartcard" gibts auch schon..ist in manchen centrino notebooks eingebaut.

 

Handys gehören zwar nicht zur Standardausstattung eines PC's aber es gibt in Deutschland bereits mehr Handys als Festnetzanschlüsse. Bei Studierenden z. Bsp. liegt der Anteil geschätzt bei ca. 90 %.

Die Kommunikation von SAFETYMAXX läuft über SSL mit Kennung und Passwort im Dialog auf einem beliebigen PC mit Browser. Nur das Einmalpasswort - die TAN - wird genau auf dem Handy angezeigt, das der Benutzer mit Unterschrift registriert hat. Die Gültigkeitsdauer der TAN ist einstellbar z. Bsp. 20 Minuten.

Die Sicherheit besteht darin, dass ich das Handy (also die weltweit eindeutige Nummer mit entsprechendem Netzbetreiber) besitzen muss und (!) Kennung und Passwort (jederzeit änderbar) wissen muss. Also 2 getrennte Kommunikationswege benutzt werden.

Die Postbank als Großbank ist bei Benutzung dieses Konzeptes sicherlich eine seriöse Referenz!

 

Und ist ein Handy nicht auch eine zusätzliche Hardware? Oder gehört es inzwischen zur Standard-PC-Ausrüstung?

B.B.

 

Halte dieses Verfahren für höchst bedenklich! Seit wann ist SMS ein sicheres System?!?! Keinesfalls sollten darüber TAN's versendet werden.

Ciao HB